La fuite de Ledger date de juin 2020, mais personne ne savait exactement qui y a eu accès. Ce dimanche 20 décembre, les bases de données volées sont pratiquement devenues publiques. Sur le forum de ventes de données le plus populaire, un utilisateur a déposé deux fichiers textes (.txt), que n’importe quel visiteur peut télécharger gratuitement (ou presque, selon son utilisation du forum). L’anonyme a obtenu les bases de données volées dont Ledger avait parlé publiquement cet été, mais a décidé de les rendre publiques plutôt que de seulement les revendre ou les exploiter.
La publication de données sans rémunération signifie le plus souvent que de (relativement) nombreux autres pirates ont déjà obtenu et exploité la base de données, et qu’elle n’a donc plus trop de valeur. « Le premier prix confirmé que j’ai vu pour cette base de données était de 5 BTC [environ 100 000 euros au cours actuel, ndlr] », avance l’auteur dans le message consulté par Cyberguerre. Le forum sur lequel se trouve le message est bien connu de tous ceux qui s’intéressent aux fuites, et est accessible par une simple recherche Google, sans utiliser Tor. Des milliers de visiteurs, loin de faire partie du grand banditisme, y ont accès : c’est pourquoi le dépôt gratuit d’une base de données sur ce forum revient à la rendre publique.
Ledger a réagi rapidement sur Twitter :
« Nous étions déjà au courant de cette fuite de données. Nous avions alerté les autorités ainsi que nos utilisateurs, et nous avons affronté les attaques qui en découlent depuis », se défend-elle. L’entreprise liste les nouvelles garanties de sécurité qu’elle a déployées depuis : elle a embauché un nouveau directeur de la sécurité ; une entreprise externe a effectué des tests de pénétration sur son réseau à la recherche de failles ; elle a fait tomber plus de 170 sites de phishing…. Mais malgré ces efforts, les actions contre les clients de Ledger pourraient connaître un nouveau pic dans les jours à venir.
La fuite nourrit déjà des phishings sophistiqués
Le premier fichier déposé contient 1 075 382 adresses email de personnes inscrites à la newsletter de Ledger. Pour un cybercriminel, cette base de données est déjà une belle base pour lancer des phishings contre les clients de l’entreprise française. Justement, des phishing particulièrement sophistiqués, et taillés sur mesure pour les clients de Ledger circulent déjà depuis plusieurs mois : nous vous présentions un exemple en octobre, le Bleeping Computer évoquait d’autres cas début décembre, et le hacker éthique Adrien Jeanneau nous a signalé un nouvel exemple pas plus tard que ce dimanche. L’objectif : vider les fonds de cryptomonnaie protégés par les clés Ledger, alors que le bitcoin a récemment atteint de nouvelles hauteurs de valorisation, à plus de 20 000 euros.
Sur son site officiel, Ledger affiche un bandeau pour prévenir qu’une campagne de phishing est en cours. L’entreprise précise par ailleurs qu’elle a fait supprimer 171 sites frauduleux. Mais malgré ces efforts, elle peine à s’en débarrasser. Grâce à sa communication plutôt transparente et réactive sur la fuite, Ledger pourrait tout de même avoir prévenu un certain nombre de ses clients à temps pour qu’ils ne se fassent pas pirater.
Le second fichier déposé par l’anonyme pose encore plus de problèmes : c’est un historique de 272 853 commandes. Pour chaque produit vendu, Ledger conservait l’email, le numéro dé téléphone, et adresse (physique) et du client. C’est cette dernière information qui inquiète le plus les victimes. Le (presque) unique produit de Ledger est un appareil, le Nano, qui ressemble à une longue clé USB. Pour se connecter à un portefeuille (l’équivalent d’un compte bancaire pour les cryptomonnaies), les utilisateurs du Nano doivent le connecter à leur appareil, puis entrer leur code PIN (à plus de 4 chiffres).
C’est une importante garantie de sécurité : un éventuel cambrioleur n’a d’autre choix que de deviner la phrase secrète de 24 mots qui sert de moyen de connexion en cas d’oubli…ou de dérober le Nano après avoir obtenu le mot de passe. Et justement, avec une liste des victimes et leurs adresses, un éventuel cambrioleur aurait le travail prémâché. De quoi attirer des voleurs ? Le cours du bitcoin s’envole en cette fin d’année 2020, et la valorisation du contenu de la plupart des portefeuilles s’envole avec lui.
Parmi les victimes de la fuite, environ 16 500 sont françaises, d’après une source qui a consulté les bases de données.
Cherchez sur Have I Been Pwned si vous êtes concerné
À peine trois heures après la publication sur le forum de hacker, le site Have I Been Pwned a ajouté le contenu de la fuite à sa propre base de données.
Ce site gratuit et indépendant fait office de moteur de recherche sur les fuites connues. Si vous êtes client de Ledger, vous pouvez entrer votre adresse email sur HIBP pour savoir si vous êtes concerné pour la fuite. En revanche, pour des raisons de sécurité, le site ne précise pas les informations incluses dans la fuite. Vous saurez que votre email figure ou non sur au moins un des deux fichiers, mais pas exactement quelles informations sont compromises.
Si votre adresse email fait partie de la fuite, redoublez de vigilance sur les mails et SMS que vous recevrez. Comme le martèle Ledger dans ses articles de prévention : ne donnez jamais les 24 mots de votre phrase secrète, pas même à Ledger.
Malgré tout, cette fuite n’a pas plombé l’année 2020 de Ledger. Dans le Figaro, le directeur général Pascal Gauthier se félicite d’une « nette hausse des ventes » et d’un « afflux massif de nouveaux utilisateurs ». Il précise l’ampleur du succès : « Nous observons en ce moment [l’article a été publié fin novembre, ndlr] des journées à plus de 450% de ventes de nos hardware wallets par rapport à novembre l’an dernier. » Capital (via sa newsletter spécialisée sur les cryptomonnaies, « 21 Millions »), rappelle que Ledger a récemment dû licencier une partie de ses employés, mais aussi que désormais, l’entreprise veut s’imposer comme géant mondial du secteur.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !