• Home
  • Chimie
  • Astronomie
  • Énergie
  • La nature
  • Biologie
  • Physique
  • Électronique
  • Un jeune de 15 ans a déclaré avoir découvert une vulnérabilité dans le portefeuille matériel

    Les gros titres bourdonnaient avec la découverte par Saleem Rashid, 15 ans, d'une vulnérabilité qu'il avait trouvée dans les portefeuilles matériels du grand livre. Il a blogué le 20 mars.

    Qu'est-ce que Ledger et quels sont leurs portefeuilles matériels ? Registre, mentionné Krebs sur la sécurité , l'un des nombreux sites lorgnant l'exploit de l'adolescent, est une entreprise dont les produits sont conçus pour protéger physiquement les clés utilisées pour recevoir ou dépenser les crypto-monnaies de l'utilisateur.

    Par exemple, la société décrit son Ledger Nano S comme « un Bitcoin, Portefeuille matériel Ethereum et Altcoins, basé sur des fonctionnalités de sécurité robustes pour le stockage des actifs cryptographiques et la sécurisation des paiements numériques. Il se connecte à n'importe quel ordinateur (USB) et intègre un écran OLED sécurisé pour revérifier et confirmer chaque transaction d'une simple pression sur ses boutons latéraux."

    Donc, comme Krebs l'a expliqué, « Les portefeuilles matériels comme ceux vendus par Ledger sont conçus pour protéger les clés privées de l'utilisateur contre les logiciels malveillants qui pourraient tenter de récupérer ces informations d'identification sur l'ordinateur de l'utilisateur. Les appareils permettent des transactions via une connexion à un port USB sur l'ordinateur de l'utilisateur, mais ils ne révèlent pas la clé privée au PC."

    Disposer de clés privées pouvant être connectées à un PC via un port USB est-il la garantie parfaite ou la tempête parfaite ? Toute personne pensant à une telle question a été attirée par le blog publié par Rashid. Il a déclaré qu'un attaquant pourrait utiliser la vulnérabilité pour obtenir des clés privées de l'appareil.

    Krebs a rapporté que Kenneth White, directeur du projet Open Crypto Audit, a été impressionné par le code d'attaque de preuve de concept de Rashid, que Rashid a envoyé à Ledger il y a environ quatre mois. (Saleem Rashid a remercié Josh Harvey de lui avoir fourni un Ledger Nano S, travailler sur son exploit.)

    Dan Goodin dans Ars Technica a présenté un compte rendu de ce que Rashid a fait. Il a déclaré que l'adolescent de 15 ans avait montré un code de preuve de concept qui lui permettait de "détourner" le portefeuille matériel Ledger Nano S.

    John Biggs dans TechCrunch a noté que le PDG de Ledger, Eric Larchevêque, a affirmé qu'il n'y avait eu aucun rapport sur les effets de la vulnérabilité sur les appareils actifs. Joon Ian Wong, Quartz , de la même manière, Ledger a déclaré qu'il n'était au courant d'aucun fonds volé sur les appareils. »

    Fonctionnaires du grand livre, pendant ce temps, mis à jour le Nano S pour corriger la vulnérabilité. Alpha a signalé que Ledger a publié un correctif pour le Ledger Nano S, quatre mois après la divulgation initiale. Donc, en ce qui concerne Nano S, Ledger a déclaré que le problème avait été résolu.

    Le blog de l'entreprise publié le 20 mars "Firmware 1.4 :approfondissement de trois vulnérabilités qui ont été corrigées, " concernant "les améliorations de sécurité apportées à notre firmware." Ils ont déclaré qu'ils encourageaient fortement leurs utilisateurs à mettre à jour leur firmware en suivant leur guide étape par étape.

    Selon Ledger, la mise à jour du firmware corrige trois problèmes de sécurité. "Le processus de mise à jour vérifie l'intégrité de votre appareil et une mise à jour 1.4.1 réussie est la garantie que votre appareil n'a été la cible d'aucune des attaques corrigées. Il n'est pas nécessaire de prendre d'autres mesures, vos clés de départ/privées sont en sécurité."

    Ledger a des bureaux à Paris, Vierzon et San Francisco.

    Dans l'image plus grande, comme le disent de nombreux experts en sécurité, il est préférable de ne pas supposer qu'un appareil est à l'abri des attaques.

    Gros dans TechCrunch pesé :« En fin de compte, cette brèche nous montre que les portefeuilles matériels sont une bonne solution mais toujours pas infaillible. Des mises à jour régulières et une gestion prudente des clés sont toujours d'une importance vitale."

    Cité par nouvelles de la BBC , Craig Young, chercheur à la société de sécurité Tripwire, a commenté :« Il est très difficile de sécuriser complètement un appareil contre les attaquants avec un accès physique. C'est pourquoi il est si essentiel d'avoir des fabricants de composants de confiance, commerçants, et des installations de réparation."

    © 2018 Tech Xplore




    © Science https://fr.scienceaq.com