Ledger et Trezor démentent les allégations de piratage de leurs bases de données
Le dimanche 24 mai, un hacker prétendait posséder les bases de données des boutiques en ligne des célèbres fabricants de hardware wallets Ledger et Trezor. Après investigation, les entreprises concernées ont toutes deux démenti ces allégations et assurent qu'aucune de leurs bases de données n'a fuité.
Dans notre article sur le sujet publié hier, nous émettions déjà dans des doutes quant à la véracité des propos de ce hacker autoproclamé.
Le contexte de cette prétendue fuite
L'information avait été partagée par Under the Breach, une société de cybersécurité. Celle-ci avait trouvé sur un forum spécialisé la publication d'un hacker souhaitant mettre en vente les bases de données des clients des utilisateurs, sans les mots de passe.
Le hacker prétendait avoir piraté la base de données des clients de Ledger et de Trezor par le biais de l'exploitation d'une faille de la plateforme de e-commerce Shopify.
Se penchant activement sur ces inquiétantes allégations, les fabricants de hardware wallets ont rapidement rassuré la crypto-communauté. Chaque fabricant a alors détaillé par le biais d'un communiqué ce pour quoi cette fuite de données était totalement infondée.
Le cas de Ledger
Selon le communiqué de Ledger, après des discussions avec d'autres acteurs et partenaires du secteur de la cybersécurité, cette prétendue fuite a été intentée dans le but de nuire à la réputation de leurs produits, et qu'elle est par conséquent totalement fausse.
D'après Ledger, cette conclusion est évidente grâce à plusieurs indices :
- Bien que Ledger utilise actuellement Shopify, la faille prétendument utilisée par le hacker remonte à 2016. Or, Ledger n'utilisait pas Shopify à cette date.
- Le contenu et la structure des données divulguées ne correspondent pas à ceux de Ledger.
- En échangeant avec Under The Breach, la firme n'a pas pu confirmer l'authenticité de la base de données volée.
Le cas de Trezor
Selon le communiqué de SatoshiLabs, l'équipe derrière Trezor, cette fuite est également un véritable hoax. L'entreprise le justifie de la même manière que Ledger :
- Les données divulguées ne correspondent pas aux données de la boutique en ligne de Trezor et paraissent avoir été fabriquées.
- La boutique en ligne de Trezor ne fonctionne pas et ne fonctionnait pas sur la plateforme Shopify en 2016.
Pour la protection des données de ses clients, Trezor procède également à la suppression automatique des informations personnelles les concernant 90 jours après leur commande d'un de leur produit. Cela permet en outre de minimiser l'impact d'éventuelles fuites de données.
Les bonnes pratiques à avoir
Bien que les allégations de ce "hacker" se soient révélées fausses, Trezor a fourni quelques conseils applicables pour s'assurer de la confidentialité de vos informations personnelles lors de la commande d'un wallet.
- Faites vous livrer le(s) wallet(s) à l'adresse de l'entreprise pour laquelle vous travaillez
- Si ce n'est pas possible, pensez à utiliser une boîte postale
- Utilisez toujours une adresse mail à usage unique dans laquelle votre véritable nom ne figure pas
- Si un numéro de téléphone est requis pour votre commande, renseignez celui de votre lieu de travail si possible
Même si ces conseils ne sont pas des plus évidents à appliquer, les suivre pourrait vous préserver d'une éventuelle véritable fuite.
Sachez également que si un hacker parvient à obtenir une base de données même sans les mots de passe des utilisateurs, il aura la possibilité de chercher une correspondance au niveau des adresses mail auprès d'autres bases de données volées, où les mots de passe auraient fuité.
? À lire sur le même sujet : DeFi : des hackers exploitent une vulnérabilité de dForce et drainent $25M
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