Le vendeur de portefeuilles à cryptomonnaies a été victime fin juin d’une intrusion dans ses systèmes. Une attaque qui n’a pas été détectée avant mi-juillet, mais qui ne touche pas directement les fonds stockés par les utilisateurs : les pirates n’ont eu accès qu’à une base de données e-commerce et marketing, contenant principalement des adresses email.
Les plateformes d’échange de cryptomonnaies sont fréquemment la cible d’attaques. Quand le Bitcoin était à son plus haut, les tentatives étaient quotidiennes, et régulièrement couronnées de succès, les hackers volant ici et là l’équivalent de quelques centaines de milliers de dollars en devises virtuelles.
Le rythme a quelque peu diminué mais l’industrie reste une proie particulièrement alléchante pour les cybercriminels. Ledger, entreprise française spécialisée en cryptowallets, des systèmes de stockage de cryptomonnaie, n’y a pas échappé. La société annonce avoir été victime d’une intrusion dans ses serveurs. C’est par le biais de son programme de bug bounty que Ledger a été informé, le 14 juillet, d’une potentielle vulnérabilité sur son site web. Aussitôt signalée, aussitôt corrigée.
Vol de données, et non de cryptomonnaies
Néanmoins, se penchant sur cette faille, l’équipe de Ledger découvre, une semaine environ après les faits, que celle-ci a été exploitée, permettant à un tiers non autorisé d’accéder à une base de données. L’entreprise prévient : les informations de paiement et les fonds stockés n’ont pas été affectés. Les pirates ont eu accès à une base de données marketing et e-commerce, “utilisée pour envoyer des confirmations de commande et des e-mails promotionnels”. Un accès obtenu via une clé API, désactivée depuis.
S’y trouvaient principalement un million d’adresses email d’utilisateurs, mais aussi “un sous-ensemble comprenant également les coordonnées et les détails de la commande tels que le prénom et le nom, l'adresse postale, l'adresse e-mail et le numéro de téléphone”. Ces dernières données concernent 9500 utilisateurs. En réaction, Ledger a prévenu la Cnil le 17 juillet, et a fait appel le 21 juillet à Orange Cyberdéfense “pour évaluer les dommages potentiels de la violation de données”.
Ledger surveille les places de marché bien connues des hackers afin d’y repérer la vente de ces données, et explique avoir réalisé et planifié la réalisation, de plusieurs pentests. Une plainte a en outre été déposée, tandis que les utilisateurs affectés ont été notifiés.