Topic: Ledger plainte en action collective (Read 759 times)

Oui t'as raison, c'est un aggrégation de données de différents hacks.

Concernant l'employée cdiscount (pas entendu parler), rien d'extraordinaire non plus dans le sens ou tu trouveras des comportements du genre (vol de données ou de matériel, abus de biens etc) dans toutes les boites. Sachant que ce sont des comportements 'marginaux', c'est aux dirigeants de faire preuve de discernement et ne pas mettre tout le monde dans le meme panier.  Malheureusement dans les faits c'est souvent à cause d'agissements tels que des règles pénalisant tout le monde sont prises.

On me dit dans l'oreillette que je suis hors sujet  

C'est plus une compilation de précédentes fuites qu'une réelle fuite de données. Rien d'extraordinaire et d'alarmant sachant que les hackers ont déjà cette pratique. Je parle de celle de collecter ce genre de données, les fusionner entre elles, et au final supprimer les doublons sur leur BDD.

Par contre je ne sais pas si vous en avez entendu parler. Celle de l'employé de Cdiscount qui volait les infos clients. Tu peux même plus faire confiance à tes employés. Après on se plaint de flicage au travail

Dans le genre 'grosse fuite de données', apparemment il s'en est encore passé une belle.

https://twitter.com/CyberGEND/status/1360128007613124609
https://twitter.com/pulsar_radio/status/1360155084655575041

Edit : Comme souligné par leGaulois, il s'agit d'un regroupement de divers hacks passés. Rien de nouveau donc, sauf une belle base de données bien propre pour les acteurs malicieux...

Clairement pour bien faire il nous faut une identité parallèle pour internet. Genre créer une entreprise bidon dans un pays où c'est simple et pas cher et anonyme histoire d'avoir un moyen de paiement qui ne soit pas à notre nom (en plus des cryptos quand c'est possible bien sûr), une boîte postale au nom de la boîte pour récupérer son courrier/colis, etc.

Petit infographie très sympa sur la partie allemande



https://twitter.com/yeolddoc/status/1353139243548364805

On voit combien de mails / numéros de tel / noms etc du leak ledger avaient déjà leaké auparavant d'après haveibeenpwned.com.

On voit que le hack ledger n'est qu'une goutte d'eau...

Saint-loup : aux US tout est possible bien sûr, d'ailleurs souvent ça ne va pas jusqu'au procès, un deal est trouvé bien avant. Mais en France, ça n'a rien à voir. Quand on voit que des affaires simples mettent des années et des années avant d'arriver au procès, et des affaires complexes carrément des décennies, c'est pas demain la veille qu'une plainte contre Ledger donnerait qqchose.

Le reproche ce n'est pas l'attaque, mais c'est le fait d'avoir stocké en ligne les données clients sur plusieurs années. Une aberration sans nom.

Ah bon?
https://www.nextinpact.com/article/13948/88874-sony-dedomagera-ses-clients-us-a-hauteur-15-m-pour-piratage-psn

https://www.haas-avocats.com/actualite-juridique/recours-possibles-pour-le-vol-de-ses-donnees-personnelles-sur-le-playstation-network/

Mon entreprise (du CAC40) a été victime d'une attaque par un gang de hackers, avec chiffrement des données, demande de rançon etc., ma boîte a refusé de payer. Ils ont balancé certaines données, menacé d'en balancer d'autres : refus de payer.

Restauration totale de tous les serveurs dans le monde, parfois il a fallu tout refaire de 0.

Si tu paies, tu n'as aucune garantie, et tu te colles une étiquette de pigeon sur le front, invitant ce genre de choses à se reproduire.

La principale chose à reprocher à Ledger c'est l'attaque, le reste ne change pas grand-chose. De bien plus grosses boîtes ont subi ce genre d'attaques avec des millions de gens concernés, je ne me rappelle pas qu'une plainte des users aie donné quoi que ce soit.

Grosse différence entre faire de la publicité ciblée comme l'a fait Binance, et vendre le Safepal directement depuis la plateforme en expliquant que c'est mal de laisser des fonds chez eux

Bah, on sait jamais...Binance a bien appuyé (financé ?)  la création du Safepal. Bien sûr, en contrepartie on a accès à Binance depuis l'appli.

M D R.

Coinbase et Kraken ont tout intérêt à ce que leurs clients laissent leurs cryptos sur leurs plateformes.
Créer un produit qui les inciterait à les en sortir c'est complètement débile. Ils se feraient eux-mêmes du mal.

C'est comme si Marlboro avait créé des patches anti nicotines pendant ses grandes années...

