La nouvelle violation de données chez Ledger n'a pas volé vos cryptos, mais elle a exposé des informations qui mènent des criminels violents à votre porte

Les clients de Ledger se sont réveillés le 5 janvier avec un e-mail que personne ne veut voir : leurs noms et informations de contact avaient été exposés suite à une violation chez Global-e, un processeur de Paiement à une tierce partie.

L'entreprise a précisé ce qui n'avait pas été compromis : aucune carte de paiement, aucun mot de passe, et surtout, aucune phrase de récupération de 24 mots. Le matériel est resté intact, le micrologiciel sécurisé, le stockage de la seed phrase intact.

Pour une violation de données, c'est le meilleur scénario possible. Sauf que dans la crypto, une étiquette d'expédition divulguée peut être la première étape d'un entonnoir d'hameçonnage ou, dans de rares scénarios catastrophiques, un coup à la porte.

La véritable vulnérabilité n'est pas le portefeuille

BleepingComputer a rapporté que les attaquants ont accédé aux données de commande des acheteurs depuis le système cloud de Global-e, copiant les noms, adresses postales, e-mails, numéros de téléphone et détails de commande.

Il s'agit d'une "violation de la pile commerciale", dans laquelle aucune clé cryptographique n'a été touchée, aucun appareil n'a été compromis par une porte dérobée, et aucune exploitation n'a vaincu l'élément sécurisé de Ledger.

Ce que les attaquants ont obtenu est plus pratique : une liste de contacts fraîche et de haute qualité de propriétaires confirmés de portefeuilles matériels avec des adresses d'expédition à domicile.

Pour les opérateurs d'hameçonnage, ce sont des données de ciblage de niveau infrastructure. Le portefeuille matériel a fait son travail, mais l'appareil commercial environnant a fourni aux attaquants tout ce dont ils avaient besoin.

Ledger a déjà vécu cela. En juin 2020, un attaquant a exploité une Clé API mal configurée pour accéder à la base de données e-commerce de l'entreprise. Un million d'adresses e-mail ont été exposées, et 272 000 enregistrements comprenaient des noms complets, des adresses postales et des numéros de téléphone.

Bitdefense l'a qualifié d'"opportunité en or pour les escrocs".

Les attaques n'étaient pas subtiles. De fausses notifications de violation ont incité les utilisateurs à "vérifier" les phrases de récupération sur des sites Web clonés, et de fausses mises à jour de Ledger Live ont délivré des collecteurs d'identifiants.

Certains e-mails d'extorsion menaçaient d'invasions à domicile, rendues crédibles par la possession par les attaquants des adresses des victimes et des achats de portefeuilles confirmés.

Un ensemble de données qui ne cesse de donner

Les fuites d'informations personnellement identifiables (PII) dans la crypto ont une durabilité inhabituelle.

La liste Ledger de 2020 n'a pas vieilli. En 2021, des criminels ont envoyé par courrier des appareils de "remplacement" physiquement altérés aux adresses de la fuite. Les paquets emballés sous film plastique avec un faux en-tête de lettre ordonnaient aux victimes d'entrer les phrases de récupération sur du matériel modifié conçu pour exfiltrer les seed phrases.

En décembre 2024, BleepingComputer a documenté une nouvelle campagne d'hameçonnage utilisant des lignes d'objet "Alerte de sécurité : Une violation de données peut exposer votre phrase de récupération".

De plus, le rapport sur les menaces 2025 de MetaMask a noté que des lettres physiques ont été envoyées par courrier postal aux victimes de 2020, sur du faux papier à en-tête Ledger, les dirigeant vers des lignes d'assistance frauduleuses.

L'ensemble de données est devenu un élément permanent, recyclé par e-mail, SMS et courrier traditionnel.

La violation de Global-e donne aux attaquants une nouvelle version de la même arme. L'avertissement de Ledger anticipe explicitement ceci : attendez-vous à de l'hameçonnage exploitant la fuite, vérifiez tous les domaines, ignorez les signaux d'urgence, ne partagez jamais votre phrase de 24 mots.

Quand l'hameçonnage évolue vers des menaces physiques

La fuite de 2020 n'a jamais compromis un appareil Ledger, mais elle a normalisé le traitement des listes de clients comme des données d'entrée pour des crimes graves. Bitdefender a noté des e-mails de rançon utilisant des adresses divulguées pour menacer d'invasions à domicile. Ledger a fermé 171 sites d'hameçonnage dans les deux premiers mois.

