Ne révélez jamais vos clés privées ! – En juillet dernier, le fabriquant de hardware wallets Ledger a révélé que sa base de données avait subi des fuites de données personnelles de ses clients. Depuis, ces mêmes clients ont dû subir diverses tentatives de phishing (hameçonnage), que ce soient les “classiques” par courrier électronique, ou même par SMS pour ceux qui avaient communiquer leur numéro de téléphone à Ledger. Et les choses ne risquent malheureusement pas de s’améliorer.
Plus d’un million d’e-mails révélés, près de 300 000 clients mis en danger
Quand on pensait que les choses ne pouvaient être pires… Comme le rapportent nos confrères de Bitcoin.fr, un pirate a mis en ligne – à la disposition de tout un chacun – les données privées des clients de Ledger.
Selon le message du hacker ci-dessous, publié publiquement sur RaidForums :
“Aujourd’hui, j’ai mis à disposition la base de données de Ledger.com pour que vous puissiez la télécharger gratuitement (…) Le premier prix [d’achat] confirmé que j’avais vu pour cette base de données était de 5 BTC. (…) Aujourd’hui, vous pouvez l’obtenir gratuitement“.
En tout, toujours selon le pirate, ce serait 1 075 382 adresses de courrier électronique et 272 853 coordonnées téléphoniques et adresses physiques qui auraient été divulguées. D’après Bitcoin.fr, 16 000 clients français de Ledger seraient concernés. Selon Ledger, que nous avons contacté, les données exploitées pourraient concerner les trois dernières années.
Dans tous les cas, c’est bien plus que le chiffre de 9 500 coordonnées privées fuitées que Ledger avait annoncées dans un premier temps, lors de la révélation du hack fin juillet 2020. Ces clients sont pourtant les plus en dangerpuisque, dans le pire des cas, des menaces physiques ou cambriolages pourraient avoir lieu étant donné que leur adresse postale a été révélée.
Selon Benoît Pellevoizin, VP Marketing de Ledger, les pirates auraient exploité une “erreur du prestataire” en charge de leur module d’e-commerce : ce dernier aurait codé les clés d’API permettant de gérer ces fichiers très sensibles, en dur et “en clair” dans le code du module.
Comment savoir si vous êtes victime des fuites de Ledger ?
Très maigre consolation : du fait de la publication accessible à tous de ces données, vous pouvez vérifier ici si les vôtres ont bien été volées ou non. Les équipes de « Have I Been Pwned » (me suis-je fait avoir) essaient également de prévenir par e-mail les clients dons les coordonnées détaillées ont été révélées.
Votre présent serviteur a d’ailleurs vérifié pour son compte et, heureusement, seulement mon adresse électronique a fuité (Dieu merci, je n’avais pas commandé et donné le reste de mes coordonnées). D’ailleurs, pour des objets aussi sensibles, et tout ce qui a trait aux cryptomonnaies en général : préférez les points de livraison ou adresse pros à vos adresses postales personnelles, quand cela est possible. Là j’en suis quitte pour quelques spams de plus, mais ça aurait pu être pire.
Les équipes du fabriquant des Nano S et X ont été jointes par nos soins, et ont tenté de calmer le jeu – même si la faille est ce qu’elle est :
“(…) On a essayé d’être transparents. (…) En juin [2020], un chercheur nous a prévenu que notre base de données e-commerce était accessible. (…) Notre service Donjon Ledger et Orange Cyberdéfense ont estimé les dégâts à 1 million d’e-mails et 9 532 données personnelles. (…) Nous pouvons confirmer aujourd’hui que la faille est plus étendue. “
Benoît Pellevoizin, VP Marketing de Ledger
Pourtant, le chiffre de plus de 200 000 informations détaillées, qui ont fuité hier, a finalement bien été confirmé par ce porte-parole de Ledger.
On ne le rappellera jamais assez : ne divulguez jamais les 24 mots de la passe-phrase de votre clé privée, que la demande émane d’un e-mail, d’un SMS ou d’un appel téléphonique. Ce hack de leur base de donnée a été un véritable choc pour les équipes de Ledger. Cette fuite est d’autant plus malheureuse, qu’à côté de ça, leurs hardware wallets sont, eux, restés inviolables jusqu’ici.
23 responses à “Enorme piratage chez le champion français du Bitcoin Ledger : vérifiez tout de suite si vous êtes concernés !”
StefNoMan
Je ne sais pas si cest me cas ou pas mais dans un cas comme celui-ci l'entreprise piratée devrait payer des dommages et intérêts aux clients affectés. C'est de la pure négligence et de nos jours ce n'est pas tolérable à ce niveau. Les clients dont l'adresse postale est révélée peuvent effectivement s'inquiéter de cambriolage..
· Il y a 3 ans
Pierre
Oui je suis d'accord. Le job de Ledger c'est d'être des spécialistes de la sécurité.
· Il y a 3 ans
Greg
Bonjour, on paye Ledger pour plus de sécurié et on se retrouve exposé à des risques importants. J'ai encore reçu ce matin un faux mail Ledger me demandant de mettre à jour l'application Ledger avec un lien. Le mail se présente comme les mails Leger reçus ces jours deniers avec mes coordonnées . Combien de personnes vont se faire avoir ainsi? Quels risques de Home jacking entre autres suite à cela. C'est comme si une entreprise de coffre-forts laissait échapper les coordonnées de ses clients. C'est tellement inadmissible et incompréhensible que les données clients aient été ainsi accessibles via internet, tout ça pour faire de la pub.
· Il y a 3 ans
Pierre
Bonjour, Merci pour ces informations. Quelles sont les solutions ? Porter plaintes contre Ledger ? Retirer toutes nos crypto de notre Ledger par sécurité ? Au plaisir d'échanger avec vous.
· Il y a 3 ans
Grégory Guittard
Bonjour, vos fonds stockés sur un Ledger ne sont pas du tout à risques : par contre, si vous êtes concernés, vous risquez d'être la cible de tentatives multiples de phishing de la part d'individus qui tenteront de vous voler vos cryptomonnaies en vous demandant de leur donner vos 24 mots de récupération. On ne le répètera jamais assez : ne donnez jamais ces 24 mots à personne puisqu'ils donnent accès à vos fonds, jamais, jamais, et Ledger ne vous les demandera pas non plus (si quelqu'un se disant de Ledger vous les demande, vous pouvez être certain qu'il s'agit d'un arnaqueur qui vous cible). Egalement, si votre adresse physique est concernée, ne stockez pas vos 24 mots à cette adresse, dans l'éventualité d'un cambriolage ciblant vos cryptomonnaies.
· Il y a 3 ans
Pierre
Merci de votre retour Grégory.
· Il y a 3 ans
cryptominage
J'ai reçu un SMS émanant de Ledger (en tout cas cela était affiché comme ça). Il est très facile, dans ce cas, de tomber dans le panneau. Quand on est victime d'un pishing, très bien ficelé, reçu par SMS qui plus est, faisant penser que cela émane de Ledger, je crois qu'un client est en droit de demander réparation du préjudice. Qu'en pensez-vous ? Merci de votre avis
· Il y a 3 ans
Pierre
J'avoue me poser la question aussi. L'entreprise étant spécialisée en sécurité c'est anormal. Il me semble avoir vu un début d'idée de "classe action" dans les commentaires twitter de Ledger.
· Il y a 3 ans
Yann
Bonjour, Je suis un des ces pigeons qui s'est fait nettoyer sa clé ledger. Jamais je n'ai reçu d' e-mail de ledger pour me prévenir que mes données perso avaient fuitées. Je m'en veux bien sûr mais je pense que le rôle de ledger était de prévenir ses clients directement, ça m'aurait mis en garde. J'ai contacté la société mais leur service client est déplorable.....
· Il y a 3 ans
Nina
Bonjour, je suis dans votre cas, avez-vous récupéré vos fonds ? Cordialement,
· Il y a 3 ans
JoAf12
Je suis également dans votre cas et ai déjà pris contact avec un cabinet en charge d'autres dossiers concernant Ledger. Il s'agit du cabinet ORWL (conseillé par Journal du Coin par mail).
· Il y a 3 ans
Johnny
Les partenaires (affiliés chez Ledger) ne sont pas affectés, je viens de vérifier mon adresse mail et elle n'a pas fuité (d'ailleurs elle s'intitule "Client"). Compliqué pour les autres, désolé... On remarque que même avec des auditeurs et des services de sécurité, les dev sont parfois fait à l'arrache et personne ne remarque rien... Donc en effet : 1. Préférez les points de livraison ou adresse pros à vos adresses postales personnelles 2. Utilisez des mots de passe générés sécurisés et aléatoire 3. Activez la A2F (double authentification) 4. Ne sauvegardez pas vos CB sur les sites e-commerce 5. Utilisez votre adresse email avec un suffixe ([email protected]) afin de savoir d'où viennent vos SPAMs ...
· Il y a 3 ans
Johnny
À priori les partenaires (affiliation) sont aussi concernés => https://haveibeenpwned.com/
· Il y a 3 ans
jeff cham
est-ce que le site donné pour vérification est fiable ? et que faut-il entrer comme clé ?
· Il y a 3 ans
Grégory Guittard
Le plus simple est de passer par https://haveibeenpwned.com/, mais il ne vous renseignera pas sur le fait de savoir si votre adresse postale est divulguée. Le site Intelligence X semble fiable puisqu'il fait simplement l'indexation de cette db, pour peu que vous vous enregistriez avec un junk mail créé pour l'occasion (il n'y avait pas besoin de compte lors de la publication de cet article).
· Il y a 3 ans
koko
bonjour sur le lien Intelligence X comment trouver son adresse mail dans la liste ?
· Il y a 3 ans
aidonist
Je suis vert je suis dans la liste
· Il y a 3 ans
Pierre
oui pareil, a minima l'email. Heureusement j'ai déménagé et changé de numéro de tél entre temps.
· Il y a 3 ans
koko
bonjour comment peu t on verifier si on figure sur la liste svp ?
· Il y a 3 ans
koko
bonjour comment avez vous fait pour vérifier votre identité dans la liste ?
· Il y a 3 ans
Yann
Bonjour, je fais partie des pigeons qui se sont fait vider leur ledger début décembre. Je m'en veux d'avoir été négligeant mais ledger ne m'a jamais (vraiment jamais) envoyé d'e- mail pour me prévenir, j'aurai sûrement été plus attentif si j'avaie été prévenu. J'ai contacter ledger mais leur service client est déplorable....
· Il y a 3 ans
Titi
Putain !!! Moi aussi je suis dans la liste de shindler !!!!!!. Vais quand même pas me faire assassine à domicile pour 24 mots ultra sécurisé ( tata, Toto, titi etc... et pour 200 boules sur leurs clé usb. Heu ... pardon LEDGER Nano s. Ultra sécurisé. International Mondial interplanétaire......bla-bla-bla !!!!. Enfin, ma femme s’en doutait quand j’ai acheté leur clé usb à 78 boules, j’aurais du l’écouter. Salut les rrrrrrrrrrrou.
· Il y a 3 ans
Yan
Je reçois des spams par emails et sms depuis l'automne dernier suite au piratage de ledger. En décembre j'ai reçu un message de l'entreprise me signalant que mon adresse postale et mon téléphone avaient malheureusement était divulguée, puisque je leur avais acheté une clef. Aujourd’hui je viens de recevoir un scam précisant mon nom, mon prénom, mon adresse et mon numéro de téléphone. Le hacker me demande de lui transférer des bitcoins sinon il va envoyer l'info a des "bad guys" de mon voisinage qui vont me faire ma fête... C'est franchement pénible de recevoir tous les 10 jours des spams tentant de nous arnaquer. Le plus triste c'est que mes coordonnées circulent désormais sur le net, mais ce n'est pas très dur de se les procurer (par exemple en faisant de la prospection physique dans un quartier). Pour ceux qui sont dans mon cas, ne stressez pas trop. Ignorez ces messages. Je ne sais pas si c'est utile de déposer une main courante à la gendarmerie, mais ça ne doit pas faire de mal.
· Il y a 3 ans