La fuite de Ledger date de juin 2020, mais personne ne savait exactement qui y a eu accès. Ce dimanche 20 décembre, les bases de données volées sont pratiquement devenues publiques. Sur le forum de ventes de données le plus populaire, un utilisateur a déposé deux fichiers textes (.txt), que n’importe quel visiteur peut télécharger gratuitement (ou presque, selon son utilisation du forum). L’anonyme a obtenu les bases de données volées dont Ledger avait parlé publiquement cet été, mais a décidé de les rendre publiques plutôt que de seulement les revendre ou les exploiter.

deezer.jpg

Publiée gratuitement sur un forum très populaire, la fuite peut être considérée comme publique. // Source : Capture d’écran Cyberguerre

La publication de données sans rémunération signifie le plus souvent que de (relativement) nombreux autres pirates ont déjà obtenu et exploité la base de données, et qu’elle n’a donc plus trop de valeur. « Le premier prix confirmé que j’ai vu pour cette base de données était de 5 BTC  [environ 100 000 euros au cours actuel, ndlr] », avance l’auteur dans le message consulté par Cyberguerre. Le forum sur lequel se trouve le message est bien connu de tous ceux qui s’intéressent aux fuites, et est accessible par une simple recherche Google, sans utiliser Tor. Des milliers de visiteurs, loin de faire partie du grand banditisme, y ont accès : c’est pourquoi le dépôt gratuit d’une base de données sur ce forum revient à la rendre publique.

Ledger a réagi rapidement sur Twitter :

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

« Nous étions déjà au courant de cette fuite de données. Nous avions alerté les autorités ainsi que nos utilisateurs, et nous avons affronté les attaques qui en découlent depuis », se défend-elle. L’entreprise liste les nouvelles garanties de sécurité qu’elle a déployées depuis : elle a embauché un nouveau directeur de la sécurité ; une entreprise externe a effectué des tests de pénétration sur son réseau à la recherche de failles ; elle a fait tomber plus de 170 sites de phishing…. Mais malgré ces efforts, les actions contre les clients de Ledger pourraient connaître un nouveau pic dans les jours à venir.

La fuite nourrit déjà des phishings sophistiqués

Le premier fichier déposé contient 1 075 382 adresses email de personnes inscrites à la newsletter de Ledger. Pour un cybercriminel, cette base de données est déjà une belle base pour lancer des phishings contre les clients de l’entreprise française. Justement, des phishing particulièrement sophistiqués, et taillés sur mesure pour les clients de Ledger circulent déjà depuis plusieurs mois : nous vous présentions un exemple en octobre, le Bleeping Computer évoquait d’autres cas début décembre, et le hacker éthique Adrien Jeanneau nous a signalé un nouvel exemple pas plus tard que ce dimanche. L’objectif : vider les fonds de cryptomonnaie protégés par les clés Ledger, alors que le bitcoin a récemment atteint de nouvelles hauteurs de valorisation, à plus de 20 000 euros.

Image d'erreur

En octobre déjà, Cyberguerre identifiait une campagne de SMS et emails sophistiqués contre Ledger. // Source : Capture d’écran Numerama

Sur son site officiel, Ledger affiche un bandeau pour prévenir qu’une campagne de phishing est en cours. L’entreprise précise par ailleurs qu’elle a fait supprimer 171 sites frauduleux. Mais malgré ces efforts, elle peine à s’en débarrasser. Grâce à sa communication plutôt transparente et réactive sur la fuite, Ledger pourrait tout de même avoir prévenu un certain nombre de ses clients à temps pour qu’ils ne se fassent pas pirater.

Le second fichier déposé par l’anonyme pose encore plus de problèmes : c’est un historique de 272 853 commandes. Pour chaque produit vendu, Ledger conservait l’email, le numéro dé téléphone, et adresse (physique) et du client. C’est cette dernière information qui inquiète le plus les victimes. Le (presque) unique produit de Ledger est un appareil, le Nano, qui ressemble à une longue clé USB. Pour se connecter à un portefeuille (l’équivalent d’un compte bancaire pour les cryptomonnaies), les utilisateurs du Nano doivent le connecter à leur appareil, puis entrer leur code PIN (à plus de 4 chiffres).

C’est une importante garantie de sécurité : un éventuel cambrioleur n’a d’autre choix que de deviner la phrase secrète de 24 mots qui sert de moyen de connexion en cas d’oubli…ou de dérober le Nano après avoir obtenu le mot de passe. Et justement, avec une liste des victimes et leurs adresses, un éventuel cambrioleur aurait le travail prémâché. De quoi attirer des voleurs ? Le cours du bitcoin s’envole en cette fin d’année 2020, et la valorisation du contenu de la plupart des portefeuilles s’envole avec lui.

Parmi les victimes de la fuite, environ 16 500 sont françaises, d’après une source qui a consulté les bases de données.

Cherchez sur Have I Been Pwned si vous êtes concerné

À peine trois heures après la publication sur le forum de hacker, le site Have I Been Pwned a ajouté le contenu de la fuite à sa propre base de données.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Ce site gratuit et indépendant fait office de moteur de recherche sur les fuites connues. Si vous êtes client de Ledger, vous pouvez entrer votre adresse email sur HIBP pour savoir si vous êtes concerné pour la fuite. En revanche, pour des raisons de sécurité, le site ne précise pas les informations incluses dans la fuite. Vous saurez que votre email figure ou non sur au moins un des deux fichiers, mais pas exactement quelles informations sont compromises.

Si votre adresse email fait partie de la fuite, redoublez de vigilance sur les mails et SMS que vous recevrez. Comme le martèle Ledger dans ses articles de prévention : ne donnez jamais les 24 mots de votre phrase secrète, pas même à Ledger.

Malgré tout, cette fuite n’a pas plombé l’année 2020 de Ledger. Dans le Figaro, le directeur général Pascal Gauthier se félicite d’une « nette hausse des ventes » et d’un « afflux massif de nouveaux utilisateurs ». Il précise l’ampleur du succès : « Nous observons en ce moment [l’article a été publié fin novembre, ndlr] des journées à plus de 450% de ventes de nos hardware wallets par rapport à novembre l’an dernier. » Capital (via sa newsletter spécialisée sur les cryptomonnaies, « 21 Millions »), rappelle que Ledger a récemment dû licencier une partie de ses employés, mais aussi que désormais, l’entreprise veut s’imposer comme géant mondial du secteur.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !