Articles de blog, Nos actualités | 13/01/2021

Mise à jour : efforts visant à protéger vos données et à poursuivre les escrocs

Sécurité

English | Français | Español | Deutsch

Violation de données

Bien que la sécurité des produits Ledger soit inégalée (les produits Ledger Nano étant les seuls wallets physiques indépendamment certifiés sur le marché) et qu’elle n’ait jamais été compromise, les criminels attaquent les clients de Ledger en utilisant différents types d’attaques par hameçonnage (phishing). Récemment, Shopify a découvert que des clients de Ledger avaient été touchés par le vol de données notifié par Shopify ici. Shopify en a informé Ledger par la suite.

<TL;DR>

Des adversaires déterminés ne cesseront jamais d’essayer différentes stratégies pour accéder aux données de Ledger et nous devons continuer à renforcer notre approche de la sécurité. Il s’agit d’un problème qui concerne tous les acteurs du secteur et que nous devons combattre ensemble. Ledger a renforcé son engagement à jouer son rôle dans cette bataille.

Cet article de blog a pour but de vous informer sur les actions que nous menons pour renforcer nos pratiques de sécurité et obtenir justice dans le cadre du vol de données de 2020 :

  • Nous annonçons des changements dans la façon dont Ledger traitera les données client : Notre objectif est de supprimer complètement vos données à caractère personnel telles que votre nom, votre adresse et votre numéro de téléphone le plus tôt possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Cet objectif s’applique également à nos prestataires tiers. Les données qui doivent être conservées le seront dans un environnement séparé.
  • Nous mettrons en place un modèle de communication permettant de transmettre de façon proactive d’importantes informations techniques et de sécurité via Ledger Live. Les emails et les réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.
  • Ledger s’engage à consacrer davantage de ressources pour identifier et poursuivre les responsables des attaques visant Ledger ou ses clients. Citons par exemple un fonds Bounty de 10 BTC pour des informations conduisant avec succès à l’arrestation et à la poursuite des responsables de ces attaques. Nous espérons que d’autres entreprises rejoindront ce programme Bounty et contribueront à rendre la communauté crypto plus sûre.

Rappel de sécurité : ne partagez JAMAIS vos 24 mots avec QUI QUE CE SOIT. Ledger ne vous demandera JAMAIS ces 24 mots. Si quelqu’un se présente comme un représentant de Ledger et vous demande vos 24 mots, c’est un criminel. Ce n’est pas Ledger. Le SEUL endroit où les 24 mots de votre phrase de récupération doivent être saisis est sur votre Ledger Nano. JAMAIS DANS LEDGER LIVE.

<TL;DR>

Dans cet article, nous allons récapituler les événements liés à la violation de données subie. Et ce, de la manière la plus transparente possible. Toute l’équipe de Ledger travaille d’arrache-pied pour résoudre ces challenges. Cet article est long parce que nous voulons vous donner autant d’informations que possible concernant la direction prise par Ledger pour assurer la sécurité de vos données, et identifier et poursuivre en justice les auteurs de ces crimes.

1. Ce qu’il s’est passé

Pour commencer, récapitulons brièvement la situation : le 14 juillet 2020, un chercheur nous a contactés via notre programme Bounty pour nous informer d’une violation de données sur notre base de données e-commerce et marketing. Nous avons immédiatement corrigé cette violation de données et avons lancé des enquêtes internes. Nous avons découvert qu’un attaquant malveillant avait obtenu un accès non autorisé à notre base de données e-commerce et marketing via la clé API d’une tierce partie. Grâce aux investigations menées par Ledger et par le prestataire de services en cybersécurité Orange Cyberdefense, nous avons pu déterminer que plus d’un million d’adresses email et environ 9 500 fichiers de clients, comprenant leur nom, adresse, produit(s) commandé(s) et numéro de téléphone, avaient été dérobés. Nous avons immédiatement (le 29 juillet 2020) informé nos clients et partagé les informations criminalistiques avec les autorités compétentes.

Le 20 décembre 2020, le contenu complet des bases de données volées a été rendu public sur un forum. Dès que nous avons vu ces bases de données complètes, nous avons pu constater qu’environ 272 000 fichiers de clients, comprenant leur nom, adresse et numéro de téléphone, avaient été volés, en plus des adresses email (plus d’un million). Nous avons immédiatement averti les clients concernés par email (le 21 décembre 2020).

