Ledger CTO discute de la sécurité du portefeuille après de multiples revers de sécurité

Ledger CTO discute de la sécurité du portefeuille après de multiples revers de sécurité

Plateforme de trading crypto monnaie

Ledger, l’un des fournisseurs de portefeuilles matériels les plus populaires de l’industrie de la cryptographie, a été confronté à de multiples difficultés ces dernières semaines, notamment une faille dans la base de données de contacts clients de l’entreprise et une vulnérabilité de portefeuille mettant en danger le Bitcoin (BTC) des utilisateurs. Les événements récents sont-ils simplement un résumé de quelques semaines difficiles, ou un démêlage plus important est-il en jeu?

Charles Guillemet, le directeur de la technologie de Ledger, a déclaré à Crypto: «En ce qui concerne la violation de la base de données, un attaquant a eu accès à une partie de notre base de données de commerce électronique et de marketing via la clé API d’une tierce partie mal configurée sur notre site Web, ce qui a permis un accès non autorisé aux coordonnées et aux données de commande de nos clients. « 

Données de Ledger violées

La violation remonte à juin et juillet 2020. Ledger a reçu un conseil le 14 juillet mentionnant le site Web de l’entreprise et une éventuelle faiblesse associée, comme le détaille le rapport de Crypto. Bien que Ledger ait résolu le problème en suivant le conseil, la société a découvert que quelqu’un avait déjà exploité la faiblesse le 25 juin, ce qui a conduit à près d’un million adresses e-mail divulguées – avec 9 500 clients concernés, d’autres données privées ont été divulguées, telles que leurs numéros de téléphone et leurs noms.

Guillemet a déclaré que Ledger avait réparé le problème et désactivé la clé API gênante le même jour. «De plus, aucune information de paiement, aucun identifiant (mot de passe) ou aucun fonds crypto n’a été affecté», a-t-il ajouté. «Cette violation de données n’a aucun lien ni impact sur nos portefeuilles matériels et l’application Ledger Live», a-t-il expliqué. «Les actifs cryptographiques des clients ont toujours été sûrs et ne sont pas en danger», a-t-il déclaré, reconnaissant la composition de l’appareil de Ledger pour sa sécurité, car elle redonne aux utilisateurs l’autorité sur les fonds.

Jake Yocom-Piatt, le chef de projet de la crypto-monnaie Decred, a déclaré qu’il n’était pas surpris par l’incident, notant que les entreprises accordent généralement moins d’attention à leurs défenses de base de données de commerce électronique. «Lorsque votre produit principal est un matériel sécurisé, il est facile d’oublier que la sécurité de votre système logiciel de commerce électronique est également importante», a-t-il déclaré à Crypto, ajoutant: «De nombreuses grandes entreprises considèrent la sécurité logicielle comme un coût irrécupérable car elle ne se situe pas au-delà. leur offre de produits de base, de sorte qu’ils ne peuvent pas le commercialiser et en tirer des bénéfices. »

Les portefeuilles avaient une vulnérabilité logicielle

Peu de temps après la violation de données, les détenteurs d’appareils Ledger ont lu une autre difficulté entourant leur portefeuille de choix le 5 août, alors qu’une vulnérabilité logicielle faisait surface. Le trou a essentiellement fourni un pont entre Bitcoin et ses différentes fourches, telles que Litecoin (LTC). En exploitant cette faille, les attaquants pourraient faire en sorte qu’une transaction semble associée à un actif, tandis que la confirmation de la transaction sur l’appareil approuverait une transaction distincte pour un actif différent – à l’insu du propriétaire du portefeuille.

Ledger a publié une mise à jour logicielle le même jour, corrigeant le problème. Le 26 août, lorsqu’on lui a demandé des commentaires supplémentaires, un représentant des relations publiques de Ledger a indiqué une explication de la situation sur le blog de la société publié le 5 août, qui expliquait qu’un chasseur de primes avait trouvé la vulnérabilité, ce qui a conduit à la mise à jour mentionnée par Ledger en réponse. . « Nous tenons à vous assurer que cette vulnérabilité ne peut pas être utilisée pour obtenir des données sensibles telles que vos clés privées ou votre phrase de récupération », a précisé Ledger dans la rédaction.

