Bitcoin Forum

Hardware wallet maker Ledger suffered a breach of one million customer emails and e-commerce documents in June. No user funds were affected.

https://decrypt.co/37063/bitcoin-wallet-ledgers-database-hacked-for-1-million-emails (https://decrypt.co/37063/bitcoin-wallet-ledgers-database-hacked-for-1-million-emails)

Ce matin, j'ai également reçu un mail sur ce sujet de la part de Ledger.

Il va falloir être encore davantage parano. :-\

La news en francais pour ceux qui ont du mal avec l'anglais. https://www.capital.fr/entreprises-marches/ledger-pirate-un-million-de-donnees-de-clients-derobees-1376522

Maintenant il va falloir s'attendre à une vague d'emails qui nous demanderont de leur fournir les 24 mots, sans compter les spams pour des airdrops et compagnie...
Même à Ledger eux même je ne leur communiquerais jamais mes seeds ::)

Putain ça c'est vraiment incroyable. C'est une honte!
Je vais leur écrire pour voir si je suis touché. car j'ai pas trop envie de voir des mecs louches se pointer chez moi pour faire cracher la seed >:(

Je ne pense pas que les gens viennent chez toi pour te braquer en pleine nuit sans être certain d'avoir une somme consequente ( quoi que...)
Imagine se retrouver avec 50 balles de bitcoins dans le Ledger ::)

Faudrait qu'ils viennent frapper chez toi quelque jours avant: "Bonjour Mr/Mme, c'est juste pour savoir, vous avez combien en cryptos siouplé?
Et puis, tu peux très bien avoir acheté un wallet afin de l'offrir à quelqun

on est bien d'accord.
Mais avec toutes ces informations tu peux déjà cibler. Je suis pas bcp sur les réseaux sociaux mais je pense que certains tu peux vite les identifier comme ayant un bag plus lourd que les autres.
Et en principe, si t'as un Ledger t'as plus que 50$ dedans :-D.
A voir aussi si la date de commande y figure car ça peut aussi être un indicateur (dans le FAQ: "type of product purchased" donc à  priori pas)

Mais dans le fond ça m'énerve vraiment ce hack.

Moi aussi car Ledger est quand même une société qui est censé vendre de la sécurité.

Arf ya déja bien longtemps que je suis déçu par cette boîte à la mentalité un poil prétentieuse et dont le matos fonctionne de manière erratique (cf divers threads ici). A ce croire au dessus de la mêlée, ils vont prendre cher et ce sera pas volé. Grosse déception ici.

Ceci dit, pas bol pour le 'hack'. (Au lieu d'auditer/dénigrer la concurrence à tour de bras (lol @ledger 'donjon'), ils avaient déja de quoi faire avec leurs services.

C'est d'autant plus scandaleux que ça se passe dans le domaine des cryptos. Les cryptos sont aussi en grande partie utilisés pour des raisons d'anonymat, à partir de la ça me parait évident de ne pas garder de données.

Peut-être qu'ils comptaient les monétiser  ::)

Il faudra aussi faire gaffe à ne pas se faire hacker son email, il existe plein de solutions (prêtes à l'emploi) à ce but. il faudrait activer les notifications de sécurité et rester vigilant entre autres, qui sait tu pourrais encore avoir une ancienne sauvegarde de wallet blockchain.info avec un mot de passe pas très élaboré sur ton email. (ou te faire hijacker ton PP) !!

Pour ma part, je n'ai pas de mot de passe et on ne peut pas se connecter à ces emails. ;D Puis comme beaucoup de gens j'ai des emails spécifique au truc de cryptos, je ne suis pas assez fou pour utiliser les même emails.

Vous avez été prévenu par Ledger ?

J'ai reçu un mail de leur part comme indiqué dans le premier post.

Moi aussi...

Ce qui est pénible c'est qu'ils n'indiquent pas quelle transaction / adresse / nom est concerné si tu as fait plusieurs commandes (ou la totalité).

Rien reçu ici.

Apparemment, selon l'article cité dans le premier post, le hack a eu lieu en juin.

@GrosWesh

Ca va dans les spams chez certains. Si tu n'as pas recu d'email c'est que tu ne fais pas parti de la liste contenant le million d'adresses mail.

@asche

Si, ils envoient un second email aux personnes concernées seulement, ce qui ne concerne que ~9000 personnes

Bien vu, je n'ai pas pensé à mater les spams et c'est bien arrivé là...

Rien à faire du hack pour ma part, si un malfrat se pointe je lui file le ledger (vide,puisque je m'en passe depuis pas mal de temps) et je lui paie même un coup pour le remercier de me débarasser de cette daube. (ok j'exagère un peu...mais à peine  :D).

Merde plus possible d'acheter une Lambo ça donnerait une 2ème indication !

Attention: campagne de phishing en cours email et sms !

https://korben.info/phishing-cle-ledger.html (https://korben.info/phishing-cle-ledger.html)

C'est noté!

