Comment la licorne Ledger, spécialisée dans la sécurité, a fait face à une faille dans son système

Ce jeudi 14 décembre, la société crypto Ledger a fait face à une faille de sécurité sur son Ledger Connect Kit, une bibliothèque Javascript permettant aux utilisateurs de connecter des applications décentralisées à leurs portefeuilles cryptos. Pour rappel, la finance décentralisée (DeFi) est un système financier ouvert, accessible à n'importe quel utilisateur, qui permet de réaliser certaines opérations de la finance traditionnelle, comme des prêts.

Cet incident a eu lieu car un ancien employé de Ledger "a été victime d’une attaque de phishing qui a permis à un hacker d’accéder à son compte NPMJS (un gestionnaire de packages pour le code Javascript partagé entre les applications)", a expliqué Pascal Gauthier, patron de Ledger. "Le hacker a publié une version malveillante du Ledger Connect Kit. Le code malveillant utilisait un projet WalletConnect frauduleux pour rediriger les fonds vers le portefeuille d’un hacker", précise-t-il.

La société assure avoir "éliminé et désactivé" le code malveillant 40 minutes après l'avoir identifié. Pour autant, le fichier malveillant a pu détourner les fonds des utilisateurs pendant environ deux heures. Selon l'enquêteur spécialisé sur la blockchain et réputé ZachXBT, plus de 610.000 dollars auraient déjà été dérobés en raison de cette faille. Interrogé par BFM Crypto sur le montant à ce jour dérobé, Ledger n'a pas répondu à nos sollicitations.

Dépôt de plainte

Comment une licorne française, réputée à l'international comme spécialiste de la sécurité, a-t-elle pu subir un tel incident? Chez Ledger, "la norme de sécurité stipule qu’aucune personne seule ne peut déployer du code sans qu’il soit examiné par plusieurs parties, une pratique appliquée dans 99% de nos systèmes internes. De plus, tout employé quittant l’entreprise voit son accès révoqué de tous les systèmes Ledger", peut-on lire. Ici, il s'agit d'un "incident malheureux et isolé", a indiqué la société, promettant de mettre place des contrôles de sécurité renforcés.

Ledger a déposé plainte et ne compte donc pas s'en arrêter là. "Nous soutiendrons les utilisateurs affectés en identifiant l’acteur malveillant, en le traduisant en justice, en retrouvant les fonds et en collaborant avec les forces de l’ordre pour récupérer les actifs volés", précise la société. Alors qu'une enquête est en cours, les utilisateurs peuvent de nouveau utiliser en toute sécurité la version 1.1.8 du Ledger Connect Kit.

Fondée en 2014, la société Ledger est spécialisée dans la conception de portefeuilles cryptos dits "non custodial" qui permettent aux utilisateurs d'être maîtres de leurs clés privées (pour les cryptomonnaies) contrairement à des portefeuilles "custodial" (souvent proposés par des plateformes d'échanges centralisées, comme Binance et Coinbase). Ledger assure avoir vendu un total de 6,5 millions de portefeuilles cryptos et servir 100 entreprises clientes. Elle assure sécuriser 20% de tous les actifs en cryptomonnaies et 30% des NFT dans le monde.