Une attaque par hameçonnage fait perdre 1,1 million de Ripple (XRP) aux utilisateurs de Ledger

Publié le 10 novembre 2020 à 11h09

Les tentatives d’hameçonnage et les escroqueries contre les propriétaires de portefeuilles Ledger se sont multipliées ces dernières semaines.

Une attaque a notamment permis de subtiliser 1,1 million de Ripple (XRP) aux détenteurs de Ledger.

Les clients de Ledger sur leurs gardes

Les utilisateurs de Ledger, fabricant de « hardware wallet », sont sur leurs gardes après une recrudescence des tentatives d’hameçonnage.

De nombreux clients de la société française ont reçu des e-mails et SMS afin de les induire en erreur pour dérober leurs crypto-monnaies. Les messages frauduleux avertissent les utilisateurs d’une faille de sécurité qui pourrait mettre en danger les fonds. Les victimes des e-mails malveillants sont alors invitées à cliquer sur un lien afin de mettre à jour l’application Ledger Live.

Le lien conduit les utilisateurs vers une fausse version du site web de Ledger avec une URL ressemblant à l’originale. Dans le cas de cette attaque, les pirates ont remplacé la lettre « e » par une autre lettre.

D’après l’analyse du portefeuille des pirates, ces derniers ont réussi à voler plus de 1,1 million de Ripple, soit environ 240 000 euros aux clients de Ledger. Les XRP collectés ont été envoyés par les pirates sur l’exchange Bittrex. Toutefois, la plateforme n’a pas réussi à geler les fonds à temps.

Un lien avec une fuite de données ?

En juillet 2020, Ledger s’était fait subtiliser sa base de données contenant 1 million d’e-mails de clients et de prospects. Cette base était utilisée pour envoyer des confirmations de commandes et des e-mails promotionnels.

Un sous-ensemble de cette base contenait également les noms, prénoms, adresses et numéros de téléphone de plus de 9 000 clients.

Ledger a déclaré sur Twitter : « Nous ne pouvons pas encore expliquer plus en détail l’attaque. Il ne semble pas y avoir de lien avec la fuite de notre base de données de commerce électronique de juillet. »

Le fabricant français avait alerté les autorités françaises et déposé une plainte auprès du parquet de Paris.

Source : Cointelegraph

Par Florent David

Rédacteur freelance basé à Paris et Zagreb. Je suis engagé dans l’écosystème blockchain depuis 2017. Je m'intéresse particulièrement au Bitcoin et à la finance décentralisée.

Articles de Florent David

Crypto-monnaie

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

k33ple4rn1ng

Je vois déjà arriver l’anti-crypto avec son message pour dire que c’est de la crypto donc il y a forcément de la criminalité liée et que ça n’arrive pas avec sa banque régulée (et qui ne fait jamais de fraude, de blanchiment ni quoi que ce soit d’illégal)…

A cette personne-là, je rappelle que les attaques par hameçonnage (fishing) concernent tout le monde et tout type de biens.

Et ça arrive aussi dans les institutions financière (comme les banques) où même les employés sont ciblés (et victimes) alors qu’ils reçoivent des formations particulières sur le sujet.

Sans_Plot

c’est de la crypto donc il y a forcément de la criminalité liée et que ça n’arrive pas avec ma banque régulée

Peter_Vilmen

les banques ont maintenant l’obligation légale de faire du X facteurs de protection
un virement bancaire est rarement instantané (il faut ajouter un bénéficiaire, 48h d’attente déjà)
le système bancaire est de plus en plus connecté et transparent, tu peux geler les fonds dans la plupart des pays
les comptes bancaires anonymes vont disparaître.
l’avantage du système bancaire c’est qu’il peut être régulé dans son ensemble par des états, en d’autres mots régulés par NOUS. On devrait à un moment vivre dans un monde ou faire disparaitre de l’argent par virement deviendrait quasi impossible.
… Mais ce monde parfait ne sera possible que si les cryptos seront régulées. Si la capitalisation des cryptos devait croitre sans KYC/contrôles/…, on installerait le vice dans notre société pour une quasi éternité.

À un moment il va falloir la voir cette poutre, parce que le danger des cryptos peut être démontré mathématiquement, alors que le système bancaire s’améliore de décennie en décennie.

