Par 
Pascal Gauthier a donné plus de détails sur le hack de Ledger Connect. Le PDG veut améliorer les pratiques de sécurité de l’entreprise et aider les victimes à récupérer les cryptomonnaies volées.
Dans une lettre partagée sur X quelques heures après l’attaque touchant le kit Ledger Connect – une bibliothèque Javascript qui implémente un bouton permettant aux utilisateurs de connecter leur appareil Ledger à des DApp tierces -, Pascal Gauthier est revenu sur l’incident.
Le patron du fabricant de portefeuilles crypto physiques a expliqué qu’un acteur malveillant avait réussi à télécharger un fichier sur le NPMJS de Ledger après avoir réalisé avec succès une attaque de phishing sur un ancien employé. Dans le détail, le NPMJS de Ledger est un gestionnaire de packages pour le code Javascript partagé entre les applications.
Grâce à cette opération, le pirate était en mesure de dérober des crypto sur des portefeuilles de clients Ledger lorsque ces derniers connectaient leur appareil à des applications décentralisées tierces telles que Sushiswap.
Nous avons travaillé rapidement, aux côtés de notre partenaire WalletConnect, pour remédier à l’exploit, en mettant à jour le NPMJS pour supprimer et désactiver le code malveillant dans les 40 minutes suivant sa découverte », a fait savoir Pascal Gauthier.
Le dirigeant a ensuite indiqué que l’attaque était un « malheureux incident isolé », promettant de renforcer les pratiques de sécurité au sein de la société.
« Cela nous rappelle que la sécurité n’est pas statique et que Ledger doit continuellement améliorer nos systèmes et processus de sécurité. Dans ce domaine, Ledger mettra en œuvre des contrôles de sécurité plus stricts, en connectant notre pipeline de build qui met en œuvre une sécurité stricte de la chaîne d’approvisionnement logicielle au canal de distribution NPM », peut-on lire dans sa lettre.
Alors que le préjudice total reste aujourd’hui encore inconnu, Pascal Gauthier a déclaré que Ledger aiderait les utilisateurs concernés à « retrouver ce mauvais acteur, le traduire en justice, suivre les fonds et travailler avec les forces de l’ordre pour récupérer les actifs volés auprès du pirate ».
Comme rapporté hier, d’après Lookonchain, le hackeur a réussi à voler plus de 4300 ethers mais son adresse a été gelée par l’émetteur Tether.
L’image du leader mondial du wallet crypto hardware en prend un sérieux coup avec ce nouvel incident. Le vol de sa base de données clients l’avait déjà bien écornée en 2020.
