NOUVEAU JEU CONCOURS : UNE PS5 À GAGNER CLIQUEZ ICI
Se connecter S'abonner

Escroquerie : les utilisateurs de Ledger reçoivent de fausses clés USB

La startup française Ledger, spécialisée dans les portefeuilles physiques de cryptomonnaies, est une nouvelle fois victime d’une faille de sécurité. Cette fois, l’attaque prend une forme physique avec l’envoi de fausses clés USB aux clients de Ledger.

Golden bitcoin cryptocurrency on computer circuit board

Ledger en proie à une nouvelle faille de sécurité

Au mois de décembre 2020, des données de clients Ledger ont été hackées et publiées gratuitement sur internet. Auparavant, une partie de ces données avaient été vendues à prix d’or sur le marché noir.

Ces données contiennent les coordonnées, les adresses mail, les adresses postales et les numéros de téléphone des utilisateurs de Ledger.

En ce mois de juin 2021, le cauchemar n’est pas terminé pour des dizaines de milliers de clients de la startup française.

En effet, le vol de données du mois de décembre a permis à des arnaqueurs de récupérer les adresses postales des clients. Au lieu de procéder à du phishing classique par mail, les escrocs ont cette fois organisé un hameçonnage physique via de fausses clés USB Ledger Nano X.

Ces dernières sont envoyées dans un emballage reprenant l’apparence de ceux envoyés par la Ledger. De l’extérieur, difficile de détecter l’escroquerie. Toutefois, le colis est accompagné d’une lettre supposée signée par le PDG de Ledger, Pascal Gauthier, dont la mauvaise qualité de rédaction laisse songeur :

« Pour des raisons de sécurité, nous vous avons envoyé un nouvel appareil, vous devez passer à un nouvel appareil pour rester en sécurité. Il y a un manuel à l’intérieur de votre nouvelle boîte que vous pouvez lire pour apprendre à configurer votre nouvel appareil. Pour cette raison, nous avons modifié la structure de nos appareils. Nous garantissons désormais que ce genre de violation ne se reproduira plus jamais. »

La boîte contient également un faux guide d’utilisation qui demande à l’utilisateur de connecter la clé à un ordinateur. Lors de cette étape, l’utilisateur est alors invité à renseigner son code secret de 24 mots.

Une escroquerie dénoncée par un client sur Reddit

Afin de prévenir les potentielles victimes, un client Ledger a publié un message sur le forum r/Ledgerwallet de Reddit. Écrivant sous le pseudo u/jjrand le contributeur a accompagné son message de photos de la lettre, du faux guide d’utilisation, de la boîte et de la clé ouverte.

Ce post a notamment fait réagir le chercheur en sécurité Mike Grover qui, en comparant la photo de la fausse clé à celle d’une vraie clé Ledger, a constaté que le circuit imprimé était très différent. La fausse clé vise à récupérer le code secret de 24 mots et à le rediriger vers un appareil contrôlé par les escrocs.

La startup française affirme être au courant de cette escroquerie depuis le mois de mai. Elle a publié plusieurs messages d’avertissements en rappelant que les clients ne doivent jamais communiquer leur code secret de 24 mots et que Ledger n’envoie jamais de clé USB sans que la demande ne vienne du client.

Plus d’actions
Partagez

Mon intérêt pour les nouvelles technologies m’a téléporté dans l’univers blockchain. Dimension à la fois complexe et tellement vaste que mon cerveau a d’abord réagi en mode “Error 404” frôlant la faille spatio-temporelle avant que j’en comprenne peu à peu les codes.

Le chemin est encore long avant d’obtenir le salut du dieu Crypto, mais en attendant j’en profite pour partager ma passion avec vous.

DISCLAIMER
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.
Back To Top

Newsletter

Recevez le meilleur de l’actualité Crypto dans votre boite email

Inscription Newsletter

Archives

Lire les dernières Newsletters
Cliquez ici

Coaching Gratuit

Obtenez gratuitement un coaching
d'une heure avec un expert
Remplissez le formulaire
et notre expert vous contactera 
sous 24 heures

© Copyright Cointribune - tous droits réservés

Agence Tempo