Une attaque de grande ampleur

Comme annoncé dans cet article, une base de données du célèbre fabricant de portefeuilles pour cryptomonnaies Ledger a fuité. Si l’entreprise annonçait dans un premier temps que seulement quelques milliers de coordonnées clients avaient été piratées, c’est finalement près de 273 000 coordonnées qui se sont retrouvées sur le Web, en libre accès. Nom, prénom, numéro de téléphone, adresse personnelle… Une mine d’or pour les pirates informatiques et autres personnes malintentionnées.


Comment se prémunir d’éventuels hacks ou tentatives de phishing ?

D’abord, pensez à changer votre adresse mail, et idéalement à clôturer l’accès du mail vérolé. C’est potentiellement la porte d’entrée à vos plateformes cryptos, et à toute autre donnée sensible. Si vous utilisez la même adresse mail pour vous connecter à votre plateforme d'exchange que celle utilisée à la commande de votre Ledger ou à leur service, changez-la. Pour savoir si votre mail a fuité, c’est par ici : Have I Been Pwned

Par sécurité, modifiez également vos mots de passe ; ceux-ci n’ont à priori pas fuité puisqu’ils n’étaient pas renseignés à l’achat d’une clé Ledger, mais un peu d’hygiène informatique ne fait pas de mal, surtout après une attaque de cette ampleur. Pensez à utiliser un mot de passe complexe, avec de nombreux caractères alphanumériques, spéciaux et différents sur chaque plateforme.

Ensuite, la deuxième porte d’entrée pourrait être votre numéro de téléphone. Vous l’avez probablement renseigné à la commande de votre clé Ledger ; et sa fuite pourrait poser problème. Notamment si vous utilisez une double authentification par SMS, cause du sim swapping notamment, qui consiste à récupérer votre numéro de téléphone sur une autre carte SIM à partir d'informations très simples : nom, prénom, adresse et parfois date de naissance.

Si vous utilisez un générateur 2FA lié à votre numéro de téléphone, ou au mail leak, même problème. Pensez à modifier ce paramètre depuis l’espace sécurité de tous vos accès utilisant ces mêmes coordonnées. Et ratissez large ; espace bancaire, professionnel, ou autre, tout ce qui pourrait avoir un rapport à ce numéro. Changer de numéro de téléphone peut-être une option pour certains.

Dans tous les cas, ne cliquez pas sur des liens que vous pourriez recevoir par SMS ou par mail. Cela sera très certainement du phishing, visant à dérober vos clés privées. Pour rappel, Ledger affirme que les cryptomonnaies ne sont pas en danger. 

Et rappel de circonstance ; NE DONNEZ JAMAIS VOTRE PHRASE DE RÉCUPÉRATION. 

Une autre manière de sécuriser vos fonds serait d'utiliser des clés 2FA, type YubiKey. Ces clés, qui communiquent avec votre portefeuille via NFC ou le port USB, permettent d'apporter un facteur d'identification supplémentaire.

Enfin, pour votre adresse personnelle, c'est plus compliqué. Certains ont un sentiment d’insécurité, et c’est compréhensible. Avoir toutes ces données dans la nature n’est guère rassurant. Le cambriolage reste tout de même un cas extrême, tout comme un enlèvement. D’après nos informations, les achats effectués via des revendeurs extérieurs, type Amazon ne sont pas concernés dans cette fuite de données.

Concernant Ledger, ils ont annoncé avoir revu en profondeur leur sécurité depuis l'attaque de l'été dernier.

« Depuis juillet, nous avons fait tout notre possible pour rendre Ledger plus solide. Nous avons engagé un responsable de la sécurité des systèmes d'information et réalisé des tests de résistance avec des sociétés de sécurité externes. Nous avons informé l'autorité française de protection des données de la faille et nous travaillons avec les autorités mondiales de protection des données. »

Mais alors, que risque l’entreprise Ledger ? 

Au lendemain de l'affaire, difficile d'y voir clair. Contacté, un avocat spécialisé nous détaille les risques encourus par la société Ledger.

« On ne sait pas exactement ce qui s’est passé pour le moment. La fuite vient-elle directement de chez Ledger ou de l'un de ses sous-traitants ? », s'interroge-t-il. « Le risque, c’est que les utilisateurs attaquent la société pour préjudice moral, s'ils reçoivent des menaces de mort, ou subissent des cambriolages ».

