Assistance Documentation

Vulnérabilité au niveau des écrans OLED - FAQ

Le 7 mai 2019, le chercheur en sécurité Christian Reitter nous a contacté par le biais de notre programme Bounty pour nous informer d’une vulnérabilité au sein des wallets physiques utilisant un écran OLED, notamment le Ledger Nano S et le Ledger Nano X. Même si la vulnérabilité a été catégorisée comme non-critique, nous avons mis en place des contre-mesures dans la version 1.6 micrologiciel du Ledger Nano S

Veuillez trouver les réponses aux questions fréquemment posées ci-dessous. Pour plus de détails sur cette vulnérabilité, veuillez consulter notre article de blog.

Mes crypto-actifs sont-ils toujours en sécurité avec mon wallet physique Ledger ?
Oui. La vulnérabilité en question est théoriquement possible, mais elle n’a pas été démontrée en pratique. Il n’est pas si aisé de l’exploiter pour attaquer un utilisateur. Il serait plus facile d’installer une caméra cachée pour enregistrer l’utilisateur lors de la saisie de son code PIN ou de l’initialisation de la seed. Par conséquent, la vulnérabilité est jugée non-critique.

Quelles sont les chances que quelqu’un exploite cette vulnérabilité ?
Les chances sont très faibles. Pour l’utiliser, un potentiel pirate devrait commencer par fabriquer de faux câbles USB adaptés à l’appareil ciblé. Ces câbles auraient pour objectif de mesurer la consommation d’énergie du wallet physique. Le pirate devrait ensuite s’attaquer à la chaîne d’approvisionnement de Ledger pour remplacer le câble USB d’origine dans la boîte, sans que personne ne le remarque. De plus, il devrait pirater l’ordinateur de la victime pour communiquer avec son wallet physique Ledger pendant l’installation, détecter de manière fiable les informations affichées à l’écran et les envoyer à un serveur externe. En résumé, c’est beaucoup moins pratique que d’installer une caméra cachée pour espionner la victime. 

Que va faire Ledger pour remédier à cette vulnérabilité ?
Nous avons développé deux contre-mesures permettant de réduire considérablement l’interaction entre ce qui est affiché à l’écran et ce qui peut être capturé à partir d’une analyse de la consommation électrique. Ces contre-mesures ont été incluses dans la version 1.6 du micrologiciel du Ledger Nano S et intégrées au Ledger Nano X lors de la mise à jour suivante de son micrologiciel. Pour lire les détails techniques, consultez notre article de blog.

Comment puis-je éviter d’être victime d’une attaque utilisant cette vulnérabilité ?
La vulnérabilité dont nous parlons ici consiste à espionner les utilisateurs lorsqu’ils interagissent avec l’appareil. Sachez que ce type de vulnérabilités ne peut jamais être entièrement contré, quel que soit le nombre de contre-mesures technologiques mises en œuvre. Vous pouvez toujours vous assurer d’installer la dernière version du micrologiciel sur votre appareil Ledger.

Aux plus méfiants de nos utilisateurs, nous recommandons d’utiliser un chargeur mural. Cela leur évitera de connecter leur Ledger Nano S à un ordinateur non sécurisé lors de la configuration. Quant à au Ledger Nano X, les utilisateurs peuvent l’utiliser uniquement lorsque l’appareil est alimenté par sa batterie. Nous n’avons jamais reçu de signalements d’attaques mises en œuvre à l’aide d'implants matériels en pratique, mais si cela vous inquiète, utilisez votre propre câble USB.

Le Ledger Blue est-il concerné ?
La vulnérabilité de l’écran concerne les écrans OLED. Le Ledger Blue étant équipé d’un écran LCD, il n’est pas concerné par cette vulnérabilité.

Cette vulnérabilité a-t-elle déjà été exploitée ?
Nous n’avons à ce jour reçu aucun signalement de l’exploitation de cette vulnérabilité. 

J’ai une autre question
N’hésitez pas à contacter l’Assistance Ledger à tout moment. Notre équipe se fera un plaisir de vous aider.