Attaque contre le portefeuille de Ledger – Que s’est-il passé ?


{Article en développement} – 14h21 HNE
Aujourd’hui est une journée d’introspection en matière de cybersécurité. Ledger, une société réputée pour ses portefeuilles matériels sécurisés, a récemment été confrontée à une attaque exploitant trois types de vulnérabilités appelées attaque de la chaîne d’approvisionnement, conservation des données et gestion des secrets. Bien que les clés secrètes stockées dans les appareils Ledger restent intactes, le logiciel principalement utilisé pour signer les transactions Web3 a été principalement affecté pour la signature des transactions Web3. En tant qu’entreprise de sécurité, nous vous conseillons d’utiliser avec prudence le logiciel back-end de Ledger, car de telles attaques pourraient impliquer d’autres composants logiciels de l’entreprise. Blockaid a été le premier à révéler cette vulnérabilité. Sur la base du dernier rapport post-mortem, Blockaid a été très rapide à le découvrir. Les utilisateurs finaux de Ledger peuvent suivre des fils de discussion comme celui-ci pour vérifier s’ils sont concernés et comment aller de l’avant. Chainalysis a publié l’adresse de l’exploiteur d’attaque : 0x658729879fca881d9526480b82ae00efc54b5c2d.

Vous devez suivre les chaînes officielles (plus d’une ! ) de Ledger pour les mises à jour. Surtout leur compte Twitter X @Ledger. Un rapport post-mortem est disponible ici.

Sur la base de leur rapport post-mortem actuel, nous constatons trois problèmes de haut niveau :

Attaque contre le portefeuille de Ledger – Que s’est-il passé ?

  • S’occuper de la garde des secrets par l’entreprise. Les attaquants ont d’abord attaqué et accédé à un ancien employé de Ledger possédant des secrets de compte officiels de Ledger. C’est là que les secrets ont été mal gérés puisque les secrets d’entreprise ne devraient jamais être entre les mains d’anciens employés
  • L’attaque pourrait se produire contre un employé réel, celui-ci doit donc employer des moyens pour se protéger contre ce type d’attaque
  • Les entreprises doivent mettre en œuvre des mesures de sécurité robustes lorsqu’elles utilisent des réseaux de diffusion de contenu (CDN). C’est l’une des attaques les plus courantes de nos jours. Nous allons nous concentrer sur ce point car il y a peu de matériel et de sensibilisation disponibles. La plupart des entreprises ne disposent pas d’experts en cybersécurité et ont une chaîne de confiance rompue ou peu claire. Par exemple, utiliser des services tels que CloudFlare, Google Cloud, AWS, Azure, etc. ne signifie pas que vous pouvez leur faire confiance à 100 % aux composants de votre système. Ce n’est pas seulement parce qu’ils pourraient présenter des vulnérabilités, mais aussi parce que vous ne savez pas comment se propagent les problèmes de sécurité qui pourraient être les vôtres
  • Concernant les CDN, il existe de nombreuses façons de s’attaquer à ce problème. La première consiste à signer les packages et à récupérer la signature d’un ou plusieurs protocoles supplémentaires. Par exemple, IPFS, DNS, etc.

    Certaines attaques et informations récentes sur la chaîne d’approvisionnement incluent :

    Il est important de souligner que les problèmes ne sont pas uniquement liés au NPM mais pourraient affecter d’autres systèmes de distribution de packages tels que PyPi, et des attaques telles que les plateformes CI/CD telles que GitHub. Il se trouve que le NPM est très populaire et plus rentable pour les attaquants.

    D’autres fils de discussion intéressants se déroulent, nous vous recommandons de rechercher et un en particulier : le compte NPM de Ledger a été piraté (@Hacker News).

    Heureusement, Ledger a amélioré ses communications. Par exemple, voir Récupération du grand livre. En conclusion, il est essentiel que les fournisseurs de portefeuilles comme MetaMask et Wallet Connect incluent ces problèmes de sécurité sur leurs pages d’état, améliorant ainsi la transparence et la sensibilisation des utilisateurs :