Certes il y a des communiqués comme ça https://courscryptomonnaies.com/actualite/le-ceo-de-kraken-avertit-sil-vous-plait-ne-stockez-pas-vos-cryptos-sur-un-exchange mais c'est comme quand un groupe pétrolier fait du greenwashing.

Quelle naïveté.

Sans parler du fait que ce n'est pas du tout leur coeur de métier. D'ailleurs si ils avaient les compétences pour faire ça, ils l'auraient fait depuis longtemps pour sécuriser les fonds propres de l'exchange.

elma promis je vais être très poli et ce sera bien tourné 

Si tu demandes poliment, yaura pas de souci, ils vont le faire  

Bonjour tout le monde,

Une démarche similaire est en étude par thecointribune, pour ceux qui le souhaitent n'hésitez pas à prendre contact avec eux via l'adresse email disponible sur le lien ci-dessous :

https://www.thecointribune.com/actualites/ledger-securise-vos-cryptos-mais-met-en-danger-vos-donnees/

Sur un sujet complémentaires, je vais également en profiter pour demander à Kraken et Coinbase si ils peuvent sortir à moyen terme un Hardware Wallet.

Ils avaient investi dans la cybersécurité: ils cherchaient les failles chez les concurrents du haut de leur donjon.

Pour des pionnier ils auraient pu quand même investir un peu plus dans la cybersécurité. d'ailleurs ayant un Ledger depuis quelques années non utilisé et pensant me procurer le Nano X pour la suite, je remets en question mon future achat à cause de cette attaque.

Après ça reste un monde très féroce autour de la crypto, et les hackers ont un certain niveau et des gains assez important à la clé en s'en prenant au entreprise de crypto, tout ne peut pas être évité même avec de grands audit ou pentest car la technologie avance à grands pas.

Je pense qu'ils auraient du juste chercher à se procurer la base de données en sous-marin.
Même si ça a un certain coût, au moins ça aurait permis d'évaluer la réelle portée de cette faille.
Au lieu de supposer que cette faille a touché 9.000 ou 90.000 de leur clients (je sais plus de tête et flemme de chercher là).

Après, de là à leur attribuer un bounty et les embaucher pour qu'ils continuent à investiguer les failles .... je suis pas convaincu.
Ceux qui sont a l'origine de l'attaque ne sont pas des enfants de chœur, et sont motivés par le profit sans se soucier de l'aspect malicieux de ce qu'ils font. 

C'est bien d'avoir fait appel à une société d'audit et de pentest pour résoudre tout ça et voir ce qui cloche, mais Ledger aurait du connaître la portée de la faille avant qu'elle aie été rendue publique.

Pour une boite qui se veut pionnière dans le domaine, c'est moyen je trouve. 

Tu es FOU.

Ca revient à traiter avec des terroristes.

Des White Hat hacker n'auraient jamais fait ce qu'ils ont fait. Les intentions des hackers en question étaient clairement malicieuses. Ils auraient vendu ça à ledger, puis ils l'auraient vendu de nouveau au plus offrant.

Ledger a fait le bon choix. Le reste aurait été une dépense inutile, aux dépends de l'entreprise et de ses clients.

yogg en faite je vous rassure, c'est ce que tout le monde peine à comprendre, ils auraient du payer, remercier les hackers d'avoir mis le doigt sur une telle faille de sécurité, leurs allouer un autre budget si ils venaient à découvrir une autre faille critique et virer le ou les personnes responsables de ce fiasco de sécurité.

Ils ont voulu économiser, voici le résultat, au delà de l'énorme préjudice pour ses clients, l'entreprise est discréditée au niveau mondial et je vois mal comment elle sera capable de redresser la barre.

En fait, c'est ça aussi que je peine à comprendre.

Ledger aurait du en sous marin chercher à récupérer cette base de données.

C'est bien de chercher d'où venait le leak, mais maintenant ils peuvent aussi renvoyer leur négligeance sur le prestataire de services et d'audit qu'ils ont engagés dès qu'ils on eu vent de la fuite.

Ledger les as commandités pour étudier l'environnement dans lequel ça s'est produit.
Vu la nature de leur données, si j'étais à leur place, j'aurais demandé un audit à une société différente, et surtout je leur aurais demandé de chercher à retrouver une copie de cette base de données.

