Cryptos : des adresses de clients Ledger dans la nature après une fuite de données

Les portefeuilles Ledger sont des produits destinés à sécuriser la détention de cryptomonnaies et autres actifs digitaux. Dado Ruvic / REUTERS

Certains clients de Ledger viennent de recevoir une mauvaise nouvelle. Depuis ce lundi, la société française, leader mondial de la sécurisation de cryptoactifs, a commencé à les informer d’une faille de sécurité de son prestataire de services Global-e. Et pour cause, l’incident a des répercussions directes sur eux. Concrètement, les acheteurs s’étant procuré un produit Ledger via le site de commerce en ligne Global-e figurent parmi les victimes de la fuite de données.

«Nous avons identifié que des données personnelles, y compris les noms et coordonnées, ont été consultées de manière inappropriée», précise Ledger dans l’e-mail envoyé aux clients concernés. L’adresse postale, le type de produit choisi, et la date d’achat pourraient également avoir été exposés. La phrase de récupération («seed phrase»), c’est-à-dire la liste de 24 mots utilisée pour déverrouiller un portefeuille de cryptomonnaie, ainsi que le solde des utilisateurs ne figurent pas dans ces données auxquelles Global-e n’a pas accès.

Passer la publicité

Des attaques physiques redoutées

«Il ne s’agit pas d’une violation des plateformes, du hardware ou software de Ledger, qui demeurent entièrement sécurisés», tient à rassurer un porte-parole de Ledger auprès du Figaro. Et de rappeler que Ledger n’est pas la seule entité dont les données clients ont été affectées : «L’acteur non autorisé a accédé à un système d’information cloud de Global-e contenant des données de commandes de clients de plusieurs marques.»

Si Ledger indique avoir déjà vendu plus de 8 millions de portefeuilles, l’entreprise n’a pas encore communiqué sur le nombre de clients concernés par la faille de sécurité du e-commerçant. Elle enjoint d’ores et déjà ses utilisateurs à faire preuve de précaution : «Ni Ledger, ni Global-e ne demanderont les 24 mots des utilisateurs. Nous encourageons chacun à rester vigilant face aux tentatives potentielles d’hameçonnage, à ne jamais divulguer ses 24 mots», prévient-elle dans un communiqué.

À lire aussi Attaques en pleine rue, doigts coupés... L’enlèvement d’investisseurs en cryptos et de leurs proches, un mal français

Ce n’est pas la première fois que les données d’investisseurs en cryptomonnaie sont exposées. En juillet 2020, une cyberattaque contre Ledger avait fait fuiter plus d’un million d’adresses e-mail, ainsi que plus de 9 000 informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone). Outre l’hameçonnage et le risque d’usurpation d’identité, ce type d’incident fait peser le risque d’attaques physiques contre les détenteurs de cryptomonnaies. En 2025, plus de soixante attaques ont ciblé des personnes détentrices de fortunes numériques, contre quarante en 2024, d’après des chiffres révélés par BFM Business. Soit une hausse de 50% sur un an. En janvier 2025, c’est justement un des cofondateurs de Ledger, David Balland, qui avait été séquestré et torturé par des ravisseurs réclamant une rançon, avant d’être libéré par la gendarmerie.