Enorme piratage chez le champion français du Bitcoin Ledger : vérifiez tout de suite si vous êtes concernés !

Ne révélez jamais vos clés privées ! – En juillet dernier, le fabriquant de hardware wallets Ledger a révélé que sa base de données avait subi des fuites de données personnelles de ses clients. Depuis, ces mêmes clients ont dû subir diverses tentatives de phishing (hameçonnage), que ce soient les « classiques » par courrier électronique, ou même par SMS pour ceux qui avaient communiquer leur numéro de téléphone à Ledger. Et les choses ne risquent malheureusement pas de s’améliorer.

Plus d’un million d’e-mails révélés, près de 300 000 clients mis en danger

Quand on pensait que les choses ne pouvaient être pires… Comme le rapportent nos confrères de Bitcoin.fr, un pirate a mis en ligne – à la disposition de tout un chacun – les données privées des clients de Ledger.

Selon le message du hacker ci-dessous, publié publiquement sur RaidForums :

« Aujourd’hui, j’ai mis à disposition la base de données de Ledger.com pour que vous puissiez la télécharger gratuitement (…) Le premier prix [d’achat] confirmé que j’avais vu pour cette base de données était de 5 BTC. (…) Aujourd’hui, vous pouvez l’obtenir gratuitement« .

Capture d’écran du message du pirate, source : Bitcoin.fr

En tout, toujours selon le pirate, ce serait 1 075 382 adresses de courrier électronique et 272 853 coordonnées téléphoniques et adresses physiques qui auraient été divulguées. D’après Bitcoin.fr16 000 clients français de Ledger seraient concernés. Selon Ledger, que nous avons contacté, les données exploitées pourraient concerner les trois dernières années.

Dans tous les cas, c’est bien plus que le chiffre de 9 500 coordonnées privées fuitées que Ledger avait annoncées dans un premier temps, lors de la révélation du hack fin juillet 2020. Ces clients sont pourtant les plus en dangerpuisque, dans le pire des cas, des menaces physiques ou cambriolages pourraient avoir lieu étant donné que leur adresse postale a été révélée.

Selon Benoît Pellevoizin, VP Marketing de Ledger, les pirates auraient exploité une « erreur du prestataire » en charge de leur module d’e-commerce : ce dernier aurait codé les clés d’API permettant de gérer ces fichiers très sensibles, en dur et « en clair » dans le code du module.

Comment savoir si vous êtes victime des fuites de Ledger ?

Très maigre consolation : du fait de la publication accessible à tous de ces données, vous pouvez vérifier ici si les vôtres ont bien été volées ou non. Les équipes de « Have I Been Pwned » (me suis-je fait avoir) essaient également de prévenir par e-mail les clients dons les coordonnées détaillées ont été révélées.

Votre présent serviteur a d’ailleurs vérifié pour son compte et, heureusement, seulement mon adresse électronique a fuité (Dieu merci, je n’avais pas commandé et donné le reste de mes coordonnées). D’ailleurs, pour des objets aussi sensibles, et tout ce qui a trait aux cryptomonnaies en général : préférez les points de livraison ou adresse pros à vos adresses postales personnelles, quand cela est possible. Là j’en suis quitte pour quelques spams de plus, mais ça aurait pu être pire.

Les équipes du fabriquant des Nano S et X ont été jointes par nos soins, et ont tenté de calmer le jeu – même si la faille est ce qu’elle est :

« (…) On a essayé d’être transparents. (…) En juin [2020], un chercheur nous a prévenu que notre base de données e-commerce était accessible. (…) Notre service Donjon Ledger et Orange Cyberdéfense ont estimé les dégâts à 1 million d’e-mails et 9 532 données personnelles. (…) Nous pouvons confirmer aujourd’hui que la faille est plus étendue. « 

Benoît Pellevoizin, VP Marketing de Ledger

Pourtant, le chiffre de plus de 200 000 informations détaillées, qui ont fuité hier, a finalement bien été confirmé par ce porte-parole de Ledger.

On ne le rappellera jamais assez : ne divulguez jamais les 24 mots de la passe-phrase de votre clé privée, que la demande émane d’un e-mail, d’un SMS ou d’un appel téléphonique. Ce hack de leur base de donnée a été un véritable choc pour les équipes de Ledger. Cette fuite est d’autant plus malheureuse, qu’à côté de ça, leurs hardware wallets sont, eux, restés inviolables jusqu’ici.

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.