Le 2 mai 2020, Monokh, un chercheur en sécurité a signalé une vulnérabilité dans les applications dérivées de Bitcoin (Litecoin, Dogecoin… liste disponible ICI) qui pourrait être utilisée pour inciter les utilisateurs à signer une transaction pour une cryptomonnaies différente que celle pour laquelle ils souhaitent signer. En exploitant cette vulnérabilité, quelqu’un de malveillant pourrait par exemple faire signer à l’utilisateur une transaction Bitcoin alors qu’il pense signe une transaction Dogecoin.
« Le Ledger Nano S et le Nano X sont des portefeuilles déterministes hiérarchiques (HD). Cela signifie qu’ils peuvent dériver différents secrets cryptographiques à partir d’une seule graine provenant de la phrase de récupération de 24 mots que les utilisateurs écrivent sur leur feuille de récupération. Certains de ces secrets sont utilisés pour signer des transactions.
Chaque application est généralement limitée à ses chemins HD spécifiques. Par exemple, l’application Zcoin est autorisée à utiliser son propre chemin de dérivation et ne peut pas dériver de clés sur le chemin de dérivation de Dogecoin. Cette restriction de chemin n’était pas appliquée pour l’application Bitcoin et la plupart de ses dérivés, permettant à un dérivé de Bitcoin (par exemple, Litecoin) de dériver des clés publiques ou de signer des transactions Bitcoin.
Un attaquant qui a réussi à installer un logiciel malveillant sur l’ordinateur ou le smartphone de sa victime pourrait ainsi inciter les utilisateurs à accepter de signer une transaction Bitcoin à l’aide d’une app d’un altcoin sur leur Ledger Nano S / X au lieu de l’app Bitcoin.
Cette vulnérabilité ne permet pas aux attaquants d’extraire des secrets des périphériques Ledger tels que les clés privées utilisées pour signer les transactions. Elle ne permet pas non plus aux attaquants de contourner l’authentification par code PIN. Ainsi, la sécurité de l’appareil physique reste intacte. »
La version 1.4.6 de l’application Bitcoin corrige le problème dans les applications dérivées de Bitcoin et sera publiée aujourd’hui, le 5 août. Avec cette version, chaque fois qu’un utilisateur demande une adresse ou tente de signer une transaction sur un chemin de dérivation n’appartenant pas aux applications cryptos ouvertes sur le hardware wallet Ledger, un avertissement sera affiché. Il n’a pas été possible pour Ledger de bloquer ces transactions car cela verrouillerait les fonds d’un grand nombre d’utilisateurs.
Il est très fortement recommandé de mettre à jour l’application Bitcoin (version 1.4.6) dans le gestionnaire de Ledger Live. Comme le problème est spécifique aux applications dérivées de Bitcoin, Ledger précise que vous pouvez continuer à utiliser les autres applications sans aucun souci.
Sources : support.ledger.com – donjon.ledger.com – monokh.com
Merci à Antoine Ferron, président de Bitlogik, pour ses explications.