Le CTO de Ledger répond aux préoccupations de sécurité après une violation des données

Mise à Jour:

Les récents revers de sécurité ne reflètent pas la sécurité du portefeuille Ledger, assure Charles Guillemet

Image du portefeuille Ledger
Les portefeuilles de Ledger ne demanderont jamais la phrase de récupération de 24 mots, met en garde le CTO

Ledger a récemment signalé une faille dans la base de données des contacts clients de l’entreprise et une vulnérabilité du portefeuille qui a mis en danger les Bitcoin des clients. Cet incident n’est que l’un des nombreux points forts de la dureté apparente de Ledger. Charles Guillemet, le directeur de la technologie de Ledger, a répondu aux préoccupations des utilisateurs en matière de sécurité lors d’une interview avec CoinTelegraph.

La faille, qui remonte à juin et juillet 2020, a été causée par une clé API d’une tierce partie qui a été mal configurée sur le site web de Ledger. Un million d’adresses électroniques ont été divulguées, dont 9 500 clients concernés par l’exposition de données privées, telles que leurs numéros de téléphone et leurs noms, ont également été divulguées. La vulnérabilité a été découverte par Ledger sur la base d’un tuyau le 14 juillet et le problème a été résolu le même jour.

Le CTO a expliqué que la violation de la base de données a conduit un attaquant à accéder à une partie de la base de données de commerce électronique et de marketing de Ledger, ce qui a permis un accès non autorisé aux coordonnées des clients et aux données de commande. Cependant, les informations financières sensibles, y compris les informations de paiement, les références et les fonds cryptés n’ont pas été compromises, a-t-il dit.

« Cette violation de données n’a aucun lien ni impact sur nos portefeuilles matériels et l’application Ledger Live », a souligné M. Guillemet. Les fonds cryptés des clients ont toujours été en sécurité et ne sont pas en danger », a-t-il expliqué, ajoutant que la composition du dispositif Ledger permet aux utilisateurs d’avoir un contrôle total sur leurs fonds.

Même pas un mois après la violation des données, une vulnérabilité logicielle dans Ledger qui permettait de faire le lien entre Bitcoin et ses différentes forks, comme Litecoin, a fait surface. Cette faille pourrait permettre aux pirates de faire croire qu’une transaction est associée à un actif, tout en confirmant la transaction sur l’appareil pour approuver une transaction séparée pour un actif différent, sans le consentement du propriétaire du portefeuille. Ledger a publié le même jour une mise à jour du logiciel corrigeant le problème.

Ledger a ensuite précisé qu’un chasseur de bugs avait découvert la vulnérabilité et a ajouté : « Nous tenons à vous assurer que cette vulnérabilité ne peut pas être utilisée pour obtenir des données sensibles comme vos clés privées ou votre phrase de récupération ».

M. Guillemet a expliqué que les portefeuilles de Ledger fournissent des paramètres pour une sécurité renforcée et que les utilisateurs doivent également suivre les meilleures pratiques et faire preuve de la prudence nécessaire pour assurer une protection complète. « Nous sommes surtout préoccupés par les tentatives de phishing – des courriels provenant d’escrocs se faisant passer pour nous », a déclaré M. Guillemet.

« Nous ne demanderons jamais à nos clients les 24 mots de leur phrase de récupération », a ajouté M. Guillemet.  Il a en outre exhorté les clients à exploiter l’authentification à deux facteurs, tout en indiquant les informations éducatives sur la sécurité qui se trouvent sur le site Web de Ledger.

Investir est spéculatif. Lorsque vous investissez votre capital est à risque. Ce site n’est pas destiné à être utilisé dans juridictions dans lesquelles les transactions ou les investissements décrits sont interdits et ne doivent être utilisés par des personnes et des moyens légalement autorisés. Votre investissement peut ne pas être admissible à protection des investisseurs dans votre pays ou votre pays de résidence, veuillez effectuer votre propre contrôle préalable. Ce site Web est gratuit pour vous, mais nous pouvons recevoir des commissions des sociétés que nous proposons sur ce site. Cliquez ici pour plus d’informations.