Rien ni personne n’est infaillible et Ledger ne saurait nous contredire. L’un des leaders du marché des portefeuilles physiques de cryptomonnaie a fait face à la découverte de plusieurs failles de sécurité sur ses dispositifs. Il peut remercier non pas un vétéran du piratage employé par leur soin, mais Saleem Rashid, un adolescent britannique âgé de seulement quinze ans.
En 2015, la société française déclarait pourtant : « Il est absolument impossible qu’un attaquant puisse remplacer le firmware et lui faire passer l’attestation sans connaître la clé privée du Ledger. » Sauf que Saleem Rashid est passé par là en novembre dernier, et a réussi, non sans maestria, à inclure une porte dérobée à l’appareil en ayant un accès matériel à celui-ci.
Des évènements « non critiques » selon Ledger
Or, la firme a depuis publié différents articles décrivant les événements comme « non critiques », comme le rapportent nos confrères de The Verge. Des affirmations que le jeune prodige réfute promptement sur son blog, qu’il a sobrement intitulé « Breaking the Ledger Security Model ». Dans une publication datée du 20 mars, il déclare qu’il peut tout à fait « extraire de manière autonome la clé privée une fois que l’utilisateur déverrouille l’appareil ». Comprenez par là qu’il peut aussi l’utiliser pour manipuler les adresses de destination des transactions.
Ce mois-ci, l’entreprise a essayé de corriger trois failles de sécurité, dont celles pointées du doigt par l’apprenti hackeur.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
