Session AMA (« demandez-moi tout ce que vous voulez ») TL;DR sur la violation de données : démystification de la violation avec Matt Johnson, RSSI de Ledger

English | Français | Español | Deutsch

Matt est un ancien officier de la police fédérale australienne. Il possède une expérience confirmée en matière de sécurité physique et de cybersécurité et a notamment été chef de la sécurité du groupe chez Ingenico et directeur de la cybersécurité chez Visa.

À la suite de la violation de données, et peu de temps après les débuts de Johnson, Ledger a pris des premières mesures significatives pour remédier à la situation et s’assurer qu’un tel piratage ne se reproduise pas. Cette session AMA (« demandez-moi ce que vous voulez ») a été la première occasion pour Johnson de partager avec vous sa vision du futur et de répondre à vos questions. Voici notre version TL;DR (« trop long ; pas lu »).

Avant de commencer

Tout d’abord, en tant qu’entreprise, nous sommes profondément désolés que ces incidents se soient produits et pour la souffrance ou le stress qu’ils vous auraient pu vous causer. Assurer votre sécurité est la mission de Ledger et nous prenons ces incidents extrêmement au sérieux, tant sur le plan personnel que professionnel. Une partie de notre mission consiste également à communiquer de manière transparente et à écouter vos préoccupations. C’est la raison pour laquelle nous avons organisé cet événement : pour vous apporter des réponses. Pour ceux d’entre vous qui ont assisté à notre session AMA, nous voulons vous remercier de votre présence et de votre participation. 

Des adversaires focalisés tenteront toujours d’accéder aux données de Ledger en adoptant différentes approches. Nous devons donc continuer à renforcer notre position en matière de sécurité. Il s’agit d’un problème qui touche l’ensemble de notre secteur et que nous devons combattre ensemble. Ledger redouble d’efforts pour contribuer à cette lutte. Aujourd’hui, notre objectif est de démystifier la situation et de vous permettre, en tant que membres de notre communauté, de comprendre parfaitement ce problème. 

Si vous voulez en savoir plus sur ce qui s’est passé, vous pouvez lire le résumé ici.

Notre plan d’action pour avancer

Les violations de données et les attaques par phishing représentent un problème de plus en plus répandu dans le secteur et nous faisons tout ce qui est nécessaire pour faire face à toutes les futures menaces. Nous continuons à travailler sur ce problème tous les jours. Aujourd’hui nous voulons partager avec vous les prémices de notre nouveau plan qui vise à renforcer la protection de nos clients.

• Nous annonçons des changements dans la manière dont Ledger traitera les données client : notre objectif est de supprimer complètement et dès que possible vos données personnelles telles que votre nom, adresse et numéro de téléphone. Nous nous imposons à nous-mêmes et aux fournisseurs tiers de ne conserver ces données que pendant une période aussi courte que nécessaire pour remplir nos obligations envers nos clients (comme l’exécution de votre commande) et la loi (comme les obligations comptables et juridiques). Les données qui doivent être conservées seront placées dans un environnement séparé dès que possible.
• Nous mettrons en place un modèle de messagerie dans lequel les informations importantes et actives au niveau technique et en matière de sécurité seront transmises à travers Ledger Live. Les e-mails et les réseaux sociaux seront UNIQUEMENT utilisés pour diffuser des messages et des annonces relatifs aux produits.
• Nous procéderons à une réévaluation détaillée de tous nos fournisseurs et partenaires pour nous assurer qu’ils continuent de répondre aux normes les plus élevées.

Ledger investit dans de nombreuses ressources supplémentaires pour identifier et poursuivre les responsables des attaques contre Ledger et ses clients. Cela inclut un fonds de récompense de 10 BTC pour toute information menant à une arrestation et permettant d’engager des poursuites. Nous espérons que d’autres entreprises rejoindront le programme de primes et contribueront à rendre la communauté des adeptes de cryptomonnaies plus sûre.

Vos questions, nos réponses 

1- Mes fonds ou mes informations de paiement ont-ils été compromis ? 

Pendant ces attaques, les wallets physiques Ledger ne sont pas compromis et vos cryptomonnaies restent sécurisées tant que vous ne partagez pas votre phrase secrète de récupération de 24 mots avec quelqu’un d’autre (en particulier s’il s’agit de quelqu’un qui se fait passer pour Ledger : Ledger ne vous demandera jamais ces informations). De plus, Ledger n’enregistre pas les informations de carte de crédit ; la violation de données n’affecte donc pas vos données de paiement.

2- J’ai reçu des appels téléphoniques ou des SMS contenant des menaces physiques, que dois-je faire ?

