Six façons de se protéger contre la violation de données

Comme vous le savez probablement, cet été, Ledger a été victime d’une violation de données e-commerce. De nombreuses données de nos utilisateurs ont été dérobées.

Le 20 décembre, nous avons pris connaissance de l’exposition du contenu d’une base de données clients de Ledger sur RaidForums (un forum communautaire de hackers). Cela signifie que de nouvelles vagues d’attaques par hameçonnage ciblent nos utilisateurs en continu.

Aux utilisateurs touchés par cette violation de données, nous comprenons ce que vous ressentez. Mais aussi effrayant que cela puisse être, nous vous invitons à ne pas paniquer. Nous regrettons profondément cet incident et nous avons mis en place des procédures pour y faire face.

Voici six façons de vous protéger contre la violation de données :

1. Gardez votre calme

Les escrocs jouent sur votre peur pour vous faire agir de manière irréfléchie. Restez donc calme, ne paniquez pas et n’agissez jamais sous pression.

Lorsque vous réagissez sous le coup du stress, vous pouvez commettre des erreurs. Donc, si vous devez changer votre mot de passe, votre adresse email ou sauvegarder votre appareil, prenez votre temps et assurez-vous que vous faites tout correctement.

Par-dessus tout, sachez que vos fonds sont en sécurité, tant qu’ils sont stockés hors ligne. Les wallets physiques Ledger sont les meilleurs outils pour sécuriser et stocker vos actifs. Transférer vos fonds vers une plateforme d’échange ou un wallet applicatif vous rendra plus vulnérable.

Les produits Ledger offrent la meilleure sécurité pour vos cryptos, la violation de données n’affecte en aucun cas la sécurité de votre appareil. La seule chose à faire est de vous assurer que votre Nano et votre phrase de récupération sont conservés dans deux endroits différents et sûrs.

2. Ne partagez jamais vos 24 mots

Comme nous l’avons déjà dit, cette violation de données n’est pas liée à nos wallets physiques, ni à la sécurité de Ledger Live. Vos crypto-actifs sont en sécurité. Par conséquent, les pirates ne peuvent pas voler vos informations sensibles, comme vos phrases de récupération et vos clés privées, à moins que vous ne les leur donniez.

Vous devez savoir que vous êtes la seule personne à contrôler ces informations et leur accès. Veuillez faire preuve de prudence. Restez toujours en alerte face aux tentatives d’hameçonnage menées par des escrocs. Ne partagez jamais vos 24 mots avec qui que ce soit. Nous ne vous demanderons jamais les 24 mots de votre phrase de récupération, pas même dans Ledger Live. Ledger ne vous contactera jamais par SMS ou par téléphone

Nous vous invitons à vous familiariser avec le mode opératoire des campagnes d’hameçonnage en cours et à signaler toute tentative détectée. Pour cela, consultez cette page dédiée.

Ledger a envoyé deux emails différents aux personnes concernées pour leur expliquer les conséquences de cette violation de données. Le premier s’adressait au million d’utilisateurs dont seule l’adresse email avait fuitée, le second aux autres utilisateurs dont davantage de données ont été corrompues.

Si vous pensez que vous avez été victime d’une telle attaque et que vous n’avez pas reçu d’email de notre part, veuillez vous rendre sur https://haveibeenpwned.com/ pour savoir si vous avez été touché d’une autre manière et prendre des mesures si nécessaire.

3. Renforcez la sécurité de vos accès

Si votre adresse email a été compromise lors de la violation, nous vous recommandons de changer le mot de passe de votre compte email. Lorsque vous définissez un nouveau mot de passe, utilisez plusieurs types de caractères, de majuscules et de symboles pour renforcer la sécurité.

De plus, nous vous conseillons vivement d’ajouter une identification à deux facteurs, également appelée 2FA. Cette méthode vous permet d’accéder à votre messagerie ou à toute autre plateforme uniquement après avoir fourni à un mécanisme d’identification deux justificatifs (votre mot de passe initial et un second facteur). Le second facteur peut être un code envoyé par SMS, une notification sur votre appareil mobile ou un mot de passe généré de manière aléatoire via une application dédiée.

