Après la publication des données violées, Ledger répond
Hashtag à la une sur Twitter, discussion Zoom en direct sur YouTube… la grande mésaventure des données hackées des clients Ledger, mises en ligne gratuitement entre dimanche et lundi, a fait parler d’elle en cette semaine de Noël. Mais aucun cadeau n’a été fait à la startup française.
Il faut reconnaître que ce fut un lundi noir pour des milliers de personnes de la communauté des crypto-monnaies, horrifiées, stressées, et parfois révoltées d’un problème de confidentialité malheureusement impossible à éviter à 100 % en 2020, et qui a touché un domaine de la finance déjà très à risque. Ledger était attendu au tournant pour rétablir la confiance, mais son patron est resté réaliste.
Tout savoir sur l’affaire Ledger
Ledger répond
Dans un article du média Decrypt spécialisé dans les crypto-monnaies, lundi dans la journée, Pascal Gauthier a définitivement fermé la voie à la possibilité de dédommagement des clients pour l’achat de leur appareil (les portefeuilles physiques Ledger Nano S et Nano X). Les deux fuites, concernant les adresses mail de newsletter, mais également les fiches d’achat comprenant les adresses postales et numéro de téléphone sont concernés. Le PDG de Ledger disait :
« Lorsque vous avez une violation de données de cette ampleur pour une si petite entreprise, nous ne rembourserons pas tous les appareils pour un million d’utilisateurs, ce n’est tout simplement pas possible. Cela tuerait simplement l’entreprise. »
Sur YouTube, plusieurs spécialistes des crypto-monnaies, inquiétés par la mésaventure de Ledger, se sont réunis pour discuter pendant plus de deux heures de la situation, et conseiller les clients. Pour Andreas Antonopoulos, qui hébergeait et animait le live, la publication des données client hackées a beau être une « urgence très spéciale » , il ne s’agit pas d’un « phénomène rare ». Il disait :
« C’est sûrement le meilleur des conseils : honnêtement, face au leak de Ledger, si tout le monde pouvait faire en sorte de ne rien faire, tout se passera bien. […] Toute cette attaque dépend de votre action. Ils ne peuvent pas s’enrichir et prendre votre argent. Vous devez le leur donner. Cela signifie que vous devez faire une erreur, être une victime. Et c’est ce qu’ils essaient de vous faire faire. »
Bien sûr, les milliers de clients concernés auront de quoi s’inquiéter et appeler Ledger à prendre ses responsabilités. Mais l’un des points les plus importants peut-être à retenir est que ni les hackers ni Ledger ne possèdent la clé de sécurité des clients, donnant accès à leur portefeuille, et donc leurs crypto-monnaies.
Tensions et pressions
Dans son article, Decrypt rappelait toutefois que les mails d’arnaques avaient laissé place à des messages de menaces, bien plus difficiles à ignorer. Sur Twitter, un internaute du nom de Riku Raisanen montrait un message d’un client posté sur un forum d’entre-aide où l’on pouvait découvrir que la violation des données l’avait amené à recevoir trois à quatre mails par jour, ainsi que cinq à six SMS.
Wouldn’t want to be a Ledger customer right now 👇 pic.twitter.com/wZoH3OwTLL
— Riku Raisanen (@rikuraisanen) December 21, 2020
Le message publié avait de quoi justifier la colère de certains. Il appelait le client à payer une rançon, « pour vous laisser tranquille », au risque, sinon, de se faire cambrioler. Ledger va devoir faire face à ces multiples situations critiques qui ne peuvent en excuser la société de s’être fait pirater plus tôt cette année, mais également d’avoir caché – ou refusé de reconnaître – que la liste des 9500 clients concernés par la fuite des données sensibles était plutôt de l’ordre de 270 000, comme le montrait les fichiers mis en ligne dimanche soir.
Pascal Gauthier répondait à cela, en disant que la base de données piratée et utilisée par les hackers s’échangeait déjà depuis juin, et qu’aucun accident de ce type n’avait été signalé. « Même si c’est une possibilité et que nous ne nions pas, ce n’est pas probable que cela se produise. La base de données est disponible depuis juin et personne n’a [jamais] signalé d’attaque de ce type. »
Par ailleurs, comme le signe d’une reconnaissance difficile, le PDG de Ledger invitait tout de même ses clients à ne pas stocker leur clé physique chez eux. « Garderiez-vous un million de dollars en espèces à la maison ? Si vous avez autant de richesse, vous ne devriez pas la garder chez vous » disait-il. Pour reconnaître les différentes techniques et menaces opérées par les malveillants, Ledger a publié une liste mise à jour en continue, avec des captures d’écrans à l’appui. Pour voir les derniers mails et SMS reçus par les clients, cliquez ici.
📝 Presse-citron a contacté Ledger. Nous tâcherons de vous proposer une interview complète avec le dirigeant de la société pour revenir en détail sur l’histoire, et les pistes de solution pour l’avenir.
