La fete du string chez Ledger

[LeGaulois]

Nouvelle petite bombe pour Ledger après le hack de leur bases de données on apprend qu'il y a une faille de sécurité concernant le firmware
.
Cette faille a été découverte il y a un bon moment maintenant, depuis 2018! mais Ledger ne nous a jamais rien dit (?) En tout cas je ne me souviens pas en avoir entendu parler, ou mon cerveau l'a oublié il y a belle lurette. C'est le mec aillant découvert la faille qui a décidé de la rendre publique voyant que Ledger ne faisait rien de concret pour corriger le problème. (Bon c'est pas lui, mais c'est lui qui est à l'origine de cette news)
Problème qui ne peuvent pas vraiment corriger ou alors ils devraient faire un choix radical entre securité et utilisation

Ainsi, on y apprend que c’est le chemin de dérivation des cryptos qui vient compromettre l’étanchéité des différentes applications.

il est aussi bon de noter que cette faille n’est pas que présente chez Ledger

https://www.thecointribune.com/actualites/ledger-une-nouvelle-faille-de-securite-met-en-danger-vos-bitcoins-btc/

[1715392555]

1715392555

[1715392555]

1715392555

[1715392555]

1715392555

[Saint-loup]

Comme dit Monokh le plus inquiétant c'est quand même la réaction de Ledger... Pas pro du tout.
Vivement qu'une société sérieuse américaine, japonaise ou coréenne sorte un ledger de qualité, parce que là ça donne vraiment l'impression d'une start up dépassée par les événements.

[GrosWesh]

Ouch, ils prennent cher. A se demander si c'est le simple fait du hasard que cette seconde bad news viennent s'ajouter au 'hack'. Certains doivent se frotter les mains.

[LeGaulois]

Ouch, ils prennent cher. A se demander si c'est le simple fait du hasard que cette seconde bad news viennent s'ajouter au 'hack'. Certains doivent se frotter les mains.

Le mec a dû être tellement frustré de ne pas recevoir de répopnse de Ledger qu'il a dû se dire, je vais en remettre une deuxième couche pour bien enfoncer le clou. C'était un moment propice pour se "venger"

  Coincidence, aujourd'hui Trezor, (qui avait ce même problème) a lancé une mise à jour qui le fixe

Comme dit Monokh le plus inquiétant c'est quand même la réaction de Ledger... Pas pro du tout.
Vivement qu'une société sérieuse américaine, japonaise ou coréenne sorte un ledger de qualité, parce que là ça donne vraiment l'impression d'une start up dépassée par les événements.

Le souci avec Ledger, c'est leur facon de faire avancer leur entreprise et produits (surtout produits). Ils se lancent dans pleins de trucs en même temps, ajoutent des fonctionnalités (que peux se servent) mais ils ne fixent pas les anciens problèmes. On verra ca plus tard, le plus important c'est d'ajouter des coins à la con.

[guigui371]

Moueff quand je lis le blog de monokh ( https://monokh.com/posts/ledger-app-isolation-bypass)

Je vois que 99.99% des gens normaux vont etre hors de danger.

mais en effet, si tu installes sur ton ordinateur un logiciel btc-fork  (BCH-DASH-LTC- la liste est longue.....) qui provient d'une source douteuse.  Alors oui, tu es a risque.

J'aurais bien aime qu'il fasse une video pour montrer la manipualtion. Et notament si le ledger ecrit sur le LED display "send LTC" ou "send BTC"

Aussi, si l'addresse sur l'ecrant du ledger est une addresse LTC ou un BTC.

Bref, je voudrais en savoir plus car pour l'instant, si es l'instigateur / initiateurd'une TX avec ledger Live, ou meme electrum et que tu a un PC non veroles  alors il n'y a aucune raison possible pour que les programme officiel envoient des BTC a la place de LTC.

Je pense qu'on est plus a risque d'un keylogger, ou d'une attaque physique plutot que de cette faille.

[Saint-loup]

Moueff quand je lis le blog de monokh ( https://monokh.com/posts/ledger-app-isolation-bypass)

Je vois que 99.99% des gens normaux vont etre hors de danger.  

Moi quand je lis autant de témoignages d'anciens s'étant fait scammer, le 99.99% j'y crois tres moyen franchement.

Une super appli "DeFi" et c'est tipar...

[guigui371]

Moueff quand je lis le blog de monokh ( https://monokh.com/posts/ledger-app-isolation-bypass)

Je vois que 99.99% des gens normaux vont etre hors de danger.  

Moi quand je lis autant de témoignages d'anciens s'étant fait scammer, le 99.99% j'y crois tres moyen franchement.

Une super appli "DeFi" et c'est tipar...

Les defi c'est (pour l'instant) uniquement sur ETH.
Hors ETH est completement cloisonnes de BTC et des Forks.

Mais oui, dans l'idee, la faille de ledger va affecter les gens qui font autre chose que "juste" utiliser ledger live pour envoyer et recevoir des coins.

[patrickus]

La fin de l'article cité dans le premier post donne une solution radicale et efficace: utiliser plusieurs Ledgers avec des passphrases différentes pour chaque bitcoin copycat.

[LeGaulois]

Coincidence, aujourd'hui Trezor, (qui avait ce même problème) a lancé une mise à jour qui le fixe

Et bizarrement Ledger a aussi fait une mise à jour quelque heures après. Les utilisateurs auront un message d'avertissement avec une confirmation nécessaire lorsque le chemin de dérivation est incorrect.

Donc en fait il y avait un problème depuis 2 ans et il aura fallu que quelqu'un en fasse un "scandale" pour avoir une solution tout de suite après.
Comme quoi, quand on gueule ca va plus vite