Après, Ledger est connu car leur produit a fait de cette startup un "pionnier" dans le domaine.
Vu la nature du marché, je pense que leur ventes sont cycliques et suivent les bulles cryptos, mais une fois que tout le monde sera équipé d'un HW wallet, les ventes deviendront compliquées.
Peut être le sont elles déjà.

je me suis posé la meme question

Saint-loup, si c'est un particulier oui, si il travail au service juridique de Ledger il fait le job

tu dérapes carrément la

perl tant mieux, les autres victimes pourrons ensuite suivre la même direction.

elma je suis d'accord et je vais même citer une réplique de film un peu personnalisée je vous le concède, "Au mieux ils sont incompétents au pire ils sont dans le coup, dans les deux cas ils sont OUT." (on verra si une personne du forum trouve)

J'aurais bien aimé qu'en juin/juillet, ils achètent aux hackers la base de données (5btc / 50 000$ apparemment). Lorsqu'on fait une connerie qui met la vie de personnes en danger, au diable l'avarice !
Peut-être l'ont-ils fait ? En tout cas, ils auraient su que c'était plus de 9000 adresses dans la nature.
Peut-être le savaient-ils ?

Est-ce que la faille était facile à trouver ?
Qui a programmé avec les pieds ?
Y a-t-il eu un "insider" chez eux ou chez leur prestataire ?

En tout cas, il y a des questions auxquelles il faudra répondre.

En faites non, c'est a toi de prouver la négligence caractérisé et pas a eux de prouver l'absence de négligence.

Je te donne l'argument fatal contre ta plainte effet streisand:)

Bah oui ta plainte et jugement sera public Et je la effectivement ta sécurité physique sera directement concerné .

perl, ils auront tout le loisir de s'expliquer, pour ma part je trouverais presque moins grave qu'ils soient malhonnêtes, plutôt que de se faire pirater leurs BDD et en plus se tromper sur leurs estimations et prouver qu'ils sont parfaitement incompétents.

Edit : 0 l'avenir nous le dira

de laisser tomber


beaucoup



... 0


J'ai pris 1 h pour revoir tout ça, tu me dois 50 mBTC

Quel mensonge?  Mauvaise estimation, je veux bien.  Mais mentir veux dire avoir conscience de communiqué des informations fausses. 

perl, déjà le fait qu'ils ai publiquement "Menti" sur l'étendu du piratage des données ne va pas jouer en leurs faveurs, leurs arrogances et leurs incompétences fera le reste.


MamaSan oui je suis d'accord avec vous, je l'ai d'ailleurs envoyé à mon avocat.

Excellent,belle plume!

négligence seulement si elle est caractérisée.  

Exemple ne rien avoir fait alors qu'il était au courant.

Il faut quand même voir qu'il ont vu la faille grâce a un programme bounty de sécurité et réagis immédiatement. Bonne chance pour la caractérisé la négligence .

elma, oui je suis d'accord, je ferais un rapport sur ce qu'en disent les avocats, les frais que ça va occasionner et le montant de la réparation qui sera demandé.

Je pense pas qu'il faille être complice pour être condamné. De la négligence pourrait suffire.

asche, en effet, pour l'heure deux avocats d'affaires étudient mon dossier.

Ce n'est pas au juge de déterminer cela. Ce n'est pas un recours public.

C'est ton avocat qui va demander des réparations. Et le juge va accepter ou non. Et vu l'état de droit en France, à moins que tu aies une preuve que Ledger soit complice, ait vendu la base de données, ou ait eu depuis longtemps connaissance du problème, alors la loi est de leur côté et non du tien.

Après si tu tiens à jeter ton argent par la fenêtre, qui suis-je pour t'en décourager...

asche, Non simplement porter plainte et peu importe le prix que ça va couter et le temps que ça va prendre.

Ce sera à un juge de déterminer l'ampleur du préjudice subit et par extension l'étendue de leurs incompétences.

Saint-loup, c'est vrai il s'est fait plaisir, mais il a tellement raison  

elma, Merci pour le lien.

Il existe toutefois les actions de groupe (mais je suis pas sûr que soit tout à fait dans le cadre) (Je viens de voir qu'Hellmouth en parle, j'ai pas copié, promis!)


https://www.economie.gouv.fr/cedef/action-de-groupe#:~:text=L'action%20de%20groupe%2C%20introduite,et%20d'agir%20en%20justice.


Très bon article d'Hellmouth, je le félicite ici vu qu'on peut pas sur son site !

PTDR il s'est lâché Hellmouth 

Du coup tu vas faire quoi ? Tu vas aller frapper les managers chez ledger ?

Parce que la justice ne peut rien pour toi.

Une class action ça n'existe pas en France, il faut arrêter de regarder les séries américaines.

Enfin ça coute cher une action en justice. Pour quel préjudice ? Va chiffre un préjudice moral pour "mon nom est sur une liste parmi 100 000 autres". Aucun juge ne condamnera une entreprise qui s'est faite hacker à moins qu'elle ait été complice du fait.