Nous ne vous recommandons pas d’utiliser le système 2FA par SMS en raison du risque de SIM swapping qu’il comporte. Utilisez des applications telles que Google Authenticator, FreeOTP (une solution open source) ou encore une clé physique. Vous pouvez utiliser votre appareil Ledger pour sécuriser vos comptes avec une 2FA. Pour savoir comment procéder, consultez ce tutoriel complet.

Enfin, pour une sécurité optimale, vous pouvez envisager de changer votre adresse email, tout en appliquant les mesures susmentionnées.

4. Ne payez jamais de rançon

Malheureusement, les escrocs sont tombés encore plus bas. Nous avons appris avec consternation que certains et certaines d’entre vous ont été la cible de menaces personnelles. Faire l’objet de menaces physiques peut être terrifiant et stressant.

Mais sachez que les escrocs essaient de voler votre argent en faisant le moins d’efforts possible. Les attaques par hameçonnage leur permettent de cibler facilement un grand nombre de clients sans prendre les risques associés au contact physique. Depuis la violation de la base de données en juin, personne n’a signalé d’attaque de ce type.

Si vous stockez de grandes quantités de cryptomonnaies sur votre appareil Ledger, nous vous conseillons de le conserver loin de chez vous, dans un endroit sécurisé et difficilement accessible. Tout comme vous ne garderiez pas des millions en liquide chez vous.
Nous vous conseillons vivement de ne jamais payer de rançon. Si vous craignez pour votre sécurité physique et pensez être en danger, contactez immédiatement les autorités locales.

5. Protégez-vous avec le déni plausible

Si vous craignez d’être victime d’une tentative d’extorsion, vous pouvez ajouter une couche de protection et de résilience à votre phrase de récupération de 24 mots. Pour ce faire, ajoutez une deuxième sauvegarde (également appelée passphrase) sur votre appareil Ledger.

Vous disposerez ainsi de deux phrases de récupération : l’une pour déverrouiller l’ensemble habituel de vos comptes, et l’autre pour déverrouiller un second ensemble de comptes ayant des clés privées et des adresses différentes. Pour plus d’explications, cliquez ici.

De cette façon, si jamais on vous obligeait par la force à « ouvrir et vider votre wallet physique », vous pourriez utiliser le premier code qui donne accès au compte avec un minimum d’actifs. Vos pertes financières sont ainsi moindres.

6- Sauvegardes en divers lieux

Pour éviter de subir le désagrément d’un cambriolage, ou si vous ne pouvez tout simplement pas trouver un endroit suffisamment sécurisé pour stocker votre sauvegarde, vous pouvez envisager de répartir vos sauvegardes en différents endroits. Vous pourriez diviser vos 24 mots en trois groupes de 8 et les conserver à trois endroits différents. Cependant, vous augmenteriez alors le risque de perdre ou de détruire votre sauvegarde (si un morceau vient à manquer, tout est perdu).

Une meilleure solution consiste à diviser votre phrase de récupération en trois, mais de façon à n’avoir besoin que de deux morceaux pour récupérer l’accès.

Il s’agit d’une technique assez simple et facile à comprendre.

Supposons que votre phrase de récupération soit « A B C » (trois mots suffisent pour notre exemple). Vous écrivez alors sur trois morceaux de papiers : « A B _ », « A _ C » et « _ B C ». En prenant deux morceaux quelconques, vous avez la certitude de reconstituer la phrase complète « A B C ».

Pour en savoir plus sur la manière de le faire pour votre phrase de récupération de 24 mots, consultez ce guide en ligne.

Dernier point (mais non des moindres)

Cette situation est difficile pour nous tous. Nous adressons nos plus sincères remerciements à celles et ceux qui nous ont apporté leur soutien. Et sachez, chères clientes et chers clients de Ledger, que nous travaillons jour et nuit pour que cela ne se reproduise plus. Nous promettons de faire tout notre possible pour mériter votre confiance.

Nous sommes dans cette situation ensemble et Ledger en ressortira plus forte, pour vous offrir une meilleure expérience, plus sécurisée.