Nous voulons à présent partager de nouvelles informations : le 23 décembre, Shopify, notre fournisseur de services de commerce en ligne, nous a notifié un incident impliquant des données de ses marchands au cours duquel un ou plusieurs membre(s) malhonnête(s) de leur service client ont obtenu des données transactionnelles liées aux clients, y compris certaines de Ledger. Le ou les agent(s) ont illégalement exporté ces données transactionnelles en avril et en juin 2020. Selon Shopify, cela est lié à l’incident signalé en septembre 2020, qui concerne plus de 200 marchands. Jusqu’au 21 décembre 2020, Shopify n’avait toutefois pas découvert que Ledger était également ciblé dans cette attaque. Shopify nous a communiqué qu’ils avaient engagé des experts de l’analyse des attaques informatiques, ainsi que des juristes pour continuer d’enquêter sur cette affaire. Ils nous ont aussi informés avoir effectué un signalement auprès des autorités judiciaires, à la fois au Canada et aux États-Unis.

En collaboration avec le prestataire de services en cybersécurité Orange Cyberdefense, nous avons pu déterminer que l’incident affecte environ 292 000 clients. Si la base de données est à 93 % semblable à celle divulguée lors de l’attaque précédente, nous avons constaté qu’environ 20  000 clients supplémentaires étaient impactés par cette violation, incluant leurs emails, noms, adresses postales, numéros de téléphone et produit(s) commandé(s).

Si vous avez acheté un produit Ledger après la fin du mois de juin 2020, ou si vous l’avez acheté ailleurs que sur Ledger.com, vous n’êtes pas concerné par ces incidents.

Pour obtenir des réponses aux questions les plus fréquentes sur ces deux attaques, veuillez consulter la FAQ. Pour vous informer sur les types d’attaques par hameçonnage courantes, ou pour en signaler une à notre équipe, consultez cette page.

Durant ces attaques, les wallets physiques Ledger n’ont pas été corrompus. Vos cryptomonnaies sont restées sécurisées SI VOUS N’AVEZ BIEN JAMAIS PARTAGÉ VOS 24 MOTS AVEC QUI QUE CE SOIT (en particulier avec quelqu’un qui se ferait passer pour un agent Ledger. Ledger ne vous demandera jamais cette information).

2. Actions prises par Ledger

Concernant la violation de données découverte le 14 juillet 2020

Nous avons corrigé la vulnérabilité le 14 juillet 2020. Le 17 juillet 2020, nous avons notifié la Commission nationale de l’informatique et des libertés de France (CNIL). Nous avons lancé des enquêtes criminalistiques avec Orange Cyberdefense le 20 juillet 2020. Il était nécessaire et prudent d’achever l’enquête avec Orange Cyberdefense et de recueillir autant de faits que possible avant de révéler la violation de données à nos clients.

Dès que nous avons eu le rapport final, nous avons envoyé un email à tous les clients de notre base de données le 29 juillet 2020. Nous avons informé les médias de la situation via un communiqué de presse ce même jour. Nous avons déposé une plainte auprès du Procureur de la République française le 5 août 2020.

Concernant les campagnes d’hameçonnage contre nos clients

Ces derniers mois, nous avons constaté de nombreuses attaques par hameçonnage ciblant nos clients. Nous avons beaucoup communiqué par email avec nos clients pour les informer de ces attaques, mais également sur notre site Web, dans Ledger Live et sur Twitter, Reddit et d’autres plateformes tierces. Le 22 octobre 2020, nous avons envoyé un email à tous les clients de notre base de données concernant ces tentatives d’hameçonnage. Nous sommes entrés en partenariat avec Webdrone, une société spécialisée dans la veille stratégique et la cybercriminalité, pour identifier les créateurs des sites Web d’hameçonnage. Nous avons mis en place un programme, toujours en cours, avec Corsearch pour fermer les sites Web d’hameçonnage plus rapidement par le biais d’enregistreurs. À ce jour, nous avons fermé 216 sites, et cela continue.

