Ledger a confirmé auprès de 01net avoir été informé d’un incident de sécurité touchant l’un de ses partenaires commerciaux, Global-e, une plateforme de commerce en ligne utilisée par de nombreuses marques internationales. Selon l’entreprise française, un « accès non autorisé » a permis à un attaquant de consulter des données liées à des commandes passées sur Ledger.com, via ce prestataire.
Un incident chez un prestataire, pas chez Ledger
Les informations concernées sont de nature personnelle et logistique : noms, coordonnées et détails de commande. Ledger insiste sur un point central : il ne s’agit pas d’une compromission de ses propres systèmes. « Il ne s’agit pas d’une violation des plateformes, du hardware ou du software de Ledger », précise la société. Les clés privées et les cryptomonnaies des utilisateurs n’ont, elles, pas été exposées, Global-e comme Ledger n’ayant jamais accès à ces éléments sensibles.
L’entreprise rappelle également qu’elle n’est pas la seule victime indirecte de cet incident. L’attaquant a ciblé une infrastructure cloud de Global-e hébergeant des données de commandes pour plusieurs marques, ce qui élargit le problème bien au-delà de Ledger. Même sans information financière directe, ces données restent particulièrement sensibles. Elles permettent de bâtir des campagnes de phishing très crédibles, usurpant l’identité de Ledger et s’appuyant sur des informations exactes pour mettre en confiance les victimes. Ces méthodes sont désormais bien rodées dans l’écosystème crypto.
Plus inquiétant encore, la divulgation d’adresses postales expose certains détenteurs de cryptomonnaies à des tentatives d’extorsion physiques. La France a déjà été touchée par plusieurs affaires de ce type. L’une d’elles a touché directement Ledger : son cofondateur David Balland a été enlevé et séquestré avant d’être libéré par la police. Les ravisseurs espéraient obtenir une rançon en Bitcoin.
À la fin de l’année dernière, une vague d’arnaques par courrier postal a illustré la manière dont ces données peuvent être recyclées. Des investisseurs ont reçu des lettres se faisant passer pour Ledger, évoquant l’activation d’une fonctionnalité de sécurité bien réelle, « Transaction Check ». Le piège reposait sur un QR code renvoyant vers un site frauduleux destiné à subtiliser des clés privées ou à faire valider des transactions piégées.
Les courriers contenaient des informations personnelles précises, parfois recoupées avec d’autres fuites, notamment en dehors de l’écosystème Ledger. Les pirates allaient jusqu’à utiliser la signature du véritable directeur technique de l’entreprise, ce qui renforçait encore la crédibilité de l’escroquerie. Ledger rappelle qu’elle ne demande jamais d’activer une fonction de sécurité via un QR code reçu par courrier, email ou SMS, ni de communiquer une phrase de récupération.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
