EXCLUSIF. Ledger : les hackers du fichier clients arrêtés

Le second, Davide M., un Portugais de 28 ans, a quant à lui été arrêté au Portugal et remis aux autorités françaises en novembre 2022. Il a été mis en examen et placé en détention provisoire.

Pendant plusieurs mois, les deux hackers ont vendu sous le manteau les données de 290.000 clients de Ledger obtenues via la plateforme de e-commerce Shopify.

Cette fuite massive de données a entraîné une vague de “phishing” - technique visant à se faire passer pour la société - auprès des propriétaires de portefeuilles numériques du leader mondial de la conservation d’actifs numériques. Ledger nie tout lien entre la fuite des données et la vague de Phishing.

La fuite concernait les noms, les numéros de téléphone, adresses mails et également adresses physiques des clients. Cette base servait à livrer les produits Ledger à domicile.

Ledger a été touché par un deuxième piratage en juin 2020. Ce hack qui a touché cette fois-ci un million de personnes, serait imputable à une faille dans une clé API. Le hacker n’a pas été arrêté.

La licorne française a été attaquée en justice pour les deux piratages. Interrogé, Ledger, qui a dépassé fin 2022 la barre des 6 millions de Nano (S et X) vendus, n’a pas souhaité faire de commentaires.

Comment les deux responsables du premier hack, Tassilo H. et Davide M., ont-ils été retrouvés ?

Tout a commencé en janvier 2021. À l’époque, Ledger et les autorités françaises n’ont que peu d’éléments sur les responsables du piratage qui a eu lieu en avril 2020, jusqu’à ce qu’un internaute contacte la société française sur Twitter.

L’internaute, qui se présente comme l’administrateur d’un site d’investissement en cryptomonnaies, assure connaître l’identité du responsable du piratage. Pour prouver sa bonne foi, il fournit plusieurs captures d’écran d’échanges de groupes Telegram où il est question de la revente de bases de données de sociétés. Ledger fait partie des sociétés citées.

Sur ces canaux, Tassilo H. (utilisant les pseudonymes “TASS” ou “BigBoy”) se vante du piratage de la base clients de Ledger et fournit des photos tronquées montrant des extraits du fichier clients.

Rapidement identifié par le FBI, l’Autrichien est arrêté dans la foulée. Nous sommes toujours en janvier 2021. Lors de son interrogatoire, il reconnaît les faits tout en indiquant “ne pas avoir agi seul”. Il désigne à ce moment-là un certain Davide M. comme étant le principal responsable.

Selon des échanges retrouvés, les deux hommes se connaissent depuis au moins 2019.

C’est là que l’enquête prend une dimension internationale. Davide M. est identifié courant 2022, et convoqué à l’été par les autorités portugaises. Comme il ne se présente pas, un mandat d’arrêt européen est délivré à son encontre. Il est ensuite arrêté.

L’analyse des appareils lui appartenant montre qu’il se vantait lui aussi sur Telegram d’être à l’origine de l’extraction de données de plusieurs entreprises, dont celle de Ledger. Et il ne semble pas en être à son premier coup…

L’exploitation des données de son smartphone et de ses disques durs a également prouvé qu’il avait créé au printemps 2022 un site imitant la plateforme d’échange de cryptomonnaies, Gate. Le but ? Récupérer les identifiants des clients et dérober le contenu de leurs portefeuilles.

Une fuite chez Shopify

Pour réussir à mettre la main sur le fichier clients de Ledger, Tassilo H. et Davide M. n’ont pas utilisé de logiciels malveillants. Ils ont pris contact avec trois sous-traitants philippins du géant canadien Shopify, qui fournit des solutions de e-commerce. C’est via Shopify que Ledger vendait en ligne ses produits.

La prise de contact a eu lieu sur le chat du support de Shopify avec un certain Carlo P.

C’est ce dernier qui aurait ensuite extrait une partie de la base de données de Shopify, dont le fichier clients de Ledger. “Il est incompréhensible que des sous-traitants de Shopify aient eu accès sans contrôle à une base des données aussi sensible”, souligne une source proche du dossier.

À cause du piratage et de la vente du fichier, de nombreux clients de Ledger ont été touchés par des attaques de phishing venant de personnes se faisant passer pour Ledger. Certaines ont encore lieu récemment.

Le procédé est souvent le même : les voleurs invitent les clients à se rendre sur un faux site au prétexte qu’ils doivent mettre à jour leur logiciel. Une fois connectés, il leur est demandé de fournir la clé de récupération de leur compte de cryptos composée de 24 mots, ce qui permet au voleur de reconstituer le portefeuille de son côté et de récupérer les fonds.

Selon la justice, au moins 150 personnes ont été victimes de ces pratiques. Selon nos informations, certaines victimes ont perdu plus d’un million d’euros.

En deux ans, Tassilo H. et David M. auraient respectivement récupéré 80.000 et 70.000 euros grâce à la vente du fichier clients. Selon un expert, cette somme est probablement sous-évaluée.

Le procès de Davide M. devrait se tenir en France dans un délai relativement court, probablement dans les mois qui viennent. Les preuves réunies semblent suffisantes pour la justice qui ne devrait pas avoir à mener beaucoup d’investigations complémentaires.

Davide M. a été mis en examen pour six infractions : escroquerie en bande organisée, vol en bande organisée, association de malfaiteurs en vue de commettre un crime, accès frauduleux dans un système de traitement automatisé de données, maintien frauduleux dans un système de traitement automatisé de données, extraction frauduleuse des données dans un système de traitement automatisé de données.

Il encourt jusqu’à dix ans de prison et un million d’euros d’amende.

Tassilo H. pourrait quant à lui être jugé aux Etats-Unis.