Gauthier Address Hack
Le PDG de Ledger, Pascal Gauthier, s’est récemment adressé à la communauté concernant le piratage récent qui a impacté Ledger et ses systèmes.
Le message de Gauthier à la communauté a apporté un soulagement significatif aux utilisateurs et aux parties prenantes après confirmation que le piratage avait été neutralisé.
Une démonstration de force collective
Le piratage en question impliquait l’injection de code malveillant dans la bibliothèque Javascript de Ledger, ciblant les versions supérieures à la version 11.4. Dans son message, Gauthier a expliqué que l’exploit en question résultait d’une vulnérabilité dont un acteur malveillant avait profité. Le pirate a eu accès au système grâce à une attaque de hameçonnage sur un ancien employé, ce qui lui a permis de télécharger un fichier malveillant sur NPMJS de Ledger, un gestionnaire de paquets pour le code Javascript utilisé dans de nombreuses applications.
Selon Gauthier, lorsque Ledger a découvert le piratage, son équipe a immédiatement réagi pour atténuer son impact. Ledger a collaboré avec WalletConnect pour supprimer le NPMJS compromis et désactiver le fichier malveillant. Cette action a été entreprise dans l’heure suivant l’identification de l’exploit, mettant en évidence la réactivité et l’efficacité de l’équipe face à une faille de sécurité critique.
Gauthier a souligné que la réponse de Ledger au piratage démontrait la détermination de l’entreprise et était un exemple de la force collective au sein de l’industrie. Il a présenté l’incident et la réponse comme un témoignage de la capacité de la communauté DeFi à relever efficacement les défis en matière de sécurité. L’incident, selon Gauthier, a également mis en lumière l’esprit collaboratif qui est crucial pour maintenir l’intégrité et la confiance dans l’écosystème DeFi.
Amélioration continue de la sécurité nécessaire
Gauthier a également reconnu que la sécurité dans l’écosystème de la finance décentralisée n’est pas statique et doit être améliorée. Il a ajouté que Ledger reste engagé à mettre en place des protocoles de sécurité plus stricts, en particulier en connectant leur pipeline de construction, mettant en œuvre une sécurité stricte de la chaîne logicielle pour le canal de distribution NPM.
Ledger a également introduit une nouvelle version de son ConnectKit en réponse à la récente violation de sécurité. La nouvelle version, étiquetée version 1.1.8, découle directement des implications et des leçons apprises lors de l’incident de piratage de Ledger. Elle met également en avant l’engagement de Ledger à améliorer sa sécurité. La société a conseillé aux utilisateurs de mettre à niveau vers la nouvelle version immédiatement, car elle introduit des mesures de sécurité renforcées conçues pour se prémunir contre des vulnérabilités similaires.
Une fois les utilisateurs installent la nouvelle version du Ledger Connect Kit, il y a une période d’attente de 24 heures avant qu’elle ne soit pleinement opérationnelle. Ledger a déclaré que ce délai est nécessaire pour s’assurer que tous les nouveaux protocoles de sécurité sont mis en place et fonctionnent comme prévu. Les utilisateurs ont été invités à planifier leurs mises à jour en conséquence pour minimiser toute perturbation potentielle dans leur utilisation de Ledger.
L’attaque contre Ledger
Ledger a été victime d’un piratage après que des pirates ont compromis le code derrière un protocole utilisé par plusieurs applications et services Web3. Ledger a annoncé sur X (anciennement Twitter) que les pirates avaient publié une version malveillante de son Connect Kit. Ledger a déclaré à l’époque que les pirates avaient remplacé la véritable version de son logiciel et que l’entreprise enquêtait sur les développements et fournirait une mise à jour complète.
“La version malveillante du fichier a été remplacée par la véritable version vers 14h35 CET. La nouvelle version authentique devrait être propagée bientôt. Nous fournirons un rapport complet dès qu’il sera prêt. En attendant, nous tenons à rappeler à la communauté de toujours signer de manière transparente vos transactions – rappelez-vous que les adresses et les informations présentées sur votre écran Ledger sont les seules informations authentiques.”
Avertissement: Cet article est fourni à des fins d’information seulement. Il n’est pas proposé ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.