Dans un exercice de rhétorique politique que seul un prétendant à la présidence d’un Conseil Général quelconque aurait pu oser, Pascal Gauthier – le CEO de la moins française des boites crypto françaises – s’est finalement résolu à communiquer sur le « léger accident » dont des centaines de milliers de clients de la société Ledger ont été les victimes.
Pascal Gauthier aurait pu la jouer à l’américaine. Il aurait pu procéder à un exercice de contrition publique, sur l’air du « notre faute est impardonnable, une boite spécialisée dans la sécurité incapable de mettre en pratique les bases de la cyber-sécurité, imaginez ! Une vie ne sera pas suffisante pour nous faire pardonner et réparer le préjudice subi, voici le numéro vert pour faire état de vos demandes d’indemnisation ».
Le sémillant CEO aurait pu aussi s’essayer à un exercice à la japonaise en tentant un hara-kiri à grand coup de Ledger X mort de honte, face à l’opprobre nationale… Mais Pascal – même si l’ensemble de sa communication se décline quasi-exclusivement dans la langue de Shakespeare et de Donald Trump – redevient rapidement français dès lors qu’il est question d’éviter toute excuse, de minorer les responsabilités et surtout d’éviter d’ouvrir le portefeuille.
Ainsi, dans sa récente intervention sur le blog de l’entreprise, le PDG s’est-il saisi de sa plus belle cornemuse, s’est humecté les lèvres et a entonné un concerto dissonant en deux mouvements. Un magnifique coup de pipeau dont je vous propose le résumé suivant.
Avertissement : si on va taper sur Ledger dans un instant à différents titres, la qualité des produits de la société, la robustesse et la sécurité de leurs portefeuilles physique n’a été remise en question ou compromise à aucune moment.
Prélude en 2FA bémol
Vous maîtrisez l’anglais ? Ce sera pourtant indispensable, même si le sujet du crypto-pipeau du jour concerne une boîte frenchy. En effet, même si son fondateur n’aime rien tant que d’aller faire le malin sur des émissions de télé-réalité flex sur M6 so « start-up nation bro », la langue de Molière ne vous sera que très rarement utile au cours de votre navigation dans notre pipeautage du jour.
Ledger, puisque c’est de cette entreprise dont il est question aujourd’hui, et particulièrement connue pour ses « hardware wallets », soit des appareils physiques format clef USB permettant le stockage sécurisé de devises cryptomonétaires.
En juillet dernier, suite à un signalement, Ledger informe sa communauté que sa base commerciale a été piratée. 1 million d’adresses mail seraient compromises et, plus ennuyeux, les informations personnelles de 9500 clients.
Pour autant, l’entreprise se veut rassurante et indique immédiatement avoir « pris des mesures ». Coup de chaud pour tout le monde tant une entreprise experte en cybersécurité qui se fait pirater sa base de données comme le premier e-commerce chinois venu ça fait un peu désordre. Mais bon. Petit bull run du moment, torpeur estivale et exaltation inter-confinement, ça passe. Fin du premier acte.
Malheureusement, il y a quelques jours, coup de tonnerre dans l’écosystème : on apprend en vrac que non seulement la base de données piratées circule sous le manteau depuis des mois, à vendre pour 5 BTC (dans les 90 000 euros au cours actuel), mais surtout que les données compromises sont autrement plus nombreuses qu’annoncées : si le nombre de mail fuités est sensiblement le même, c’est en réalité plus de 270 000 ensembles de données clients (dont 16 000 français) qui ont fuités dans la nature depuis plusieurs mois. Et comme les mauvaises nouvelles volent en escadrille, ce trésor de guerre est désormais disponible gratuitement sur les forums spécialisés pour qui veut se baisser pour le ramasser.
Seule bonne nouvelle dans ce qui constitue une catastrophe industrielle pour la « crypto-licorne française » : l’événement constitue une source d’inspiration sans limite pour les amateurs de memes et autres détournements…
Impossible de le nier, l’heure est grave. On parle d’un épisode qui concerne des dizaines de milliers de personnes – qui méritent pleinement le qualificatif de « victimes » au sens le plus sacré – , sur un sujet des plus sensibles puisqu’il touche à la finance, et à l’intimité. On ne parlera même pas de l’impact en terme de crédibilité de l’industrie toute entière.
