Non. Le scénario imaginé par un chercheur sur DocDroid ne concerne pas une grave faille des produits vendus par Ledger. Il s'agit d'un scénario élaboré et hypothétique dans lequel l'utilisateur pourrait être berné par un malware. Une éventualité propre au fonctionnement de tous les portefeuilles numériques.

Depuis la publication sur DocDroid d’une hypothétique méthode pour récupérer des cryptomonnaies lors d’une transaction assistée par les outils de Ledger, la machine médiatique s’est emballée. Certains médias sont allés jusqu’à remettre en cause la sécurité de la plateforme proposée par l’entreprise française, quitte à prendre des libertés avec le problème énoncé par le chercheur sur DocDroid. Ainsi, selon le site bitcoin.com, une faille mettrait en danger les actifs cryptographiques des millions de clients de Ledger : l’affirmation est largement dramatisée.

Un hypothétique malware

Comme le rappelle la firme française, pour le moment, la faille dont parle le chercheur qui a prévenu l’entreprise est hypothétique : « À notre connaissance, ce n’est qu’une preuve de concept d’une attaque par phishing et aucun utilisateur de Ledger n’a été touché par cette technique.  » En outre, les porte-feuilles ne sont intrinsèquement pas touchés par une faille, le chercheur a seulement imaginé un moyen d’utiliser la vulnérabilité des ordinateurs sur lesquels des transactions sont opérées pour imaginer un scénario dans lequel l’utilisateur pourrait perdre ses actifs.

« aucun utilisateur de Ledger n’a été touché par cette technique  »

Auprès de Numerama, une porte-parole de l’entreprise justifie : « Les porte-feuilles comme le Ledger Nano S ont justement été créés car fondamentalement, les ordinateurs ne sont pas sécurisés  ». Dès lors, c’est seulement sur ces derniers que pourrait s’opérer une véritable attaque. Ici, le chercheur a imaginé une version frauduleuse de l’application Ledger pour Chrome. Cette dernière, une fois modifiée, et remplaçant celle du client sur son ordinateur, pourrait changer l’adresse des transactions d’actifs cryptographiques tout en trompant l’utilisateur. Ce malware n’est pas en circulation.

La clef Nano S de Ledger

Ledger rappelle dès lors que la faille mentionnée n’est pas propre à son système, mais pourrait hypothétiquement toucher tous les porte-feuilles du même acabit. Dans l’entreprise, on résume le problème ainsi : pour le chercheur, il ne serait pas assez clair que l’utilisateur doit vérifier l’adresse de réception de son transfert deux fois, d’abord sur son PC, puis sur l’écran du Nano S. Or même avec un malware, cette double vérification suffirait à éviter cette faille.

Éduquer l’interface entre la chaise et le clavier

En réponse, l’entreprise a proposé ce mardi 6 février une mise à jour de son application Chrome qui forcera les utilisateurs à vérifier l’adresse de destination de leur transfert sur l’écran du portefeuille. Cette fonctionnalité, intégrée depuis des mois, est amenée à être mise en avant par l’entreprise qui cherche à éduquer ses utilisateurs sur ce point. L’application Ledger sera également mise à jour à cette fin.

La réponse que l’entreprise a faite au chercheur est estimée insuffisante par ce dernier. Dans les faits, il est difficile de faire davantage. Le Français explique : si l’application est frauduleuse, le porte-feuilles ne sera pas sollicité pour afficher une adresse, donc dans ce scénario, il n’est pas possible de forcer l’utilisateur à vérifier son Nano S. Mais ce dernier, s’il a déjà utilisé l’application officielle, comprendra qu’il existe un problème en voyant la clef ne pas répondre à la demande du PC. Seul un utilisateur lamba et infecté dès l’origine pourrait alors être trompé.

Le problème est compliqué et Ledger se désole de voir des réactions si vives aux trouvailles du chercheur. Ce dernier semble être buté sur sa découverte : il apparaît pourtant que son scénario est difficilement évitable, quoi que puisse faire Ledger. D’où les propos de l’entreprise qui a rapidement pris la parole pour clarifier : « dans l’absolu, ce problème ne peut pas être résolu  ».

Ledger s’engage néanmoins à éduquer ses utilisateurs en développant une foire aux questions et a lancé en parallèle un bug bounty adressé à tous les chercheurs. Ledger annonce : « Nous valorisons les contributions des chercheurs et de notre communauté et nous allons améliorer notre programme de Bug Bounty. » Le programme n’est pas encore officiellement lancé, mais l’entreprise attend déjà toutes les contributions sur l’adresse suivante : bounty@ledger.fr.

Partager sur les réseaux sociaux