Ledger, champion français dans les portefeuilles physiques de crypto-monnaie, a alerté ses utilisateurs ce jeudi 14 décembre qu’une version malveillante de ses logiciels était en ligne. Sur X (ex-twitter) la société a déclaré : « Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est en train d’être poussée pour remplacer le fichier malveillant maintenant. N’interagissez pas avec les dApps pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation ».
Concrètement, les hackers ne s’attaquent pas directement au portefeuille Ledger, mais ont diffusé une version malveillante du Connect Kit, un logiciel qui permettait de connecter les portefeuilles Ledger à des applications décentralisées (les DApps). Le moyen de propagation n’est pas clair, mais Ledger recommande de ne pas cliquer sur de potentiels messages de phishing. La société aurait corrigé la faille vers 14h35 cet après-midi, mais appelle à rester prudent et ne pas utiliser son application Connect Kit.
De potentielles victimes de piratage selon un expert indépendant
Pour s’attaquer aux utilisateurs, les pirates auraient incité les utilisateurs à connecter leurs portefeuilles et leurs actifs à la version malveillante du logiciel. Ledger n’a pas communiqué sur de potentielles victimes, mais ZachXBT, un chercheur indépendant bien connu en cryptographie, a écrit sur X que plus de 600 000 dollars de crypto-monnaie auraient été dérobés ce 14 décembre.
Ledger est depuis plusieurs années une référence dans le monde de la crypto. Cette startup vend des portefeuilles physiques sous la forme de clé USB pour conserver ses précieuses devises. Bien que la faille de sécurité ne concerne pas directement les produits phares de Ledger, ce détournement de leur logiciel par des hackers ternit l’image de l’entreprise.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
