• Veille
Publié le 16 juillet 2021

Du Phishing directement dans la boîte aux lettres


Introduction

Ledger est une société française concevant et commercialisant des portefeuilles de cryptomonnaies physiques destinés aux particuliers et aux entreprises. Les deux produits phares que propose cette entreprise sont Ledger Nano S et Ledger Nano X.

Il y a quelques semaines à présent, les clients de cette entreprise ont subi une campagne de phishing peu commune.

Fonctionnement du Ledger

Le Ledger est un appareil semblable à une clé USB permettant d’accéder à ses portefeuilles de cryptomonnaies. Lorsqu’un client souhaite se connecter à son portefeuille, il doit connecter son appareil Ledger à son ordinateur et y entrer son code pour le déverrouiller. C’est ce qui en fait un système sûr, car l’attaquant doit alors connaître le code, mais également disposer de l’appareil.

L’appareil possède également une passphrase de 24 mots permettant de récupérer ses cryptomonnaies en cas de perte ou de destruction de la clé. L'obtention de cette phrase pourrait ainsi permettre d'accéder aux portefeuilles des utilisateurs.

Une fuite de données en 2020

Durant l’été 2020, l’entreprise a subi une attaque durant laquelle les attaquants ont dérobé un fichier utilisé par le service client de la société. Dans son communiqué Ledger explique qu’un intrus a eu accès à environ 300 000 adresses mail, noms, adresses postales et numéros de téléphone.

À la suite de cette fuite de données, les clients ont subi plusieurs campagnes phishing par mail ou par SMS afin de leur soutirer leur phrase secrète qui permet de récupérer leurs portefeuilles, mais sans grand succès. De plus après cette fuite l’entreprise a averti de nombreuses fois ses utilisateurs :

Cependant au mois de décembre 2020, la liste des différents utilisateurs et leurs coordonnées ont été partagées publiquement sur des forums permettant à des personnes malveillantes.

Une campagne sophistiquée

Avec l’augmentation exponentielle des tentatives de phishing, les attaquants sont obligés de perfectionner leurs scénarios d’attaque. Et c’est ce qu’ont subi les clients de Ledger au mois de juin 2021.

En effet fin mai 2021 Bleeping Computer, un utilisateur de Ledger, a publié sur Reddit la tentative de phishing qu’il a subi. Celui-ci a reçu un paquet de ladite société contenant un appareil ressemblant à un de leurs appareils.

Ce fameux paquet contenait également une lettre soi-disant signée par Pascal Gauthier, PDG de l’entreprise.

Cette lettre explique qu’à la suite de la fuite de donnée l’entreprise avait envoyé des modèles de remplacement aux différents clients. Un document était aussi présent afin de leur expliquer comment remplacer leur ancien modèle par le nouveau boîtier fourni dans le colis.

Cependant, bien que l'attaque soit particulièrement sophistiquée, le langage utilisé reste approximatif, parfois familier et avec quelques fautes.

Ce qu’est vraiment le boîtier envoyé

Le scénario d’attaque a été très bien réfléchi. La lettre envoyée expliquait les différentes étapes à suivre.

Il suffisait pour l'utilisateur de brancher le nouvel appareil sur son ordinateur et de lancer l’application Ledger présente sur ce dernier. Le logiciel en question permet de migrer le portefeuille vers un nouvel appareil. Durant ce processus, la cible est invitée à entrer sa passphrase. Une fois remplie, cette passphrase est alors obtenue par l'attaquant permettant alors d'accéder aux différentes cryptomonaies.

Certaines personnes ont analysé l’appareil envoyé. Celui-ci est un véritable appareil Ledger Nano X sur lequel un disque de stockage a été ajouté sur l’interface USB. Lorsque celui-ci est branché sur l’ordinateur ce n’est pas le Ledger qui est activé, mais le stockage Flash uniquement dans le but de récupérer la passphrase.

Conclusion

Malgré un scénario presque parfait, des efforts impressionnant pour du phishing ainsi qu’une organisation digne d’une entreprise, certains signes ne trompent pas sur le phishing. En effet la rédaction reste l’un des facteurs les plus alertant. Il est dommage qu’après un travail pareil la soi-disant lettre du PDG reste brouillonne, car le ciblage était très bien pensé, seules les personnes ayant déjà commandé un appareil ont reçu ce fameux colis. L’ingéniosité des attaquants ne cesse de se développer, il est donc nécessaire de toujours rester sur ses gardes.

Article rédigé par
EvaBssi Team