Premier truc censé que tu écris. De toutes façons le marché de la sécurité à toujours évolué comme ça. Les hackers trouvent une faille, les éditeurs trouvent une façon de la combler etc. Une base de données inviolable ça n'existe pas. Raison pour laquelle une entreprise ne peut pas être tenue responsable.



Quand ont-ils minimisé le pb ?

Tu veux qu'ils fassent quoi ? Ils ont réglé le problème et ils ont mis en place des actions préventives. Tu attends quoi de plus ?

Bonjour tout le monde,

J'imagine que vous l'avez déjà lu mais dans le doute je vous partage un excellent article que je viens de lire (partagé par le site Bitcoin.fr)

https://www.tahiti-cryptomonnaies.com/crypto-pipeau-quand-ledger-pirate-donne-des-lecons-de-securite-a-ses-clients/

Tu as toujours une adresse de facturation, et une adresse de livraison.
C'est ainsi que gèrent les boites qui livrent en point relais.

Ils ont aussi estimé les personnes concerné et les ont tenu informé personnellement et eu aussi une communication publique.

 
[/quote]

La blague
T'es pas touché visiblement car c'est des mails quotidiens de "Ledger" m'informant d'un hack.
Les voleurs m'ont informés c'est certain, Ledger je n'en suis pas sur, comment je fais la différence et le tri dans tout ces mails de merde.
La boite mail c'est poubelle, le numéro de téléphone idem.

Le gros problème c'est l'adresse postale.
Par chance j'ai déménagé entre temps, mais j'imagine pas ceux pour qui ce n'est pas le cas, comment la situation doit être inconfortable.

J'ai vu passer une réaction du CEO, je ne sais pas si elle était véridique ou non, mais elle m'a paru détestable.
A ma connaissance pas de boutique physique, ni même de possibilité de livraison en point relais, donc t'es bien obliger de leur fournir ton adresse.

Ce qui est sur c'est que si j'ai besoin d'un nouveau cold wallet, j'irais chez la concurrence.

Bonjour tout le monde,

perl, j'aime à penser que je suis une personne raisonnable et réfléchi mais je l'admet cette situation me révolte et je trouve que c'est grave, je pense que c'est du ressort  des avocats d'affaires (de mon coté je ne vais pas laisser passer ça)

Avec un peu de recul, il faudrait presque remercier les hackers pour nous avoir fait prendre conscience à quel point les équipes de Ledger sont légères en terme de technicité, je pense que crypter une BDD ou stocker les données sensibles à froid  est réalisable (à croire qu'ils gèrent un e-commerce de vente de clef usb ou d'épicerie fine)

Saint-loup et Elma je suis entièrement d'accord avec vous.

LeGaulois, en premier lieu je dirais qu'ils fassent faire preuve d'un peu d'humilité et qu'ils se remettent en question, ils ont cherché à minimiser l'ampleur du problème et aujourd'hui ils ont perdu toute crédibilité au niveau mondial, je leurs souhaite bien du courage pour se relever de cela.

Pour faire plaisir au client ? c'est pour contenter/satisfaire un client plutôt. C'est un service que l'on peut lui rendre ou lui vendre. Et dans le cas présent, c'était une amélioration de la sécurité.
Comme je disais, je voulais acheter un archos à 15€, pas de livraison en Point Relais, donc j'ai pas acheté.

Je ne vois pas trop ce que ça change d'avoir des livraisons Poste ou Relais. Le coût doit être minime: 2 transporteurs différents viennent emporter le matos à livrer.

Je ne vois pas ce que ça change l'adresse bidon sur une facture, le jour où j'ai un problème de garantie ou autre, il me suffira de dire: j'ai déménagé, ce n'est plus cette adresse.

Vous réagissez un peu comme si c'était la première et la seule entreprise française à être victime d'une fuite de données.
Ils n'ont pas minimisé la gravité de la fuite de données, ils l'ont juste sous estimé, par manque d'information ou d'analyses mais on ne peut pas les blamer pour ca. Ils ont réagi à ce problème dans les règles du RGPD.

Qu'est ce qu'ils peuvent faire de plus pour l'instant?

Même Google, Amazon ou Facebook ont subi des fuites de données, j'ai vu personne se plaindre et aller voir un avocat
Bon cet article est vieux et même si la situation s'est amélioré, avec la 'pression' ca donne une bonne image de la réalité dans les entreprises: "70% des entreprises françaises victimes de pertes de données".
De toute façon en France les entreprises ont vraiment des lacunes sur la formation des employés à la sécurité et un manque de moyens réel. Tu peux y trouver des choses et des pratiques étonnantes.

