en règle générale, le code est relu et signé avant déploiement
mais cette règle ne s'appliquait pas sur le dépôt NPMJS interne contenant les dépendances de certains codes créés par Ledger
en règle générale, les accès des employés partis sont révoqués
mais au moins un ancien employé avait toujours des accès actifs
cet employé a été victime de phishing
les attaquants ont utilisé cet accès pour pousser du code sur le dépôt NPMJS insuffisamment protégé
ce code est appelé par les applications web qui interagissent avec le porte-feuille matériel (wallet)
le code d'attaque faisait transférer les fonds du wallet vers un porte-feuille contrôlé par l'attaquant
ce code serait resté actif 2h environ
C'est encore une faille liée à la chaîne d'approvisionnement logiciel, mais cette fois-ci via un dépôt interne. Cette attaque est soigneusement ciblée, chapeau aux attaquants. Elle a été très rapidement contre-carrée, chapeau aux défenseurs.
Ledger a fait un beau post-mortem, c'est sans doute ton lien qui devrait être le lien partagé.
Ça pose la question de la responsabilité, quand même. On lit que Ledger va "aider" les victimes à récupérer leurs argent. Quid d'une assurance ? Si je me fais piquer des thunes sur mon compte, ma banque "classique" me rembourse et fait son enquête en interne (ou pas, si la somme reste faible).
Et aussi de la décentralisation. Les monnaies cryptographiques sont encore jeunes, je ne suis pas certains que ça passe à l'échelle en restant décentralisé. Là ça déploie des libs qui permettent de transférer de l'argent sans trop de contrôle, j'ai l'impression qu'on est très loin de PCI-DSS quand même (même si cette dernière norme n'est pas parfaite).
# Explications par Ledger
Posté par Samuel (site web personnel) . Évalué à 10.
Sur l'attaque, Ledger a publié une explication sur son blog. Si j'ai bien compris :
C'est encore une faille liée à la chaîne d'approvisionnement logiciel, mais cette fois-ci via un dépôt interne. Cette attaque est soigneusement ciblée, chapeau aux attaquants. Elle a été très rapidement contre-carrée, chapeau aux défenseurs.
[^] # Re: Explications par Ledger
Posté par cg . Évalué à 8.
Ledger a fait un beau post-mortem, c'est sans doute ton lien qui devrait être le lien partagé.
Ça pose la question de la responsabilité, quand même. On lit que Ledger va "aider" les victimes à récupérer leurs argent. Quid d'une assurance ? Si je me fais piquer des thunes sur mon compte, ma banque "classique" me rembourse et fait son enquête en interne (ou pas, si la somme reste faible).
Et aussi de la décentralisation. Les monnaies cryptographiques sont encore jeunes, je ne suis pas certains que ça passe à l'échelle en restant décentralisé. Là ça déploie des libs qui permettent de transférer de l'argent sans trop de contrôle, j'ai l'impression qu'on est très loin de PCI-DSS quand même (même si cette dernière norme n'est pas parfaite).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.