Alors que le rachat de Bridge par Stripe a fait grand bruit dans l’univers cryptomonnaie, l’entreprise française Ledger, spécialisée dans la sécurisation de cryptoactifs sur support physique (appelé « cold wallet » dans le jargon), et fabricant des célèbres portefeuilles de cryptomonnaies sous forme de clé USB (Ledger Nano), fait de nouveau parler de lui… pour ses problèmes de sécurité survenus en 2020. En effet, l’entreprise est sous le feu des projecteurs après une sanction de la CNIL. Cette amende, bien que non confirmée dans son montant exact par l’organisme de protection des données, souligne de graves manquements en matière de sécurité des informations clients. Retour sur cette affaire de fuites de données et les mesures prises par les autorités pour garantir la protection des utilisateurs.
Une amende pour Ledger après des fuites de données en 2020
La CNIL, qui a prononcé 42 sanctions en 2023, a infligé une sanction à Ledger, une entreprise reconnue pour ses solutions de portefeuilles sécurisés pour les cryptomonnaies, suite à des failles de sécurité survenues en 2020. En mai 2020, un premier incident avait permis à des attaquants d’accéder aux données de près de 290 000 utilisateurs via la plateforme Shopify, utilisée par Ledger. Un mois plus tard, une seconde attaque a compromis les données personnelles de près d’un million de clients, exposant ces informations sur divers forums de données volées.
Pas de panique toutefois, ces deux attaques n’ont toutefois pas affecté la sécurité des portefeuilles de cryptomonnaies eux-mêmes, mais concernent uniquement des bases de données marketing contenant des informations personnelles. La CNIL reproche à Ledger de ne pas avoir respecté les normes du Règlement général sur la protection des données (RGPD), notamment en matière de conservation et de sécurisation des données clients.
La réaction de la CNIL : 50 plaintes reçues contre Ledger
La CNIL, qui a été saisie d’une « cinquantaine de plaintes » par des utilisateurs en France et en Europe, a mené une enquête approfondie. Les plaintes ont pointé du doigt l’insuffisance des mesures de sécurité mises en place par Ledger pour protéger les données personnelles. À la suite de cette enquête, l’organisme a confirmé que Ledger avait enfreint deux articles du RGPD, relatifs à la durée de conservation des informations clients et à leur protection contre des accès non autorisés.
Bien que la CNIL n’ait pas divulgué le montant exact de la sanction, des sources médiatiques, dont « The Big Whale » et « La Lettre », estiment qu’il pourrait atteindre 750 000 euros.
Phishing et répercussions des fuites de données sur les utilisateurs
Les informations dérobées lors de ces attaques ont été largement partagées sur divers forums de données volées. En conséquence, de nombreux clients de Ledger ont été victimes d’attaques de phishing, où des cybercriminels utilisent les données volées pour inciter les utilisateurs à fournir des informations supplémentaires sensibles, dans le but de les piéger, et récupérer des informations critiques comme la « seed phrase » de sécurité des utilisateurs, permettant aux pirates d’accéder aux cryptomonnaies des utilisateurs.
Les équipes de Ledger ont à plusieurs reprises averti leurs clients des risques et ont encouragé la vigilance face à de possibles arnaques. Cependant, ces efforts de communication n’ont pas suffi à apaiser les inquiétudes des utilisateurs, déjà touchés par les répercussions des fuites de leurs informations personnelles. Ces incidents ont ainsi révélé des failles dans la gestion des données marketing de la société française, sans pour autant compromettre la sécurité de ses produits de portefeuille de cryptoactifs.
Les impacts de l’affaire Ledger sur l’industrie des cryptoactifs
Cette affaire met en lumière les défis sécuritaires que doivent relever les entreprises de l’univers des cryptoactifs, un secteur où la protection des données personnelles est capitale pour gagner la confiance des utilisateurs.
Alors que Ledger, malgré son expertise en sécurité crypto, fait face à des critiques, cet épisode pourrait encourager d’autres acteurs du secteur à améliorer leurs propres systèmes de gestion et de conservation des données pour éviter de potentielles sanctions. L’exemple de Ledger pourrait ainsi servir de référence pour l’ensemble de l’industrie des cryptoactifs, de plus en plus exposée aux cyberattaques et aux exigences légales en matière de protection des données.