Tout d’abord, nous vous présentons nos excuses pour cette situation plutôt stressante. Nous comprenons ce que vous vivez et, aussi effrayant que cela puisse être, nous vous prions de ne pas paniquer. Les escrocs cherchent généralement à maximiser leurs gains avec le moins de risques possibles, c’est pourquoi aucune attaque physique n’a été reportée. Les escrocs essayent toujours de s’en prendre aux éléments les plus faciles à attaquer. Ils essaieront de créer un sentiment d’urgence et de panique, de faire en sorte que le facteur temps soit décisif, de jouer avec vos peurs et de faire tout ce qui est en leur pouvoir pour vous convaincre de leur remettre les 24 mots de votre phrase secrète de récupération.

Veuillez rester calme et recueillez toutes les preuves de tentatives de phishing pour déposer plainte auprès de la police locale. Envoyez-nous ensuite le numéro du rapport de police. Ledger recueille un nombre important de rapports des clients ce qui permet de les traiter et les transmettre aux services répressifs spécialisés. Si nous voulons trouver les responsables, nous avons besoin de votre aide. Contactez-nous à travers notre formulaire de contact en ligne et sur Twitter @Ledger_Support. 

3- Je n’ai reçu aucun e-mail de Ledger, comment savoir si mes données ont été divulguées ? 

Les données qui ont été exposées sont les adresses e-mail, les noms, les prénoms, les numéros de téléphone, le(s) produit(s) commandé(s) et les adresses de livraison. Nous avons contacté par e-mail les utilisateurs concernés pour leur communiquer les informations exactes qui ont été divulguées dans leur cas. Si vous n’avez pas reçu d’e-mail de Ledger, veuillez vérifier vos courriers indésirables. Vous pouvez également contacter notre équipe d’assistance ou consulter le site Internet  https://haveibeenpwned.com/ où vous pourrez voir instantanément si vos données ont été divulguées dans le cadre de cette violation.

4- Vendez-vous des données ou des informations à des sociétés de télémarketing ?

En aucun cas, vos données n’ont été divulguées intentionnellement et Ledger n’a jamais tiré profit de la vente ou du partage de vos données avec un tiers.  

5- Utilisez-vous un tiers indépendant pour effectuer des tests d’intrusion ? Offrez-vous des primes pour trouver les bugs ou les failles ?

Nous effectuons des tests d’intrusion de manière active, nous disposons également d’un laboratoire de sécurité appelé Ledger Donjon qui teste en permanence nos dispositifs matériels. Puisque l’avantage de posséder un wallet physique comme celui de Ledger est d’utiliser un affichage fiable pour vérifier les informations, nous recommandons toujours à nos utilisateurs de procéder de cette manière avant de valider manuellement toute procédure ou transaction.

En outre, nous disposons d’un programme actif de prime aux bugs. Ledger continue d’encourager la communauté à participer à ce programme pour renforcer notre engagement en matière de sécurité. Plus d’informations ici. 

6- Ledger partagera-t-il les renseignements sur les attaques par phishing avec d’autres fabricants de matériel ? J’ai entendu dire que des escrocs ciblent également les mêmes adresses en s’attaquant d’autres appareils, car ils savent que certaines personnes possèdent les deux ?

Oui, nous avons annoncé notre intention de collaborer avec d’autres acteurs du secteur sur cette initiative. Nous avons également pris contact avec d’autres entreprises et individus concernés à propos du financement en cours du programme de primes pour les crimes commis contre la communauté des adeptes de la cryptomonnaie. 

7- Prévoyez-vous d’indemniser les personnes touchées par la violation de données ? 

Nous ne prévoyons pas d’offrir un dédommagement aux personnes touchées par la violation de données. Cependant, nous sommes déterminés à nous concentrer sur la recherche et développement pour renforcer notre sécurité. Par ailleurs, nous consacrons également des ressources considérables à l’enquête sur la violation des données et aux campagnes de phishing en cours afin de traduire les responsables en justice, dans l’intérêt de l’ensemble de notre écosystème.

Perspectives d’avenir 

C’est une période difficile pour nous tous. Nous remercions ceux d’entre vous qui nous ont soutenus. Et pour tous les clients de Ledger : soyez certain que nous travaillons 24 heures sur 24 pour que cela ne se reproduise plus jamais. Comme le dit le vieux dicton, « Ce qui ne vous tue pas vous rend plus fort », en d’autres termes, Ledger sortira renforcé de cette épreuve pour vous offrir une meilleure expérience, plus solide et plus sûre ; vous avez notre parole. 

Nous sommes honorés de faire partie de cette communauté et nous continuerons à travailler plus dur chaque jour pour évoluer et ajouter de la valeur à l’écosystème, mais surtout pour mériter votre confiance.