Conserver les coordonnés cet un devoir, ne serait ce que pour de la comptabilité, suivi client,... La façon dont était géré ces archives est questionnable cela ne fait pas de doute, l'entreprise est loin d'être la seule à agir ainsi.

Choisir un Point relais n'est pas une option pour tout le monde et pas du tout appreciable pour une entreprise, c'est vraiment pour faire plaisir au client alors, et puis de toute façon il faut quand même une adresse de facturation.
Oui je vois venir les gens dirent de donner une adresse bidon, et si un jour il y a un problème ils seront les premiers à blamer Ledger

il y aurait eu une adresse de facturation elle est obligatoire.
Et pourquoi garder les donnée en DB ?  Tous simplement pour que tous le monde puisse retrouver sa commande et facture a n'importe qu'elle moment.
Et ne pas avoir a ressaisir les information pour une autre commande.  Ils ont pas été plus défaillant que n'importe quel site de e-commerce. 

Meme si impact peut etre vu par certain comme plus grave.

Il y aura pas plus de soucis quand pour les fichiers clients de grand hotel et casino et marque de luxe qui se sont retrouvé dans la nature.




 

Ledger a répondu qu'ils devaient conserver les factures 10 ans.
Il est clair que la livraison en point relais aurait dû faire partie de leur vision de la sécurité.

Les cordonnées clients n'impliquent pas nécessairement de connaitre l'adresse du client. Il faut simplement garder la transaction brut en tant que tel.

Légalement il faut justifier tes transactions.

Comment font les boites qui livrent en point relais dans ce cas?

Légalement c'est obligatoire de conserver les cordonnées clients.


La vrai question elle est là, je n'ai pas trouvé de réponse, mais ça me semble peu probable que ça soit une erreur humaine. Enfin si c'est une erreur ça serait tout bonnement incroyable, même pas besoin d'être dans la sécurité informatique pour savoir qu'il faut stocker a froid les données sensibles d'une entreprise quand cela est possible.

C'est un peu angélique comme résumé de l'affaire je trouve. Il est de notoriété publique que ce milieu est soumis à énormément de hacking (Ledger est d'ailleurs censé être une solution de protection contre ça). Compte tenu de la sensibilité de telles informations, on peut sincèrement se demander pourquoi ils ont choisi de conserver ces coordonnées. Et pourquoi ne pas l'avoir fait sur un serveur isolé? Pourquoi n'avoir pas proposé des moyens de livraison plus anonymes tels que la livraison en point relais?
Les principaux coupables sont les hackeurs et ceux qui ont diffusé publiquement ces informations, il n'en reste pas moins que Ledger a certainement une part de responsabilité là-dedans, qu'elle soit juridique ou non.

Ils ont quand même merdé avec leur API mal codée.

Je trouve votre position curieuse . Pas de demander conseil mais des maintenant de décider de poursuivre en justice . Un avocat peut donner comme meilleur conseil de ne pas poursuivre.

Ledger se doit d'une obligation de moyen. Et sauf erreur il n'ont pas failli a leurs obligations première.

Les ledger sont toujours aussi secure. Ils ont bien communiqué sur la failles rapidement.
Ils ont aussi estimé les personnes concerné et les ont tenu informé personnellement et eu aussi une communication publique.

La seul chose que tu peux leur reproché et la qualité de leur estimations.
Un juriste dirait surement qu'il faut estimation volontairement fausse ou réalisé un manque flagrant de sérieux. Il participe activement a l’enquête et dépose plainte pour chaque campagne de phishing .

Personnellement, ils pourrait faire mieux et surveiller les refferral sur leur site.


 

Merci de votre réponse Elma,

De mon coté je viens à l'instant d'envoyer un email à un avocat d'affaire afin qu'il puisse se charger de mon dossier, je vais attendre son retour concernant les démarches à suivre que naturellement je vais mettre en oeuvre.

Compliqué en France les actions collectives.
Je nie pas la gravité (je suis concerné) et les erreurs qu'il faudra analyser, peut-être par la justice. Par contre, ils se sont excusés.

Bonjour tout le monde,

Au vue de la gravité de la situation et du mépris de la société Ledger concernant le respect de la vie privée de ses clients, je serais fortement favorable à déposer une plainte en action collective afin de demander réparation.

Ils ont minimisés la gravité de la fuite de données; s'excuses à demi-mot, je ne trouve pas cela normal pour une entreprise qui souhaite s'imposer comme leader mondial dans la domaine de la sécurité.

N'hésitez pas à donner votre avis à ce sujet.

Bien cordialement