Données personnelles des utilisateurs de Ledger exposées à cause d’une vulnérabilité du processeur de paiement global-e

Ledger, le principal fabricant mondial de portefeuilles matériels, fait l’objet d’un examen scruté après que les informations personnelles des clients ont été accédées sans autorisation lors d’un incident de sécurité chez Global-e, son processeur tiers de paiement. Cet incident marque une nouvelle exposition affectant les utilisateurs de la plateforme de garde de cryptomonnaies, soulevant de nouvelles questions sur les risques liés aux services tiers dans l’écosystème des actifs numériques.

Processeur de paiement détecte des schémas d’accès inhabituels

Global-e, qui traite les paiements pour Ledger et plusieurs autres grandes marques de détail, a détecté une activité inhabituelle dans son infrastructure cloud et a rapidement mis en place des mesures de confinement. L’accès non autorisé aux systèmes de Global-e a révélé des informations personnelles de clients, y compris des noms et coordonnées provenant de la plateforme de commerce électronique de Ledger. L’entreprise n’a pas divulgué le nombre exact de clients Ledger concernés ni le moment précis du compromis.

Dans une déclaration à ses clients, Global-e a expliqué l’incident : « Nous avons engagé des experts médico-légaux indépendants pour mener une enquête sur l’incident et nous avons pu déterminer que certaines données personnelles, y compris le nom et les coordonnées, avaient été inappropriées. » Le processeur de paiement a souligné qu’il travaille à notifier tous les clients concernés et à mettre en place des contrôles de sécurité renforcés.

Pourquoi cela compte moins qu’il n’y paraît

Bien que l’exposition des données soit préoccupante, Ledger a souligné une distinction technique importante que les utilisateurs doivent comprendre. L’entreprise a précisé que la violation d’accès de Global-e n’a pas compromis la plateforme principale, les dispositifs matériels ou les systèmes logiciels de Ledger—tous restent sécurisés. Plus important encore, parce que les produits Ledger fonctionnent selon un modèle d’auto-garde, Global-e n’a jamais eu accès aux phrases de départ de 24 mots, aux clés privées, aux soldes blockchain ou à tout secret d’actifs numériques des utilisateurs.

« Il ne s’agissait pas d’une violation de la plateforme, du matériel ou des systèmes logiciels de Ledger, qui restent sécurisés », a déclaré Ledger. « Pour éviter tout doute, comme le produit Ledger est auto-gardé, Global-e n’a pas accès à vos 24 mots, à votre solde blockchain ou à aucun secret lié aux actifs numériques. »

L’incident portait spécifiquement sur les données de commande — Ledger a confirmé que les informations sur les cartes de paiement n’étaient pas incluses dans la compromission. Cette distinction est cruciale : bien que des coordonnées personnelles aient pu être exposées, les actifs numériques eux-mêmes restent intacts.

Un schéma de vulnérabilités via des tiers

Ce n’est pas la première fois que Ledger fait face à l’exposition aux données. En 2020, environ 270 000 dossiers clients Ledger ont été compromis via le partenaire e-commerce Shopify, révélant les risques liés à la dépendance à des prestataires de services tiers. En 2023, Ledger a de nouveau été ciblé, cette fois perdant près de 500 000 $ lors d’un piratage qui a affecté les applications de finance décentralisée et révélé des vulnérabilités dans l’écosystème plus large.

La nature récurrente de ces incidents met en lumière un défi systémique : même les plateformes bien sécurisées sont exposées à des risques lorsqu’elles s’associent à des prestataires de services externes. Chaque faille, bien que traitée différemment, souligne la complexité de maintenir une sécurité complète tout au long du parcours client — de l’achat à l’utilisation du produit.

Le paysage plus large de la sécurité

Global-e agit comme Merchant of Record pour de nombreuses marques et détaillants mondiaux au-delà de Ledger, ce qui signifie que plusieurs clients de différentes entreprises ont probablement eu des données exposées lors de ce même incident. Cette exposition plus large souligne comment les vulnérabilités des infrastructures de paiement peuvent avoir des effets en cascade à travers plusieurs organisations simultanément.

L’industrie des cryptomonnaies continue de faire face à des défis de sécurité sous plusieurs angles : acteurs malveillants ciblant de façon persistante les informations des utilisateurs, protocoles de sécurité inadéquats chez les fournisseurs tiers, et la surface d’attaque croissante créée par les partenariats commerciaux. Ledger a renforcé son engagement envers l’écosystème plus large, déclarant : « Nous restons unis avec l’industrie en guerre contre les hackers et les acteurs malveillants qui tentent sans relâche de voler les informations des utilisateurs dans l’écosystème et dans le domaine du commerce électronique en général. »

Contexte du marché et implications sectorielles

L’incident survient alors que les marchés des cryptomonnaies font face à des vents contraires. Le Bitcoin a récemment reculé à 83,53 000 $, dans un contexte de pression plus large sur les actions liées aux cryptomonnaies et de volumes de trading en refroidissement, qui ont été réduits de moitié de 1,7 billion de dollars par an à 900 milliards de dollars, reflétant un sentiment prudent des investisseurs face aux incertitudes macroéconomiques.

Ces pressions du marché, combinées à des incidents de sécurité récurrents, renforcent la nécessité à la fois de pratiques de sécurité institutionnelles et de vigilance des utilisateurs lors du choix de solutions de garde et de plateformes de traitement des paiements.

Ce que les utilisateurs devraient faire

Les utilisateurs de Ledger concernés par l’exposition Global-e doivent surveiller leurs coordonnées pour détecter toute activité suspecte et rester vigilants face aux tentatives de phishing. Cependant, le point crucial demeure : les avoirs en cryptomonnaies des utilisateurs stockés sur les portefeuilles matériels Ledger ne sont pas en danger lors de cet incident particulier. L’architecture d’auto-garde qui définit la proposition de valeur centrale de Ledger — offrir aux utilisateurs un contrôle total et une sécurité de leurs actifs numériques — reste intacte.