Piratage de données : Ledger face à une Class-Action aux Etats-Unis

Collectionnez les articles du JDC en NFT

Collecter cet article

Faisant suite au piratage d’envergure subi par son partenaire commercial Shopify le spécialiste en cybersécurité et fabriquant du wallet crypto éponyme Ledger avait vu les datas de dizaines de milliers de ses clients s’évanouir dans la nature. Si la société française a toujours exclu de consentir au moindre remboursement au profit de ses clients lésés, elle fait désormais face à une action collective (“class-action“) devant la justice américaine.

La légèreté de Ledger

C’est un peu le cœur du problème : quand on est soi-même leader dans le domaine de la cybersécurité, est-on supposé être responsable à la fois de ses propres process internes, mais également de ceux de ses partenaires en affaires ? Cette équation plutôt classique s’est posée en des termes cruels pour Ledger en juillet 2020.

Rappel rapide des faits : mi-2020 Ledger fait savoir que dans le cadre d’une campagne bounty, un chercheur en sécurité informatique a détecté la fuite potentielle d’1 million d’adresses mail associées à des données privées.

Rapidement il apparaîtra que c’est un défaut de sécurisation dans le cadre de la politique de sécurité de la plateforme Shopify partenaire commercial de Ledger – qui serait à l’origine de la faille. Cafouillage de communication, les chiffres varient, de relativement anodins les faits prennent progressivement une allure plus inquiétante avec la compromission d’informations de plus en plus personnelles et sensibles, les protagonistes se renvoient la balle… Et pendant ce temps, les premiers SMS menaçants et autres tentatives de phishing commencent à affluer sur les téléphones et dans les boites mail de dizaines de milliers de clients soudainement transformés en victimes par la triste magie d’une défaillance de sécurité informatique.

Semblant faire fi du risque réputationnel, Ledger s’excuse du bout des lèvres, en n’oubliant pas de rappeler que la sécurité informatique est de la responsabilité de chacun. Une posture à la fois parfaitement légitime et dans le même temps complètement déplacée dans ce contexte, alors que de nombreuses victimes de l’épisode se voient déjà contraintes de changer de téléphone, voire de domicile pour ceux ayant eu la “chance” de recevoir des screens de leurs maison capturés sur Google Street view, et assortis de menace très concrètes…

Quand à un remboursement ou une compensation financière, c’est hors de question, la “crypto-licorne” française affirmant qu’elle ne pourrait pas se relever économiquement d’un telle charge financière non-prévue.

Ce qui sera finalement reproché de manière récurrente à Ledger ne sera pas tant le piratage en lui-même (chacun convenant de l’inéluctabilité de la chose dans un environnement numérique de plus en plus complexe), mais plus la posture de l’entreprise née à Vierzon : communication intégralement en anglais, difficulté à reconnaître le moindre tort et sens du timing douteux. En effet, quelques semaines à peine après l’incident Ledger trouvait fort à propos de présenter sa nouvelle machine de guerre en matière de sécurité cryptographique, un cylindre en métal gravé des mots de récupération de wallet, objet globalement assez dispensable proposé au tarif de….100 euros.

Cryptosteel Capsule de Ledger, une réponse "légère "de Ledger tombée peu après son piratage

Si Ledger a donc systématiquement campé sur sa position « circulez, y’a rien à voir » depuis les faits, demeurant apparemment sourd aux solicitations de sa communauté de clients, outre-atlantique certains d’entre-eux semblent bien avoir décidé de ne pas en rester là.

Ledger traîné en justice en Californie

Par une plainte déposée devant le tribunal de district des États-Unis pour le district nord de la Californie, des utilisateurs lésés de la plateforme assignent Ledger et Shopify pour avoir “autorisé par négligence, ignoré par imprudence, puis cherché intentionnellement à dissimuler” la violation de données personnelles. A noter qu’encore une fois, plus que le piratage, c’est la posture initiale et les atermoiements de Ledger qui sont reprochés par les plaignants, l’entreprise étant en l’occurrence soupçonnée de ne pas avoir fait preuve de transparence et de loyauté vis-à-vis de ses clients s’agissant de la nature et de l’envergure du piratage.

