Mise à jour concernant nos efforts pour protéger vos données et poursuivre les cyber-criminels

01/13/2021 | Non classé

English | Français | Español | Deutsch

<TL;DR>

Alors même que la sécurité des portefeuilles Ledger reste sans égale – les Ledger Nano sont les seuls et uniques portefeuilles de crypto monnaies indépendamment certifiés – et n’a jamais été compromise, des criminels attaquent les clients de Ledger au travers de différentes attaques d’hameçonnage (phishing). Nous avons appris récemment que des clients de Ledger ont été impactés par le vol des données de Shopify décrit sur cette page web

Ces adversaires aux cibles précises continueront de tenter par différentes manières d’obtenir les données de Ledger et nous nous devons de renforcer nos positions en matière de sécurité. Ce problème concerne le secteur tout entier et nous avons besoin d’unir nos forces pour le résoudre. Ledger s’engage encore plus loin dans ce combat et nous prendrons pleinement notre part.

Aujourd’hui, à travers cette note de blog, nous revenons vers nos utilisateurs pour les tenir au courant des actions en cours visant à améliorer nos pratiques en matière de sécurité et à obtenir justice concernant le vol de données de 2020: 

Rappel de sécurité : NE PARTAGEZ JAMAIS vos 24 mots avec qui que ce soit. Ledger ne vous demandera JAMAIS vos 24 mots. Si quelqu’un qui se fait passer pour Ledger vous demande vos 24 mots, partez du principe que c’est un délinquant, pas Ledger. Le SEUL endroit où votre phrase de récupération doit être saisie est votre Ledger NANO – JAMAIS SUR LEDGER LIVE.

<TL;DR>

Dans cette note nous revenons sur les événements en lien avec la violation de données que nous avons rencontrée de la manière la plus transparente possible. Toute l’équipe Ledger travaille d’arrache-pied à la résolution de ces défis. Cette note est longue car nous voulons vous donner un maximum d’informations sur les mesures prises par Ledger afin de préserver la sécurité de vos données et pour arrêter et traduire en justice les criminels responsables de tels agissements.

1-Ce qui s’est passé

Pour récapituler : le 14 juillet 2020 un chercheur en sécurité nous a contactés au travers de notre programme de récompense pour nous informer d’une faille de sécurité dans notre base de données marketing et e-commerce. Nous avons réglé immédiatement le problème et lancé une enquête interne. Nous avons alors découvert qu’un attaquant mal intentionné avait réussi à obtenir l’accès à notre base de données e-commerce et marketing au travers de la clé API d’une application tierce. Les analyses conduites a posteriori par Ledger et par un prestataire de services en cybersécurité (Orange Cyberdefense) ont permis de déterminer qu’un million d’adresses mail et approximativement 9500 dossiers clients comprenant nom, adresse postale, numéro de téléphone et produit(s) commandé(s) ont été dérobés. Nous avons immédiatement (le 29 juillet 2020) notifié nos clients et partagé les informations de l’analyse conduite après la violation avec les autorités compétentes. Le 20 décembre 2020, l’ensemble des données contenues dans les bases volées ont été divulguées sur un forum. Après avoir consulté ces bases de données complètes nous avons pu déterminer qu’environ 272 000 jeux de données client  incluant adresse postale et numéro de téléphone avaient été volées en plus du million d’adresses email. A la suite de cette découverte nous en avons averti nos clients par email (le 21 décembre 2020).

A présent, nous avons une nouvelle information à partager: le 23 décembre 2020 nous avons reçu une notification de notre fournisseur de service e-commerce, Shopify, au sujet d’un incident visant les données de ses marchands.  Au cours cet incident un ou des agents malhonnêtes du support client de Shopify ont obtenu des fichiers des transactions de plusieurs marchands, dont ceux de Ledger. Le ou les agents ont exporté illégalement les données de transactions de clients Ledger aux mois d’avril et de juin 2020. D’après Shopify, cet incident est en lien avec celui communiqué en septembre 2020 qui a impacté plus de 200 marchands. Shopify n’a découvert que le 21 décembre 2020 que Ledger était également concerné par cette attaque. Shopify nous a communiqué qu’ils avaient engagé des experts de l’analyse des attaques informatiques ainsi que des juristes pour continuer d’enquêter sur cette affaire. Ils nous ont aussi informés avoir effectué un signalement auprès des autorités judiciaires à la fois au Canada et aux Etats-Unis.

En collaboration avec le prestataire de services en cybersécurité (Orange Cyberdefense), nous avons pu déterminer que l’incident affecte environ 292 000 clients. Bien que la base de données soit à 93% similaire à celle divulguée lors de l’attaque précédente, nous avons constaté qu’environ 20 000 clients supplémentaires étaient impactés par cette violation, incluant leurs emails, noms, adresses postales, numéros de téléphone et produit(s) commandé(s). 

Si vous avez commandé un produit Ledger fin juin 2020 ou si vous avez acheté votre produit ailleurs que sur Ledger.com, vos données n’ont pas été divulguées. 

