Plus de quatre ans après le piratage d’un fichier client de Ledger, le leader mondial des solutions de conservation de crypto-actifs, la CNIL a estimé que l’entreprise française n’avait pas mis en place des mesures de sécurité adéquates pour protéger ses données privées.

Selon nos informations, confirmées par la CNIL, l’organisme public chargé de la protection de la vie privée en ligne a prononcé une amende administrative d’un montant de 750.000 euros, en raison de manquements à deux articles du Règlement général sur la protection des données (RGPD). Le premier concerne la durée de conservation des données, et le second, la manière dont cette conservation devait être assurée.

Interrogée, l'entreprise a confirmé la sanction et rappelé être "fermement attachée à la mise en œuvre des mesures les plus strictes de protection des données et de confidentialité, qui sont continuellement évaluées et améliorées".

Cette procédure trouve son origine dans une cinquantaine de plaintes déposées auprès de la CNIL par plusieurs clients de Ledger (résidents français et d’autres pays de l’UE), dont les données privées s’étaient retrouvées dans la nature à la suite de deux piratages.

Le premier est survenu entre mai et juin 2020, lorsque deux hackers ont récupéré le fichier d’environ 290.000 clients via la plateforme de e-commerce Shopify.

La fuite concernait les noms, numéros de téléphone, adresses e-mails, ainsi que les adresses physiques des clients ayant commandé un produit sur le site de Ledger. Les deux responsables de ce piratage ont été arrêtés, comme The Big Whale l’avait révélé en mars 2023.

Il est important de préciser que jamais la technologie de conservation des crypto-actifs de Ledger n’a été mise en défaut. "Les produits Ledger n'ont jamais été exposés, cet incident concernant uniquement l’activité e-commerce", a réaffirmé l'entreprise.

Cependant, la mise en ligne du fichier sur des forums de hackers a entraîné de multiples tentatives d’escroquerie, dont certaines consistaient à envoyer de faux appareils Ledger Nano par la poste pour subtiliser les cryptomonnaies des personnes visées. “Les violations de données exposent les personnes concernées à des tentatives de fraude (hameçonnage, usurpations d’identité)”, a commenté une source proche de la CNIL.

Ledger a subi un second piratage en juin 2020, touchant cette fois-ci un million de personnes, attribué à une faille dans une clé API. Le hacker n’a pas été arrêté.