Ledger va alors réagir de deux façons :
- En reportant rapidement la responsabilité sur son prestataire e-commerce (Ledger aime bien désigner les autres, un peu comme quand son « Attack Lab » pointe du doigt des failles chez le concurrent Trezor)
- Communiquer n’importe comment, trop peu dans un premier temps (alors que ses clients et sa communauté s’inquiètent de plus en plus à mesure que les mail d’escrocs et autres tentatives de phishing se multiplient), puis maladroitement comme on va le voir dans un instant.
Et c’est un peu le fond du problème aussi : en dépit de la qualité intrinsèque de ses produits, Ledger se traîne une réputation assez exécrable dans l’écosystème faite d’arrogance et d’élitisme, n’hésitant jamais à éreinter la concurrence, voyant beaucoup la paille chez les autres, beaucoup moins la poutre en travers de leur propre approche de la gestion des datas sensibles de leurs clients.
Pardon pour le dérangement
« Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. »
« Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous. »
Communiqué officiel Ledger
Alors, je ne sais pas pour vous, mais chez moi, une « nuisance », ou un « désagrément » c’est lorsque ma voisine du dessus passe l’aspirateur à 22h où encore lorsque les mouettes locales ont décidé de faire de mon véhicule une sorte de cible urbaine sur roues.
Mes datas personnelles exposées au 4 vents, virtuellement pour l’éternité, et surtout la possibilité de leur mise en corrélation avec le fait que je possède des crypto-actifs, cela ne constitue pas simplement « une nuisance ».
Cette situation constitue un préjudice, voire une atteinte au sens le plus pénal qui soit. Un préjudice immédiat et actuel, dans le sens où dans un monde de surexposition et d’ultra-transparence, chacun est en droit d’exiger la protection de ses données personnelles, particulièrement lorqu’elles touchent au domaine financier. Mais surtout un préjudice qui va durer, voire s’aggraver dans le temps.
En effet, les conséquences de cet événement vont continuer à faire planer une menace invisible indéfiniment sur des milliers de personnes. Les centaines de milliers d’informations leakées on l’a vu ont été partagées gratuitement il y a quelques jours, la base de données a d’ores et déjà été dupliquées des milliers de fois. Que ce soit dans une heure ou dans 20 ans, des milliers de clients de Ledger seront désormais étiquetés « Détenteurs de Crypto » dans l’inconscient criminel collectif.
C’est très précisément ce que je dénonçais en son temps s’agissant du fameux Pi Project qui outre sa proposition de valeur toujours aussi nébuleuse 1 an après mon article, ne constituait rien de moins selon moi qu’un potentiel aspirateur géant à data sensibles.
Une situation grave aujourd’hui, et potentiellement plus grave encore demain dès lors qu’on a la conviction de l’explosion future de Bitcoin et de la crypto-économie. Allégoriquement, un point rouge vient de vous apparaître au milieu du front.
Heureusement, encore une fois, Ledger se veut… rassurant.
Dont’ panic
« il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille. »
Pascal Gauthier, CEO de Ledger
Bon Pascal, « on va être clair » – c’est une de tes expressions favorites en ce moment, permet moi le tutoiement entre musiciens – les scammers vont rapidement les trouver, les corrélations. Grâce à l’énorme base de données gracieusement mise à disposition par Ledger, les pirates ont d’ores et déjà industrialisé le processus sur un panel de population très spécifique qui en 2020 estime avoir suffisamment d’avoirs crypto pour investir dans un portefeuille physique. C’est la phase actuelle, avec le spamming de faux message avec pour objectif principal le dévoilement des 24 mots de sécurité assurant l’intégrité de vos coffre-forts numériques.
En revanche, une fois que cette campagne de spamming aura trouvé ses limites, des petites mains vont commencer à procéder à des ciblages beaucoup plus qualitatifs.
Et on va continuer dans la clarté : les données ne sont peut-être effectivement pas en l’état suffisantes pour déterminer immédiatement la teneur du contenu et la valeur des actifs détenus. Mais je peux t’assurer que muni du petit manuel du social engineering pour les nuls et d’un peu de temps devant moi, disposer de la combinaison véritable identité + mail + adresse physique, me permettrait plutôt rapidement et avec des outils simples et gratuits d’extraire de l’information très exploitable. Niveau de vie, comptes sur les réseaux sociaux, activités sur les espaces dédiés de la communauté crypto (Telegram, Discord, groupe Facebook, forum…)… autant de sources d’informations qui permettront à qui s’en donnera la peine de disposer d’un profilage ultra-précis.
Et ça a déjà commencé. Un peu de Google Street view, une menace de kidnapping à l’orthographe approximative et certains commencent à recevoir des clichés de leur rues ou de leur maison. Les plus fragiles commencent d’ores et déjà à moins bien dormir. Une simple « nuisance » selon Ledger, les prémices surtout d’un cyber-harcèlement dont le plus dur reste à venir.
