Ledger portefeuille froid en crise ! Les partenaires ont divulgué les données utilisateur, répétant l'histoire de 2020

Le portefeuille froid Ledger et le tiers-payant Global-e ont été piratés, entraînant une fuite de données personnelles des utilisateurs. ZachXBT a divulgué l’information, Ledger l’a confirmée mais a souligné la sécurité des fonds et des clés privées. Une fuite de 270 000 données utilisateurs en 2020 avait provoqué des attaques de phishing et des poursuites judiciaires. Les experts en cybersécurité avertissent que les utilisateurs doivent rester vigilants face à tout message suspect demandant des phrases mnémoniques ou des autorisations.

Qui est Global-e ? Pourquoi est-ce devenu une faille de sécurité ?

(Source : Global-e)

Le détective blockchain ZachXBT a révélé le 5 janvier que Global-e, partenaire tiers de traitement des paiements de Ledger, a connu une fuite de données, exposant les informations personnelles de certains utilisateurs à un accès non autorisé. Ledger a toujours été le leader du marché des portefeuilles matériels, permettant aux utilisateurs de stocker hors ligne les clés privées de crypto-monnaies via Ledger, positionnée comme une solution de garde d’actifs plus sûre que les portefeuilles chauds ou les échanges centralisés. Par conséquent, elle possède une large base d’utilisateurs de détail et institutionnels à l’échelle mondiale, et tout problème de sécurité attire l’attention de la communauté crypto.

Face aux préoccupations du public, Ledger a ensuite confirmé aux médias avoir reçu une notification de son partenaire Global-e indiquant que les données de commande de son système avaient fait l’objet d’un accès illégal. Global-e est le commerçant agréé (Merchant of Record) responsable du traitement des transactions transfrontalières sur le site officiel de Ledger. Sa base de données cloud contenait les informations de certains clients ayant acheté des produits sur le site officiel de Ledger.

Un porte-parole de Ledger a souligné que cet incident de sécurité n’impliquait que le système d’information du partenaire e-commerce externe, et que la plateforme, le matériel ou les logiciels de Ledger lui-même n’avaient pas été compromise et restaient sécurisés. Comme les produits Ledger utilisent une conception d’auto-garde (Self-custodial), Global-e ne peut absolument pas accéder aux 24 phrases mnémoniques critiques des utilisateurs, aux soldes blockchain ou à toute information confidentielle liée aux actifs numériques, et cet incident n’a impliqué aucune fuite d’informations de carte de crédit.

Cette explication est techniquement valide, mais elle ignore un risque plus important. Les noms, e-mails et numéros de téléphone divulgués ne peuvent pas directement permettre de voler des pièces, mais ils fournissent une liste de cibles perfectionnée pour les fraudes ciblées. Les fraudeurs savent que ces personnes possèdent un portefeuille froid Ledger, ce qui signifie qu’elles possèdent un portefeuille crypto de taille respectable, les rendant des cibles d’attaque de haute valeur.

Les trois points faibles majeurs de la sécurité de la chaîne d’approvisionnement

Tiers-payants : Les partenaires comme Global-e qui traitent les transactions transfrontalières détiennent les données de commande, devenant ainsi des cibles de pirates.

Prestataires logistiques : La fuite d’adresses de livraison peut entraîner des vols physiques. En 2020, certains utilisateurs avaient reçu des menaces en raison de cela.

Systèmes de service client : Un service client externalisé mal géré peut être compromis par l’ingénierie sociale pour obtenir des données utilisateur.

Les leçons douloureuses de la fuite de 270 000 utilisateurs en 2020

L’incident de fuite de données utilisateurs de Ledger via un partenaire a attiré l’attention du public sur l’historique controversé antérieur de Ledger. En regardant en arrière à 2020, Ledger a connu un grave incident de fuite de données lorsque des pirates ont réussi à s’introduire dans les bases de données marketing et de commerce électronique liées à l’entreprise, exposant les informations personnelles de plus de 270 000 utilisateurs publiées sur le forum de hackers RaidForums.

Le contenu de la fuite à l’époque était très détaillé, incluant les noms d’utilisateurs, les adresses e-mail, les numéros de téléphone, et même les adresses résidentielles de certains utilisateurs ont été exposées, provoquant des inquiétudes et des insatisfactions massives chez les utilisateurs. De nombreuses victimes ont ensuite été attaquées et harcelées par des e-mails de phishing en masse. Bien que Ledger ait lancé une récompense en bitcoin à l’époque pour chercher des informations sur les attaquants, l’entreprise a par la suite fait face à des actions en justice collective, les demandeurs accusant Ledger et son partenaire e-commerce à l’époque, Shopify, de ne pas avoir fourni des mesures de protection adéquates des données personnelles, mettant les utilisateurs à risque.

Après l’incident de fuite de 2020, un grand nombre d’utilisateurs ont reçu des e-mails de phishing usurpant l’identité de Ledger, affirmant qu’ils devaient « mettre à jour le firmware » ou « vérifier le compte », incitant les utilisateurs à saisir les 24 mots mnémoniques. Certains utilisateurs ont ainsi perdu des cryptoactifs d’une valeur de dizaines, voire centaines de millions de dollars. Dans des cas plus extrêmes, certains utilisateurs dont l’adresse avait été exposée ont été menacés physiquement et forcés de remettre leur portefeuille froid.

Bien qu’il ne soit pas encore clair si cet incident Ledger-Global-e atteindra l’ampleur de 2020, il réexaminera sans doute comment les entreprises de crypto-monnaies et leurs prestataires de services tiers traitent les données personnelles des utilisateurs. Pour les entreprises de portefeuilles matériels qui considèrent la sécurité comme une compétence de base, toute fuite de données risque d’affecter la confiance des utilisateurs.

Prévention pratique contre les fraudes de phishing ciblées

Les experts en cybersécurité rappellent que bien que les fonds du portefeuille Ledger des utilisateurs eux-mêmes soient sûrs, les noms et coordonnées divulgués pourraient très probablement être utilisés pour des fraudes d’ingénierie sociale ciblées. Les utilisateurs devraient rester extrêmement vigilants face à tout message suspect demandant la fourniture de phrases mnémoniques ou d’autorisations ces derniers temps. La sécurité de la chaîne d’approvisionnement devient une préoccupation cachée, les utilisateurs de Ledger doivent rester alertes au phishing.

La caractéristique du phishing ciblé est son extrême personnalisation. Les fraudeurs utiliseront votre vrai nom, votre historique d’achat et vos coordonnées, se faisant passer pour le service clientèle officiel de Ledger, affirmant que votre portefeuille a des problèmes de sécurité nécessitant un « traitement d’urgence ». Ce type de messages de fraude hautement personnalisés est beaucoup plus trompeur que les e-mails spam en masse.

Ledger n’a jamais demandé activement aux utilisateurs de fournir des phrases mnémoniques ou des clés privées. Tout e-mail, SMS ou appel téléphonique prétendument de Ledger demandant des informations sensibles est à 100 % une arnaque. La bonne approche est de fermer immédiatement les messages suspects, de se connecter au site officiel de Ledger pour vérifier, ou de contacter le service clientèle officiel de manière proactive.

Pour les utilisateurs dont les données personnelles ont été confirmées comme exposées, il est recommandé de modifier immédiatement le mot de passe de l’e-mail associé à Ledger, d’activer l’authentification à deux facteurs, et de rester sceptique face à tous les contacts prétendant provenir de Ledger au cours des prochains mois. Si vous recevez un message suspect, vous pouvez en faire une capture d’écran et le signaler à Ledger ou au détective blockchain ZachXBT.