Cher membre,
J’ai une information pour ceux d’entre vous qui stockent leurs actifs sur le hardware wallet Ledger.
Ledger et Trezor sont les entreprises les plus connues de hardware wallets. Ce sont les deux entreprises que j’ai recommandées dans mes dossiers et dans ma récente vidéo.
L’idée derrière les portefeuilles matériels (hardware wallets) comme Ledger est de fournir une plus grande sécurité qu’un wallet sur un smartphone ou un ordinateur.
Malheureusement, hier, Ledger a découvert un bug dans le code de Ledger Connect Kit, une bibliothèque Javascript pour connecter les sites web aux portefeuilles.
Voilà ce qu’il se passait : hier, lorsque vous vous connectiez à certains sites Web3 qui demandait de connecter votre wallet, une fenêtre apparaissait pour vous proposer une transaction qui n’avait rien à voir avec une connection au site… Elle vous proposait de signer une transaction et siphonnait votre compte.
Si vous n’avez pas fait de telles actions hier, il n’y a aucun risque que vous ayez été volé.
Notons que le problème ne vient ni du hardware wallet (l’objet), ni du logiciel Ledger live (le software pour voir vos avoirs)… mais d’un “intergiciel” (ledger connect) qui permettait l’interaction entre Ledger Live et des applications extérieures.
Le problème a été résolu dans les heures qui ont suivies mais cela a tout de même permis aux pirates de voler l’argent de nombreux utilisateurs.
Notons que Ledger est rapidement intervenu et à repérer les adresses des voleurs et les fonds ne pourront plus sortir nulle part (toutes les plateformes sont au courant et il sera très difficile pour les voleurs de les changer en monnaie courante). Ledger connect a également été corrigé pour enlever le code malicieux.
Comme je l’ai dit hier avec mon alerte à propos de Starknet, si vous utilisez des dApps, il est préférable d’avoir plusieurs portefeuilles.
L’un d’entre eux peut être utilisé pour interagir régulièrement avec les applications sur internet, et l’autre pour stocker les jetons que vous n’avez pas l’intention de vendre de sitôt.
Typiquement, je n’utilise mon ledger que pour conserver mes investissements long terme (Bitcoin, Ethereum, Cosmos et Avalanche). Je n’interagis jamais avec des applications décentralisées avec mon Ledger.
Cela réduit le nombre de fois où mon portefeuille est branché et peut être exposé à ce genre de risque.
Mon avis sur cette affaire
Ledger a une équipe très compétente et cela s’est vérifié dans la rapidité de leur intervention. Ils ont sans doute l’une des meilleures équipes de sécurité informatique au monde.
Maintenant, il y a des problèmes évidents qui sont plutôt structurels. La preuve : la cause de ce hack vient d’un ancien employé qui s’est fait hameçonner.
C’est incompréhensible qu’un ancien employé ait encore un lien avec le code source d’un logiciel (même si c’est un “intergiciel” externe).
De plus, cela fait des années que la communauté (notamment les cypherpunks) réclamme à Ledger de mettre leurs codes open-source afin d’être parfaitement transparent sur leur fonctionnement.
C’est ce que font d’autres entreprises concurrentes comme Trezor et Ledger a pris cette décision pour des arguments de sécurité qui sont contestables.
Notons que ce n’est pas la première fois que Ledger rencontre des problèmes. Il y a 3 ans, les données de leurs clients (nom, prénom, adresse et adresses email) ont été volées et ces données étaient en vente sur le darknet.
Pour la petite anecdote, c’est comme ça qu’on avait appris qu’un de nos conseiller fédéraux (Suisse) était propriétaire d’un Ledger.
Ce vol de données ne permettait évidemment pas de voler les cryptos (vos clés privées ne sont données qu’à vous seul) mais plusieurs acteurs malveillants ont ainsi pu envoyer des mails à cette base de données pour tenter d’arnaquer les gens.
Bref… pour moi la confiance est bien entamée et je ne recommande plus Ledger comme premier choix. Je le regrette car c’est un fleuron de l’industrie française et ce qu’ils ont bâti est fantastique (logiciel facile d’utilisation, belle interface, solide hardware, etc…).
Mesures à prendre : N’UTILISEZ PAS votre Ledger avec des dApps ou des sites web. Si vous avez des fonds sur votre appareil Ledger, nous vous recommandons de ne rien faire pour le moment. Si vous souhaitez acquérir un hardware wallet, je recommande plutôt Trezor.