Ledger, coffre fort percé pour vos bitcoins – Le roi français du Bitcoin victime d’un nouveau hack !

Un hack peut en cacher un autre – Les mésaventures de Ledger – et surtout de ses clients – continuent de plus belle ! Il semblerait que la base de données clients du célèbre fabricant des hardware wallets Nano ait été volé une seconde fois, cette fois par des acteurs malveillants de Shopify. Explications.

Une fuite de données organisée par des employés de Shopify

C’était le scandale de la fin d’année dans la cryptosphère : Ledger, fabricant des Nano S et X, avait manifestement largement sous-estimé la fuite de ses données clients. Plus de 272 000 de ces derniers ont ainsi vu des données personnelles très sensibles être dérobées puis partagées sur le Net, comme leur nom, prénom, adresse postale ou encore leurs coordonnées téléphoniques.

Dans une nouvelle note publiée ce 13 janvier sur leur blog, les équipes de Ledger ont toutefois annoncé que le fournisseur de services de commerce électronique Shopify les avait contacté le 23 décembre 2020. Cette société leur aurait annoncé que deux de ses agents ont obtenu des enregistrements des transactions de leurs clients, et qu’ils les ont exportées illégalement de Shopify en avril et juin 2020.

D’après la société de cybersécurité sollicitée par Ledger – Orange Cyberdefense -, cette fuite concernerait cette fois 292 000 clients !

La même base de données… à peu de choses près ?

Contactées par nos soins, les équipes de Ledger ont tâché de nous aider à y voir plus clair concernant le point suivant : sont-ce exactement les mêmes données que celles mises à disposition en décembre qui ont fuité cette fois-ci ?

« On parle de deux fuites de données différentes (…) La première concernait l’accès à notre base de données du fait d’une erreur dans le module que nous utilisons pour l’envoi de mails à notre base clients. (…) La seconde est du fait de deux agents malveillants de Shopify, qui sont maintenant poursuivis et incarcérés. Ils ont accédé en avril et en juin à ce que nous pensons être la même base de données que celle qui a fuité en décembre, mais enrichie de 20 000 clients [supplémentaires] (…). »

Benoît Pellevoizin, responsable communication chez Ledger, au JDC

Du côté de Donjon Ledger, la branche spécialisée dans la cybersécurité de Ledger, c’est à peu près le même son de cloche. Cette seconde fuite peut donc contenir de « nouvelles » données personnelles (notamment plusieurs adresses postales différentes pour un seul et même client), et ce même pour des clients déjà concernés par la première fuite : en effet, les pirates ayant profité de cette dernière n’auraient pas publié l’intégralité de cette base de données en décembre.

« La personne qui a publié l’ensemble des données sur Internet n’a mis dans son dump qu’une adresse postale par email. Toutefois, il possède (peut-être pas lui, mais au moins le pirate qui a récupéré le contenu de la base) l’ensemble des adresses de commande [des clients touchés par la fuite de données]. »

Jean-Baptiste Bédrune, responsable de la recherche du Ledger Donjon, au JDC

Ainsi, même ceux qui ont déménagé entre deux commandes chez Ledger se trouveraient aussi exposés au vol de leur nouvelle adresse de résidence, du moment que leur dernière commande a eu lieu avant avril ou juin 2020. Malgré le préjudice évident pour leur sécurité, Ledger n’a prévu pour l’instant aucune indemnisation pour les clients victimes de ces fuites de données.