De nouveau est mis en avant un préjudice teinté d’une ironie amère : les victimes directes de ce hack se trouvent représenter une partie de la population à qui la discrétion et la protection des données tient tout particulièrement à cœur. Une population dont les éléments d’identifications circulent depuis librement dans de multiples bases de données, dessinant une cible virtuelle, assortie de la mention “propriétaire de cryptomonnaies”, sur le front des infortunés ayant le triste privilège d’y apparaître.

C’est sur ces éléments de responsabilité et de préjudice que la justice californienne devra désormais statuer. Quant à Ledger, habitué à communiquer exclusivement dans la langue de Shakespeare, l’occasion et la tribune seront parfaites pour continuer à progresser en la matière.

Hellmouth Banner

Ex-rédacteur en chef du Journal du Coin j'apporte ma petite pierre à l'édifice financier global qui émerge sous nos yeux. Les insultes, scoops, propositions de sujets, demandes en mariage et autres corbeilles de fruits sont à livrer sur mes différents comptes sociaux. Vous pouvez également venir discuter sur le groupe FB associé à l'initiative Tahiti Cryptomonnaies

Commentaires

10 responses à “Piratage de données : Ledger face à une Class-Action aux Etats-Unis


patoux
une action est aussi en cours en france
Répondre · Il y a 3 ans

Puba
Pouvez-vous preciser svp? Je ne trouve aucune info sur comment joindre cette action de groupe en france...
Répondre · Il y a 3 ans

yann3420
Si tu en sais un peu plus, merci de me renseigner sur l'action en cours en France... Yann.
Répondre · Il y a 3 ans

JoAf12
Tu as le cabinet ORWL, qui a plusieurs dossiers sur cette affaire (j'en fais moi-même partie)
· Il y a 3 ans

Bartabel
Ce que je leur reproche pour ma part, c'est de faire appel à un tiers (Shopify) introduisant ainsi un risque non contrôlable dans la gestion de leurs clients. Certes cela aurait coûté plus cher de gérer soi-même, mais au final cela aurait évité toute cette histoire et peut-être une grosse amende (on connait les amendes us). J'espère toutefois qu'ils survivront.
Répondre · Il y a 3 ans

blarks
Il y a quoi comme alternative sérieuse ?
Répondre · Il y a 3 ans

Bartzabel
Trezor, Safepal....
Répondre · Il y a 3 ans

frat
Pour ceux qui lance une action en justice en france ( et si le journal du coin peut prendre contact avec eux ) , les points à éluder concernant une entreprise comme ledger : 1) comment se fait il qu'une entreprise comme ledger ne participe jamais à des hackatons , lance des bugbounty , fait appel à des pro comme le chaos computer club par ex. pour faire des audits de sécurité ? 2) comment se fait il que l'état français comme le site "zebitex" qui est un exchange et une banque ( puisqu'on y stocke des cryptos ) ne soit pas plus sécurisé , un proche se plaignait dernièrement suite à un incendie chez ovh qu'il ne pouvait pas avoir accès à ses cryptos , comment se fait il que ce type d'entreprise n'est pas de site miroir ou de backup ? 3) comment se fait il qu'il y ait autant de laxisme de la part de ces entreprises spécialisées dans les cryptomonnaies aloprs des gens ont investi de l'argent dans ça ? 4) l'état français ne se soucie pas de l'image négative qu'elle donne à l'internationale de ses start up ? ( qui au finale font fuir les investisseurs locaux et étrangers )
Répondre · Il y a 3 ans

yann3420
Bonjour Frat, Je suis un de ces pigeons qi s'est fait avoir en novembre 2020. C'est vrai que j'ai trouvé le service client de ledger déplorable...si une action collective est mise en place, merci de m'en informer!! Yann
Répondre · Il y a 3 ans

Anna
Bonjour Yann, Contacter le cabinet ORWL situé 57 rue Réaumur à Paris. Leurs coordonnées téléphoniques sont dans l’annuaire, vous pourrez certainement vous joindre à l’action en cours.
Répondre · Il y a 3 ans

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour