Fuite de données Ledger via Global-e : augmentation des risques de phishing et préoccupations concernant la sécurité des tiers

Source : CryptoValleyJournal Titre Original : Ledger suffers renewed data leak via payment service provider Global-e Lien Original :

Ledger victime d’une nouvelle fuite de données via le prestataire de services de paiement Global-e

Le fabricant de portefeuilles matériels Ledger a été affecté par une nouvelle fuite de données. L’incident s’est produit via le prestataire tiers Global-e, un fournisseur de services de paiement pour l’entreprise. L’analyste blockchain ZachXBT a rendu publique la fuite de sécurité et a averti les utilisateurs d’un risque accru de phishing.

Global-e a confirmé un accès non autorisé aux données personnelles des clients Ledger, y compris les noms et les coordonnées. Cependant, l’entreprise n’a pas divulgué le nombre exact d’utilisateurs affectés. Dans une déclaration initiale, Ledger a souligné que sa propre infrastructure n’avait pas été compromise. La vulnérabilité de sécurité a affecté exclusivement les systèmes cloud de Global-e. Les phrases de récupération, clés privées, soldes de portefeuille ou informations de paiement n’ont pas été affectés, car Global-e n’a pas accès à ces données sensibles.

Risque lié aux prestataires tiers au centre du débat sur la sécurité

L’incident met en lumière la vulnérabilité des fournisseurs de portefeuilles matériels via des prestataires de services externes. Global-e a découvert une activité inhabituelle sur son réseau et a immédiatement lancé des mesures de contre-attaque. La société a fait appel à des experts en criminalistique pour enquêter sur l’étendue de la fuite de sécurité. L’analyse a confirmé que des attaquants avaient accédé à des données personnelles.

Ledger utilise Global-e comme partenaire e-commerce pour le traitement des paiements internationaux. Cette approche permet au fabricant de portefeuilles matériels de servir des clients dans différentes régions, mais crée des dépendances. Externaliser les processus de paiement à des prestataires spécialisés est courant dans l’industrie. Cependant, cela crée une surface d’attaque étendue, car les données des clients sont stockées chez plusieurs entreprises.

Les informations compromises — noms et coordonnées — semblent moins critiques à première vue que les identifiants d’accès au portefeuille. Les experts en sécurité mettent néanmoins en garde contre les conséquences. Les données permettent de mener des campagnes de phishing ciblées où les attaquants se font passer pour des employés de Ledger et pourraient tromper les utilisateurs pour qu’ils révèlent leurs phrases de récupération.

Risque de phishing accru suite aux fuites de données

Les données exposées offrent aux cybercriminels une base pour des attaques d’ingénierie sociale sophistiquées. Les utilisateurs affectés doivent s’attendre à une augmentation des emails frauduleux. Ceux-ci sont conçus de manière professionnelle et semblent légitimes. Les attaquants exploitent le fait que des données clients authentiques sont disponibles pour instaurer la confiance.

Ledger a déjà averti après des incidents précédents que l’entreprise ne demande jamais de phrases de récupération, mots de passe ou codes de vérification. Cette règle fondamentale reste essentielle pour la protection des actifs numériques. Les utilisateurs doivent considérer toute communication demandant l’entrée de données sensibles comme frauduleuse — peu importe son apparence authentique.

Les chercheurs en sécurité recommandent aux utilisateurs affectés de rester très vigilants. Cela inclut l’ignorance des emails suspects, ne pas cliquer sur des liens provenant de sources non vérifiées, et en général, ne pas scanner de codes QR demandant l’entrée de phrases de récupération. De plus, les utilisateurs doivent activer l’authentification à deux facteurs chaque fois que possible.

Historique des incidents de sécurité récurrents chez Ledger

L’incident actuel rejoint une série de fuites de données qui ont affecté Ledger ces dernières années. En juillet 2020, la fuite de sécurité la plus grave à ce jour s’est produite. Des attaquants ont accédé à la base de données e-commerce et marketing de l’entreprise et ont compromis des informations d’environ 1,1 million d’adresses email ainsi que des données détaillées de 272 000 clients, y compris noms complets, numéros de téléphone et adresses résidentielle.

Les données volées ont été initialement vendues et publiquement diffusées sur des forums de hackers en décembre 2020. Cela a déclenché une vague de campagnes de phishing et de tentatives d’extorsion. À cette époque, Ledger a déclaré avoir fermé 171 sites de phishing en deux mois. Mais les conséquences allaient bien au-delà des attaques numériques. Les criminels utilisent les adresses exposées des détenteurs de crypto pour des agressions physiques — appelées « attaques à la clé à molette ». En janvier 2025, des auteurs ont enlevé le co-fondateur de Ledger, David Balland, et sa femme de leur domicile en France. Les attaquants ont exigé une rançon en cryptomonnaies et ont sectionné un doigt de Balland. La police française a libéré le couple après plusieurs jours de captivité. L’incident montre que les fuites de données dans les entreprises crypto peuvent avoir des conséquences graves, voire mortelles.

En décembre 2020, un autre incident s’est produit via le prestataire de services e-commerce Shopify. Des employés corrompus y ont exporté illégalement des données de transactions clients en avril et juin 2020. Une action collective intentée contre Ledger et Shopify a été rejetée par un tribunal californien en novembre 2021. En décembre 2023, des attaquants ont compromis la bibliothèque JavaScript Connect Kit de Ledger via une attaque sur la chaîne d’approvisionnement. Pendant une courte période, près de 500 000 $ ont été volés à des utilisateurs ayant interagi avec des applications décentralisées affectées. Cet incident a non seulement affecté pour la première fois les données clients, mais a aussi entraîné des pertes financières directes.

Question de confiance et normes industrielles

Les incidents de sécurité récurrents soulèvent des questions sur la résilience des fournisseurs de portefeuilles matériels. Ledger insiste constamment sur le fait que les portefeuilles matériels eux-mêmes et les clés privées qu’ils contiennent n’ont pas été compromis. Cette séparation entre la sécurité du produit et les données de l’entreprise est techniquement correcte, mais insuffisante.

Les conséquences à long terme des fuites de données se manifestent dans des campagnes de phishing continues. Les personnes affectées par la fuite de 2020 rapportent encore des tentatives de contact frauduleuses plusieurs années plus tard. Les données conservent leur valeur pour les criminels tant que les individus concernés détiennent des cryptomonnaies.

Pour l’industrie, la question se pose des normes de sécurité appropriées pour les prestataires tiers. Les fabricants de portefeuilles matériels doivent non seulement protéger leurs propres systèmes, mais aussi s’assurer que leurs partenaires mettent en œuvre des mesures de sécurité comparables. Externaliser les processus de paiement et les services marketing crée des dépendances difficiles à contrôler. Les utilisateurs de Ledger doivent décider s’ils continuent à faire confiance à l’entreprise. Les portefeuilles matériels eux-mêmes restent considérés comme sécurisés — à condition que les utilisateurs ne révèlent pas leurs phrases de récupération. Le risque accru réside dans l’identité exposée en tant que détenteur de crypto, que les attaquants peuvent exploiter pour des campagnes ciblées.