Le portefeuille Ledger rencontre à nouveau des problèmes de sécurité ! Le partenaire a commis une erreur, fuite de données personnelles, faites attention aux tentatives de phishing ciblées

Partenaire de Ledger, Global-e, victime d’une attaque informatique entraînant une fuite de données utilisateur. La société insiste sur la sécurité des clés privées et des fonds, tout en avertissant les utilisateurs de se méfier des tentatives de phishing ciblé.

Partenaire de Ledger, portefeuille froid, victime d’une fuite de données

Le fabricant français de portefeuilles froids Ledger, a annoncé hier (1/5) un nouvel incident de sécurité. Le détective en blockchain ZachXBT a été le premier à révéler que le partenaire de traitement des paiements tiers de Ledger, Global-e, a subi une fuite de données, entraînant l’accès non autorisé à certaines informations personnelles d’utilisateurs par des personnes non identifiées.

Source : X, le détective en blockchain ZachXBT a révélé que le partenaire de traitement des paiements tiers de Ledger, Global-e, a subi une fuite de données, entraînant l’accès non autorisé à certaines informations personnelles d’utilisateurs par des personnes non identifiées.

Ledger est depuis toujours un leader dans le domaine des portefeuilles matériels, permettant aux utilisateurs de stocker hors ligne leurs clés privées de cryptomonnaies. Il est considéré comme une solution de stockage plus sûre que les portefeuilles chauds ou les échanges centralisés, ce qui lui a permis de bâtir une large base d’utilisateurs, tant au détail qu’au niveau institutionnel. Toute nouvelle concernant la sécurité suscite une grande attention dans la communauté crypto.

Ledger confirme la fuite de données de Global-e, insiste sur la sécurité des fonds et des clés privées

Face aux inquiétudes, Ledger a rapidement confirmé aux médias avoir été informé par son partenaire Global-e que ses systèmes de traitement des commandes avaient été compromis.

Global-e est le commerçant responsable des transactions transfrontalières sur le site officiel de Ledger (Merchant of Record). Sa base de données cloud contient des informations sur certains clients ayant acheté des produits sur le site de Ledger.

Un porte-parole de Ledger a souligné que cet incident de sécurité ne concerne que le système d’information d’un partenaire externe, et que la plateforme, le matériel ou les logiciels de Ledger n’ont pas été infiltrés, restant en sécurité.

Étant donné que les produits Ledger sont conçus en auto-garde (Self-custodial), Global-e n’a aucun accès aux éléments essentiels tels que les 24 mots de récupération, le solde sur la blockchain ou toute information confidentielle liée aux actifs numériques. De plus, cet incident n’a pas impliqué de fuite de données de cartes de crédit.

Lecture complémentaire :
Discord : 70 000 identités, numéros de carte bancaire partiellement divulgués, les victimes ont été informées

Antécédents de sécurité de Ledger : fuite massive de données en 2020

L’incident de fuite de données impliquant un partenaire de Ledger a relancé la discussion sur les controverses passées de la société.

En 2020, Ledger a connu une importante fuite de données, lorsque des hackers ont réussi à pénétrer dans une base de données marketing et e-commerce liée à la société, exposant les informations personnelles de plus de 270 000 utilisateurs sur le forum de hackers RaidForums.

Les données divulguées étaient très détaillées, incluant noms, adresses e-mail, numéros de téléphone, et même certaines adresses résidentielle, ce qui a suscité beaucoup d’inquiétudes et de mécontentements. De nombreux victimes ont été ciblées par des campagnes de phishing et harcèlement par e-mail.

Source : Ledger, fuite massive de données en 2020, le PDG a écrit une lettre ouverte aux utilisateurs

Bien que Ledger ait alors offert une récompense en Bitcoin pour identifier les attaquants, il a néanmoins fait face à une action collective ultérieure. Les plaignants ont accusé Ledger et son partenaire commercial Shopify de ne pas avoir mis en place des mesures suffisantes de protection des données, mettant ainsi les utilisateurs en danger.

Les risques liés à la sécurité de la chaîne d’approvisionnement, à surveiller, et la vigilance face au phishing

Bien qu’il soit encore incertain si l’incident récent de Global-e chez Ledger atteindra l’ampleur de celui de 2020, il relancera sans doute le débat sur la manière dont les sociétés de cryptomonnaies et leurs fournisseurs tiers gèrent les données des utilisateurs.

Pour une société de portefeuilles matériels qui considère la sécurité comme un avantage concurrentiel clé, toute fuite de données peut affecter la confiance des utilisateurs.

Les experts en sécurité rappellent que, même si les fonds dans le portefeuille Ledger sont sécurisés, les noms et coordonnées divulgués peuvent être utilisés pour des attaques de social engineering ciblées. Les utilisateurs doivent rester très vigilants face à toute demande suspecte de fournir des mots de récupération ou d’autoriser des opérations.

Lecture complémentaire :
Copier-coller, le mot de récupération est volé ! Analyse des risques de sécurité liés au presse-papiers : comment se protéger