Plusieurs clients de Ledger ont eu la surprise de recevoir récemment par la Poste de nouvelles clés Nano X, qui permet de sécuriser leurs portefeuilles de cryptomonnaies. Le courrier accompagnant l’envoi explique que la nouvelle clé remplace la précédente suite à la fuite de données remontant à la fin de l’année dernière.

La mise au point de Ledger

Le processus de remplacement de la clé, qui fait fonction de portefeuille physique, implique de donner ses identifiants, et c’est là que le bât blesse : une fois en possession de ces informations, les pirates peuvent voler les sommes stockées dans les portefeuilles de cryptos des clients de Ledger. Pour tromper leurs victimes, les voleurs ont mis le paquet : la clé est une copie presque parfaite du modèle existant, le packaging est similaire et le mode d’emploi est précis et détaillé.

Par ailleurs, le fait que l’envoi soit la conséquence de la fuite de données crédibilise les propos des pirates. Difficile dans ces conditions de ne pas tomber dans le panneau puisque tout a l’air officiel et provenant de l’entreprise. Et pourtant, la méfiance est de règle : le site internet de Ledger précise même dans un bandeau en haut de sa page d’accueil que l’entreprise ne demandera jamais les 24 mots composant la phrase de récupération du compte.

Reste à savoir comment les pirates ont eu accès aux adresses de leurs victimes. Il semble qu’ils se soient simplement servis dans les données subtilisés fin 2020 : on y trouvait en effet des informations comme les noms, prénoms, adresses et e-mails des clients de Ledger. Ce n’est d’ailleurs pas la première fois qu’ils tentent de rentabiliser cette fuite de données : à l’époque, ils avaient déjà mis en ligne des sites reprenant le design de l’officiel pour tenter de récupérer des identifiants et mots de passe.