Piratage Ledger – 1 million de comptes clients exposés

L’information vient d’être rendue officielle aujourd’hui, mais le piratage date du mois de juin de cette année. Cela concerne les données privées d’un million de clients de la société Ledger. Ce qui correspond à la moitié de la base de données de l’entreprise leader dans le domaine des portefeuilles de cryptomonnaies de type hardware. 

Coup de tonnerre dans la cryptosphère ce matin. La société Ledger vient de révéler dans un courrier adressé à ses clients que son site Internet a été piraté en date du 25 juin de cette année. Cela suite à l’exploitation d’une faille qui n’a été identifiée que le 14 juillet dernier par un expert informatique indépendant. La fuite représente 1 million de comptes utilisateurs et leurs données privées. 

Les personnes concernées sont celles ayant acheté une clé directement sur le site marchand de Ledger et celles qui reçoivent la newsletter de la start-up.

La sécurité des clés n’est pas engagée

Il s’agit là du plus gros piratage dont a été victime la société Ledger depuis sa création. Mais il ne s’agit malheureusement pas de la première fuite de données de ce genre. Fait rassurant, la sécurité des clés de stockage n’est pas directement engagée. Ce n’est pas pour rien que cette solution de portefeuille de cryptomonnaie « à froid » est la plus fiable dans le domaine à l’heure actuelle. 

Le véritable risque est l’utilisation des données dérobées dans le cadre d’opérations d’attaques malveillantes ciblées de type phishing. Ce qui permet de rappeler qu’il ne faut sous aucun prétexte donner la liste de 24 mots qui garantit l’intégrité de votre clé de stockage. 

La société Ledger reconnaît sa responsabilité dans cette affaire. Cela du fait que l’attaque a exploité une faille existant depuis 2018. Cette dernière ayant été « ouverte » suite à l’implémentation d’une mauvaise clé dans le code JavaScript du site.

Le temps est maintenant à l’estimation de l’ampleur des dégâts impliqués par cette attaque avant de devoir rendre des comptes à la CNIL. Pascal Gauthier, directeur de l’entreprise exprime ses regrets face à cette situation et indique avoir déposé une plainte.