En mars 2018, Saleem Rashid, un étudiant britannique de 15 ans, publiait une démonstration technique ciblant les Ledger Nano S et Nano Blue : un buffer overflow dans le microcontrôleur secondaire permettait à un malware d’exécuter du code arbitraire et de substituer silencieusement les adresses de réception. Patchée en quelques jours, cette faille n’était que le premier d’une série de 4 incidents majeurs qui allaient jalonner l’histoire de la marque française jusqu’en 2026, du leak massif de données clients au compromis de sa bibliothèque JavaScript.

Au programme

  • La faille MCU de 2018 permettait d’exécuter du code arbitraire via un malware sur le PC hôte, sans aucun privilège administrateur requis (Saleem Rashid, mars 2018).
  • En décembre 2023, le Ledger Connect Kit compromis a drainé environ 600 000 dollars en moins de 4 heures via une attaque sur la chaîne d’approvisionnement logicielle.
  • En 2026, le Secure Element ST33K1M5 certifié CC EAL5+ protège les clés privées, mais les attaques logicielles côté hôte restent le vecteur d’exposition principal.

Quelle était exactement la faille découverte en 2018 ?

En mars 2018, Saleem Rashid publiait une démonstration technique révélant un buffer overflow dans le firmware du microcontrôleur secondaire (MCU) du Ledger Nano S. Ce composant non-sécurisé gère l’interface USB et l’affichage, mais n’est pas le Secure Element qui stocke les clés privées. Un malware présent sur l’ordinateur hôte pouvait modifier les fichiers de l’extension Chrome de Ledger Live, stockés dans un répertoire sans protection particulière. Aucun privilège administrateur n’était nécessaire. L’adresse de réception affichée dans le logiciel pouvait être silencieusement remplacée par celle de l’attaquant, sans alerte visible pour l’utilisateur.

Le Secure Element vérifiait l’intégrité de ses propres données internes, mais ne contrôlait pas le contenu rendu par les extensions tierces. La victime envoyait donc ses cryptomonnaies vers un wallet qu’elle ne contrôlait pas, en croyant utiliser son adresse habituelle.

Attaque man-in-the-middle sur Ledger (2018) Un malware sur l'ordinateur infecte l'extension Chrome Ledger et substitue l'adresse de réception légitime par celle de l'attaquant, sans alerte visible pour l'utilisateur. Malware PC infecté Modifie Extension Chrome Adresse substitutée Affiche Wallet attaquant Cryptos volées Source : Saleem Rashid, mars 2018

Comment Ledger a-t-il géré la crise de 2018 ?

La réponse initiale de Ledger, en février 2018, avait été jugée insuffisante par une large partie de la communauté. La marque avait d’abord refusé d’implémenter le correctif proposé par Rashid, qui consistait à forcer systématiquement la vérification de l’adresse de réception sur l’écran physique de l’appareil.

Ledger avait publiquement répondu que la vulnérabilité concernait «tous les fabricants de hardware wallets», ce qui était techniquement exact mais perçu comme une tentative de diluer sa responsabilité propre. Nicolas Bacca, CTO de l’époque, avait précisé que même sans cette faille, un malware suffisamment sophistiqué pouvait toujours falsifier l’interface et que «l’éducation des utilisateurs restait indispensable».

Son concurrent Trezor avait adopté une posture différente dès décembre 2017, en rendant obligatoire la confirmation de l’adresse sur l’écran physique. Ledger avait finalement suivi, via un patch firmware déployé rapidement. Pour sécuriser un wallet crypto en 2026, cette vérification sur écran physique reste l’un des réflexes non négociables recommandés par tous les experts du secteur.

Quels autres incidents ont touché Ledger entre 2020 et 2023 ?

Trois incidents majeurs ont suivi la faille de 2018, chacun ciblant une couche différente de l’écosystème Ledger.

En juillet 2020, la base de données e-commerce de Ledger a été compromise : 272 000 adresses email accompagnées de données personnelles (noms, adresses postales, numéros de téléphone) ont été exposées, selon le communiqué officiel de la marque. Cette fuite alimente encore, en 2024-2025, des campagnes de phishing sophistiquées avec de faux emails proposant des mises à jour firmware frauduleuses. Les arnaques par phishing ciblant les détenteurs de wallets exploitent précisément ce type de base de données.

En mai 2023, la controverse Ledger Recover a agité la communauté. Ce service optionnel de sauvegarde chiffrait la seed phrase et la divisait en 3 fragments confiés à 3 prestataires distincts (architecture 3-of-3 avec sharding). La communication initiale de Ledger était floue sur les implications techniques, alimentant des accusations de seed «extractable par des tiers». Face au contrecoup, la marque a publié le code source du service Recover en 2023.

En décembre 2023, l’incident le plus grave en termes d’impact financier immédiat : le Ledger Connect Kit a été compromis via une attaque sur la chaîne d’approvisionnement logicielle. Un ancien salarié s’est vu dérober ses accès NPM via du phishing, permettant l’injection d’un draineur de wallets dans la bibliothèque JavaScript utilisée par des dizaines de dApps, dont SushiSwap, Zapper et RevokeCash. Environ 600 000 dollars ont été volés en moins de 4 heures avant correction, selon CoinDesk.

Lecture CryptoActu L’incident Connect Kit de décembre 2023 révèle une limite structurelle du modèle hardware wallet : un Secure Element certifié ne protège pas contre un frontend compromis. L’utilisateur voit une interface légitime, signe une transaction malveillante, et le composant sécurisé valide sans savoir ce qu’il approuve réellement. Trois des cinq plus grands hacks DeFi de 2023 partagent ce vecteur d’attaque côté interface, ce qui devrait pousser l’ensemble du secteur à repenser la validation côté utilisateur.

