293 000 clients de Ledger se retrouvent exposés suite à une fuite de données chez son prestataire de paiement Global-e. L'entreprise française, déjà fragilisée par l'enlèvement spectaculaire de son cofondateur David Balland fin janvier, confirme que des informations personnelles incluant noms, adresses électroniques, numéros de téléphone et adresses postales ont été compromises. Global-e affirme que l'incident est désormais contenu et fait l'objet d'une enquête approfondie.
L'essentiel
- 293 000 clients de Ledger exposés par une fuite de données chez Global-e, incluant noms, adresses emails, numéros de téléphone et adresses postales
- Cette brèche intervient quelques jours après l'enlèvement du cofondateur David Balland le 21 janvier, libéré après paiement d'une rançon en cryptomonnaie
- Plus de 1 milliard de dollars volés via des arnaques par phishing depuis mai 2021, dont 500 millions de dollars en 2022 selon Chainalysis
- Ledger avait déjà subi deux fuites majeures en 2020 : une première affectant 272 000 clients via son site web, une seconde via Shopify touchant 20 000 personnes supplémentaires
- Les données volées servent de base aux cybercriminels pour des campagnes de phishing ciblées, avec des pertes individuelles pouvant dépasser 100 000 euros
Le leader français des portefeuilles de cryptomonnaies Ledger fait face à une nouvelle crise sécuritaire. Selon ZDNET, l’entreprise a confirmé qu’une faille chez son prestataire de paiement Global-e a exposé les données personnelles de 293 000 clients. Cette révélation intervient dans un contexte particulièrement tendu pour la société, quelques jours seulement après la libération de son cofondateur David Balland, victime d’un enlèvement avec demande de rançon en cryptomonnaie.
Une fuite massive aux contours encore flous
Les informations compromises incluent des données sensibles : noms complets, adresses électroniques, numéros de téléphone et adresses postales des clients ayant effectué des achats via la plateforme. D’après les analyses de sécurité, cette base de données contenait également des informations sur les produits achetés auprès de Ledger. Global-e, le prestataire de paiement international utilisé par l’entreprise française, a confirmé l’incident tout en assurant que la situation était désormais sous contrôle.
Cette nouvelle brèche rappelle douloureusement les précédents incidents de sécurité qui ont émaillé l’histoire récente de Ledger. En juillet 2020, une première faille avait été identifiée sur le site de l’entreprise. Initialement, Ledger avait communiqué sur 9 500 clients affectés, avant de révéler en décembre 2020 que 272 000 personnes étaient en réalité concernées. Une base de données vendue sur des forums clandestins avait alors été découverte, exposant l’ampleur réelle de la compromission.
Un écosystème crypto sous pression constante
Les conséquences de ces fuites de données dépassent largement le cadre de la simple violation de vie privée. Selon Cryptoast, les données volées servent régulièrement de base à des campagnes de phishing ciblées contre les détenteurs de cryptomonnaies. Un investisseur français a ainsi perdu plus de 100 000 euros après avoir été victime d’une arnaque sophistiquée exploitant précisément ce type d’informations compromises.
« Une fois les cryptos transférées, elles ont disparu », témoigne cette victime auprès de Cryptoast, illustrant l’irréversibilité des transactions en cryptomonnaie.
L’ampleur du phénomène est vertigineuse. La société d’analyse on-chain Chainalysis estime que plus de 1 milliard de dollars ont été volés en cryptomonnaies par le biais d’arnaques par hameçonnage depuis mai 2021, dont plus de 500 millions de dollars pour la seule année 2022. Ces chiffres démontrent l’appétit des cybercriminels pour les données des utilisateurs de plateformes crypto, transformées en véritables mines d’or pour orchestrer des escroqueries ultra-ciblées.
Ledger dans la tourmente après l’enlèvement de son cofondateur
Cette nouvelle fuite de données intervient dans un timing particulièrement délicat pour Ledger. Le 21 janvier dernier, David Balland, cofondateur de l’entreprise, et sa compagne ont été kidnappés à leur domicile de Méreau dans le Cher, selon Le HuffPost. Les ravisseurs ont exigé une « importante rançon en cryptomonnaie », dont une partie a été « versée dans le cadre de la négociation » avec les forces de l’ordre.
L’intervention spectaculaire du GIGN a permis la libération du couple après 48 heures de séquestration. David Balland a été retrouvé avec une main mutilée, tandis que sa compagne était découverte ligotée dans une camionnette à Étampes. Dix personnes ont été placées en garde à vue pour « enlèvement et séquestration en bande organisée », accompagnés d’« actes de torture ou de barbarie ». La procureure de Paris Laure Beccuau a précisé que « la majorité des cryptomonnaies ont été saisies et gelées ».
« Nous sommes profondément soulagés que David et sa femme aient été libérés et soient désormais en sécurité », a réagi Pascal Gauthier, président-directeur général de Ledger, selon Le HuffPost.
Les défis de la sécurisation des données dans l’univers crypto
L’incident avec Global-e soulève des questions fondamentales sur la chaîne de sécurité des entreprises crypto. Ledger avait déjà été confronté à une situation similaire en septembre 2020, lorsque Shopify, un autre prestataire e-commerce, avait informé l’entreprise qu’une fuite de données affectait leur système. Des employés de Shopify avaient exporté illégalement des données commerciales appartenant à plus de 200 magasins en ligne, dont celles de Ledger. Cette information n’avait été communiquée à l’entreprise française que le 23 décembre 2020, soit trois mois après l’annonce publique de Shopify, révélant 20 000 personnes supplémentaires affectées.
Pour les utilisateurs de Ledger, ces incidents répétés posent la question de la confiance dans les solutions de stockage de cryptomonnaies. Si les portefeuilles physiques eux-mêmes n’ont jamais été compromis techniquement, les données personnelles des clients constituent une porte d’entrée privilégiée pour les cybercriminels. Les experts en sécurité recommandent désormais aux détenteurs de cryptoactifs d’utiliser des adresses fictives lors de leurs commandes et de rester particulièrement vigilants face aux tentatives de phishing ciblées.
Vers une régulation renforcée de la protection des données crypto
Cette nouvelle brèche intervient alors que les régulateurs européens et français intensifient leur surveillance du secteur des cryptomonnaies. L’accumulation de fuites de données chez les acteurs majeurs du secteur pourrait accélérer la mise en place de normes de sécurité plus strictes, similaires à celles imposées aux institutions financières traditionnelles. La question de la responsabilité en cascade, lorsqu’un prestataire tiers compromet les données d’une entreprise principale, reste au cœur des débats juridiques.
Ledger, qui s’était imposé comme référence mondiale dans la sécurisation des cryptoactifs depuis sa création en 2014, devra désormais reconstruire la confiance de ses 293 000 clients affectés. L’entreprise a indiqué avoir contacté individuellement les personnes concernées, mais n’a pas précisé les mesures de compensation ou de protection renforcée qui seraient mises en place. Dans un secteur où la sécurité constitue l’argument commercial principal, ces incidents répétés pourraient-ils redistribuer les cartes du marché des portefeuilles crypto ?
Sources
- ZDNET (15 janvier 2021)
- Le HuffPost (24 janvier 2025)
- Cryptoast (7 janvier 2024)
