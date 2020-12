Ce que vous devez savoir : les données d’un million de clients Ledger sont actuellement disponibles aux yeux de tous, gratuitement.

Ces coordonnées, contenant des adresses mail, des numéros de téléphone et des adresses postales, avaient été dérobés en juillet à la suite de l’exploitation d’une faille.

Après des mois à se faire échanger sur le marché noir contre des sommes astronomiques, celles-ci sont maintenant rendues disponibles aux yeux de tous.

Actuellement, Ledger diffuse une bannière affirmant que des campagnes de phishing seraient en cours. Le service support de Ledger est actif 24h/24, 7 jours/7 pour répondre à tous les clients, tout le temps.

Les portefeuilles de crypto-monnaies ne sont toujours pas en danger à proprement parler. En revanche, les mails et SMS d’arnaques pourraient être nombreux.

🔴 Pour éviter tout problème, ne communiquez jamais votre code personnel à 24 mots permettant de déverrouiller votre portefeuille crypto.

L’attaque contre Ledger prend un autre tournant

La fuite de données de plus d’un million de clients Ledger vient de prendre un nouveau tournant. Ce dimanche soir à 22h, la startup française spécialisée dans les crypto-monnaies a publié une série de tweets appelant ses clients à la vigilance totale. Ces prochaines heures et prochains jours, il se pourrait que des tentatives de phishing ou de toute sorte d’arnaques leur arrive via SMS ou par mail, ce à quoi Ledger veut être clair : « Ne partagez en aucun cas votre clé de sécurité de 24 mots avec qui que ce soit ».

Les faits remontent au 14 juillet, quand la nouvelle pépite de la crypto-monnaie et du Bitcoin en France, qui commercialise des portefeuilles pour stocker ses devises de façon physique, reconnaissait avoir été victime d’une violation de données durant le mois de juin, par un tiers non autorisé. Une faille dans la sécurité de Ledger avait permis à un malveillant de récupérer pas moins d’un million d’adresse mail de clients, mais également de 9500 dossiers plus complets, avec les noms, prénoms, numéro de téléphone et adresse postale de clients.

MOST IMPORTANTLY: Never share the 24 words of your recovery phrase with anyone, even if they are pretending to be a representative of Ledger. Ledger will never ask you for them. Ledger will never contact you via text messages or phone call. — Ledger (@Ledger) December 20, 2020

Depuis ce jour, Ledger avait expliqué que les portefeuilles et les jetons numériques possédés par les clients étaient en sécurité, mais que forcément, avec ce genre de données partagées, des potentielles campagnes de phishing et autres arnaques étaient possibles. L’affaire n’avait pas vraiment fait parler d’elle jusqu’alors. Mais hier soir, sur un site disponible très facilement sur Google, un hacker a décidé de rendre accessible gratuitement et à tous les fichiers violés. La même base de données évoquée cet été est désormais disponible à tous, mettant davantage en danger les clients, et révélant que Ledger aurait sous-estimé le nombre de profils concernés.

Prudence, sans faille

Ledger est une startup qui opère dans les crypto-monnaies, à une heure où le Bitcoin dépasse les 22 000 dollars. Après avoir essuyé les critiques cet été, le pire était à prévoir avec une publication pareille. En réponse aux déclarations de Ledger, des dizaines de clients se faisaient du souci, et demandaient à la marque de se montrer responsable et de prendre les mesures nécessaires de dédommagement.

D’autres ont préféré rappeler que Ledger opérait dans la finance, et que cela le problème allait bien finir par arriver. Un message pour appeler à la prudence de chacun, et au calme : « J’ai acheté ma Ledger Nano en 2017, je n’ai jamais eu de problème, d’arnaque ou autre. Une violation des données est bel et bien réelle, mais nos fonds sont en sécurité. On reçoit des escroqueries bancaires et fiscales tout le temps. La crypto-monnaie est financière, cela devait donc arriver. Ce n’est que votre adresse mail ! Pas votre Bitcoin. Vos fonds sont tous là ».

Pour pouvoir rapidement répondre aux questions d’un plus grand nombre, Ledger a posté une foire aux questions (FAQ) sur son site internet. La première des précisions concerne le nombre de personnes concernées par la fuite de données des numéros de téléphone et adresses postales. À cela, Ledger affirme que chaque client concerné a reçu un mail d’avertissement. « Si vous n’avez pas reçu cet e-mail, nous n’avons aucune preuve de fuite de vos données personnelles autre que votre adresse e-mail ».

