Ledger est une start-up française qui conçoit et commercialise des portefeuilles de cryptomonnaies physiques destinés aux particuliers et aux entreprises.

Le Ledger Nano S, son produit phare, est un « hardware wallet » vendu à plus de 1,5 million d’exemplaires à travers le monde. Ledger emploie environ 200 personnes.

Mettre son agent (même en crypto) sur un portefeuille physique plutôt que sur un portefeuille en ligne c’est pour avoir plus de sécurité. Et c’est le cas avec les portefeuilles Ledger.

Aucune faille recensée ou tout juste une petite mise à jour de sécurité trouvé il y a déjà bien longtemps.

Pourtant Ledger en est arrivé là :

L’entreprise qui gère la sécurité de million de dollar sur ses portefeuilles physiques a droit à une publicité en première page de Google qu’elle se serai bien passée.

Qu’est ce qui s’est passé ?

En fait rien au niveau des portefeuilles physiques mais Leadger c’est fait hacker en juin 2020 sa base de données contenant la liste des inscrits à sa lettre d’actualité mais surtout à la liste de ses clients. Cette liste, en plus de l’email, contient le numéro de portable et l’adresse postale du client.

On peut être un des leaders de la sécurité en cryptomonnaie et tout bêtement se faire pirater sa base de données. Ledger n’a pas communiqué sur la technique utilisée par les pirates et à l’époque a simplement indiqué qu’environ 9500 adresses emails avaient été piraté.

Simplement 9500 adresses emails!

9500 emails rien de bien grave. De juin à décembre de nombreuses campagnes d’email de phishing ont été envoyé au client de Ledger. Ces emails essayant de se faire passer pour Ledger afin d’obtenir les 24 mots permettant de débloquer le portefeuille physique. Mots connus que par l’utilisateur qu’il doit garder bien caché lui permettant de récupérer ses cryptos en cas de perte ou de panne de son portefeuille physique.

Des emails de phishing plus vrai que nature et qui vous font arriver sur des sites à l’identique de celui de Ledger vous demandant de connecter votre clé et de taper vos 24 mots secrets.

Tout cela semble bien vrai et si la personne n’est pas informé qu’il y a un risque de fuite de son adresse email tout le monde peut se faire prendre. Sur l’image ci-dessus il y a bien un bon certificat à jour et l’URL correspond même à l’adresse de Leadger.

Vous avez bien vérifier l’URL ? Regardez bien le 1er e de Leager. En fait il y a un point en dessous.

Vraiment que 9500 ?

En fait au vu de l’ampleur du nombre de email, que certain contenait l’adresse du client et aussi les messages par SMS tout le monde avait des doutes.

Et mi décembre comme la liste ne devait plus se vendre (elle était à 100 000€) elle a été diffusé gratuitement sur un site « spécialisé » donc presque grand public.

Et le verdict c’est un million d’adresse email pour la lettre d’information et 272 000 clients avec email, portable et adresse perso.

Voilà pourquoi Ledger a fait l’objet de beaucoup de message et de vidéo très négatif sur la toile. Se faire voler les données cela peut arriver et la sécurité à 100% n’existe pas mais minimiser l’ampleur c’est un peu plus dure à passer auprès des clients et futur cleint.

Et la suite …

Les fêtes de fin d’année sont passées et les articles sur le web sont plus rare. Sur Google la recherche de Ledger est déjà plus « normale » et il faut fouiller pour trouver les info sur la fuite de données.

Il faudra surement encore un peu de temps que que Ledger retrouve un nombre de vente comme avant car le milieu de la Crpto est un petit milieu où tout le monde cherche de l’information. Ledger a dit avoir fait le nécessaire pour ne plus vivre et faire vivre cela à ses clients.

---