Un utilisateur du forum de hacker le plus connu a mis en ligne deux fichiers issus de la fuite de Ledger. En juillet, la startup française spécialisée dans la sécurisation des portefeuilles de cryptomonnaie avait averti les autorités et ses clients au sujet d'une fuite de données. Celle-ci peut désormais être considérée comme publique. Et n'importe qui peut s'en servir pour faire du phishing.

La fuite de Ledger date de juin 2020, mais personne ne savait exactement qui y a eu accès. Ce dimanche 20 décembre, les bases de données volées sont pratiquement devenues publiques. Sur le forum de ventes de données le plus populaire, un utilisateur a déposé deux fichiers textes (.txt), que n’importe quel visiteur peut télécharger gratuitement (ou presque, selon son utilisation du forum). L’anonyme a obtenu les bases de données volées dont Ledger avait parlé publiquement cet été, mais a décidé de les rendre publiques plutôt que de seulement les revendre ou les exploiter.

Publiée gratuitement sur un forum très populaire, la fuite peut être considérée comme publique. // Source : Capture d’écran Cyberguerre

La publication de données sans rémunération signifie le plus souvent que de (relativement) nombreux autres pirates ont déjà obtenu et exploité la base de données, et qu’elle n’a donc plus trop de valeur. « Le premier prix confirmé que j’ai vu pour cette base de données était de 5 BTC  [environ 100 000 euros au cours actuel, ndlr] », avance l’auteur dans le message consulté par Cyberguerre. Le forum sur lequel se trouve le message est bien connu de tous ceux qui s’intéressent aux fuites, et est accessible par une simple recherche Google, sans utiliser Tor. Des milliers de visiteurs, loin de faire partie du grand banditisme, y ont accès : c’est pourquoi le dépôt gratuit d’une base de données sur ce forum revient à la rendre publique.

Ledger a réagi rapidement sur Twitter :

« Nous étions déjà au courant de cette fuite de données. Nous avions alerté les autorités ainsi que nos utilisateurs, et nous avons affronté les attaques qui en découlent depuis », se défend-elle. L’entreprise liste les nouvelles garanties de sécurité qu’elle a déployées depuis : elle a embauché un nouveau directeur de la sécurité ; une entreprise externe a effectué des tests de pénétration sur son réseau à la recherche de failles ; elle a fait tomber plus de 170 sites de phishing…. Mais malgré ces efforts, les actions contre les clients de Ledger pourraient connaître un nouveau pic dans les jours à venir.

La fuite nourrit déjà des phishings sophistiqués

Le premier fichier déposé contient 1 075 382 adresses email de personnes inscrites à la newsletter de Ledger. Pour un cybercriminel, cette base de données est déjà une belle base pour lancer des phishings contre les clients de l’entreprise française. Justement, des phishing particulièrement sophistiqués, et taillés sur mesure pour les clients de Ledger circulent déjà depuis plusieurs mois : nous vous présentions un exemple en octobre, le Bleeping Computer évoquait d’autres cas début décembre, et le hacker éthique Adrien Jeanneau nous a signalé un nouvel exemple pas plus tard que ce dimanche. L’objectif : vider les fonds de cryptomonnaie protégés par les clés Ledger, alors que le bitcoin a récemment atteint de nouvelles hauteurs de valorisation, à plus de 20 000 euros.

En octobre déjà, Cyberguerre identifiait une campagne de SMS et emails sophistiqués contre Ledger. // Source : Capture d’écran Numerama

Sur son site officiel, Ledger affiche un bandeau pour prévenir qu’une campagne de phishing est en cours. L’entreprise précise par ailleurs qu’elle a fait supprimer 171 sites frauduleux. Mais malgré ces efforts, elle peine à s’en débarrasser. Grâce à sa communication plutôt transparente et réactive sur la fuite, Ledger pourrait tout de même avoir prévenu un certain nombre de ses clients à temps pour qu’ils ne se fassent pas pirater.

Le second fichier déposé par l’anonyme pose encore plus de problèmes : c’est un historique de 272 853 commandes. Pour chaque produit vendu, Ledger conservait l’email, le numéro dé téléphone, et adresse (physique) et du client. C’est cette dernière information qui inquiète le plus les victimes. Le (presque) unique produit de Ledger est un appareil, le Nano, qui ressemble à une longue clé USB. Pour se connecter à un portefeuille (l’équivalent d’un compte bancaire pour les cryptomonnaies), les utilisateurs du Nano doivent le connecter à leur appareil, puis entrer leur code PIN (à plus de 4 chiffres).

C’est une importante garantie de sécurité : un éventuel cambrioleur n’a d’autre choix que de deviner la phrase secrète de 24 mots qui sert de moyen de connexion en cas d’oubli…ou de dérober le Nano après avoir obtenu le mot de passe. Et justement, avec une liste des victimes et leurs adresses, un éventuel cambrioleur aurait le travail prémâché. De quoi attirer des voleurs ? Le cours du bitcoin s’envole en cette fin d’année 2020, et la valorisation du contenu de la plupart des portefeuilles s’envole avec lui.

Parmi les victimes de la fuite, environ 16 500 sont françaises, d’après une source qui a consulté les bases de données.

Cherchez sur Have I Been Pwned si vous êtes concerné

À peine trois heures après la publication sur le forum de hacker, le site Have I Been Pwned a ajouté le contenu de la fuite à sa propre base de données.

Ce site gratuit et indépendant fait office de moteur de recherche sur les fuites connues. Si vous êtes client de Ledger, vous pouvez entrer votre adresse email sur HIBP pour savoir si vous êtes concerné pour la fuite. En revanche, pour des raisons de sécurité, le site ne précise pas les informations incluses dans la fuite. Vous saurez que votre email figure ou non sur au moins un des deux fichiers, mais pas exactement quelles informations sont compromises.

Si votre adresse email fait partie de la fuite, redoublez de vigilance sur les mails et SMS que vous recevrez. Comme le martèle Ledger dans ses articles de prévention : ne donnez jamais les 24 mots de votre phrase secrète, pas même à Ledger.

Malgré tout, cette fuite n’a pas plombé l’année 2020 de Ledger. Dans le Figaro, le directeur général Pascal Gauthier se félicite d’une « nette hausse des ventes » et d’un « afflux massif de nouveaux utilisateurs ». Il précise l’ampleur du succès : « Nous observons en ce moment [l’article a été publié fin novembre, ndlr] des journées à plus de 450 % de ventes de nos hardware wallets par rapport à novembre l’an dernier. » Capital (via sa newsletter spécialisée sur les cryptomonnaies, « 21 Millions »), rappelle que Ledger a récemment dû licencier une partie de ses employés, mais aussi que désormais, l’entreprise veut s’imposer comme géant mondial du secteur.

Crédit photo de la une : Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux