Attaque contre le portefeuille de Ledger – Que s’est-il passé ?

  • Une attaque a été menée contre Ledger, une société de sécurité connue pour ses portefeuilles matériels sécurisés, exploitant trois types de vulnérabilités.
  • Les clés secrètes stockées dans les appareils Ledger sont restées intactes, mais le logiciel nécessaire à la signature des transactions Web3 a été principalement affecté.
  • Les utilisateurs finaux doivent suivre les mises à jour officielles sur les comptes Twitter et autres canaux de communication de Ledger. Une adresse d'exploiteur d'attaque a également été publiée par Chainalysis.
  • L'attaque soulève des questions quant à la gestion des secrets par l'entreprise, ainsi que sur la sécurité des réseaux de distribution de contenu (CDN) tels que CloudFlare ou Google Cloud utilisés par certaines entreprises. Des mesures de protection supplémentaires sont recommandées pour éviter ce type d'attaque.
  • Il est important que tous les fournisseurs de portefeuilles mettent en place une communication transparente avec leurs utilisateurs concernant ces problèmes de sécurité.

{Article en développement} – 14h21 HNE

Aujourd’hui est une journée d’introspection en matière de cybersécurité. Ledger, une société réputée pour ses portefeuilles matériels sécurisés, a récemment été confrontée à une attaque exploitant trois types de vulnérabilités appelées attaque de la chaîne d’approvisionnement, conservation des données et gestion des secrets. Bien que les clés secrètes stockées dans les appareils Ledger restent intactes, le logiciel principalement utilisé pour signer les transactions Web3 a été principalement affecté pour la signature des transactions Web3. En tant qu’entreprise de sécurité, nous vous conseillons d’utiliser avec prudence le logiciel back-end de Ledger, car de telles attaques pourraient impliquer d’autres composants logiciels de l’entreprise. Cette attaque pourrait impliquer d’autres composants logiciels de l’entreprise. Blockaid a été le premier à révéler cette vulnérabilité. Sur la base du dernier rapport post-mortem, Blockchaid a été très rapide pour le découvrir. Les utilisateurs finaux de Ledger peuvent suivre des fils de discussion comme celui-ci pour vérifier s’ils sont concernés et comment aller de l’avant. Chainalysis a publié l’adresse de l’exploiteur d’attaque : 0x658729879fca881d9526480b82ae00efc54b5c2d.

Vous devez suivre les chaînes officielles (plus d’une ! ) de Ledger pour les mises à jour. Surtout leur compte Twitter X @Ledger. Un rapport post-mortem est disponible ici.

Attaque contre le portefeuille de Ledger – Que s’est-il passé ?

Sur la base de leur rapport post-mortem actuel, nous constatons trois problèmes de haut niveau :

  • S’occuper de la garde des secrets par l’entreprise. Les attaquants ont d’abord attaqué et accédé à un ancien employé de Ledger possédant des secrets de compte officiels de Ledger. C’est là que les secrets ont été mal gérés puisque les secrets d’entreprise ne devraient jamais être entre les mains d’anciens employés
  • L’attaque pourrait se produire contre un employé réel, celui-ci doit donc employer des moyens pour se protéger contre ce type d’attaque
  • Les entreprises doivent mettre en œuvre des mesures de sécurité robustes lorsqu’elles utilisent des réseaux de diffusion de contenu (CDN). C’est l’une des attaques les plus courantes de nos jours. Nous allons nous concentrer sur ce point car il y a peu de matériel et de sensibilisation disponibles. La plupart des entreprises ne disposent pas d’experts en cybersécurité et ont une chaîne de confiance rompue ou peu claire. Par exemple, utiliser des services tels que CloudFlare, Google Cloud, AWS, Azure, etc. ne signifie pas que vous pouvez leur faire confiance à 100 % aux composants de votre système. Ce n’est pas seulement parce qu’ils pourraient présenter des vulnérabilités, mais aussi parce que vous ne savez pas comment se propagent les problèmes de sécurité qui pourraient être les vôtres
  • Concernant les CDN, il existe de nombreuses façons de s’attaquer à ce problème. La première consiste à signer les packages et à récupérer la signature d’un ou plusieurs protocoles supplémentaires. Par exemple, IPFS, DNS, etc.

    Certaines attaques et informations récentes sur la chaîne d’approvisionnement incluent :

    Il est important de souligner que les problèmes ne sont pas uniquement liés au NPM mais pourraient affecter d’autres systèmes de distribution de packages tels que PyPi, et des attaques telles que les plateformes CI/CD telles que GitHub. Il se trouve que le NPM est très populaire et plus rentable pour les attaquants.

    D’autres fils de discussion intéressants se déroulent, nous vous recommandons de rechercher et un en particulier : le compte NPM de Ledger a été piraté (@Hacker News).

    Heureusement, Ledger a amélioré ses communications. Par exemple, voir Récupération du grand livre. En conclusion, il est essentiel que les fournisseurs de portefeuilles comme MetaMask et Wallet Connect incluent ces problèmes de sécurité sur leurs pages d’état, améliorant ainsi la transparence et la sensibilisation des utilisateurs :