Depuis le début de ces attaques par hameçonnage, notre équipe interne de protection de marque se consacre exclusivement à la lutte contre ces dernières. Corsearch collabore avec des organismes d’enquêtes internationales pour notre compte. Le 16 décembre 2020, nous avons lancé une page spéciale qui présente l’anatomie de ces attaques par hameçonnage. L’objectif est de vous aider à les identifier et à signaler toute nouvelle attaque détectée.

Nous collaborons avec Chainalysis et d’autres organisations pour suivre les wallets de cryptomonnaies utilisés par les escrocs. Si et lorsque nous en découvrons, nous les signalons aux forces de l’ordre, pour que ces dernières prennent des mesures (en gelant par exemple les crypto-actifs des escrocs s’ils arrivent sur des plateformes d’échange).

Nous continuons à travailler avec plusieurs enquêteurs privés pour identifier et poursuivre les individus responsables de ces attaques. Tous les indices et informations recueillis sont partagés avec les autorités compétentes (si vous avez de nouvelles informations pour nous, veuillez consulter le programme Bounty ci-dessous). Concernant les campagnes d’hameçonnage, Ledger a également déposé une plainte auprès du Procureur de la République française, à qui nous fournissons régulièrement les informations recueillies par Ledger et les enquêteurs.

À cause de ces incidents, Ledger a connu une augmentation exponentielle des demandes d’information par rapport à la même période l’année dernière. Chaque communication avec nos clients nous tient à cœur, c’est pourquoi nous voulons répondre à chacune d’entre elles en apportant des informations précises. Pour répondre à cette forte demande, nous avons augmenté nos ressources en 2020 et nous continuons à le faire en 2021. Nous sommes sincèrement désolés si vous rencontrez des retards avec notre assistance. Nous nous efforçons de répondre à tout le monde aussi rapidement que possible. Nous espérons que cet article de blog et la FAQ vous aideront immédiatement à trouver les réponses que vous cherchez.

Concernant la violation de données Shopify

L’enquête sur l’incident impliquant Shopify est en cours et nous continuerons à vous informer de l’évolution de la situation. Ce que nous avons fait jusqu’ici : nous avons notifié la Commission nationale de l’informatique et des libertés de France (CNIL) le 26 décembre 2020. Après avoir achevé les enquêtes avec Orange Cyberdefense, nous avons informé tous les clients concernés par cette violation par email le 13 janvier 2021. Nous continuons à collaborer avec Shopify et les procureurs en charge de l’affaire. Une enquête, menée par le FBI et la Gendarmerie royale du Canada, est déjà en cours. Ledger a également signalé les incidents au Procureur de la République française et a déposé une plainte contre le ou les agents malhonnête(s) impliqué(s). Nous continuons à travailler avec Shopify en utilisant de nouvelles procédures internes pour une sécurité accrue.

3. Prochaines étapes

Les violations de données et les attaques par hameçonnage sont un problème qui touche l’ensemble du secteur. Nous continuons à y travailler chaque jour et, aujourd’hui, nous voulons partager avec vous le début de notre nouveau plan dont l’objectif est de renforcer la protection de nos clients.

PREMIÈREMENT, nous préférerions ne pas détenir vos données. Votre confiance nous importe bien plus que le fait de conserver vos données. Lorsque vous commandez votre produit directement auprès de Ledger, nous recueillons vos informations pour pouvoir vous expédier votre commande. Les règles comptables et les obligations légales exigent que nous conservions les données d’achat e-commerce pendant une certaine période. Toutefois, nous avons changé en profondeur la manière dont nous gérons les données pour aller encore plus loin que ce que demande le Règlement Général sur la Protection des Données (RGPD) :

  1. Notre objectif est de supprimer complètement vos données à caractère personnel telles que votre nom, votre adresse et votre numéro de téléphone le plus tôt possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Cet objectif s’applique également à nos prestataires tiers. Les données qui doivent être conservées le seront dans un environnement séparé. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.
  2. Nous allons réduire au maximum les endroits où vos informations personnelles apparaissent. Par exemple, nous effacerons vos noms, adresse et numéro de téléphone des emails de confirmation de commande que nous vous adresserons, afin que ces informations ne circulent pas via notre prestataire de gestion d’emails e-commerce.
  3. Nous mettrons en place un modèle de communication permettant de transmettre de façon proactive d’importantes informations techniques et de sécurité via Ledger Live. Les emails et les réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.
  4. Nous allons procéder à une réévaluation détaillée de tous nos fournisseurs et partenaires afin de déterminer s’ils continuent à respecter les normes les plus strictes.