Malheureusement, les arnaqueurs redoublent d’imagination pour se fondre dans la masse et arriver à leurs fins. Si bien que de nombreux clients faisaient état de message semblable à celui que Ledger évoque dans sa FAQ… des messages qui s’avéraient en réalité être des messages d’arnaques, cherchant à passer pour un message officiel d’alerte de Ledger. Le compte Twitter officiel de la startup le reconnaissait comme vous pouvez le voir ci-dessous : « It’s a scam » (« c’est une arnaque »).

It’s a scam.

Please ignore it.

More info here: https://t.co/x9NCMbvhEO — Ledger (@Ledger) December 20, 2020

Bien plus de clients concernés

Maintenant que ces informations ont été partagées de façon gratuite et que de nombreux malveillants tenteront d’arnaquer les clients de Ledger, la direction de la marque devra s’expliquer sur un autre point, d’autant plus délicat.

Depuis le 14 juillet, il était dit que la base de données comportant les adresses postales et numéros de téléphone concernait 9500 clients. Un chiffre bien moins affolant que le million d’adresses mail divulguées dans le premier fichier. Mais la mise en ligne de la violation des données ne montre pas « seulement » 95°00 contacts : sur le site spécialisé où l’annonce a été publiée par le hacker, une liste de 272 853 commandes contenant les adresses postales et numéros de téléphones auraient été violées.

Dans son post, l’auteur à l’origine de la publication commentait : « Ils (Ledger) ont donc non seulement menti sur la quantité d’informations divulguées, mais ils ont continué à mentir même après ».

Une solution pour en savoir (vraiment) plus

Ledger est dans une situation délicate, où la communication avec ses clients par mail est pratiquement impossible. Pour le moment, le site affiche un bandeau alertant chacun que des campagnes de phishing seraient en cours. Pour les clients qui le souhaiteraient, un moyen simple d’en savoir plus et de façon sérieuse est de se rendre sur le site Have I Been Pwned, une plateforme spécialisée pour informer les internautes si leurs données personnelles ont été compromises à la suite d’une violation des données.

Le site en question s’est approprié la base de données pour l’ajouter à la sienne, et ainsi vous informer si votre identité fait partie de celles touchées par le hack de Ledger, que ce soit uniquement par l’adresse mail ou vos coordonnés plus approfondis.

Support 24h/7j

La situation de crise est loin d’être terminée et le spécialiste du stockage de crypto-monnaies va devoir maintenant se montrer réactif pour répondre à chaque client et les alerter à chaque nouvelle campagne d’hameçonnage et autre arnaque. D’autant plus qu’à l’heure actuelle, la publication contenant les données violées est toujours disponible en ligne, aux yeux de tous. Ledger affirme que son support est disponible 24 heures/24, 7 jours/7 jusqu’à nouvel ordre.

Il s’agissait du dernier tweet publié par Ledger, ce dimanche soir : « Nous avons informé l’autorité française de protection des données de la violation de données et travaillons avec d’autres autorités de protection des données à travers le monde. Notre équipe de support client travaille 24h /24 et 7j/7 pour répondre à vos questions. »

Ledger, plein d’espoirs pour 2021

Il y a deux semaines, Ledger tenait une conférence de presse spéciale pour préparer 2021. L’optimisme de son PDG, Pascal Gauthier, était au beau fixe alors que l’entreprise profitait de son événement pour annoncer une première carte de paiement dans son offre. Avec elle, Ledger aura la dotation (presque) complète pour venir sérieusement concurrencer des plateformes comme l’Américain Coinbase et ses 30 millions de clients.

Avec elle, Ledger prévoit un programme faisant de 2021 l’année de « l’explosion des marchés ». Il faut dire que jusqu’alors, les voyants étaient au vert, avec des chiffres de croissance intéressants. Cette mésaventure apparue dimanche 20 décembre pourrait néanmoins poser de grave problème de confiance chez les clients. Le sujet est important, bien qu’il ne concerne peut-être pas là la sécurité du stockage des cryptos de Ledger mais bien d’un problème plus large : notre confidentialité sur Internet. Dans l’idéal, si vous êtes concerné par la base de données violée : changez d’adresse mail.