Et pourtant, la nécessité de discrétion en matière de possession crypto, ce n’est pas simplement mon avis éclairé. Voyons ce qu’en disait Eric Larchevêque, fondateur de Ledger en 2018 :
« On connaissait les cyber-attaques, on sait désormais que des agressions physiques permettent aussi de détrousser les possesseurs de crypto-monnaies.[…] Nous étudions ces techniques pour une prochaine version de notre coffre-fort électronique ». En attendant, la discrétion reste la protection la plus sûre »
« la discrétion reste la protection la plus sûre ». Je vous laisse goûter un instant la saveur de la chose dans la bouche de nos donneurs de leçon favoris, après avoir organisé une journée porte ouverte dans leurs fichiers clients durant un temps indéterminé.
Et de leçon, il va de nouveau être question dans la dernière communication en date du patron de Ledger. Son crédo : faites attention à votre cyber-sécurité que diable !
L’inspiration de l’Aspirateur
J’ai un problème personnel dont à ce stade, je dois vous parler : je possède un aspirateur-robot. Vous savez, un de ces machins en forme de grosse soucoupe qui se balade bruyamment et aspire tout ce qu’il trouve (il fait son job quoi). La bestiole est supposée démarrer automatiquement le matin, et nous décharger mentalement de cette besogne pas très intéressante.
L’aspirateur robot n’est pas le problème. En fait le problème c’est ma compagne. Tous les matins, 10 mns avant l’heure fatidique, elle demande à ce qu’on passe le balai « pour faciliter le travail du robot ».
Non.
Juste non (alors, en vrai bien évidemment je m’exécute, j’aime ma femme autant que je la crains), mais comprenez moi : c’est SON boulot au robot d’aspirer la poussière, non ? Où est le gain de temps et d’énergie ? Et surtout, moi contrairement à lui je n’ai pas été créé et configuré en usine pour cette tâche très spécifique.
Bref, je ferme là cette parenthèse ménagère en étant certain que vous voyez exactement où je veux en venir (notez que ça fonctionne aussi pour le lave-vaisselle). Mais elle me permet d’illustrer le coup de pipeau suivant de la part de Ledger qu’on pourrait résumer par « Vous souscrivez auprès de nous à un service de cyber-sécurité, mais si les choses tournent mal et qu’on merdoie dans les grandes largeurs, on saura vous rappeler que c’est un peu de votre faute aussi hein ».
« si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. »
Alors d’accord, mais vous d’abord, non ? Les « meilleurs standards du marché », on est en droit d’attendre qu’ils soient scrupuleusement appliqués par le « leader » du secteur, ou c’est moi ? On parle quand même de l’incapacité de la part de Ledger d’appliquer en interne le B-A BA de la sécurité informatique. Et ce point de départ permet d’aboutir à cette espèce de dissonance cognitive où entre les lignes Ledger laisse entendre que chacun devra balayer devant sa porte.
Vous attendiez des excuses ? Vous aurez donc surtout des injonctions à l’évidence (il faut être vigilant en matière de données personnelles), le tout assorti d’un petit refrain culpabilisant.
Pour autant, ce passage surréaliste n’a qu’une vocation : enchaîner maladroitement avec le fait que Ledger ne remboursera personne, n’assumera spontanément aucune responsabilité et ce pour une raison simple : cet argent sera bien mieux utilisé pour…financer la recherche de sécurité de Ledger !
« C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité. »
Dites Ledger, ce n’est pas supposé être votre raison d’être (et celle qui conditionne le prix de vos produits et services) depuis le premier jour ? Sinon, effectivement il serait bien de s’y mettre.
Clôturons ce concerto de la semaine en rappelant quelques évidences. En dépit de la décision de Ledger de ne pas écouter les voix de plus en plus nombreuses qui appellent à des décisions aussi fortes que symboliques (mise en place d’une task force dédiée par exemple, un peu moins molle du genou si possible que le service client de Ledger unanimement perçu comme en dessous de tout, indemnisation…), les préjudices actuels et à venir sont réels. Surtout, ils sont suffisamment sérieux et corrélables avec les agissements (ou les manquements) de Ledger pour être décemment portés devant une cour de justice.
Par ailleurs, et à toutes fins utiles, sachez que la « class action » à l’américaine a désormais un pendant en droit français, et même deux : l’action de groupe et l’action collective.