DEUXIÈMEMENT, ces vols et ces attaques ne peuvent rester impunis. Des enquêtes doivent être menées. Pour que l’industrie de la crypto se développe, il est impératif que le vol de cryptomonnaies soit sévèrement puni. Nous travaillons sur ces affaires avec les autorités compétentes et avec des enquêteurs privés. Nous augmentons nos capacités de défense et riposte :

  1. Nous recrutons des spécialistes en enquêtes privées supplémentaires, renforçant ainsi notre expérience et nos différentes approches dans la recherche des auteurs de ces vols de données. Nous continuerons à coopérer avec les forces de l’ordre du monde entier pour trouver, arrêter et poursuivre ces coupables partout où cela est possible.
  2. Nous créons une récompense pour l’obtention de nouvelles informations, obtenues légalement, qui permettront d’identifier, d’arrêter et de traduire en justice avec succès les responsables de ces attaques contre Ledger et ses clients. Ledger a abondé un wallet avec 10 BTC (adresse : bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) comme réserve initiale pour cette récompense. Cette récompense sera versée à l’entière discrétion de Ledger en prenant en compte des facteurs tels que : les informations ont-elles été obtenues légalement ? Sont-elles nouvelles ? Quelle est la pertinence des informations et dans quelle mesure permettront-elles de faire progresser l’enquête et de poursuivre le ou les individu(s) ? Ces poursuites ont-elles abouti ? Plus généralement, cette récompense sera soumise aux règles de notre programme Bounty que vous pouvez consulter ici.
  3. Par ailleurs, nous annonçons notre intention de collaborer avec d’autres acteurs du secteur sur cette initiative. Nous sommes en train de contacter d’autres entreprises et individus du secteur pour un financement continu de ce programme Bounty pour la répression des crimes commis contre la communauté crypto. PDG d’autres entreprises de l’univers des cryptos, si vous souhaitez nous rejoindre sur ce projet, veuillez vous manifester au plus vite.

Nous sommes profondément désolés pour ces incidents et tout stress que nos clients auraient pu ressentir. La mission de Ledger est de vous protéger. Nous prenons ces incidents très au sérieux, tant sur le plan personnel que professionnel. Nous publierons bientôt une solution technique qui ne fera plus des 24 mots l’unique pilier de la sécurité de nos wallets physiques et nous ouvrirons un fonds d’assurance pour les clients individuels. Ces attaques n’ont fait que renforcer notre détermination à construire et à publier des produits qui vous protègent, vous et vos cryptos. Nous avons des produits et services exceptionnels, innovants et sécurisés à annoncer en 2021. Ledger reste déterminé à construire les produits les plus sécurisés qui soient et à protéger l’écosystème de la crypto. Sans aucun doute.

S’IL VOUS PLAÎT, profitez de ce moment pour réfléchir à la nécessité d’être très vigilants et prenez toutes les mesures possibles pour vous protéger. À mesure que la valeur de vos cryptos augmente et que de plus en plus de personnes rejoignent l’écosystème, ce challenge va continuer à être important. Crypto Casey résume très bien la situation ainsi que la façon dont vous devez vous protéger dans cette vidéo et ce podcast. Veuillez prendre toutes les mesures nécessaires pour vous protéger, vous et vos cryptos.

Nous sommes tous ici pour la même raison : nous croyons depuis longtemps à la valeur et à l’avenir des cryptomonnaies et des actifs numériques. Chez Ledger, nous avons appris de très précieuses leçons et nous continuerons à travailler dur pour ne pas trahir la confiance que vous nous avez accordée. Ces événements nous ont permis de nous remettre en question. Mais nous en ressortons plus forts et plus déterminés.

Cordialement,

Pascal, Ian, Antoine, Matt, Charles.



Restons en contact

Retrouvez les annonces sur notre blog. Contact presse :
[email protected]