Du hameçonnage jusque dans nos boîtes aux lettres: si vous recevez un courrier de la plateforme de cryptos Ledger chez vous, vous êtes victime d'une arnaque

Certains Français ont reçu un courrier particulier en provenance du "service sécurité et conformité" de Ledger. "Nous avons récemment été victimes d'une faille de sécurité (...). Vous faites potentiellement partie des utilisateurs concernés", peut-on lire. Pour éviter de perdre leurs cryptos, les utilisateurs sont invités à "mettre à jour" leur phrase de récupération (ou seed phrase) en scannant un QR code.

Il s'agit d'une campagne de phishing en cours en France, à laquelle il ne faut pas donner suite. Le hameçonnage ou phishing est utilisé pour récupérer des informations personnelles sur la victime en se faisant passer pour un tiers de confiance (voir notre article pour vous protéger des arnaques lorsqu'on est un utilisateur crypto).

En 2020, Ledger a fait face à un piratage impliquant une fuite de données de plus de 273.000 clients sur internet... Des données qui pourraient bien être toujours entre les mains des malfaiteurs. Fondé en 2014, Ledger est spécialisé dans la conception de portefeuilles cryptos dits "non custodial" qui permettent aux utilisateurs d'être maîtres de leurs clés privées contrairement à des portefeuilles "custodial" (souvent proposés par des plateformes d'échanges centralisées, comme Binance et Coinbase).

Une phrase de récupération ou seed phrase est une liste de 24 mots générée par un portefeuille crypto - à l'instar de la société crypto Ledger - lorsque l'utilisateur installe son wallet. L'utilisateur doit noter sur un support ces 24 mots dans l’ordre et conserver cette liste en lieu sûr, à l’abri des regards (ne pas prendre de photos, ne pas se l’envoyer par email, ni même les écrire sur son ordinateur en raison des piratages). Cette liste sauvegarde la clé privée (les cryptomonnaies) de l'utilisateur: s'il la perd, il perd donc l'accès à ses cryptomonnaies.

"Accès total aux comptes"

Sur son site, Ledger évoque les différentes techniques d'arnaques auxquels font face leurs utilisateurs, notamment par téléphone, SMS, NFT frauduleux ou par courrier.

"Il n’existe aucune raison valable de saisir votre phrase de récupération secrète sur un ordinateur. Toute personne ayant connaissance de votre phrase de récupération secrète dispose d’un accès total aux comptes qui y sont associés", rappelle Ledger sur son site.

Plusieurs bonnes pratiques sont ainsi répertoriées. Par exemple, en cas de problèmes concernant votre compte, la société ne vous contactera jamais par SMS ou téléphone, mais par ses canaux officiels, notamment son adresse email officielle. De même, les utilisateurs ne doivent jamais valider une transaction sur leur appareil Ledger s'il ne sont pas à l'initiative de la transaction.