Ledger ajoute une prime Bitcoin et une nouvelle sécurité des données après un piratage

Matt Johnson, nouveau responsable de la sécurité des systèmes d'information (RSSI) de Ledger, n'a pas eu d'autre choix que de se mettre au travail, non pas en courant, mais en courant. Sa première semaine de travail a consisté à analyser les conséquences d'une importante fuite de données clients, entre autres aspects tels que la sécurité des données et la multiplication des attaques qui découleraient de l'augmentation du volume de Bitcoin .

Au lendemain du plus grand piratage informatique de l'histoire de l'entreprise, et un peu plus d'une semaine après l'arrivée de Johnson, la société de portefeuilles matériels Ledger a annoncé ses premières mesures pour remédier à la violation de données et garantir qu'un tel piratage T se reproduise plus.

Il s'agit notamment de collaborer avec la société d'analyse de blockchain Chainalysis pour traquer les pirates informatiques, en offrant un 10 BTCune prime pour les informations menant à l’arrestation du pirate informatique et à la création d’un examen complet des informations détenues par l’entreprise, où elles sont stockées et combien de temps elles sont conservées.

Simultanément, Ledger a révélé qu'en raison d'acteurs malveillants chez son partenaire de commerce électronique Shopify, 20 000 nouveaux dossiers clients, y compris des e-mails, des noms, des adresses postales et des numéros de téléphone, ainsi que les produits commandés, ont été exposés.

Le piratage du Ledger

Ledger a révélé publiquement que les informations des clients avaient été compromises en juillet 2020. À l'époque, la société estimait9 500 Des clients ont été touchés par le piratage. Dans les mois qui ont suivi, CoinDesk a recensé une série de tentatives d'hameçonnage convaincantes, notamment des courriels imité la correspondance officielle et les messages texte du Ledger.

Puis, en décembre 2020, unvidage de données « Un million d'adresses e-mail et 272 000 noms, adresses postales et numéros de téléphone appartenant à des personnes ayant commandé des appareils Ledger, qui stockent les clés privées des portefeuilles de Cryptomonnaie , ont été exposés », comme l'a rapporté CoinDesk . Le nombre de personnes touchées était bien supérieur à l'estimation initiale. 9 500.

Une série d'échanges de cartes SIM a été signalée dans les jours qui ont suivi le déversement de données et certains clients ont commencé à recevoirextorsiondes courriels, y compris des menaces de violence.

Dans une interview en décembre dernier, le PDG de Ledger, Pascal Gauthier, a déclaré à CoinDesk que le piratage initial était, en partie, le résultat de la croissance rapide de l'entreprise, et que lui et le nouveau CISO Matt Johnson annonceraient une nouvelle Juridique de données et un plan pour traiter davantage les fuites en janvier.

Ledger a désormais publié de nouvelles informations sur le piratage, révélant qu'il était probablement dû, en partie, à des acteurs malveillants de Shopify, son partenaire de commerce électronique de l'époque.

Sur le même sujet : Pourquoi Ledger a-t-il conservé toutes ces données clients ?

Les agents malveillants de Shopify

Le 23 décembre 2020, Ledger a été informé par Shopify d'un incident « impliquant des données marchandes, au cours duquel un ou plusieurs membres malveillants de son équipe d'assistance ont obtenu des relevés de transactions clients, y compris ceux de Ledger. Le ou les agents ont exporté illégalement des relevés de transactions clients en avril et juin 2020 », selon un article de blog.

Shopify a déclaré à Ledger que la violation de données faisait partie de sa Déclaration de transparence dans Septembre 2020, qui impliquait plus de 200 commerçants. Cependant, jusqu'au 21 décembre 2020, Shopify n'avait pas « découvert que Ledger était également visé par cette attaque ». Shopify a indiqué à Ledger qu'elle poursuivait son enquête et que le problème avait été signalé aux forces de l'ordre.

En collaboration avec le cabinet d'analyse forensique Orange Cyberdefense, Ledger a examiné les 292 000 données volées. Il a constaté que, bien que la base de données soit assez similaire aux informations personnelles exposées lors de l'attaque précédente, 20 000 nouveaux dossiers clients avaient été compromis.

La société a déclaré avoir informé les clients concernés le 13 janvier.

La sécurité des données de Ledger après le piratage

Tout d'abord, dans un article de blog, Ledger a réitéré que l'entreprise ne demanderait jamais à ses clients leurs 24 mots de récupération, qui permettent d'accéder à leurs portefeuilles Bitcoin et Crypto . L'entreprise a également souligné que tant que les clients ne partageaient pas ces mots, leurs périphériques Ledger étaient sécurisés.

« Nous annonçons des changements dans la manière dont Ledger collectera et traitera les données clients : conserver les données personnelles aussi peu de temps que légalement possible, minimiser l'affichage des données personnelles dans les e-mails, déplacer les données nécessaires dans un environnement plus séparé dès que possible et créer un canal sécurisé pour communiquer 1:1 avec nos clients via Ledger Live », ont déclaré les auteurs, dont le nouveau CISO Matt Johnson.a écrit.

Premièrement, Ledger modifie sa façon de stocker les données. Lors d'une interview, Johnson a déclaré que, même s'il préférerait ne pas avoir à conserver les données des utilisateurs, l'entreprise est légalement tenue de le faire pendant un certain temps. Mais Ledger cherche à aller au-delà des exigences de Politique de confidentialité du Règlement général sur la protection des données de l'Union européenne, selon Johnson.

