01/14/2021 | Non classé
Comme vous le savez probablement, Ledger a été victime d’une perte de confidentialité de données relatives au commerce électronique au cours de l’été. Une quantité importante de données de nos utilisateurs a fait l’objet de fuites.
Le 20 décembre, nous avons été alertés du dévoilement du contenu d’une base de données clients Ledger sur Raidforum (un forum communautaire de pirates informatiques). Par conséquent, de nouvelles vagues d’attaques d’hameçonnage menacent actuellement nos utilisateurs.
Pour les utilisateurs touchés par la brèche, nous sommes conscients de ce que vous traversez et, aussi effrayant que cela puisse être, nous vous demandons de ne pas paniquer. Notre responsabilité est indéniable, nous l’assumons, et avons mis en place des procédures pour y faire face.
Voici 6 mesures à prendre pour maintenir la sécurité :
1- Restez calme
Les escrocs jouent sur votre peur pour vous faire agir de manière irréfléchie. Restez calme. Ne paniquez pas. N’agissez pas sous la pression.
Lorsque vous agissez sous la pression, vous pouvez commettre des erreurs. Ainsi, si vous changez votre mot de passe, votre adresse e-mail, ou si vous sauvegardez votre appareil, prenez votre temps pour vous assurer de le faire correctement.
Plus important encore, vos fonds sont en sécurité tant qu’ils sont stockés hors ligne. Les wallets physiques sont le moyen le plus sûr de stocker vos actifs. Le transfert de vos fonds vers une plateforme d’échange ou un portefeuille logiciel augmentera votre vulnérabilité.
Les produits Ledger offrent la meilleure protection de votre cryptomonnaie. La perte de confidentialité de données n’affecte en aucun cas la sécurité de votre appareil. Il vous suffit de vous assurer que votre Nano et votre phrase de récupération sont conservés dans des endroits séparés et sûrs.
2- Ne partagez jamais vos 24 mots
Comme mentionné précédemment, cette perte de confidentialité de données n’est pas liée à nos wallets physiques ni à la sécurité de Ledger Live, vos crypto-actifs sont donc en sécurité. Par conséquent, les malfaiteurs ne peuvent pas voler vos informations sensibles comme les phrases secrètes de récupération et les clés privées, à moins que vous ne les leur donniez.
Vous devez savoir que vous êtes le/la seul(e) à avoir le contrôle de ces informations et de leur accès. Veuillez faire preuve de prudence, soyez toujours vigilant(e) aux tentatives d’hameçonnage par des escrocs malveillants. Ne donnez vos 24 mots à personne. Nous ne vous demanderons jamais les 24 mots de votre phrase de récupération ; pas même dans Ledger Live. Ledger ne vous contactera jamais par SMS ou téléphone.
Nous vous invitons à vous familiariser avec la structure des campagnes d’hameçonnage en cours et à signaler toute tentative sur cette page dédiée.
Ledger a envoyé deux emails différents détaillant les implications de la violation des données aux personnes concernées. Le premier s’adressait au million d’utilisateurs qui ont seulement vu leurs adresses e-mail être divulguées, le second aux autres utilisateurs pour lesquels davantage de données ont été compromises.
Si vous pensez être concerné(e) et n’avez reçu aucun e-mail de notre part, veuillez s’il-vous-plaît vous rendre sur le site https://haveibeenpwned.com/ pour savoir si vos données ont été compromises ailleurs, et prendre des mesures si nécessaire.
3- Renforcez votre sécurité d’accès
Si votre adresse e-mail a été compromise lors de la violation, nous vous recommandons de modifier le mot de passe associé. Lorsque vous choisissez un nouveau mot de passe, utilisez plusieurs types de caractères, des majuscules, des minuscules et des symboles pour améliorer la sécurité.
De plus, nous vous conseillons fortement d’ajouter une authentification à deux facteurs, également appelée 2FA.
Cette méthode vous permet d’accéder à votre adresse e-mail ou à toute autre plateforme uniquement après avoir présenté avec succès deux éléments de preuve (votre mot de passe initial plus un autre facteur) à un mécanisme d’authentification. Il peut s’agir d’un code envoyé par SMS, d’une notification sur votre appareil mobile ou d’un mot de passe généré aléatoirement via une application dédiée.