Oldtimer

Oui ben comme on dit le plus gros virus ce trouve entre la chaise et le clavier…

Même quand on reçoit un sms ou mail du genre, appelez directement votre agence, ou la société dont vous êtes client… ne serait-ce que pour vérifier.

k33ple4rn1ng

2FA peut-être mais ça n’empêche pas le fishing. Il y a des attaques vraiment bien faites.
As-tu entendu parlé du SDD?
On peut geler ton compte si tu ne respectes pas les règles de ton autorité. Aujourd’hui les autorités protègent le citoyen mais on ne connait pas ceux qui nous gouverneront demain. Il y a une montée du fascisme un peu partout dans le monde. La Pologne et l’Autriche sont de moins en moins des démocraties. Si ça arrive chez nous, voudrais-tu risquer que ton compte soit gelé parce que tu n’as pas la bonne sexualité, la bonne religion ou simplement parce que tu as remis en question une décision de ton gouvernement?
Et c’est bien dommage car j’estime avoir le droit d’utiliser mon argent comme bon me semble. Ceux qui veulent planquer leur argent y arriveront toujours avec des montages plus compliqués et plus couteux. Mais Monsieur tout le monde qui ne fait (pour la plupart) rien de mal sera mieux contrôlé.
Control, control, control… moi, j’aime la liberté.
Ton point n°6 montre qui tu ne comprends pas ce qu’est une crypto-monnaie.

Si le danger des cryptos peut être démontré mathématiquement, peux-tu le faire ou m’indiquer un site sur lequel je peux comprendre ce que tu énonces? Le cryptage du Bitcoin (car je m’intéresse essentiellement celui-là) repose sur SHA-256. Le jour ou c’est craqué toute la sécurité informatique du monde entier est en danger.

Pour ce qui est du système bancaire qui s’améliore, je pense que tu n’as pas suivi ce qui s’est passé en 2008. Et si tu crois que les choses ont changé, tu te trompes. Si tu crois qu’on a tiré des leçons des CDO’s mis en avant durant la crise des subprimes, intéresse-toi aux CLO’s…

Ensuite, une banque peut décider de clôturer ton compte car tu as acheté quelque chose qui ne lui plait pas. Certains ce sont vu leur compte fermé parce qu’ils ont acheté des Bitcoin justement. Moi, ça me choque.

Enfin, nous avons en Occident des systèmes bancaires plus ou moins corrects mais ce n’est pas le cas partout dans le monde. Dans beaucoup de pays, l’accès à un compte est compliqué. Bitcoin permettra l’inclusion financière dans beaucoup d’endroit dans le monde et permettra à beaucoup de gens de s’affranchir de la politique monétaire parfois désastreuse de leur pays (ex. Venezuela)

k33ple4rn1ng

J’explique encore ce que je veux.

Si ça ne t’intéresse pas, pourquoi lis-tu?

juju251

Oui et certaines le font encore par SMS, ce qui est une aberration.
Certes, ce genre d’attaques est complexe à mettre en ouvre, mais cela existe bel et bien, cf cet article de nextinpapct sur le sujet.

Autre chose, le type d’attaques dont il s’agit ici est une attaque de type ingénierie sociale, qui est loin de ne toucher que les crypto-monnaies.
Même avec un compte bancaire « normal » et « contrôlé »* par une banque, tu peux te faire gauler de l’argent (exemple de personnes donnant leur numéro de carte bancaire au travers d’un faux formulaire reçu par email de phishing justement.
Ce risque est loin d’être théorique.

Olivier64

Je suis client et j’ai reçu 2 fois ce mail. J’ai contacté Ledger en français, leur réponse (en anglais, bravo pour une boite française sic) a été plus que lamentable : réponse puant le copié-collé du genre « on vous repond mais on s’en fout, vu qu’on n’a même pas lu votre message », sans intérêt et complètement hors de propos

Sans compter quils n’ont absolument pas communiqué à leurs clients sur le vol de données , alors que c’est une obligation aussi en Europe en cas de fuite , c’est le principe de base de la RGPD.

En bref, lamentable à tous les niveaux !

C’est bien la peine de faire des lois pour tout et partout, si ce n’est ni respecté ni controlé, et encore moins sanctionné

Qui peut me dire à quoi sert la CNIL ?!!!

k33ple4rn1ng

J’ai reçu fin juillet un email de leur part expliquant ce qu’il s’est passé, les risques auxquels j’étais exposés et qu’ils remplissaient leurs devoir de notification auprès du régulateur.

Mais je te le concède, c’était en anglais.

Allder

Salut je suit celui qui chipote sur le mot cryptage : premièrement ont dit chiffrement mais ici le SHA-256 est un algo de hashage et non un algo de chiffrement.