Comment le Connect Kit de Ledger a été compromis

Très mauvaise fin de semaine pour Ledger. La licorne française productrice de wallets physiques pour stocker des crypto-actifs a été victime d’une attaque informatique qui aurait permis le vol de l’équivalent d’environ 610 000 dollars, selon les constatations du spécialiste en investigations sur la blockchain ZachXBT.

Un piratage qui s’est déroulé en quelques heures. Selon Ledger, jeudi matin, un ancien employé, visiblement un développeur, a été victime d’une attaque par hameçonnage. Le vol d’identifiants a permis au pirate d’accéder à son compte npmJS, un gestionnaire de package pour javascript. Ce qui lui a permis ensuite de publier une version malveillante du ConnectKit de Ledger, cette bibliothèque qui permet de connecter des applications décentralisées à des wallets crypto.

Plainte en cours 

“Une solution a été déployée 40 minutes après que Ledger ait pris connaissance de la situation, indique l’entreprise. Le fichier malveillant est resté en ligne pendant environ cinq heures, mais nous pensons que la période pendant laquelle des fonds ont été dérobés s’est limitée à moins de deux heures.”

Le protocole open source WalletConnect a également précisé avoir désactivé le projet qui aurait été utilisé par le pirate pour voler des crypto-actifs. Le portefeuille de réception des fonds, identifié par la société d’investigation crypto Chainalysis, aurait été gelé par Tether, tandis qu’une plainte doit être déposée par Ledger.

"Incident isolé" 

“Il s’agit d’un malheureux incident isolé”, a plaidé le patron de Ledger, Pascal Gauthier, dans un post de blog. Le chef d’entreprise rappelle ainsi que dans 99% des cas, il est impossible pour une personne seule de déployer du code sans la validation d’un tiers, ce qui a pourtant été le cas dans ce vol. Pour améliorer sa sécurité, Ledger prévoit que ses développeurs ne puissent plus publier directement sur le package npm, tandis que les accès à son dépôt GitHub ont été revus.

Mais comme le rapporte le média spécialisé Decrypt, les critiques ont été vives contre Ledger. Matthew Lilley, le directeur technique de SushiSwap, a pointé de “terribles erreurs”. “J’ai mis à jour mon Ledger”, ironise un autre internaute, en publiant la photo d’une clé qui vient d’être détruite.

Les produits de Ledger sont régulièrement ciblés par des hackers malveillants. Le mois dernier, une fausse application Ledger publiée sur l’App Store de Microsoft avait permis le vol de l’équivalent de plusieurs centaines de milliers d’euros. La firme avait enfin été victime d’une importante fuite de données en 2020.