Ledger révèle une fuite de données chez un partenaire e-commerce : quels sont les risques pour tes portefeuilles crypto ?

Le fabricant de portefeuilles crypto Ledger a annoncé une violation de sécurité sur la plateforme de son partenaire e-commerce Global-e. La société assure toutefois que la sécurité de ses propres portefeuilles matériels et logiciels n’a pas été compromise. Lors de la violation, aucune clé privée, donnée de transaction ou information de paiement des clients n’a été divulguée.

L’entreprise parisienne Ledger possède 12 ans d’expérience dans le développement et la vente de portefeuilles crypto. Avec plus de 7,5 millions d’appareils vendus dans le monde, Ledger affirme couvrir environ un cinquième de toutes les cryptomonnaies mondiales. La confiance des utilisateurs dans la sécurité de ces appareils est mise à l’épreuve par la situation actuelle, même si les portefeuilles directs n’ont pas été affectés.

Que s’est-il réellement passé chez Global-e ?

Global-e est une plateforme de commerce électronique et de paiement international, permettant aux marques de vendre leurs produits à l’échelle mondiale. L’entreprise israélienne est cotée au Nasdaq sous le symbole GLBE et sert des centaines de détaillants, dont des noms connus comme Victoria’s Secret, Adidas, Alo Yoga et Marc Jacobs.

L’accès non autorisé a ciblé spécifiquement les systèmes de commande sur la plateforme Global-e. Des informations de certains clients ayant effectué des achats sur Ledger.com via Global-e en tant que processeur de paiement ont été collectées. Un porte-parole de Ledger a expliqué à Decrypt qu’il s’agissait d’un incident isolé sur les serveurs de Global-e, et non sur les systèmes de Ledger lui-même.

La bonne nouvelle : Ledger proposant des produits auto-hébergés, Global-e n’a jamais eu accès aux informations critiques de sécurité des clients. Ni les phrases de récupération de 24 mots, ni les fonds cryptographiques ou autres données sensibles relatives aux actifs numériques n’ont été compromis. Les informations de paiement n’ont également pas été affectées par la fuite de données.

Comment Ledger réagit-il à la violation de sécurité ?

L’entreprise a immédiatement mandaté des experts forensiques indépendants pour enquêter sur l’incident. Ceux-ci analyseront les causes de la faille de sécurité et veilleront à ce que de tels incidents ne se reproduisent pas. Cette démarche témoigne de la transparence et de la conscience de la sécurité de l’entreprise.

Cet incident s’inscrit dans une série d’événements de sécurité liés à des systèmes tiers dans l’écosystème Ledger. En décembre 2023, la société avait signalé un accès non autorisé à son Ledger Connect Kit, causé par une attaque de phishing contre un ancien employé. À l’époque, Ledger avait averti ses utilisateurs de ne pas utiliser certaines applications décentralisées (dapps). Ces incidents soulignent l’importance de mesures de sécurité multicouches dans l’industrie crypto.

Pour les utilisateurs de portefeuilles Ledger, le message principal reste clair : leurs actifs numériques sont protégés par l’architecture auto-hébergée de ces appareils, même si des plateformes externes par lesquelles ils achètent ont été victimes d’incidents de sécurité. L’enquête active et la communication transparente de Ledger contribuent à maintenir la confiance dans cette solution de sécurité.