Pour les réponses aux questions les plus fréquemment posées sur ces deux attaques, merci de consulter notre FAQ. Pour vous former aux différents types d’attaque d’hameçonnage (phishing) qui peuvent être tentées, ou pour signaler une attaque de phishing à notre équipe, merci de consulter cette page.

La sécurité des portefeuilles Ledger n’a été compromise à aucun instant de ces attaques et vos crypto monnaies restent en sécurité TANT QUE NOUS NE PARTAGEZ PAS VOS 24 MOTS AVEC QUI QUE CE SOIT (en particulier quelqu’un se faisant passer pour Ledger).

2- Ce que nous avons fait

Au sujet de la fuite de données découverte le 14 juillet 2020

Nous avons résolu cette fuite le 14 juillet 2020. Le 17 juillet 2020 nous avons notifié la CNIL. Nous avons commencé les enquêtes a posteriori avec Orange Cyberdefense le 20 juillet 2020. Il était à la fois nécessaire et prudent de terminer les recherches avec Orange Cyberdéfense et de rassembler autant de faits que possible avant de communiquer auprès de nos clients au sujet de cette fuite.  Le 29 juillet 2020, dès que nous avons reçu le rapport final, nous avons envoyé un email à l’intégralité de notre base client. Le même jour, nous avons informé les médias de la situation par l’intermédiaire d’un communiqué de presse. Nous avons déposé une plainte auprès du Procureur de la République Française le 5 août 2020.

Au sujet des campagnes d’hameçonnage visant nos clients.

Ces derniers mois nous avons pu voir se développer une activité intense de tentatives d’hameçonnage de nos clients. Nous communiquons régulièrement au sujet de ces attaques via email, sur notre site web, au sein de Ledger Live et sur Twitter, Reddit et d’autres plateformes. Nous avons envoyé un email à toute notre base au sujet de ces attaques d’hameçonnage le 22 octobre 2020. Nous collaborons avec Webdrone, une société spécialisée dans la surveillance des contrefaçons et la cybercriminalité afin d’identifier l’auteur de ces campagnes d’hameçonnage. Nous conduisons un programme avec Corsearch pour faire fermer très rapidement les sites d’hameçonnage au travers des services d’enregistrement des noms de domaine. A date, près de 216 sites ont été fermés et nos efforts continuent. Depuis le début, notre équipe interne de lutte contre la contrefaçon s’est exclusivement concentrée sur ces attaques de hameçonnage. Corsearch collabore avec des agences de police criminelle internationales pour notre compte. Le 16 décembre, nous avons lancé une page dédiée afin de partager l’anatomie de ces attaques, que vous évitiez d’en être victimes et puissiez signaler toute nouvelle attaque que vous pourrez recevoir.

Nous travaillons avec Chainalysis et d’autres organisations pour rechercher les adresses publiques de crypto-actifs utilisées par les fraudeurs. Quand elles seront découvertes, nous les signalerons aux autorités judiciaires afin qu’elles décident des actions les plus appropriées (par exemple geler les avoirs en cryptomonnaies s’ils venaient à se retrouver sur des plateformes d’échange). 

Nous continuons de travailler avec plusieurs enquêteurs privés afin de retrouver les personnes responsables de ces attaques. Tous les indices et informations rassemblés seront partagés avec les autorités compétentes (si vous détenez de nouvelles informations, merci de vous référer à notre programme de récompense ci-dessous) . En ce qui concerne les attaques d’hameçonnage, Ledger a déposé une plainte auprès du Procureur de la République Française et partage régulièrement les informations rassemblées par Ledger ou les enquêteurs.

En raison de ces incidents, le nombre de requêtes auprès de notre service client a connu une croissance sans précédent. Chaque contact de la part de nos clients est important et nous tenons à répondre à chacun de manière précise et avec les bonnes informations. En 2020, nous avons augmenté le nombre de nos collaborateurs en charge de ces questions et augmenteront encore en 2021. Toutes nos excuses pour le retard dans nos réponses. Nous travaillons dur pour revenir vers vous aussi rapidement que possible.Nous espérons que cette note de blog et la FAQ vous aideront à obtenir immédiatement les réponses aux questions que vous vous posez.

Au sujet de la fuite de données Shopify

L’enquête est toujours en cours et nous continuerons de vous informer de ses développements. A ce jour : nous avons notifié la CNIL le 26 décembre 2020. Après avoir mené une analyse de l’attaque informatique avec Orange Cyberdefense nous avons informé tous les clients impactés par cette fuite par email le 13 janvier 2021. Nous allons continuer de travailler avec Shopify et les enquêteurs. Une enquête est déjà en cours, menée par le FBI et la Gendarmerie Royale Canadienne. Ledger a aussi déposé une plainte auprès du Procureur de la République Française et a porté plainte contre le ou les agents malhonnêtes. Nous continuons de travailler avec Shopify afin de nous assurer d’une amélioration des processus internes afin de garantir la sécurité de vos données.

