Déclaration relative à la violation de données e-commerce et de marketing de juillet 2020 — Un message de l’équipe dirigeante de Ledger
Description de la situation
Le 14 juillet 2020, un chercheur participant à notre programme Bounty a pris contact avec Ledger pour nous informer d’une potentielle violation de données sur notre site Web. Nous avons immédiatement corrigé cette faille après réception du rapport du chercheur et nous avons lancé des enquêtes internes. Une semaine après avoir corrigé la faille, nous avons découvert qu’elle avait été exploitée le 25 juin 2020 par un tiers non autorisé qui a accédé à notre base de données e-commerce et marketing. Nous utilisions cette base de données pour envoyer des confirmations de commande et des emails promotionnels. Elle contenait principalement des adresses email, mais possédait un sous-ensemble contenant des informations sur les contacts et les commandes telles que les noms et prénoms, les adresses postales, les adresses email et les numéros de téléphone. Vos informations de paiement et vos cryptomonnaies restent sécurisées.
Dans une démarche de transparence totale, nous tenons à expliquer ce qu’il s’est passé. Un tiers non autorisé a eu accès à une partie de notre base de données e-commerce et marketing par le biais d’une clé API. Cette clé API a été désactivée et n’est plus accessible.
Quelles ont été les données personnelles concernées ?
Les informations de contact et relatives aux commandes étaient concernées. Il s’agit principalement des adresses email de nos clients, soit environ 1 million d’adresses. Grâce aux investigations menées, nous avons également pu établir que, pour un sous-ensemble de 9 500 clients, des fichiers comprenant leur nom et prénom, adresse postale, numéro de téléphone et produits commandés, avaient été dérobés. En raison de l’ampleur de cette violation et de notre engagement envers nos clients, nous avons décidé d’informer tous nos clients de la situation.
Les 9 500 clients dont les informations personnelles précises ont été exposées recevront aujourd’hui un email dédié, en vue d’apporter davantage de détails.
En ce qui concerne vos données e-commerce, aucune information de paiement et aucun identifiant (mot de passe) n’ont été concernés par cette violation de données. Cette violation concernait uniquement les coordonnées de nos clients.
Cette violation de données n’a aucun lien ni le moindre impact sur la sécurité de nos wallets physiques ou de notre application Ledger Live. Elle n’a également aucun impact sur vos crypto-actifs. Ils sont en sécurité et n’ont jamais été mis en danger. Personne d’autre que vous ne peut contrôler ces informations, ni y accéder.
Les actions que nous avons entreprises et allons mettre en œuvre
Puisque le problème se limitait aux informations de contact e-commerce et marketing, et que nous avons pu le résoudre immédiatement, nous avons pris le temps de mener une enquête interne détaillée, avec l’assistance d’experts tiers, avant d’avertir notre communauté.
Le 17 juillet, nous avons notifié la CNIL, la Commission nationale de l’informatique et des libertés en France. Cet organisme veille à ce que la loi sur la protection des données soit appliquée à la collecte, au stockage et à l’utilisation des données à caractère personnel. Le 21 juillet, nous nous sommes associés à Orange Cyberdefense pour évaluer les éventuels dommages résultant de cette violation de données, et identifier d’autres violations de données potentielles.
Après une enquête approfondie menée de concert par notre équipe de sécurité et Orange Cyberdefense, nous pouvons conclure que la base de données e-commerce et marketing a été compromise. Au moment où nous mettons cet article en ligne, tous les clients concernés ont reçu un email contenant cette mise à jour.
Nous menons une surveillance active afin de vérifier si la base de données est mise en vente sur Internet, mais nous n’en avons trouvé aucun jusqu’à présent. Nous avons également effectué un test d’intrusion en interne et nous avons avancé le test d’intrusion externe initialement prévu en septembre.
Nous étendons au e-commerce la portée de notre programme de sécurité et d’organisation qui se concentrait à l’origine sur nos produits (physiques et Vault). Nous prenons des mesures pour répondre aux exigences énumérées dans la norme ISO 27001.
Nous sommes en train de déposer une plainte officielle auprès des autorités pour mener une enquête approfondie sur ce dossier.
Pour optimiser la protection de la vie privée de nos clients, Ledger Live, l’application compagnon de votre Nano, qui ne conserve aucune information sur nos clients, deviendra le principal point de contact pour les informations sur les nouveautés produits, ainsi que nos comptes de réseaux sociaux : Twitter, Facebook et LinkedIn.
Pour parcourir notre Politique de confidentialité et comprendre comment nous traitons vos données, veuillez cliquer ici.
Ce que vous pouvez faire
Nous vous recommandons de faire preuve de prudence. Restez toujours en alerte face aux tentatives d’hameçonnage menées par des escrocs. En bref, Ledger ne vous demandera jamais de partager les 24 mots de votre phrase de récupération. Si vous recevez un email semblant provenir de Ledger et vous demandant les 24 mots de votre phrase de récupération, sachez qu’il s’agit d’une tentative d’hameçonnage.
De plus, nous faisons tout notre possible pour éviter ces actes malveillants. Nous vous suggérons également de consulter la section Sécurité de la Ledger Academy pour vous informer sur les principes généraux en matière de sécurité. Prenez le temps de lire avec attention notre article dédié aux attaques par hameçonnage.
Nous regrettons profondément cet incident. Nous prenons la protection de la vie privée très au sérieux. Nous avons découvert ce problème grâce à notre propre programme Bug Bounty et l’avons corrigé immédiatement. Mais indépendamment de tout ce que nous avons fait pour éviter et corriger cette situation, nous nous excusons sincèrement pour les désagréments que ce problème peut vous causer.
Si vous avez des questions, vous pouvez consulter notre FAQ. Pour plus d’informations, vous pouvez contacter directement notre Assistance.
Pour parcourir notre Politique de confidentialité et comprendre comment nous traitons vos données, veuillez cliquer ici.