Nouvelle faille de sécurité Ledger – Payer 10 LTC et verser en fait 10 BTC sans s’en rendre compte

La société Ledger figure parmi les services les plus sécurisés en termes de stockage de cryptomonnaies à l’heure actuelle. Une réalité qui ne l’empêche pas d’être confrontée à des failles de sécurité qui nécessitent d’être prises en charge rapidement. Une nouvelle brèche de ce genre vient d’être mise à jour et elle concerne le Bitcoin (BTC) et ses forks. 

Il est difficile d’être une société leader dans un domaine en pleine évolution tel que les cryptomonnaies. Cela expose à de nombreuses convoitises et à des attaques malveillantes d’envergure. Un fait qui a encore été confirmé il y a peu avec le hack du site officiel de la société Ledger et le vol des données privées de plus d’un million de ses clients. Cela expose les personnes concernées à de potentielles attaques de phishing ciblées.

Un fait problématique qui vient s’ajouter à de récentes informations révélant qu’une nouvelle faille de sécurité vient d’être décelée sur les portefeuilles harware qui font le succès de l’entreprise française. Et cela concerne le Bitcoin et ses (trop) nombreux forks. Une information qui pourrait potentiellement poser problème si elle venait à croiser le fichier client de l’entreprise sur le darknet. 

Payer en LTC et valider une transaction en BTC

Sans rentrer dans les détails trop techniques, cette faille concerne la validation des transactions de « type » Bitcoin issues des clés de stockage Ledger. Ces dernières sont traitées selon le même processus qu’il s’agisse de Bitcoin ou de l’un de ses forks comme le Litecoin (LTC) ou le Bitcoin Cash (BCH) par exemple. Un choix assumé et expliqué par la société Ledger en décembre 2019 qui n’est visiblement pas aussi sécurisé que prévu.

C’est un article du site anglophone monokh qui expose cette faille pour la première fois. Il s’intitule « contournement d’isolement de l’application Ledger. » Et cela concerne les transactions réalisées à l’aide du wallet Ledger qui pourraient être corrompues de façon volontaire et malveillante.

Il explique comment la gestion groupée des forks du Bitcoin et du BTC lui-même pourrait permettre de réaliser une transaction dans une cryptomonnaie telle que le Litecoin (LTC) qui cacherait en fait un déplacement d’une autre cryptomonnaie plus chère comme le Bitcoin (BTC). Cela sans que l’utilisateur ne s’en rende compte et qu’il valide ainsi cette opération pensant réaliser la première.

Dans les faits une transaction d’un montant de 10 LTC (environ 580$) pourrait se solder par le versement de 10 BTC (113 000$) environ, ce qui ne revient pas au même au cours actuel de ces deux actifs numériques ! Mais cela ne concerne visiblement que le fait d’utiliser une clé Ledger pour réaliser des transactions directement vers des applications qui pourraient profiter de cette faille. Et uniquement en Bitcoin ou l’un de ses forks. 

Il semble que Ledger n’ait donné aucune réponse suite à la divulgation de cette faille qui date de janvier 2019 ni même réalisé aucune modification pour en éviter l’exploitation. Raison pour laquelle elle vient d’être diffusée publiquement en ce début de semaine. 

Mise à jour : La société Ledger a réagi dans la journée et une nouvelle mise à jour est disponible et permet de remédier à ce problème.