« Par « aller au-delà du RGPD », nous n'entendons pas "conserver les données plus longtemps que ne l'exige le RGPD", mais bien le contraire », a déclaré Johnson. « Notre objectif est de supprimer des données telles que le nom, l'adresse et le numéro de téléphone dès que possible, même si le RGPD nous autorise à les KEEP . Cependant, nous devrons KEEP certaines données pour remplir nos obligations légales, notamment en matière de comptabilité ou de fiscalité, et ces données seront encore mieux isolées afin d'en limiter l'accès. »

Sur le même sujet : Une attaque de phishing « convaincante » cible les utilisateurs du portefeuille matériel Ledger

Supprimer, supprimer, supprimer

À l'avenir, Ledger supprimera les données de son partenaire de commerce électronique et déplacera les données des clients vers une base de données T depuis Internet dès que votre commande sera exécutée, avant de les supprimer dès qu'ils en seront légalement capables.

L'entreprise supprimera également les noms, adresses et numéros de téléphone des e-mails de confirmation envoyés aux clients afin que ces données ne soient pas transmises via des fournisseurs de messagerie de commerce électronique tiers.

Le e-mail et réseaux sociauxne seront utilisés que pour les messages marketing et les annonces. Les comptes Ledger Live sont mis en place pour communiquer des informations techniques et de sécurité, apparemment pour éviter les cas d'escroqueries par hameçonnage précédentes, dans lesquelles les escrocs encourageaient les utilisateurs de Ledger àtélécharger les mises à jour de sécurité importantesvia des e-mails d'apparence authentique.

Enfin, Johnson procédera à un examen complet des tiers qui traitent les données.

« Je vais examiner ONE de nos tiers avec lesquels nous devons partager ou transmettre des données dans le cadre de la chaîne d'approvisionnement », a déclaré Johnson lors d'un appel Zoom.

« Nous allons examiner attentivement tous leurs processus pour nous assurer qu'ils sont appropriés et rigoureux, car si nous leur confions nos données, nous devons être sûrs à 100 % qu'ils fonctionnent au mieux de leurs capacités pour répondre à toutes ces exigences minimales, et de préférence les pousser à aller au-delà. »

Une prime en Bitcoin et des forces de l'ordre

Ledger collabore avec divers organismes chargés de l'application de la loi, ainsi qu'avec la société d'analyse blockchain Chainalysis. L'entreprise a même mis en place une prime en Bitcoin pour toute information relative aux responsables du piratage.

« Nous suivons des pistes afin de pouvoir récupérer, si possible, les fonds volés s'ils atterrissent sur les plateformes d'échange », a déclaré Johnson. « Nous voulons nous assurer que toutes les informations sont obtenues de manière légale et partagées directement avec les forces de l'ordre. »

Johnson a déclaré que Ledger souhaite s'assurer que toute collecte d'informations soit effectuée légalement et « en toute transparence » dans le but de poursuivre les personnes responsables.

Sur le même sujet : Des échanges de cartes SIM aux menaces d'intrusion à domicile, la fuite de Ledger a des conséquences en cascade

Le billet de blog a précisé que la BTC en Bitcoin serait versée à la discrétion de Ledger et tiendrait compte de divers facteurs. Reprenant les propos de Johnson, il a notamment précisé si les informations avaient été obtenues légalement, si elles étaient nouvelles, leur importance et leur contribution à l'avancement de l'enquête et à l'aboutissement des poursuites.

L'entreprise espère également collaborer avec d'autres entreprises et particuliers du secteur des Crypto pour financer cette prime. Elle envisage de créer un fonds de primes à vocation générale, une sorte de fondation pour lutter contre les escroqueries et les attaques de phishing dans l'ensemble du secteur.

« Nous essayons activement de faire des choses pour protéger et améliorer cet écosystème », a déclaré Johnson.

Protégez vos Bitcoin même lorsque la phrase de récupération est partagée

L'équipe d'ingénierie de Ledger développe également un produit qui « protégera les fonds d'un utilisateur même s'il a partagé sa graine de récupération avec un attaquant ».

Jérôme De Tychey, responsable mondial de la réussite client chez Ledger, a déclaré dans un courriel que la plupart des attaques de phishing consistent à inciter les propriétaires de Ledger NANO à révéler leur phrase de 24 mots. Les escrocs profitent de ce moment de panique où les propriétaires pensent que leurs fonds sont en danger. Il n'est pas toujours possible de se souvenir des mesures de sécurité cruciales à ce moment-là, surtout lorsque les escrocs se font passer pour des membres du support technique de Ledger.

« Nous reconnaissons ce problème et nous publierons bientôt une solution technique qui supprimera les 24 mots comme seul pilier de la sécurité de nos portefeuilles matériels et ouvrira également la porte à l'assurance des fonds », a déclaré De Tychey dans un e-mail à CoinDesk.

À l'avenir, la manière et le moment de clarifier et de mettre en œuvre ces changements contribueront grandement à regagner la confiance des utilisateurs. Ils représentent toutefois une avancée pour la sécurité de Ledger après une importante violation de données, et pourraient bien bénéficier à la communauté Crypto en général. Avec l'essor du Bitcoin et des autres altcoins, la sécurité des outils et produits Crypto est un processus itératif.

« Il y a toujours de nouvelles pistes que les gens tentent d'exploiter », a déclaré Johnson. « Nous devons donc procéder à une réévaluation continue et nous demander ce que nous pouvons faire de plus pour renforcer la sécurité. Les portefeuilles Ledger n'ont T été compromis, ils s'attaquent donc sans cesse aux éléments Human . Alors, que pouvons-nous faire d'autre ? Que pouvons-nous faire de plus pour protéger le client final ? Parce qu'il s'agit de personnes réelles. »

Mise à jour : 13 janvier 2020 16:14 UTC : Le montant de la prime Bitcoin a été modifié de 5 BTC à 10 BTC.

Mise à jour : 13 janvier 2020, 16 h 31 UTC: Des informations supplémentaires concernant l’étendue de la violation de Shopify ont été ajoutées.