La nécessité de sécuriser ses crypto-actifs se fait de plus en plus ressentir. C’est pourquoi de nombreuses entreprises se sont lancées dans la création de portefeuilles électroniques (hard wallet) dédiés aux cryptomonnaies. Les portefeuilles à l’apparence de clés USB proposés par Ledger sont des exemples de portefeuilles physiques sécurisés pour cryptomonnaies. Ils sont en pratique bien plus sécurisés que les portefeuilles en ligne. Les clés Ledger (tout comme n’importe quelle autre cold-wallets) exposent toutefois leurs utilisateurs à certains risques.
La fuite de données de Ledger
En 2020, Ledger a été victime d’une fuite de données de grande envergure. Plus d’un million d’adresses d’abonnés à la newsletter de Ledger ainsi qu’un historique de plus de 200 000 commandes de clients ont ainsi fuité. C’est cet historique qui a posé le plus de problèmes, car il a permis de récupérer un grand nombre d’adresses physiques de clients ayant acheté la clé.
Le secteur des crypto-monnaies est très risqué car bien plus que la bourse. Les actions Total par exemple sont restées relativement stables ces derniers mois malgrès le conflit Ukrainien.
Ces adresses physiques ont été exploitées par des personnes malveillantes pour réaliser des attaques de phishing hautement élaboré. Un client de Ledger a notamment expliqué comment s’est déroulée cette tentative de phishing sur un blog en ligne. Selon la victime, elle a reçu une clé provenant soi-disant de Ledger. La clé aurait été envoyée par l’entreprise pour remplacer la clé actuelle du client, dont les données auraient été compromises suite à la fuite de données subie par Ledger. Toutefois, la lettre qui accompagnait cette clé d’apparence légitime était grossièrement écrite, ce qui a rendu la victime suspicieuse. En démontant la clé, la victime a découvert qu’il s’agissait d’un faux produit destiné à réaliser une action de piratage.
Comment fonctionnent les fausses clés ?
Les fausses clés Ledger évoquées plus haut sont des dispositifs utilisés par les pirates pour subtiliser le contenu des véritables clés. En effet, une fois insérée sur un PC, la clé contrefaite demande à installer un logiciel permettant d’effectuer une migration. L’utilisateur doit ainsi remplir un formulaire et indiquer le « seed » qui permet de recréer la clé du portefeuille. Si la victime fournit le seed, les pirates auront par la suite accès à son portefeuille et pourront le vider de son contenu.
Actuellement, il semble que ce soit surtout les clients de Ledger, dont les données ont été divulguées qui sont les victimes courantes. Cependant, il n’est pas impossible que les pirates s’en prennent aux nouveaux clients souhaitant se procurer un portefeuille Ledger. Il convient dans ce cas de ne jamais acheter ce type de produit auprès de sources non officielles. En cas de doute, il est aussi possible de demander des informations directement à Ledger.
Une faille découverte par Monokh
Après le scandale sur le vol de données qu’a subit Ledger, un site anglophone a publié une autre faille particulièrement importante. Selon Monokh, cette brèche permettrait d’effectuer un vol de Bitcoin à l’insu de l’utilisateur de la clé. Il s’agit d’un défaut qui a un rapport avec le fonctionnement en général d’un portefeuille Ledger.
Pour utiliser une cryptomonnaie sur le portefeuille, il faut une application dédiée. La manipulation du Dogecoin se fait par exemple à l’aide de l’application DODGE. Qui plus est, chaque application est indépendante des autres. Lorsque vous utilisez DODGE, vous ne pouvez par exemple pas utiliser en même temps une application pour Litecoin, Etheureum, Bitcoin, etc. Toutefois, grâce à la faille présentée par Monokh, le fonctionnement simultané des applications devient possible. Cela permet en pratique de masquer une transaction par une autre. Ainsi, vous pouvez par exemple, effectuer une transaction Litecoin alors qu’en réalité, vous allez échanger du Bitcoin.
La correction de cette lacune pourrait modifier le fonctionnement entier du portefeuille Ledger. C’est pour cette raison qu’aucun correctif n’est encore proposé. En cas de transaction douteuse, vous recevez uniquement un avertissement de la part de Ledger. Les probabilités que ce type d’attaque se produise sont d’ailleurs encore très faibles puisque le défaut n’est pas particulièrement facile à exploiter.
L’utilisation du Bluetooth est-il risqué ?
Les portefeuilles récents de Ledger sont désormais équipés de Bluetooth même s’ils conservent leur apparence de clé USB. Il n’est de ce fait plus nécessaire d’avoir toujours en sa disposition un PC pour accéder au contenu de la clé. Désormais, même un smartphone iOS ou Android permet d’utiliser son portefeuille. Quelques utilisateurs craignent toutefois que l’utilisation du Bluetooth puisse présenter plus de risque.
En pratique, ce ne sera pas le cas puisque même avec une connexion Bluetooth, le contenu de la clé reste sécurisé. De plus, aucune brèche de ce côté n’a encore été découverte à ce jour. Ainsi, en utilisant une clé Ledger, vous serez uniquement exposé aux aléas habituels liés à l’utilisation de ce type de produit. Ces risques sont notamment la perte, le vol ou la dégradation de votre portefeuille. Cependant, même dans ces situations, vous ne serez pas forcément en mauvaise posture. En effet, Ledger utilise un système vous permettant de récupérer le contenu de votre clé en toute circonstance, même si l’entreprise venait à faire faillite. Il vous sera de ce fait possible de transférer vos cryptomonnaies vers d’autres hardwallets simplement à l’aide de votre code de récupération.