Une enquête menée par Rekt Builder a soulevé des inquiétudes quant à l’étendue de la collecte de données par Ledger Live, le logiciel officiel de gestion des portefeuilles matériels Ledger. Le développeur affirme que Ledger Live suit chaque mouvement effectué par les utilisateurs, y compris les applications qu’ils installent et la crypto qu’ils détiennent.
Ledger Live suit-il secrètement les activités de transaction des utilisateurs ?
Passage à X le 27 décembre, Rekt Builder réclamations que Ledger Live intègre le véritable chèque dans la procédure de référencement de l’application. En tant que tel, cela signifie que chaque fois que vous branchez votre appareil Ledger et ouvrez Ledger Live, le logiciel vérifie si l’appareil est authentique et envoie ces informations aux serveurs de Ledger. Ces données incluent le numéro de série de l’appareil, la version du micrologiciel et la liste des applications installées.
Rekt Builder note également que Ledger Live suit les soldes cryptographiques stockés sur l’appareil. Cependant, ce qui est préoccupant, c’est que toutes ces données sont envoyées aux serveurs de Ledger. En conséquence, cela signifie que Ledger peut accéder à un enregistrement détaillé des avoirs cryptographiques de ses clients.
Pour déterminer si Ledger suivait l’activité des utilisateurs, le développeur a tenté de désactiver la fonction de suivi à distance dans Ledger Live, mais cela s’est avéré impossible. Toute tentative de désactivation du suivi entraînait une panne du logiciel. Cela suggère que Ledger avait intentionnellement conçu Ledger Live pour suivre l’activité des utilisateurs.
Les conclusions de Rekt Builder soulèvent de sérieuses inquiétudes quant à la confidentialité des utilisateurs du portefeuille matériel Ledger. Si Ledger suit chaque mouvement effectué par les utilisateurs, il est alors possible que ces données soient utilisées pour identifier les utilisateurs et suivre leurs transactions cryptographiques. Cela peut être dangereux, car un piratage de l’un des serveurs centralisés de Ledger peut permettre à des agents malveillants de contrôler des données critiques, qui peuvent ensuite être utilisées pour cibler des individus possédant de grandes réserves de Bitcoin et d’autres pièces.
Ledger reste un sujet de discussion sur la sécurité et la confidentialité
Au moment de la rédaction de cet article, Ledger n’a pas encore répondu aux allégations de Rekt Builder. Ce n’est pas la première fois que Ledger est accusé de violations de la vie privée. En 2022, Ledger était accusé de collecter des données sur l’activité des utilisateurs, y compris les sites Web qu’ils ont visités et les pièces qu’ils ont échangées. Ledger s’est ensuite excusé pour cette collecte de données et a promis d’améliorer ses pratiques de confidentialité.
En juillet 2023, un chercheur en sécurité identifié une faiblesse dans le compte Node Package Manager (NPM) de Ledger. Cette faille a permis à un attaquant de voler les données des utilisateurs, notamment les adresses e-mail et l’historique des achats. On estime que plus de 270 000 comptes ont probablement été touchés.
Image vedette de Canva, graphique de TradingView