La semaine dernière, la société Ledger, spécialisée dans le stockage de cryptomonnaies et pourtant réputée pour la qualité de sa sécurité, a annoncé un piratage de ses données.
Quelques jours après cette première fuite qui a touché plus d'un million de clients des hardware wallets Ledger, une autre faille de sécurité aurait été repérée.
Du LTC camouflé en BTC
Cette faille a été révélée par le site anglophone Monokh, qui évoque « une vulnérabilité dans les portefeuilles de Ledger pouvant mener à un vol de fonds des utilisateurs ».
La faille repose sur une altération des applications et une modification de la devise de cryptomonnaie utilisée lors des transactions, plus particulièrement sur le Bitcoin (BTC) et les altcoins. Ces devises sont traitées selon le même processus, ce qui permettrait des manipulations trompeuses.
Pour qu'un portefeuille puisse échanger une cryptomonnaie, il doit disposer d'une application correspondante (par exemple, une application DOGE pour échanger du Dogecoin). En temps normal, chaque application installée est verrouillée et séparée des autres : pour échanger des Litecoin, on ouvre uniquement l'application LTC.
La faille consiste ici à autoriser l'activation de différentes applications simultanément sur le portefeuille (hardware wallet), ce qui permet de faire passer une transaction pour une autre. Ainsi, par exemple, alors qu'un utilisateur pense échanger du Litecoin, il échange en réalité, et sans s'en rendre compte, du Bitcoin, ce qui, bien entendu, ne mène pas aux mêmes montants dépensés. Actuellement, une transaction de 10 Litecoin équivaut à environ 580 dollars, tandis que 10 Bitcoin s'échangent plutôt autour de 113 000 dollars…
Ledger reste mutique
Monokh fait la démonstration de ce qu'il avance en camouflant une transaction LTC en BTC. Le site déclare également n'avoir reçu aucune nouvelle de Ledger, bien qu'il affirme avoir contacté la société en privé et à plusieurs reprises depuis janvier 2019. Aucune modification n'aurait non plus été apportée aux appareils, raison pour laquelle Monokh se décide aujourd'hui à rendre la faille publique.
Certains aspects de cette vulnérabilité se veulent néanmoins rassurants. Elle ne concernerait que l'utilisation des clés Ledger pour des transactions sur les forks de Bitcoin et vers certaines applications. Pour éviter toute mauvaise surprise, Monokh recommande simplement de mettre de côté les applications utilisant des altcoins jusqu'à ce qu'un correctif soit disponible.
Source : The Coin Tribune, CryptoActu, Monokh.