L’autre risque majeur pour Ledger, c’est la sanction de la CNIL, pour manquement au RGPD. Celle-ci stipulant que toutes les mesures organisationnelles et techniques pour assurer la sécurité et la confidentialité des données traitées ou sous-traitées doivent être mises en place. C'est une responsabilité automatique en cas de leak en somme. « La sanction de la CNIL peut être importante. Elle peut être de plusieurs centaines de milliers d’euros selon les entreprises, puisqu'elle peut  représenter jusqu’à 4% du chiffre d’affaires mondial». Que la faille vienne de Ledger, ou de ses sous-traitants.

Concernant les actions collectives, appelées Class Action outre-Atlantique, « c’est plus compliqué en France, reconnaît l'avocat. Aux États-Unis, les cabinets créent la Class Action, et les gens les rejoignent. En France, il y a une dichotomie. Une personne a un problème, on répare le problème, et l’amende va dans les caisses de l’Etat. C’est bien plus étatique qu’aux États-Unis, » poursuit-il.

Les clients américains pourraient quant à eux bien intenter une Class Action envers l'entreprise française. Alors, que reste-t-il à faire pour les clients français victime de ce leak ? :

« Si un client se fait cambrioler suite à la fuite, ou reçoit des menaces à son domicile ou par SMS, il va pouvoir espérer quelques dizaines de milliers d’euros au maximum en réparation. Face au temps passé pour obtenir le préjudice, et au coût d’un avocat, ce n'est pas très intéressant. Le droit français reconnaît les actions de groupe, mais sur le plan procédural, c'est très compliqué et pas très intéressant, poursuit l'avocat. En pratique, un cabinet pourrait rassembler toutes les victimes, et diminuer le coût du dossier. C’est une sorte de mise en commun des actions individuelles, et là c’est intéressant, car les frais de dossier sont très réduits ». 

Le scénario est déjà dramatique pour l'entreprise. Les clients français, qui tiennent pourtant à leur pépite nationale, s’interrogent sur la reconduction de leur confiance.

« En France face à ce type de problème, le risque 1 c’est la réputation, le risque 2, la CNIL et le 3, les actions individuelles ». Pour cet avocat spécialisé, l’autre risque important, c’est l’utilisation de cette fuite par le Fisc français :

« Au-delà du risque de sécurité personnelle, le Fisc pourrait s’en servir pour faire des contrôles inopinés. C’est comme avoir la liste d’un revendeur de coffre-fort, sauf que là, c’est le premier fournisseur de coffre-fort. En théorie, les contribuables français devraient être en règle et si ce n’est pas le cas, c’est un signe de plus pour se mettre en conformité », conclut l’avocat.

 

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Cryptoast

twitter-soothsayerdatatwitter-soothsayerdatatwitter-soothsayerdata

Cryptoast est un média spécialisé sur l'univers du Bitcoin et de la Blockchain. Lancé en 2017, il fait partie des sites cryptos les plus consultés en France.

guest
7 Commentaires
Inline Feedbacks
View all comments
Michel

Il y a de quoi être remonté ! Je reçois sans cesse des faux emails. Le dernier qui me demande de cliquer sur un lien, me donne des frissons. Sont inscrits mes coordonnées, adresse et numéro de téléphone (bien que mon adresse n'apparaisse pas sur le site haveibeenpwned . Si je pense être à l'abri d'un piratage, qu'en est-il d'un risque de cambriolage ! Des heures à changer son adresse mail avec sites, fournisseurs etc... Et que dire de ceux qui se seront fait hameçonnés ! Enfin, peut-on garder un compte Ledger avec un risque de faillite de cette entreprise… Read more »

Bernard Bugeau

Ledger n'a même pas de service client francophone, alors que c'est une société française ! De plus ils sont très lents à réagir quand on les contacte pour un problème (j'ai eu le cas avec un dysfonctionnement technique qui a mis plus de 2 semaines avant d'être résolu, mes fonds étant bloqués pendant ce temps...)

LeSS

Honnetement, mo je me sens trahi.... et en France, on ne peut pas faire d'actions collectives l'américaine donc sur le sol français, on est de vrais Dindes !!