Ledger – nouvelle faille de sécurité en lien avec le site Shopify

La société Ledger qui commercialise des clés hardware de sécurisation des cryptomonnaies est de nouveau au centre d’un problème de sécurité majeur. Une situation qui devient malheureusement presque banale depuis le hack de son site Internet en juillet dernier. Ce dernier ayant exposé les données de plus d’un million de ses clients. Et il semble que la malchance poursuive cet acteur français de la cryptosphère dont l’offre reste pourtant la plus sûre du marché.

Recevoir un mail officiel de la société Ledger qui fait état d’une nouvelle fuite de données clients est presque devenu une chance. Principalement car – après vérification obligatoire – cela veut dire que pour une fois il ne s’agit pas d’une nouvelle opération de phishing. Car c’est à un véritable déversement de tentatives plus ou moins subtiles que doivent faire face les utilisateurs de ces clés de « sécurité » dédiées aux cryptomonnaies depuis des mois.

Une situation qui a même amené la société à avertir officiellement les utilisateurs concernés que leur sécurité physique pouvait être engagée. Car parmi les informations volées figurent les adresses de ces derniers. Et que le fichier qui contient ces données a été mis en libre accès sur Internet depuis quelques semaines. Que pouvait-il arriver de pire ?

Faille de données de Shopify

Et il semble que le destin ait décidé de s’acharner sur la société Ledger. Cela même si l’on tente de faire abstraction de la volonté actuelle des instances de régulation américaines d’en restreindre et/ou d’en contrôler l’utilisation. Les amateurs actuels de scénarios flirtant avec la paranoïa pourraient même imaginer un lien entre tous ces événements, tellement ils sont coordonnés et ciblés. Mais seuls les faits établis comptent dans le cas présent.

Il s’agit donc d’une fuite de données qui concerne la structure Shopify. Une plateforme de commerce électronique qui met en relation les prestataires de service et leurs clients. Un « incident » qui aurait été perpétré par des employés malveillants de cette entreprise entre les mois d’avril et juin de l’année dernière. Ces derniers ont en effet exporté les bases de données clients des entreprises qui utilisaient leurs services. Dont Ledger qui en dresse le bilan officiel hier sur son compte Twitter.

« Récemment, nous avons partagé des nouvelles d’un vol de données. Le 23 décembre, nous avons été alertés par notre fournisseur de commerce électronique Shopify à propos d’un incident en avril et juin 20 au cours duquel les membres de leur équipe malveillants ont exporté les bases de données clients des marchands. Le grand livre était inclus. » – Ledger 

20 000 clients supplémentaires exposés

Malgré toutes ces déconvenues successives, la société Ledger reste toujours très précise et transparente dans sa communication. Ce qui est très clairement le véritable point positif de toutes ces histoires. Mais qui ne retire malheureusement rien au problème majeur de l’exposition des données de ses clients. Surtout lorsque vous comprenez que vous en faîtes partie lors de la réception de cet e-mail :

« Nous avons le regret de vous informer que vous faites partie des clients dont les informations personnelles détaillées ont été volées par des agents non autorisés de Shopify. Plus précisément, vos nom et prénom, le détail du ou des produits commandés, votre numéro de téléphone et votre adresse postale ont été exposés. » Ledger

Une réalité qui expose donc les informations personnelles de 20 000 clients supplémentaires. Nombre duquel il est peut-être possible de retirer certaines victimes du précédent hack, histoire de tenter une vision un peu plus positive de tout cela. Mais qui ouvre la voie à de nouvelles campagnes de phishing ciblées à leur attention. 

Une procédure judiciaire en cours

La société Ledger annonce dans son communiqué que des procédures judiciaires sont en cours. Cela au sujet de cette fuite de données de la société Shopify. Mais également dans le cadre de la précédente attaque de son site Internet. 

« Nous avons informé l’Autorité française de protection des données le 26 décembre 2020. Après avoir terminé la criminalistique avec Orange Cyberdefense, nous avons informé tous les clients concernés par cette violation par courrier électronique le 13 janvier 2021. Nous continuons à travailler avec Shopify et les procureurs sur l’affaire. Une enquête est déjà en cours, menée par le FBI et la GRC. » – Ledger 

Une page officielle a été mise en place pour permettre d’identifier et de répertorier les campagnes de phishing initiées contre les clients concernés. Et dans le même temps, Ledger annonce le développement d’un nouveau système de gestion des données personnelles. Cela afin de les conserver « pendant une période aussi courte que nécessaire pour remplir nos obligations envers nos clients. » 

Quoi qu’il en soit et comme le précise Ledger, ses clés de stockage « à froid » restent l’outil le plus sécurisé du marché à l’heure actuelle. Mais cela uniquement si ses clients ne se font pas avoir par un mail frauduleux, un SMS douteux ou un visiteur mal intentionné mais bien informé !