Le pirate informatique probablement responsable de la faille de sécurité de Ledger en juillet a récemment déversé une grande quantité de données exposant les informations personnelles de plus de 270000 clients, y compris les numéros de téléphone et les adresses physiques. La fuite comprenait également 1 million d’e-mails de propriétaires de portefeuilles Ledger et de clients inscrits au service de newsletter de l’entreprise.

Au milieu de la fureur causée par l’incident, Ledger affirme que son objectif est d’améliorer son infrastructure de sécurité plutôt que de rembourser les utilisateurs pour les pertes qui pourraient survenir. Pendant ce temps, certains clients concernés envisageraient d’intenter une action en justice contre la société sous la forme d’un recours collectif.

La fuite de données client du grand livre offre également un nouvel élément pour le débat sur la mise en œuvre de protocoles de conformité Know Your Customer, dont les critiques soutiennent que de telles mesures encouragent les cyberattaques ciblées visant à exposer des données personnelles critiques.

Plus de 270000 détails de compte personnel compromis

Comme mentionné, le pirate informatique vraisemblablement responsable de la violation de la base de données de commerce électronique Ledger en juillet a vidé les informations personnelles de milliers d’utilisateurs concernés en ligne. La société a été accusée sur les réseaux sociaux de ne pas offrir une meilleure protection des données des utilisateurs et de minimiser l’étendue de la violation initiale. À l’époque, le fabricant du portefeuille matériel a déclaré que seuls 9 500 clients étaient touchés par la faille de sécurité.

Remédier à la disparité du nombre déclaré de personnes touchées, Ledger Publié une déclaration du 21 décembre déclarant que la fuite couvrait plus de matériaux qu’elle n’avait pu en analyser plus tôt dans l’année. Cependant, la société a affirmé que les fonds des clients restaient en sécurité, ajoutant: «Cette violation de données n’a aucun lien ni impact sur nos portefeuilles matériels, l’application ou vos fonds. Votre crypto les actifs sont en sécurité. Bien que vraiment et sincèrement regrettable, cette violation ne concerne que les informations liées au commerce électronique.  »

Répondant à l’incident via Twitter, le PDG de Ledger Pascal Gauthier remarqué que la fuite était révélatrice de la menace croissante de cyberattaques. Apparaissant sur le Ce que Bitcoin a fait podcast avec Peter McCormack, Gauthier commenté sur la nature de la violation, indiquant qu’elle était le résultat d’une erreur dans la pile de commerce électronique de l’entreprise.

«C’est une mauvaise clé API qui a été codée sur le client de la carte pour importer la base de données du magasin qui a été codée aux mauvais emplacements et qui a donc été codée là où elle n’aurait pas dû être codée et a exposé la base de données à une simple attaque, »A expliqué Gauthier.

Au milieu des réactions à la fuite, certains experts en cybersécurité ont souligné que l’incident était un autre indicateur du manque de déploiement de chiffrement par les administrateurs de base de données pour stocker les données des utilisateurs. Le PDG de Ledger a abordé le manque de cryptage sur les clés API, ajoutant qu’il s’agissait d’une erreur honnête et non d’une tentative délibérée de mettre en danger la sécurité des clients en ne hachant pas les clés API.

Commentant la fuite, Ruben Merre, PDG du fabricant de portefeuilles matériels NGRAVE, a fait remarquer que l’incident reflétait une croissance rapide parmi crypto entreprises au détriment des considérations de sécurité. Il a ajouté: «Tant de plateformes en ligne sont piratées, et pas nécessairement à cause des compétences des pirates. Souvent, les plates-formes ont simplement une mauvaise gouvernance de la sécurité, sans parler de la mise en œuvre. »

«Scareware» et autres facteurs de risque

La fuite de données a déclenché une autre série d’attaques de phishing alors que des acteurs voyous, désormais armés des e-mails des utilisateurs de Ledger, tentent de tromper les clients du portefeuille en leur faisant révéler leur phrase de départ de 24 mots. Même avant le vidage des données, ces faux courriels étaient monnaie courante.

Cependant, l’exposition des numéros de téléphone et des adresses personnelles ouvre potentiellement les utilisateurs du grand livre à davantage de facteurs de risque. Certains utilisateurs ont signalé des tentatives d’attaques par échange de carte SIM sur leurs numéros, le pirate informatique tentant vraisemblablement de compromettre les protocoles d’autorisation à deux facteurs.

