Nous en avions parlé en juillet 2020 : Ledger avait été victime d'un important piratage informatique. Plus d'un an plus tard, France Bleu Berry nous apprend que "l'entreprise Ledger, start-up vierzonnaise montante, est attaquée en justice par plusieurs de ses clients qui demandent réparation après la fuite d'un fichier de données personnelles en 2020.../... Certains de ses clients demandent réparation après une fuite massive de leurs données personnelles en 2020. Un fichier qui comporte un million d'adresses emails, et plus de 200 000 adresses postales, est depuis librement accessible en ligne."
"Avec ces données personnelles mises à disposition de tous, et donc de personnes mal intentionnées, les clients de Ledger deviennent parfois la cibles de malfaiteurs qui tentent de récupérer l'accès à leurs portefeuilles numériques via l'envoi de mails, ou encore de sms. Certaines auraient même reçu des menaces, sous forme de chantage, selon maître Romain Chilly, avocat qui défend une trentaine de clients qui demandent réparation. D'autres ont reçu à leur domicile de fausses clés Ledger; tentative d'escrocs pour récupérer leurs codes. Bref, les méthodes sont variées, mais l'idée est la même : récupérer l'accès aux cryptomonnaies que possèdent ces clients. Reste à déterminer si la responsabilité de Ledger est engagée."
"Un million d’adresses e-mail de clients, mais aussi des noms, prénoms, adresses postales et historiques d’achats ont été dérobés à Ledger", lit-on dans Capital. L'information date du 29 juillet dernier. "C’est le plus gros piratage de son histoire auquel est confronté le spécialiste des solutions de sécurité pour cryptomonnaies. Ledger fabrique notamment les portefeuilles électroniques Nano X et S. Le hack, qui n’a pas été revendiqué, ne concerne pas la sécurité des produits en eux-mêmes. Les bitcoins des clients ne sont pas menacés. En revanche, ces derniers pourraient devenir la cible d’attaques phishing dans le but d’accéder frauduleusement à leurs cryptomonnaies."
Capital explique que "l’ampleur de l’attaque est importante car le pirate a dérobé la moitié de la base des clients de l’entreprise, qui en compte deux millions à travers le monde. Sont concernés : ceux qui ont acheté un produit directement sur le site marchand de Ledger, ainsi que ceux qui reçoivent la newsletter de la start-up. Pour eux, il convient donc d’être vigilant et de ne communiquer sous aucun prétexte la suite de 24 mots qui sert à accéder à leurs portefeuilles."
Capital explique que "l’ampleur de l’attaque est importante car le pirate a dérobé la moitié de la base des clients de l’entreprise, qui en compte deux millions à travers le monde. Sont concernés : ceux qui ont acheté un produit directement sur le site marchand de Ledger, ainsi que ceux qui reçoivent la newsletter de la start-up. Pour eux, il convient donc d’être vigilant et de ne communiquer sous aucun prétexte la suite de 24 mots qui sert à accéder à leurs portefeuilles."
"Le hack dont Ledger est victime ne concerne que les données clients et en aucun cas les produits sont en danger, ni vos clés privées. C’est d’ailleurs là tout l’intérêt de passer par une entreprise comme Ledger : vos clés n’appartiennent qu’à vous, et donc, même en cas d’accès aux données Ledger, les hackers ne peuvent pas avoir l’accès à vos cryptos", lit-on sur le site thecointribune.com.
"Suite à la découverte de la faille le 14 juillet, Ledger a contacté la CNIL pour l’informer du vol des données ; l'entreprise travaille avec les autorités pour faire avancer la procédure judiciaire", lit-on sur le site Clubic.com. "Le P.-D.G. de Ledger, Paul Gauthier, a déclaré dans son communiqué : « Nous regrettons vivement cet incident. Nous prenons la confidentialité très au sérieux et nous nous excusons sincèrement pour les inconvénients que cette affaire pourrait vous causer ». Il a également rappelé à ses clients : « Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération. Si vous recevez un e-mail qui semble provenir de Ledger vous demandant vos 24 mots, vous devez absolument le considérer comme une tentative de phishing".