• # Explications par Ledger

    Posté par (site web personnel) . En réponse au lien Ledger, entreprise française de sécurité des cryptomonnaies, a été piratée. Évalué à 10.

    Sur l'attaque, Ledger a publié une explication sur son blog. Si j'ai bien compris :

    • en règle générale, le code est relu et signé avant déploiement
    • mais cette règle ne s'appliquait pas sur le dépôt NPMJS interne contenant les dépendances de certains codes créés par Ledger
    • en règle générale, les accès des employés partis sont révoqués
    • mais au moins un ancien employé avait toujours des accès actifs
    • cet employé a été victime de phishing
    • les attaquants ont utilisé cet accès pour pousser du code sur le dépôt NPMJS insuffisamment protégé
    • ce code est appelé par les applications web qui interagissent avec le porte-feuille matériel (wallet)
    • le code d'attaque faisait transférer les fonds du wallet vers un porte-feuille contrôlé par l'attaquant
    • ce code serait resté actif 2h environ

    C'est encore une faille liée à la chaîne d'approvisionnement logiciel, mais cette fois-ci via un dépôt interne. Cette attaque est soigneusement ciblée, chapeau aux attaquants. Elle a été très rapidement contre-carrée, chapeau aux défenseurs.