3- Ce que nous faisons

Les fuites de données et les attaques d’hameçonnage sont un problème pour tout le secteur. Nous continuons de travailler chaque jour pour résoudre ce problème, aujourd’hui nous voulons partager avec vous les premiers éléments de notre nouveau plan pour améliorer la protection des données de nos clients : 

PREMIEREMENT, nous préférerions ne pas être en possession de vos données. Être digne de votre confiance est beaucoup plus important pour nous que de posséder vos données. Quand vous commandez votre produit  directement chez nous, nous recueillons les informations qui nous permettent d’expédier votre commande. Certaines lois et réglementations exigent que nous conservions les informations d’achat pendant un temps déterminé. Nous changeons néanmoins la manière dont nous gérons ces données, pour aller encore plus loin que ce que recommande le Règlement Général sur la Protection des Données et être les meilleurs sur ce sujet : 

  1. Notre but est d’effacer vos données personnelles telles que vos noms, adresses et numéros de téléphone aussi vite que possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Les données qui doivent être conservées le seront dans un environnement séparé.Cet objectif s’applique également à nos fournisseurs. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.
  1. Nous allons réduire au maximum les occasions d’affichage de vos informations personnelles. Par exemple, nous effacerons vos noms, adresse et numéro de téléphone des emails de confirmation de commande que nous vous adresserons, afin que ces informations ne circulent pas via notre prestataire de gestion d’emails e-commerce.

  2. Nous implémenterons prochainement un modèle de communication dans lequel les messages importants de sécurité et à visée technique seront diffusés via Ledger Live.  Lorsque nous nous adresserons à vous, les emails et réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.

  3. Nous allons mener un nouvel audit de tous nos fournisseurs et partenaires afin de nous assurer qu’ils continuent d’opérer au plus haut niveau de qualité.

DEUXIEMEMENT, ces vols et ces attaques ne peuvent rester impunis. Des enquêtes doivent être menées. Pour que l’industrie de la crypto se développe il est impératif que le vol de crypto actifs soit sévèrement puni. Nous travaillons sur ces affaires avec les autorités compétentes et avec des enquêteurs privés :

  1. Nous augmentons nos capacités d’enquête via des sociétés privées spécialisées pour apporter davantage d’expertise et varier les approches permettant de retrouver les responsables de ces vols de données. Nous continuerons de travailler main dans la main avec les autorités judiciaires à travers le monde pour identifier, arrêter et traduire en justice les responsables de ces vols de données.
  1. Nous créons une récompense pour l’obtention de nouvelles informations, obtenues légalement, qui permettront d’identifier, d’arrêter et de traduire en justice avec succès les responsables de ces attaques contre Ledger et ses clients. Ledger a abondé un wallet avec 10 BTC (adresse : bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) comme réserve initiale pour cette récompense. Cette récompense sera versée à l’entière discrétion de Ledger en prenant en compte des facteurs tels que la légalité de l’obtention des informations, la nouveauté des informations, leur importance, leur impact positif sur les progrès de l’enquête et leurs conséquences directes en termes de capacité à poursuivre le ou les individus, ainsi que le résultat des poursuites.Plus généralement, cette récompense sera soumise au règles de notre programme de récompenses disponibles ici
  1. Nous annonçons notre intention de collaborer dans le cadre de cette initiative avec d’autres acteurs du secteur. Nous avons contacté d’autres sociétés comme des particuliers pour qu’ils abondent ce programme de récompense contre les crimes commis à l’encontre de la communauté crypto au sens large. PDG d’autres sociétés de l’univers des crypto, si vous voulez vous joindre à nous dans ce projet, merci d’avance de vous manifester au plus vite.

Nous sommes profondément désolés que ces incidents aient pu être douloureux pour nos clients ou leur causer du stress. Vous protéger est notre raison d’être et nous prenons ces incidents avec le plus grand sérieux que ce soit personnellement ou professionnellement.Nous allons bientôt annoncer le lancement d’une solution technique qui ne sera basera plus sur les 24 mots comme seul pilier de la sécurité de nos portefeuilles et qui ouvrira la possibilité d’une assurance des fonds pour les particuliers. En 2021, nous annoncerons encore d’autres produits et services passionnants, innovants et sécurisés. Ces attaques renforcent notre volonté d’élaborer et de lancer des produits qui vous protègent, vous et vos crypto-monnaies. Ledger reste pleinement investi dans l’élaboration des produits les plus sûrs et la protection des utilisateurs de crypto-monnaies. Rien de plus.

S’IL VOUS PLAIT, profitez de cette situation pour faire preuve de vigilance. Prenez toutes les mesures possibles pour vous protéger. Ceci restera un point d’attention au moment où la valeur de vos crypto-monnaies augmente et où de plus en plus de gens rejoignent l’écosystème. Crypto Casey fait un excellent travail pour résumer la situation et pour expliquer comment se protéger dans cette vidéo et ce podcast

Nous sommes tous ici pour les mêmes raisons : nous croyons à la valeur et à l’avenir des crypto-monnaies et des actifs numériques. Nous avons appris des leçons importantes et nous continuerons à travailler dur pour mériter votre confiance. Nous avançons sur ce sujet avec beaucoup d’humilité. Cette situation nous rend plus forts et résilients.


Sincèrement,

Pascal, Ian, Antoine, Matt, Charles