Comment vider le cache dans Ledger Wallet ? (Dépannage)

Gestion du cache dans l'écosystème du portefeuille Ledger

1. Les vulnérabilités du Ledger Connect Kit révélées en décembre 2023 ont déclenché des conseils urgents concernant la gestion du cache au niveau du navigateur. Les utilisateurs ont été invités à attendre 24 heures après la publication officielle du correctif avant de vider le cache.

2. La suppression du cache du navigateur ne résout pas à elle seule les défauts d'intégration plus profonds, en particulier lorsque Ledger Live interagit avec des dApps tierces via Connect Kit. Un jeton de session corrompu ou une négociation WebUSB obsolète peut persister même après la suppression du cache.

3. Le cache en question n'est pas un stockage local dans l'application de bureau Ledger Live, mais réside dans les caches IndexedDB et Service Worker du navigateur lors de l'utilisation d'interfaces dApp basées sur le Web comme Uniswap ou Curve via Ledger Connect Kit.

4. La suppression manuelle du cache doit inclure la suppression des données du site pour ledger.com, connect.ledger.com et tous les domaines hébergeant des dApps qui ont initié les flux d'authentification Ledger.

5. Les utilisateurs de Chrome doivent accéder à Paramètres > Confidentialité et sécurité > Cookies et autres données du site > Voir tous les cookies et données du site, puis rechercher et supprimer les entrées liées aux domaines liés au grand livre et aux URL dApp associées.

Pourquoi la suppression du cache n'est pas suffisante

1. Fin 2023, environ 600 000 $ d'actifs ont été drainés en raison d'un exploit Connect Kit 1.1.7, non pas à cause des informations d'identification mises en cache, mais parce que les charges utiles JavaScript compromises injectées dans les interfaces dApp ont intercepté les demandes de signature avant qu'elles n'atteignent le périphérique matériel.

2. Bit Jungle a explicitement conseillé aux utilisateurs de réinstaller l'intégralité de l'application Ledger Live au lieu de compter sur l'effacement du cache , citant des incohérences de prise de contact du micrologiciel causées par des fichiers de configuration locaux obsolètes en dehors de la portée du navigateur.

3. Les utilisateurs du Ledger Nano S Plus ont signalé des erreurs persistantes de « signature invalide » après la suppression du cache, attribuées à des manifestes d'applets corrompus stockés dans l'élément sécurisé de l'appareil, et non dans le navigateur.

4. Lorsque les dApps Solana s'intègrent via Ledger Connect Kit, les points de terminaison RPC mis en cache peuvent pointer vers des passerelles bêta du réseau principal Solana obsolètes, entraînant des rejets de transactions sans rapport avec les entrées de l'utilisateur.

5. Les mises à jour du micrologiciel Ledger Flex ont introduit une validation d'origine plus stricte ; Les entrées de cache obsolètes des sessions préalables à la mise à jour peuvent déclencher des échecs CORS lors du couplage des appareils, imitant un échec d'authentification.

Considérations sur le cache au niveau matériel

1. Les appareils Ledger ne stockent pas le cache du navigateur, mais leur unité de microcontrôleur (MCU) conserve les métadonnées d'état de démarrage du micrologiciel utilisées lors de l'énumération USB. Ces métadonnées ne sont pas affectées par les opérations du navigateur.

2. Une validation de principe de la chaîne d'approvisionnement réalisée en 2015 a démontré comment le micrologiciel du MCU pouvait être réécrit pour enregistrer les séquences d'entrée des phrases de récupération ; de telles attaques ne laissent aucune trace dans le cache du navigateur mais corrompent le mappage de la mémoire interne de l'appareil.

3. Les scénarios Evil maid impliquent une altération physique de la mémoire flash du MCU, qui stocke les indicateurs du chargeur de démarrage et les compteurs de tentatives de code PIN, dont aucun n'est accessible ou modifiable via les outils de cache du navigateur.

4. Ledger Stax utilise un micrologiciel d'affichage e-ink qui met en cache les instructions de rendu de l'interface utilisateur lors du lancement de l'application. Des tentatives de connexion répétées et infructueuses peuvent verrouiller ce cache jusqu'au cycle d'alimentation complet, et non la réinitialisation du navigateur.

5. Les éléments sécurisés certifiés CC EAL6+ contiennent une logique de dérivation de clé cryptographique immuable. Aucune action de suppression du cache n’a d’impact sur la génération du chemin BIP-32 ou sur l’intégrité de la signature ECDSA.

Protocoles de récupération après des échecs liés au cache

1. Si Ledger Live ne parvient pas à détecter Nano X après avoir vidé le cache, les utilisateurs doivent désinstaller Ledger Live, supprimer %APPDATA%\Ledger Live (Windows) ou ~/Bibliothèque/Application Support/Ledger Live (macOS), puis réinstaller.

2. Pour les problèmes d'intégration du portefeuille Sollet, les utilisateurs doivent régénérer le compte Solana dans Ledger Live, réinstaller l'application Solana sur l'appareil et rajouter manuellement les jetons SPL. L'effacement du cache à lui seul n'actualisera pas les liaisons du registre des jetons.

3. Lorsque les transactions d'échange Changelly se bloquent après la suppression du cache, cela indique l'expiration de la session Wyre KYC mise en cache ; les utilisateurs doivent relancer la vérification d’identité plutôt que de réessayer de signer.

4. Les utilisateurs de Ledger Nano S rencontrant un « périphérique non reconnu » après la suppression du cache du navigateur doivent vérifier l'énumération du descripteur USB dans le Gestionnaire de périphériques : les pilotes d'interface HID obsolètes nécessitent souvent une désinstallation et une nouvelle analyse manuelles.

5. Les journaux Ledger Live (accessibles via Ctrl+Shift+I > onglet Console) afficheront « WebUSB : périphérique déconnecté de manière inattendue » si les descripteurs mis en cache entrent en conflit avec la version actuelle du micrologiciel, ce qui nécessite une réinstallation complète de l'application.

Foire aux questions

Q : La suppression du cache invalide-t-elle ma phrase de récupération de 24 mots ? R : Non. Votre phrase de récupération n’est jamais stockée dans le cache du navigateur. Il n'existe que hors ligne : sur papier, sur support métallique ou dans l'élément sécurisé de votre appareil.

Q : Puis-je vider le cache sur Ledger Live mobile ? R : Mobile Ledger Live n'utilise pas Connect Kit basé sur un navigateur. La gestion du cache s'applique exclusivement aux intégrations d'applications Web de bureau, et non à l'utilisation des applications iOS ou Android.

Q : Pourquoi Ledger recommande-t-il d'attendre 24 heures avant de vider le cache ? R : Pour permettre la propagation mondiale du CDN des ensembles JavaScript du Connect Kit corrigés et éviter les conditions de concurrence où le code malveillant mis en cache se charge avant la vérification des signatures mises à jour.

Q : La suppression du cache affectera-t-elle mes avoirs NFT dans Ledger Live ? R : Non. Les métadonnées NFT sont récupérées en direct à partir de services d'indexation blockchain comme Alchemy ou Moralis. La suppression du cache n'affecte que les données de rendu transitoires de l'interface utilisateur, et non la propriété des actifs en chaîne.