Si vous avez un appareil Ledger et que vous vous connectez avec un appareil Android, ARRÊTEZ-VOUS MAINTENANT !

De la part de Ledger :
La vulnérabilité, que nous suivons en interne sous le nom LDN-2026-0301, permet à un attaquant ayant accès à proximité ou une application malveillante installée sur le téléphone Android de la victime d'intercepter silencieusement et de modifier les données échangées entre le portefeuille matériel Ledger et l'application mobile Ledger Live.

Dans un scénario d'exploitation réussi, un mauvais acteur pourrait manipuler les détails de la transaction en transit — en modifiant les adresses de destination ou les montants — avant qu'ils n'atteignent l'écran de confiance du portefeuille matériel pour la vérification de l'utilisateur. Il s'agit d'une attaque de l'homme au milieu au niveau de la couche de transport, exploitant une faille dans la gestion des connexions d'Android plutôt que dans le micrologiciel ou le logiciel de Ledger lui-même.

Résolution : déploiement d'une mise à jour obligatoire du micrologiciel pour tous les portefeuilles matériels Ledger qui introduit une communication chiffrée de bout en bout et authentifiée entre Ledger Live et votre appareil. Cette mise à jour neutralise l'attaque au niveau de la couche de transport d'Android en garantissant que toute modification des données en transit est immédiatement détectée et rejetée.