En juin dernier, le Français était victime d’un vol de données concernant ses bases e-commerce et marketing. Ce weekend, cette base a été publiée sur un forum, gratuitement et en libre accès, révélant que le nombre de personnes affectées est bien plus important que ne l’annonçait l’entreprise.

Mi-juillet, l’editeur français d’une solution de portefeuilles de cryptomonnaies, Ledger, révélait avoir été victime d’une fuite de données. Celle-ci avait eu lieu trois semaines plus tôt, lorsqu’une tierce partie non autorisée accédait à une portion de la base de données marketing et e-commerce de la plateforme, en exploitant une API apparemment défaillante. Dans sa communication, Ledger assurait que les informations personnelles dérobées contenaient un million d’adresses mail, utilisées à des fins de newsletter, ainsi que, pour 9500 clients, des informations supplémentaires telles que leurs noms, numéros de téléphone, adresses postales et produits commandés sur Ledger. Ces informations sont depuis exploitées par des cybercriminels dans le cadre de campagne de phishing. 

Mais un rebondissement vient de mettre à mal la communication officielle de l’entreprise. Dimanche, un utilisateur de forum RaidForum a mis en ligne deux fichiers, contenant des informations dérobées lors de cette attaque. Or si l’un des deux .txt contient le million d’adresses mails, l’autre comprend les informations relatives à 272 853 commandes passées sur le site de Ledger, dont 16 000 en France selon Bitcoin.fr, qui a le premier rapporté cette information. Si les doublons ne sont pas à exclure, le volume de données dérobées va bien au-delà des 9500 clients d’abord annoncés par la plateforme. 

Le CEO de Ledger, Pascal Gauthier, a pris la plume hier pour défendre l’entreprise, niant toute minimisation de l’impact de la violation de données. « Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) » écrit-il. Il reconnaît pourtant que la base de données publiée sur RaidForum concerne environ 272 000 utilisateurs, tout en soulignant que « ces détails ne sont pas disponibles dans les logs que nous avons pu analyser« . 

9500 ou 272 000 ?

Pascal Gauthier insiste en outre sur le fait que les crypto-wallets et les assets qui y sont stockés sont en sécurité et n’ont pas été compromis par le vol. Par contre, les données dérobées sont utilisées dans le cadre de campagne de phishing, Les hackers cherchant justement à mettre la main sur les informations d’authentification des utilisateurs. « Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales » martèle le CEO.

Pourtant, le responsable de la mise en ligne de la base de données semble en désaccord avec cette affirmation de Pascal Gauthier. « Vous devriez avoir honte de la manière dont vous conduisez votre business et gérez la confidentialité de vos utilisateurs » reproche-t-il à l’entreprise, dénonçant plus loin les « mensonges » de Ledger, aussi bien sûr l’ampleur de la fuite que sur son impact sur ses utilisateurs. L’auteur du post explique avoir vu sur un autre forum que la base avait été revendue pour 5 bitcoins. Il ajoute ultérieurement, après modification de la publication originale, ne pas être le premier à relayer cette base gratuitement, ni en être le propriétaire. 

Ledger a-t-il minimisé l’ampleur de sa fuite de données ?