Ledger, leader de la sécurité des cryptomonnaies, a été piraté

Ledger, la licorne française des cryptomonnaies, a été piratée. Des cybercriminels sont parvenus à glisser un dangereux malware dans un logiciel utilisé par le groupe. Ce virus était programmé pour drainer les fonds des utilisateurs de la finance décentralisée. On revient sur cette attaque d’envergure et sur les mesures prises par Ledger.

Ledger, la société française qui développe des hardware wallet pour cryptomonnaies, a été victime d’une attaque informatique. Ce jeudi 14 décembre 2023, toutes les applications décentralisées (dApps) capables d’interagir avec une clé Ledger ont rencontré un dysfonctionnement. Apparemment, une faille critique a été découverte dans le code de l’outil de connexion de Ledger, le Ledger Connect Kit, qui fait le lien entre les applications et les portefeuilles de la marque française. Grâce à cette brèche dans la bibliothèque Javascript, des hackers se sont mis à siphonner les cryptomonnaies des utilisateurs de la finance décentralisée, ce système financier qui opère sans l’intervention de banques par le biais de la blockchain.

C’est l’équipe de SushiSwap, un protocole de la finance décentralisée, qui a été la première à tirer la sonnette d’alarme. Dans un message publié sur X, elle révèle avoir repéré un problème critique, « permettant potentiellement l’injection de code malveillant affectant diverses dApps ». Le protocole a alors mis en garde ses utilisateurs :

« Si la page Sushi est ouverte et que vous voyez une fenêtre contextuelle inattendue “Connecter le portefeuille”, N’interagissez PAS et ne connectez PAS votre portefeuille. Nous travaillons activement à la suppression du connecteur de portefeuille Ledger. Pour votre sécurité, veuillez vous abstenir d’interagir avec des dApps jusqu’à nouvel ordre ».

Dans la foulée de SushiSwap, d’autres services de la finance décentralisée ont conseillé aux usagers de ne pas interagir avec des applications de l’écosystème jusqu’à nouvel ordre. Sans surprise, ces mises en garde ont provoqué un vent de panique dans le monde des cryptomonnaies.

À lire aussi : Explosion du Bitcoin – pourquoi la crypto repart à la hausse

Ledger déploie un correctif d’urgence

Ledger a rapidement confirmé l’existence d’un vaste problème de sécurité. La licorne française, qui s’est fait une place de choix sur le marché des portefeuilles crypto, admet qu’une version malveillante du Ledger Connect Kit a été découverte. Des cybercriminels ont réussi à glisser un malware dans le code de l’outil. Pour protéger les fonds de ses clients, la firme a promptement déployé une mise à jour du kit, dépouillée des lignes de code malveillantes. En attendant que la version 1.1.8 de l’outil soit propagée sur tous les appareils, Ledger recommandait de ne pas utiliser les dApps pendant une période de 24 heures.

Quelques heures après les faits, Ledger a publié un rapport concernant les circonstances de l’attaque. Après enquête, l’entreprise a découvert que toute l’opération reposait sur une simple attaque phishing, ou hameçonnage. Un ancien employé de Ledger est tombé dans un piège tendu par les cybercriminels. Ceux-ci se sont emparés des identifiants nécessaires pour se connecter au « gestionnaire de packages pour le code JavaScript partagé entre les applications » (NPMJS) de Ledger. Ils ont alors simplement ajouté le code contenant des commandes capables de drainer les fonds.

Une version malveillante du Ledger Connect Kit a ensuite été déployée dans la foulée. Cette version était programmée pour s’emparer des fonds des utilisateurs de dApps et les rediriger sur une adresse blockchain sous le contrôle des escrocs. Dans la plupart des cas de figure, il n’aurait pas été possible qu’un seul individu soit en mesure de déployer une mise à jour du kit de son propre chef, sans examen par un tiers, indique l’entreprise. Ledger ajoute que « tout employé qui quitte l’entreprise a son accès révoqué ». Il s’agirait donc d’un malheureux concours de circonstances.

610 000 dollars de pertes

Comme l’explique Ledger, « le fichier malveillant a été en ligne pendant environ cinq heures, mais nous pensons que la fenêtre durant laquelle les fonds ont été prélevés était limitée à moins de deux heures ». Pascal Gauthier, PDG de Ledger, ajoute que ses équipes ont réagi efficacement lors de l’attaque en déployant un correctif « dans les 40 minutes après la découverte » d’une offensive.

Selon l’enquêteur ZachXBT, spécialisé dans l’analyse de la blockchain, les pirates sont tout de même parvenus à voler 610 000 dollars en cryptomonnaies. Pour la direction de Ledger, les dégâts ont cependant été contenus grâce à la collaboration de toute l’industrie. En effet, Tether, la société américaine qui émet le stablecoin USDT, a par exemple gelé une partie des devises numériques dérobées par les attaquants.

Face au tollé provoqué par l’attaque, Ledger précise que la faille « n’affecte pas l’intégrité du harware Ledger ou de Ledger Live », l’application compagnon qui permet de se connecter à votre wallet crypto Ledger. Si vous n’avez pas interagi avec des dApps, vos cryptomonnaies sont toujours saines et sauves sur la blockhain, dont l’accès est sécurisé par votre clé Ledger. Le patron du groupe a néanmoins promis des « contrôles de sécurité plus stricts ». Par ailleurs, la société va saisir la justice pour tenter de retrouver les voleurs. Des plaintes seront déposées à l’encontre des attaquants, dans l’espoir de les retrouver, ainsi que leur butin.

Pour mémoire, ce n’est pas la première fois que les systèmes de sécurité de Ledger sont visés par des pirates. En 2020, deux hackers se sont emparés des informations personnelles de 273 000 clients de Ledger. En s’appuyant sur ces données sensibles, des campagnes de phishing redoutables ont vu le jour. Certains pirates ont même envoyé de faux portefeuilles numériques aux clients Ledger. Ces appareils factices étaient conçus pour collecter les cryptodevises des victimes.

Fondée en 2014 par Éric Larchevêque, Joel Pobeda, et Nicolas Bacca, la société Ledger s’est rapidement positionnée comme un des leaders de la sécurité des cryptomonnaies grâce à ses hardware wallet. Ceux-ci permettent aux utilisateurs de stocker et de gérer leurs cryptomonnaies en toute sécurité, sans passer par un tiers, comme une plateforme d’échange. La marque a vendu 6,5 millions de portefeuilles crypto depuis sa création.

Source : Ledger