Nous vous déconseillons d’utiliser l’authentification 2FA par SMS en raison des risques de SIM swapping (transfert de SIM) qu’elle comporte. Utilisez des applications telles que Google Authenticator, FreeOTP (une solution open source) ou une clé physique. Vous pouvez utiliser votre appareil Ledger pour sécuriser vos comptes avec une authentification 2FA. Voici un tutoriel complet (en anglais) sur la façon de procéder.
Enfin, pour une sécurité maximale, vous pouvez envisager de modifier votre adresse e-mail, tout en appliquant les mesures ci-dessus.
4- Ne payez jamais de rançons
Malheureusement, les arnaqueurs sont tombés bien bas ; nous avons été consternés d’apprendre que certains d’entre vous sont personnellement menacés. Être victime de menaces physiques peut être terrible et stressant.
Mais sachez que les arnaqueurs tenteront de faire le moins d’efforts possible pour gagner de l’argent. Les attaques par hameçonnage leur permettent de cibler facilement un grand nombre de clients sans risquer de les attaquer en personne. La base de données est accessible depuis juin et personne n’a jamais signalé une attaque de ce type.
Si vous stockez de grandes quantités de cryptomonnaies sur votre appareil, nous vous conseillons de les conserver loin de votre domicile, dans un endroit sûr et difficilement accessible. Tout comme vous ne garderiez pas des millions en espèces chez vous.
Nous vous exhortons à ne jamais payer de rançon. Si vous craignez pour votre sécurité physique et que vous pensez être en danger, veillez à contacter immédiatement les autorités locales.
5- Déni plausible
Si vous craignez d’être victime d’extorsion, vous pouvez ajouter une autre couche de protection et de robustesse à votre phrase de récupération de 24 mots en ajoutant une seconde sauvegarde sur votre appareil Ledger.
Il en résulte deux phrases secrètes de récupération : la première le jeu de comptes habituel, la seconde générera une nouvelle phrase de récupération et déverrouillera un autre jeu de comptes avec un autre jeu de clés privées et d’adresses, comme expliqué ici (article en anglais).
Par conséquent, si jamais on vous demandait sous pression « d’ouvrir et de vider votre wallet physique », vous pourriez utiliser le second code, indiquant le compte avec des avoirs minimaux. Et ainsi, limiter le préjudice financier de votre côté.
6- Sauvegardes distribuées
Pour éviter de subir l’horreur d’un braquage à domicile, ou si vous ne pouvez tout simplement pas trouver un endroit suffisamment sûr pour votre sauvegarde, vous voudrez peut-être répartir votre phrase de sauvegarde dans différents endroits. Vous pourriez diviser vos 24 mots en trois groupes de 8 et les placer à trois endroits différents, mais vous augmenteriez alors le risque de perte ou de destruction de votre sauvegarde (si un morceau disparaît, tout est perdu).
Il serait préférable de diviser votre sauvegarde en trois, mais de n’avoir besoin que de deux morceaux pour en récupérer l’accès.
C’est assez simple et facile à comprendre.
Imaginons que votre phrase de récupération soit « A B C » (seuls trois mots sont nécessaires dans notre exemple). Ensuite, vous créez trois morceaux de papier : « A B _ », « A _ C » et « _ B C ». En prenant deux morceaux, vous êtes sûr de récupérer la phrase « ABC » complète.
Vous pouvez suivre ce guide en ligne (en anglais) pour plus d’informations sur la façon de le faire pour votre phrase de récupération de 24 mots.
Dernier point à ne pas négliger
C’est une période difficile pour nous tous. Peu importe ce que nous disons, cela ne suffira jamais à compenser les dommages que vous avez subis. À ceux d’entre vous qui nous ont soutenus, nous vous en remercions. Et à chaque client de Ledger, sachez que nous travaillons 24 heures sur 24 pour que cela ne se reproduise plus jamais, nous promettons de faire tout notre possible pour être dignes de votre confiance.
Nous sommes tous ensemble dans cette situation et nous en sortirons pour vous offrir une expérience meilleure, plus forte et plus sécurisée.
Source: https://www.ledger.com/6-facons-de-faire-face-a-la-perte-de-confidentialite-de-donnees
