Ledger a informé ses clients par email, mercredi matin, que ses serveurs ont été attaqués via une faille. L’attaque, réalisée dans le but de voler des données clients, a été découverte le 14 juillet.
Que les utilisateurs de portefeuilles Ledger Nano soient rassurés, a priori, ceux-ci ne sont pas corrompu ; néanmoins les données des clients qui ont commandé des produits chez Ledger, elles, sont dans la nature.
Une faille découverte le 14 juillet
C’est dans le cadre du programme Bug Bounty qu’un chercheur en informatique a découvert une faille potentiellement exploitable sur le site Internet de Ledger. Une correction a été immédiatement réalisée afin de supprimer cette petite porte ouverte aux pirates.
Cependant, après avoir mené une enquête, Ledger indique avoir découvert qu’une personne non autorisée avait bien eu accès aux informations client. Fort heureusement, d’après l'entreprise, aucune information de paiement n’aurait été exfiltrée de ses serveurs. Seules les coordonnées postales, mail et le détails des commandes ont pu être dérobés. Pour le moment, Ledger n'en a pas trouvé de trace sur Internet.
Ledger réagit rapidement
Suite à la découverte de la faille le 14 juillet, Ledger a contacté la CNIL pour l’informer du vol des données ; l'entreprise travaille avec les autorités pour faire avancer la procédure judiciaire.
Le P.-D.G. de Ledger, Paul Gauthier, a déclaré dans son communiqué : « Nous regrettons vivement cet incident. Nous prenons la confidentialité très au sérieux et nous nous excusons sincèrement pour les inconvénients que cette affaire pourrait vous causer ».
Il a également rappelé à ses clients : « Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération. Si vous recevez un e-mail qui semble provenir de Ledger vous demandant vos 24 mots, vous devez absolument le considérer comme une tentative de phishing ».
Source : communiqué de presse