Piratage de données : Ledger face à une Class-Action aux Etats-Unis
Faisant suite au piratage d’envergure subi par son partenaire commercial Shopify le spécialiste en cybersécurité et fabriquant du wallet crypto éponyme Ledger avait vu les datas de dizaines de milliers de ses clients s’évanouir dans la nature. Si la société française a toujours exclu de consentir au moindre remboursement au profit de ses clients lésés, elle fait désormais face à une action collective (« class-action« ) devant la justice américaine.
La légèreté de Ledger
C’est un peu le cœur du problème : quand on est soi-même leader dans le domaine de la cybersécurité, est-on supposé être responsable à la fois de ses propres process internes, mais également de ceux de ses partenaires en affaires ? Cette équation plutôt classique s’est posée en des termes cruels pour Ledger en juillet 2020.
Rappel rapide des faits : mi-2020 Ledger fait savoir que dans le cadre d’une campagne bounty, un chercheur en sécurité informatique a détecté la fuite potentielle d’1 million d’adresses mail associées à des données privées.
Rapidement il apparaîtra que c’est un défaut de sécurisation dans le cadre de la politique de sécurité de la plateforme Shopify – partenaire commercial de Ledger – qui serait à l’origine de la faille. Cafouillage de communication, les chiffres varient, de relativement anodins les faits prennent progressivement une allure plus inquiétante avec la compromission d’informations de plus en plus personnelles et sensibles, les protagonistes se renvoient la balle… Et pendant ce temps, les premiers SMS menaçants et autres tentatives de phishing commencent à affluer sur les téléphones et dans les boites mail de dizaines de milliers de clients soudainement transformés en victimes par la triste magie d’une défaillance de sécurité informatique.
Semblant faire fi du risque réputationnel, Ledger s’excuse du bout des lèvres, en n’oubliant pas de rappeler que la sécurité informatique est de la responsabilité de chacun. Une posture à la fois parfaitement légitime et dans le même temps complètement déplacée dans ce contexte, alors que de nombreuses victimes de l’épisode se voient déjà contraintes de changer de téléphone, voire de domicile pour ceux ayant eu la « chance » de recevoir des screens de leurs maison capturés sur Google Street view, et assortis de menace très concrètes…
Quand à un remboursement ou une compensation financière, c’est hors de question, la « crypto-licorne » française affirmant qu’elle ne pourrait pas se relever économiquement d’un telle charge financière non-prévue.
Ce qui sera finalement reproché de manière récurrente à Ledger ne sera pas tant le piratage en lui-même (chacun convenant de l’inéluctabilité de la chose dans un environnement numérique de plus en plus complexe), mais plus la posture de l’entreprise née à Vierzon : communication intégralement en anglais, difficulté à reconnaître le moindre tort et sens du timing douteux. En effet, quelques semaines à peine après l’incident Ledger trouvait fort à propos de présenter sa nouvelle machine de guerre en matière de sécurité cryptographique, un cylindre en métal gravé des mots de récupération de wallet, objet globalement assez dispensable proposé au tarif de….100 euros.
Si Ledger a donc systématiquement campé sur sa position « circulez, y’a rien à voir » depuis les faits, demeurant apparemment sourd aux solicitations de sa communauté de clients, outre-atlantique certains d’entre-eux semblent bien avoir décidé de ne pas en rester là.
Ledger traîné en justice en Californie
Par une plainte déposée devant le tribunal de district des États-Unis pour le district nord de la Californie, des utilisateurs lésés de la plateforme assignent Ledger et Shopify pour avoir « autorisé par négligence, ignoré par imprudence, puis cherché intentionnellement à dissimuler » la violation de données personnelles. A noter qu’encore une fois, plus que le piratage, c’est la posture initiale et les atermoiements de Ledger qui sont reprochés par les plaignants, l’entreprise étant en l’occurrence soupçonnée de ne pas avoir fait preuve de transparence et de loyauté vis-à-vis de ses clients s’agissant de la nature et de l’envergure du piratage.
De nouveau est mis en avant un préjudice teinté d’une ironie amère : les victimes directes de ce hack se trouvent représenter une partie de la population à qui la discrétion et la protection des données tient tout particulièrement à cœur. Une population dont les éléments d’identifications circulent depuis librement dans de multiples bases de données, dessinant une cible virtuelle, assortie de la mention « propriétaire de cryptomonnaies », sur le front des infortunés ayant le triste privilège d’y apparaître.
C’est sur ces éléments de responsabilité et de préjudice que la justice californienne devra désormais statuer. Quant à Ledger, habitué à communiquer exclusivement dans la langue de Shakespeare, l’occasion et la tribune seront parfaites pour continuer à progresser en la matière.