Des rapports documentent une escalade de vols physiques, d'invasions à domicile et d'enlèvements visant à extraire des clés privées en France, aux États-Unis, au Royaume-Uni et au Canada.

Un incident français a impliqué l'enlèvement en janvier 2025 du cofondateur de Ledger David Balland et de sa partenaire, au cours duquel les attaquants ont coupé un doigt en exigeant une rançon.

Les fuites précédentes de Ledger ont provoqué des attaques violentes, des rapports affirmant que la hausse des attaques violentes contre les dirigeants crypto est corrélée avec les violations chez Ledger, Kroll et Coinbase qui ont exposé les détails des utilisateurs à forte valeur nette.

Les criminels assemblent des bases de données divulguées avec des dossiers publics pour profiler et localiser des cibles.

TRM Labs confirme le mécanisme : les informations personnelles collectées en ligne, telles que les adresses et les détails familiaux, ont simplifié le profilage des victimes pour les invasions à domicile, même lorsque la technologie du portefeuille reste non compromise.

Les forces de l'ordre traitent désormais les fuites de PII spécifiques aux cryptos comme des ingrédients d'extorsion violente.

Comment gérer un problème d'écosystème

Ledger n'est pas seul. Lorsque Kroll a été violé en août 2023, les données des créanciers de FTX, BlockFi et Genesis ont été consultées.

Des poursuites allèguent que la mauvaise gestion a conduit à des e-mails d'hameçonnage quotidiens usurpant des portails de réclamations.

Le schéma est cohérent : les fournisseurs tiers détiennent des données "non sensibles" qui deviennent sensibles lorsqu'elles sont liées à la propriété d'actifs crypto. Une adresse d'expédition est une métadonnée jusqu'à ce qu'elle soit attachée à une commande de portefeuille matériel.

La couche commerciale, composée de plateformes marchandes, de CRM et d'intégrations d'expédition, crée des cartes de qui possède quoi et où les trouver.

Le conseil de Ledger est sensé : vérifiez les domaines, ignorez l'urgence, ne partagez jamais votre seed phrase. Pourtant, les chercheurs en sécurité suggèrent d'étendre cela.

Les utilisateurs ayant des avoirs de valeur élevée devraient envisager d'activer la fonction de phrase de passe optionnelle, un 25e mot qui n'existe qu'en mémoire. De plus, les utilisateurs devraient faire pivoter leurs informations de contact périodiquement, utiliser des adresses e-mail uniques pour les achats de portefeuilles et surveiller les tentatives d'échange de carte SIM.

L'exposition de l'adresse comporte un risque hors ligne. La minimisation de la livraison, telle que le réacheminement du courrier, les adresses professionnelles et les lieux de retrait, réduit la surface de coercition physique. Les attaques violentes restent statistiquement rares mais représentent une menace réelle et croissante.

L'incident Global-e soulève des questions sans réponse : Combien de clients ont été affectés ? Quels champs spécifiques ont été consultés ? D'autres clients de Global-e ont-ils été compromis ? Quels journaux suivent les mouvements de l'intrus ?

L'industrie crypto doit repenser les risques de son infrastructure commerciale. Si l'auto-garde supprime les parties tierces de confiance du contrôle des actifs, confier les données client aux plateformes de commerce électronique et aux processeurs de paiement crée des cartes exploitables de cibles.

Le portefeuille matériel peut être une forteresse, mais les opérations commerciales créent des vulnérabilités persistantes.

La violation de Global-e ne piratера pas un seul appareil Ledger. Elle n'en a pas besoin. Elle a donné aux attaquants une liste fraîche de noms, d'adresses et de preuves d'achat, ce qui est tout ce qui est nécessaire pour lancer des campagnes d'hameçonnage qui dureront des années et, dans de rares cas, permettre des crimes qui ne nécessitent pas de contourner le chiffrement.

La véritable vulnérabilité n'est pas l'élément sécurisé. C'est la trace papier menant aux portes des utilisateurs.

L'article La nouvelle violation de Ledger n'a pas volé votre crypto, mais elle a exposé des informations qui conduisent des criminels violents à votre porte est apparu en premier sur CryptoSlate.