Les investisseurs en crypto ont été la cible d’attaques de swap SIM dans le passé. En juin dernier, Richard Yuan Li a été accusé de complot en vue de commettre une fraude par fil dans le cadre d’une série d’attaques par échange de cartes SIM visant plus de 20 personnes.

Outre les exploits de phishing et d’échange de cartes SIM, la fuite de données ouvre également la possibilité aux facteurs de risque de passer du scareware au domaine des attaques physiques réelles. En effet, certains utilisateurs affectés par l’incident affirment avoir reçu des messages menaçants demandant des paiements ou risqueraient d’éventuelles invasions de domicile.

Le PDG de Ledger a reconnu la possibilité d’attaques physiques en raison de la surveillance de l’entreprise et a également assuré aux utilisateurs que leurs dispositifs de portefeuille matériel contenaient plusieurs protocoles de protection pour se protéger contre le vol de fonds. Parmi ces mesures de sécurité, il y a l’utilisation d’entrées de code PIN incorrectes pour formater les appareils ou un deuxième mot de passe qui affiche un compte factice, laissant les fonds réels du propriétaire à l’abri des mauvais acteurs.

De plus, le consensus parmi les experts en sécurité des médias sociaux, les consommateurs devraient utiliser des adresses de boîtes postales ou d’autres lieux de collecte publics au lieu de leurs adresses personnelles réelles pour les articles sensibles comme un portefeuille rigide Ledger. Pour ceux dont les numéros de téléphone sont compromis, la meilleure ligne d’action semble être d’obtenir un nouveau numéro et d’utiliser une nouvelle adresse e-mail pour communiquer le changement aux contacts importants.

Alors que les clients concernés continuent de faire face aux retombées de la fuite, Ledger affirme qu’il s’efforce de prévenir de futures occurrences. Dans une déclaration à Cointelegraph, la société a déclaré:

«Nous faisons tout ce qui est en notre pouvoir pour mettre fin à ces attaques et éviter de telles situations à l’avenir. Ledger a mis en place un ensemble de mesures pour protéger nos utilisateurs contre les victimes d’attaques de phishing. Nous avons mis en place une page Web partageant l’anatomie des attaques de phishing afin que les utilisateurs puissent éviter de tomber pour eux et signaler toute nouvelle attaque. »

Les utilisateurs concernés menacent de poursuites judiciaires

Certains utilisateurs concernés ont commencé à plaider pour une action en justice contre Ledger immédiatement après la fuite signalée. Il existe même un sous-programme «Ledger wallet leak» sur la plateforme Reddit, où les utilisateurs discutent des modalités possibles d’un recours collectif.

Avec son siège à Paris, Ledger relève des lois de l’Union européenne. En novembre, le Parlement européen adopté des amendements législatifs qui permettront aux clients de l’UE d’intenter des actions collectives contre les entreprises opérant dans la région au cours des deux prochaines années.

Selon la décision de l’époque, une fois adoptée, des recours collectifs peuvent être intentés contre des entreprises opérant dans l’UE pour des affaires impliquant des services financiers, le tourisme et la protection des données, entre autres.

Les clients européens de Ledger auront besoin d’un organisme de protection des consommateurs qualifié ou d’une autre entité reconnue pour représenter les plaignants. Cependant, contrairement aux lois américaines, les dommages-intérêts punitifs résultant des recours collectifs de l’UE sont limités aux pertes réelles subies par la classe des plaignants.

Outre les clients intentant une action en justice contre l’entreprise, la fuite de données pourrait également constituer une violation de la vie privée aux yeux des régulateurs européens, en particulier au titre du règlement général sur la protection des données de l’UE. Dans de telles situations, l’UE a la possibilité d’amender Ledger jusqu’à 4% de ses revenus.

En effet, le PDG de Ledger ayant admis auprès de la société avoir anonymisé de manière inappropriée les données des utilisateurs, la société pourrait être soumise à un examen minutieux de la part des fonctionnaires de l’UE. Considérant 26 du RGPD mandats toutes les entreprises pour assurer la suppression complète de toutes les informations permettant d’identifier les utilisateurs de leur cache de données stockées ou traitées.