Envoi de fausses clés Ledger : les clients subissent encore la fuite de 2020

En juin 2020, l’entreprise française Ledger a subi une importante fuite de données. Des intrus ont dérobé des fichiers utilisés par son service client et ses équipes de marketing, qui contenaient plus d’un million d’adresses email de clients, mais aussi le nom, l’adresse et le numéro de téléphone de quelques milliers d’entre eux. Dans un premier temps, ces données se sont vendues sur des marchés plutôt confidentiels. Puis 6 mois plus tard, en décembre 2020, un individu a publié 270 000 lignes de ce fichier sur un forum public.

Un an après, Ledger essuie encore les pots cassés de ce raté de sécurité. Le dernier incident en date a été relayé par le Bleeping Computer le 16 juin. Un utilisateur de Ledger a reçu par la poste un colis en apparence envoyé par l’entreprise. Méfiant, il a demandé aux membres du forum Reddit r/Ledgerwallet de lui confirmer qu’il s’agissait bien d’une escroquerie. « En tant que victime de la dernière fuite de données, je me suis inscrit à Reddit uniquement pour publier ceci », précise-t-il. Le site Have I Been Pwned, sorte de moteur de recherche des fuites de données, permet en effet aux clients de Ledger de savoir si leurs données font partie de la fuite.

Voici l’étrange colis reçu par un client de Ledger. // Source : Reddit u/jirand

Photo à l’appui, l’auteur du message présente le contenu du colis reçu : deux couches d’emballage aux couleurs de Ledger, une lettre prétendument signée par le CEO Pascal Gauthier, un manuel d’utilisation, et une supposée clé Nano X, le produit premium de Ledger pour sécuriser l’accès à son portefeuille de cryptomonnaie. L’utilisateur est même allé jusqu’à démonter l’appareil pour prendre en photo son circuit imprimé, et le comparer à celui de la clé Ledger qu’il possède déjà.

Très rapidement, Nicolas Bacca, le co-fondateur et CTO de Ledger, a lui-même répondu à la publication. « C’est un faux appareil, ne l’utilisez pas. Nous avons déjà enquêté sur ce genre de manipulation », écrit-il sous son pseudo « BTChip ».

Le faux Ledger cache une clé USB

Le courrier — écrit dans un mauvais anglais — explique au destinataire qu’il doit remplacer sa clé Ledger par celle contenue dans le colis à cause… de la fuite de données. « Pour cette raison, nous avons changé la structure de notre appareil. Nous garantissons désormais que ce genre de fuite ne se produira plus jamais », inventent les escrocs pour justifier l’étrange colis. Les malfaiteurs se servent des informations la fuite à la fois pour cibler les clients, mais aussi comme prétexte pour les pousser à l’erreur.

Vu de l’extérieur, l’appareil se présente comme une Nano X, mais de l’intérieur, les soudures grossières prouvent que quelque chose ne tourne pas rond. D’après le Bleeping Computer, une simple clé USB a été intégrée au Ledger, probablement pour transporter un malware. Le manuel d’utilisation indique à la victime de connecter leur Ledger à l’ordinateur, d’ouvrir le dossier qui apparaît, et de lancer l’application embarquée. En réalité, il pousse l’utilisateur à déployer le malware sur son ordinateur.

Mais il ne s’arrête pas là : il demande ensuite au propriétaire du Ledger d’entrer sa phrase secrète — une suite de 24 mots qui permet d’accéder au portefeuille de cryptomonnaie même cas de perte des identifiants. Si la victime donne sa phrase secrète, les cybercriminels pourront configurer un Ledger en leur possession pour accéder à ses portefeuilles, et en vider le contenu. Sans que la victime ait de recours possible.

Cet exemple d’escroquerie est particulièrement avancé. Mais sur l’année écoulée, les clients de Ledger ont reçu de nombreuses simples tentatives de phishing, comme celle que Cyberguerre avait analysée en octobre 2020.

La fausse clé Nano ouverte en 2. À gauche se trouve l’avant, à droite se trouve l’arrière. // Source : Reddit u/jirand

Ledger a pourtant bien géré l’après-fuite

Les conséquences de la fuite de données paraissent sans fin, et pourtant, Ledger a plutôt bien géré l’après-fuite :

• D’abord, il a immédiatement communiqué de façon transparente sur l’incident à la fois par un communiqué officiel et sur ses réseaux sociaux.
• Ensuite, l’entreprise a pris plusieurs mesures : elle a embauché un nouveau directeur de la sécurité ; payé une entreprise externe pour effectuer des tests de pénétration sur son réseau à la recherche de failles ; et surtout, elle lutte très activement contre les sites de phishings.
• La startup française a fait tomber des centaines de sites frauduleux en un an, et d’après nos observations, ils ne restent que très rarement plus d’un jour en ligne, ce qui limite considérablement le nombre de victimes potentielles.
• De plus, le bandeau de prévention contre les phishings ne quitte plus plus la page d’accueil de son site, et l’entreprise répond régulièrement aux doutes de ses clients sur les réseaux sociaux. Elle compile aussi les tentatives d’escroquerie rencontrées par ses clients sur une page dédiée. Par exemple, on y retrouve, en mai, le récit d’une tentative d’entourloupe similaire à celle subie par l’utilisateur de Reddit.

« Ledger ne peut pas désactiver et ne désactivera pas un appareil. »

Contactée par Cyberguerre à propos de l’histoire publiée sur Reddit, Ledger a très rapidement répondu : « Ledger n’enverra jamais de Nano de remplacement si cela n’a pas été convenu de manière ad hoc avec le client. Si un client Ledger reçoit un Nano alors qu’il ne l’a pas demandé, il est conseillé soit de le jeter, soit de nous contacter et de nous l’envoyer directement pour analyse », rappelle un porte-parole de l’entreprise, avant de compléter : « Ledger ne peut pas désactiver et ne désactivera pas un appareil. Nous ne sommes pas en mesure de le faire. Ledger ne contactera jamais un client par SMS, voie postale ou téléphone. Ledger ne communique que par e-mail et via ses réseaux sociaux officiels. » Ces déclarations sont un nouvel exemple que pour détecter un phishing, il suffit le plus souvent de se poser quelques questions sur le scénario qui nous est proposé.

Heureusement pour la startup, ces tentatives d’escroqueries ne semblent pas trop nuire à son business. Fin 2020, le directeur général Pascal Gauthier se félicitait d’une « nette hausse des ventes » et d’un « afflux massif de nouveaux utilisateurs » dans le Figaro, avec des journées à « plus de 450 % de ventes » par rapport à 2019. Il faut dire que l’explosion du cours des cryptomonnaies — celui du bitcoin en tête — attire toujours plus de curieux, et donc de clients potentiels pour Ledger. Si le cours est reparti à la baisse par rapport au début de l’année, il continue sa croissance à long terme.

Cette tendance a permis à Ledger de lever 380 millions de dollars — un montant encore rare dans l’écosystème français — et de rejoindre Doctolib, Blablacar ou encore Meero parmi les startups françaises les mieux valorisées.

Quel est le meilleur Gestionnaire de mots de passe ? Les meilleurs gestionnaires de mots de passe Retrouvez nos tests complets

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.