Faille chez Ledger – 1 million de mails clients dans la nature

Pouf…  Des mails ont disparu – Les hardware wallets de la gamme Nano de Ledger font partie des plus célèbres sur le marché. Malheureusement, leur site internet et leurs bases de données n’ont pas aussi infaillibles que prévu. Pour cette raison, un million d’adresses mail de clients ont été collectés.

Une faille détectée par un « chasseur de primes »

Ce 29 juillet, la société Ledger a publié sur Twitter une alerte à l’adresse de ses clients :

« Un chercheur participant à notre programme bounty nous a fait part d’une brèche dans notre base de données marketing. Nous avons immédiatement mené une enquête et l’avons corrigée. Vos informations de paiement et vos cryptos sont en sécurité. »

Dans une explication plus détaillée sur leur blog, les équipes de Ledger expliquent que la faille a été découverte le 14 juillet dernier par un expert informatique externe qui cherchait à détecter des brèches de sécurité. Ces chercheurs sont récompensés par des primes (bounty) lorsqu’ils découvrent de telles imperfections.

Ledger annonce avoir « immédiatement remédié » à ce problème. Malheureusement,  la brèche semble déjà avoir été exploitée.

Fuite d’un million d’adresses mail, voire plus

L’équipe de Ledger explique que la faille a été exploitée le 25 juin 2020 par un tiers non autorisé. Ce dernier a accédé à leurs bases de données d’e-commerce et de marketing. L’individu a pour cela utilisé une clé API qui, depuis, a été désactivée.

Bien que ces bases de données contenaient essentiellement des adresses électroniques (1 million), elles contenaient également des informations plus sensibles (nom, adresse, numéro de téléphone, …) pour 9 500 clients.

Ledger insiste sur le fait qu’heureusement, aucune information de paiement ou mot de passe n’ont été compromis via cette brèche.

Les créateurs des hardware wallets Nano recommandent aux clients affectés (qui ont reçu un avertissement via mail) de se méfier face à des tentatives d’hameçonnage (phishing) qui proviendraient de malfaiteurs usurpant l’identité de Ledger. La société rappelle qu’elle ne vous demandera jamais les 24 mots de votre phrase de récupération.

Ce mois de juillet 2020 ne restera pas un bon mois dans les mémoires des équipes de Ledger. En effet, outre cette brèche dans leurs bases de données, les experts de Kraken Labs avaient déjà révélé des points d’attaque sur la Ledger Nano X en début de mois.

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.