Message du PDG de LEDGER – Mise à jour relative à la violation de données de juillet Malgré la fuite, vos crypto-actifs sont en sécurité.
Chère clientes, chers clients Ledger,
Comme vous le savez, Ledger a été la cible d’une cyberattaque ayant entraîné une violation de données en juillet 2020. Hier, nous avons été informés de la publication du contenu d’une base de données de clients Ledger sur RaidForums. Nous pensons qu’il s’agit du contenu de notre base de données e-commerce en date de juin 2020.
Au moment de l’incident, en juillet, nous avons sollicité le concours d’une organisation de sécurité externe pour effectuer un examen technico-légal des journaux (« logs ») disponibles. Cet examen nous a permis de confirmer qu’environ un million d’adresses électroniques ont été volées, ainsi que 9 532 informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone), que nous avons pu identifier avec précision.
La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué : environ 272 000 informations détaillées telles que l’adresse postale, le nom, le prénom et le numéro de téléphone de nos clients. Ces informations ne figuraient pas dans les logs que nous avons pu analyser. La transparence de nos opérations et de nos communications a toujours été une priorité. Cela n’a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement qui ont été faites ces dernières heures, je souhaiterais vous faire part de quelques éléments simples, mais fondamentaux, afin de mettre en perspective la réalité de cette situation.
Au nom de Ledger, je tiens à vous adresser nos plus profonds regrets pour cette situation. Nous avons que nombre d’entre vous ont été la cible de campagnes de hameçonnage par email et par SMS. Il s’agit-là d’un véritable désagrément. Nous sommes conscients que cette évènement est au mieux décevant, au pire exaspérant.
Nous avons toujours pour objectif premier de vous offrir la meilleure protection et la meilleure sécurité pour vos actifs numériques. Soyons clairs : cette violation de données n’a aucun lien ni impact sur nos wallets physiques, l’application Ledger Live ou vos fonds. Vos crypto-actifs sont en sécurité. Bien que la situation soit très sincèrement regrettable, cette fuite ne concerne que les informations liées au e-commerce.
Les équipes de Ledger s’engagent chaque jour pour renforcer encore plus la sécurité des données : au cours des derniers mois, nous avons combattu les escrocs avec vous pour face face à leurs tentatives de vol de vos 24 mots. Cela a été largement documenté sur notre site Web et notre blog. Vous pouvez désormais suivre le statut des campagnes de hameçonnage en cours sur une seule page : Campagnes d’hameçonnage en cours. Nous avons également recruté un talent de classe internationale : notre nouveau Responsable de la sécurité des systèmes d’information (RSSI) nous rejoindra dans quelques jours. Nous renforçons encore davantage nos ressources et initiatives en matière de sécurité : le Programme Bounty, le Donjon et toutes les procédures qui permettront de tester nos systèmes 24 heures sur 24, 7 jours sur 7. Toutes ces actions ont été répertoriées sur cette page : Le champ de bataille contre les tentatives d’hameçonnage.
Certains d’entre vous ont également exprimé des inquiétudes au sujet de potentielles attaques physiques, car certaines de vos adresses de livraison ont été divulguées. Nous avons conscience de l’émotion suscitée par cette situation. Il est toutefois important que vous sachiez qu’il n’y a aucun moyen d’établir une quelconque corrélation entre les seules données qui ont été divulguées et les fonds se trouvant sur votre wallet.
Néanmoins, Ledger a été conçue en ayant en tête le risque que présentent les attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de fonctionnalités et de moyens de vous protéger :
- En cas de saisie d’un code PIN incorrect trois fois d’affilée, votre appareil Ledger se réinitialisera, par mesure de sécurité.
(Voir : Réinitialiser aux paramètres d’usine).
- Le déni plausible : au lieu de saisir votre passphrase chaque fois que cela vous est demandé, vous pouvez la lier à un second code PIN sur votre appareil Ledger. Vous détenez alors deux codes PIN valides : un pour déverrouiller un premier ensemble de comptes, l’autre pour en déverrouiller un second.
(Voir (en anglais) : Ledger 101 — Part 4: Advanced Security Principles).
- Enfin, ne gardez pas votre feuille de récupération dans un coffre-fort à domicile. Un coffre-fort de banque est beaucoup plus sûr. Ne pas avoir un accès immédiat à votre phrase de récupération permet de mieux vous protéger contre les menaces physiques.
(Voir (en anglais) : Ledger 101 — Part 3: Best Practices When Using a Hardware Wallet).
De manière générale et indépendamment de ces événements récents, si vous conservez beaucoup d’objets de valeur à votre domicile, nous vous invitons à évaluer régulièrement votre propre système de sécurité et à toujours appliquer les meilleures normes du marché. Vous trouverez de nombreuses informations pertinentes à ce sujet sur : https://www.ledger.com/academy et https://www.ledger.com/.
Cela dit, les arnaques en ligne visant à vous dérober vos 24 mots constituent la principale menace. On ne le répétera jamais assez : la seule chose importante, c’est de ne JAMAIS partager vos 24 mots avec QUI QUE CE SOIT. Pas même avec Ledger. Nous ne vous les demanderons jamais. Par ailleurs, Ledger ne vous contactera jamais par SMS ou par téléphone Vous êtes nombreux à nous avoir demandé si vos fonds pouvaient être affectés, même si vous n’avez jamais partagé les 24 mots de votre phrase de récupération. Je vais être clair avec vous : NON. Vos fonds sont sécurisés.
Pour mettre les choses en perspective, sans toutefois amoindrir notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyberattaques vont se multiplier. Elles ont atteint un niveau record en 2020 (World’s Biggest Data Breaches & Hacks — Information is Beautiful). Nous sommes toutes et tous confrontés à ce problème croissant à l’échelle mondiale, du fait de l’accélération numérique. Il est devenu plus nécessaire et urgent que jamais d’investir dans la sécurité de demain. Et c’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les normes de sécurité. C’est également pour cette raison que nous ne rembourserons pas nos clients, comme certains ont pu le suggérer. En lieu et place, nos continuerons à nous engager dans l’amélioration continue qui nous caractérise, et à investir afin de vous offrir des produits toujours plus sécurisés.
Dans ce combat contre les arnaqueurs, sous le flambeau #StopTheScammers, et dans l’esprit qui a toujours été le nôtre et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Afin de faire preuve d’une transparence totale avec nos communautés, nous ne manquerons pas de publier toute nouvelle information nécessaire sur ce sujet à l’adresse suivante : https://www.ledger.com/phishing-campaigns-status.
Si vous avez d’autres questions, nous vous invitons à consulter la FAQ dédiée à ce sujet. Si vous n’y trouvez pas la réponse à votre question, notre équipe d’assistance se tient également à votre disposition.
Cordialement,
Pascal Gauthier
PDG de Ledger