Incidents sécurité Ledger 2018-2023 Timeline des 4 principaux incidents : faille MCU 2018, leak e-commerce 2020, controverse Recover mai 2023, attaque Connect Kit décembre 2023. Mars 2018 Faille MCU Patch rapide Juil. 2020 Leak e-commerce 272 000 emails Mai 2023 Controv. Recover Code source publié Déc. 2023 Connect Kit hack 600 000 $ volés Sources : Ledger (communiqués officiels), CoinDesk 2023

Où en est la sécurité Ledger en 2026 ?

Le Secure Element embarqué dans les Ledger Nano X et Ledger Flex actuels est le ST33K1M5, certifié CC EAL5+ (Common Criteria Evaluation Assurance Level 5+) et ayant obtenu la certification CSPN+ de l’ANSSI française. Les audits conduits par Quarkslab, publiés partiellement, confirment une architecture matérielle solide sur le composant sécurisé lui-même.

Les risques résiduels documentés en 2026 portent sur 3 vecteurs distincts. Le premier concerne les attaques sur le firmware MCU : le précédent de 2018 a été intégré dans l’architecture des modèles récents, mais ce bus de communication reste une surface d’attaque théorique. Le deuxième porte sur les attaques logicielles côté hôte : malware, faux Ledger Live, phishing ciblé. Le troisième est celui des attaques sur la chaîne d’approvisionnement logicielle, précisément démontré en décembre 2023.

Les concurrents positionnent leurs différences sur ces mêmes vecteurs. Trezor Safe 5 mise sur une architecture open source intégrale. BitBox02 publie son firmware complet sur GitHub. Coldcard Mk4 opère en air-gap total, sans connexion USB active pendant la signature. Cypherock X1 propose un sharding physique de la seed sur 4 cartes séparées, sans jamais reconstituer la clé complète sur un seul appareil.

Quelles bonnes pratiques adopter pour sécuriser un Ledger en 2026 ?

Les recommandations pour choisir et utiliser un hardware wallet en 2026 ont évolué depuis 2018, mais les fondamentaux restent identiques.

L’achat doit se faire exclusivement sur ledger.com ou chez un revendeur agréé listé sur le site officiel. Un Ledger acheté sur une plateforme tierce expose au risque d’un appareil pré-compromis. La vérification du packaging à la réception (hologramme intact, sceaux sans griffure) reste indispensable avant toute mise en service.

La règle de vérification de l’adresse sur l’écran physique, au cœur de la polémique de 2018, s’applique désormais à toutes les cryptomonnaies supportées. Vérifier chaque adresse de réception sur l’écran de l’appareil avant tout usage est un réflexe non négociable, quelle que soit l’interface utilisée.

La seed phrase ne doit jamais être saisie dans une application, stockée dans un cloud ou photographiée. Les faux emails Ledger issus du leak de 2020 circulent toujours activement en 2025-2026 : aucune mise à jour firmware légitime ne demande la saisie des 24 mots. Pour tout ce qui concerne les escroqueries ciblant les détenteurs de wallets, les variantes autour des hardware wallets figurent parmi les plus actives recensées par les équipes de sécurité.

Questions fréquentes

La vulnérabilité Ledger de 2018 était-elle exploitable à distance ?

Non. La faille MCU de 2018 nécessitait soit un accès physique préalable à l’appareil, soit la présence d’un malware déjà installé sur l’ordinateur hôte. Elle n’était pas exploitable à distance sans ce prérequis. Ledger l’a corrigée via une mise à jour firmware déployée rapidement, sans vol documenté directement attribué à cette faille.

Le hack du Ledger Connect Kit en 2023 a-t-il compromis les seed phrases ?

Non. Le Connect Kit était une bibliothèque JavaScript côté web, sans accès au Secure Element. Les seed phrases stockées dans l’appareil n’ont pas été exposées. Les utilisateurs qui n’ont signé aucune transaction pendant la fenêtre d’attaque du 14 décembre 2023 n’ont subi aucune perte. Pour mieux comprendre la gestion et sécurité des wallets crypto, la distinction entre couche logicielle et matérielle est fondamentale.

Le service Ledger Recover implique-t-il un risque sur la seed phrase ?

Ledger Recover est un service entièrement optionnel qui chiffre la seed et la divise en 3 fragments confiés à 3 prestataires distincts (Coincover, EscrowTech, Ledger). La reconstruction nécessite 2 fragments sur 3 et une vérification d’identité. Le code source a été publié en 2023. L’adhésion n’est pas automatique : aucun utilisateur qui n’active pas le service n’est concerné.

Comment identifier un faux email Ledger en 2026 ?

Les campagnes phishing exploitant le leak de juillet 2020 restent actives. Ledger n’envoie jamais d’email demandant la saisie de la seed phrase de 24 mots. Toute mise à jour firmware légitime se fait exclusivement via l’application Ledger Live téléchargée depuis ledger.com. Un email contenant un lien de téléchargement alternatif ou une demande de vérification de seed est systématiquement frauduleux.

À retenir

Depuis la faille MCU de 2018 jusqu’au compromis du Connect Kit en 2023, Ledger a traversé 4 incidents de nature distincte en 8 ans. Le Secure Element certifié CC EAL5+ protège les clés privées, mais aucun hardware wallet ne neutralise les attaques sur les couches logicielles. En 2026, maintenir son firmware à jour et vérifier chaque adresse sur l’écran physique restent les priorités absolues.

Sources

Signal Neutre
Impact Mineur
EN DIRECT