Les portefeuilles grand livre toujours efficaces

Malgré les difficultés récentes, les portefeuilles Ledger restent une option populaire pour le stockage cryptographique. «Le grand livre et les autres portefeuilles matériels constituent une mise à niveau de sécurité majeure pour l’utilisateur moyen de crypto-monnaie, car ils empêchent les attaques d’accès à distance – par exemple, l’enregistrement de frappe – de réussir», a déclaré Yocom-Piatt, ajoutant:

«Cependant, la protection contre le vol à distance fournie avec un portefeuille matériel est généralement associée à une nette diminution de la confidentialité, car le fournisseur du portefeuille matériel peut voir exactement quelles coins un portefeuille contrôle.»

L’utilisateur de Twitter CryptoGainz a tweeté les difficultés auxquelles il a été confronté lorsqu’il travaillait avec ses portefeuilles Ledger le 13 août, citant un logiciel peu fiable. Bien que le commentaire soit venu peu de temps après le problème de vulnérabilité du 5 août, la situation s’est avérée sans rapport, CryptoGainz exprimant toujours sa confiance dans l’entreprise de portefeuille en tant qu’option de stockage cryptographique.

En relation: Uniswap et les market makers automatisés, expliqués

« Ils sont un moyen sûr de stocker des crypto-monnaies, ils sont juste nuls pour le trading via metamask sur Uniswap », a déclaré CryptoGainz à Crypto dans un chat Twitter DM, citant un fournisseur de portefeuille en ligne / une application décentralisée et le dernier engouement d’échange décentralisé, Uniswap.

Protection des clients du grand livre

Bien que les portefeuilles de Ledger fournissent des paramètres pour une sécurité renforcée, les utilisateurs doivent toujours connaître les meilleures pratiques et tactiques pour la protection de leurs actifs. « Nous sommes plus préoccupés par les tentatives de phishing – les e-mails d’arnaqueurs prétendant être nous », a expliqué Guillemet.

Une escroquerie par hameçonnage se produit lorsqu’une partie malveillante envoie un e-mail, ou une autre forme de communication, se déguisant en une personne ou une entreprise différente dans le but d’obtenir des informations privées de la cible. «Nous ne demanderons jamais à nos clients les 24 mots de leur phrase de récupération», a déclaré Guillemet, exhortant les clients à exploiter l’authentification à deux facteurs, tout en pointant vers des informations éducatives sur la sécurité trouvées sur le site Web de Ledger.

Outre les attaques de phishing, Ledger offre des garanties contre les logiciels malveillants. «Les appareils Ledger sont conçus pour protéger les fonds des utilisateurs contre les logiciels malveillants sur les ordinateurs des utilisateurs, y compris les fausses applications Ledger Live», a expliqué Guillemet, faisant référence à l’application de bureau Ledger pour interagir avec les appareils de portefeuille. Il a précisé que les utilisateurs doivent s’assurer d’obtenir l’application sur le site en ligne officiel de Ledger ou sur l’App Store.

Yocom-Piatt a également parlé de la protection contre les violations de données des entreprises, comme celle que Ledger a subie. «Étant donné que les systèmes de commerce électronique ont généralement une sécurité faible, je recommande aux utilisateurs qui commandent ces appareils de les envoyer à une adresse qui n’est pas leur résidence principale», a-t-il déclaré.

L’utilisation d’une adresse physique différente protège les clients de l’exposition de leur résidence, si une telle violation se produit, aidant à se prémunir contre le vol potentiel de l’appareil du portefeuille Ledger en personne. «Aussi, lorsque cela est possible, vous devez éviter d’utiliser le logiciel de portefeuille fourni par le fournisseur de portefeuille matériel pour maximiser votre confidentialité», a-t-il ajouté.

L’auto-conservation des actifs est un argument de vente majeur dans l’industrie de la cryptographie, bien qu’elle nécessite des connaissances et des prouesses techniques. La complexité impliquée pourrait expliquer la poussée des produits de crypto trading traditionnels, tels que les fonds négociés en bourse dans lesquels les entreprises conservent des actifs pour les investisseurs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *