Saleem Rashid est un jeune de 15 ans pas comme les autres, il a réussi à cracker le wallet crypto-monnaie Nano S de la marque française Ledger.
Tout commence en novembre dernier lorsque ce surdoué en cybersécurité décèle une faille sur le Nano S et avertit l’entreprise Ledger afin d’empêcher des pirates de l’utiliser et de voler les propriétaires de ce portefeuille hardware.
4 mois plus tard, Rashid s’aperçoit que la faille détectée n’a pas été considérée comme critique par la firme Ledger. L’entreprise parisienne a lancé une nouvelle mise à jour 1.4 il y a 15 jours sans préciser aux utilisateurs de faire la MAJ rapidement.
Le jeune répond suite à la mise à jour sur Twitter :
“En tant que l’un des chercheurs en sécurité, je vous invite à mettre à jour votre Nano S immédiatement. Cet article ne montre pas assez comment ce problème peut être dangereux. Les problèmes potentiels incluent l’extraction de clés privées”
Le CEO de Ledger est ensuite intervenu sur Reddit pour calmer les esprits en expliquant qu’il s’agissait d’un FUD et que le petit ne cherchait que la gloire et à être populaire.
Il y a 3 jours, Ledger publie une update de sa nouvelle mise à jour baptisée 1.4.1 qui montre les failles dénichées par 3 développeurs dont Saleem Rashid qui nie cette déclaration parce que la signature de l’accord du programme de primes de Ledger le rejetterait pour avoir publié un rapport technique.
Dans un post publié sur son blog il y a 2 jours, il montre que le problème venait en fait du microcontroller utilisé. Connecté en proxy à “SE”, il contenait des clés privées pouvant être utiles à un hacker pour tromper la “SE”. Il explique ensuite que le pirate pouvait contrôler l’interface et y ajouter des malwares pour récupérer la phrase mémo-technique et ainsi s’emparer des clés privées.
A lire aussi : Les meilleurs wallet hardware Bitcoin et multi crypto-monnaie
Ce n’est pas la première fois que ce petit génie de l’informatique détecte un problème sur un portefeuille crypto, il avait déjà trouvé une faille sur le Trezor One en 2017.
Source : CNN