Comme l'a souligné Elma, la campagne de phishing est d'assez forte ampleur. Beaucoup (dont moi  :P) ont reçu un mail tel que celui ci.

https://nsa40.casimages.com/img/2020/10/25/mini_201025094847126467.jpg (https://www.casimages.com/i/201025094847126467.jpg.html)

Et si par malheur vous cliquez sur le lien fourni cela vous dirigera vers un faux site 'ledger live'. (Bon logiquement si vous avez installé ce qu'il faut la page ne pourra pas s'ouvrir mais ...).

https://nsa40.casimages.com/img/2020/10/25/mini_201025095226377519.png (https://www.casimages.com/i/201025095226377519.png.html)

Source (parmis beaucoup d'autres) : https://twitter.com/macteo/status/1320284324491558917.

Pour ma part je m'en tamponne, mon Nanox est écarté définitivement (et ce même avant les histoires de hack). Un autre cold wallet est en cours de route et je ne manquerai pas d'en parler à sa réception  ;)

Edit : !! A prendre au sérieux --> Un membre de la section française y a semble t il déja laissé des plumes. https://bitcointalk.org/index.php?topic=5284391.msg55451850#msg55451850

Rien recu pour l'instant.

Par contre ca peut etre facile de tomber dans le panneau. Antant quant ils changent un l en I par exemple, ca se repère facilement, mais changer un e avec un e avec un accent (je sais pas comment ca s'appelle) je trouve ca vachement vicelard.
Je me suis déjà fait avoir en cherchant un mixer, je croyais avoir une poussière sur l'écran, c'est en le nettoyant que je me suis rendu compte de la supercherie ::)

J'aurais pas le réflexe de cliquer le lien, je me rendrais sur le site directement, mais je suis certain que bon nombre le feront et tomberont dans la trappe. Même si ce n'est que 1%, ca peut rapporter...
Par contre pour les SMS envoyés, ca peut être une faille pour remonter le numéro (si la personne est un peu con sur les bords)

Oui cette attaque est bien vicieuse c'est clair.

 Comme quoi les fuites (enfin hack) de bases de données sont du pain béni pour les cyber-escrocs. Et avec ce qu'il ont chopé en data il peuvent surfer sur la vague pendant des années, comme tu le dis même si le taux de réussite est très très faible ça reste rentable. (imagine ils chopent le wallet d'une baleine, ça arrive malheureusement même aux plus aguerris de se faire scam).

Bref... Qui a dit 'le crime ne paie pas' ?

Je suis curieux d'apprendre pourquoi tu l'as écarté ?

Quand tu dis écarté tu l'as jeté ?

Tu comptes le vendre ?

Comme j'en ai déja fait part pas mal de fois sur ce forum, j'ai au fil du temps de plus en plus désaimé mon Nano x, et Ledger également.
 
1 - Cause principale de ma rancoeur : gros soucis techniques et dont je ne suis pas le seul à me plaindre sur la toile.
    (refus de connection, obligé de tester deux trois browsers à chaque fois, principalement problèmes de type 'Failed to sign with Ledger device: U2F TIMEOUT).
2 - Ressenti personnel concernant Ledger assez négatif : positionnement 'haut de gamme' ne devrait pas signifier être hautain (car c'est mon sentiment).
3 - Comportement critiquable envers la concurrence (ce qui corrobore le point au dessus) : par exemple lorsque le 'Ledger Donjon' livre sans vergogne les failles trouvées chez la concurrence alors que leurs propres produits ne sont pas exempts de defauts. Et là encore c'est la façon dont ça a été fait qui me gêne.
4 - Je n'ai jamais compris pourquoi même encore aujourdhui le Nano s est mis plus en avant que le Nano x. C'est fréquent, flemme de chercher un exemple mais encore il y a peu je me suis fait la réflexion. J'éditerai si ça me revient.

Bon et c'est humain : quand on a quelqu'un/quelque chose dans le collimateur on a tendance à forcer le trait. Disons donc que Ledger n'est pas fait pour moi  :D Car c'est de la merde

Enfin quand je dis que je l'ai écarté c'est qu'il trone (vide) sur une étagère, je n'ai pas l'intention de m'en resservir (30 minutes de galère minimum lors de mes 4/5 dernières connexions) et il est bien sûr hors de question de tenter de le vendre (sachant que perso je n'acheterai jamais O grand jamais ce genre de matos d'occase sauf peut etre à un bon pote et encore).

Edit : tain je viens de recevoir à nouveau le mail de phishing (2 fois d'ailleurs) mais mis à jour à la date d'aujourdhui. Ils bossent dur ces scammeurs  :D

J'ai reçu les mails de ledger pour prévenir mais pas de tentative d'arnaque, peut-être que mon FAI a bloqué les mails. En tout cas ça plaide pour multiplier les boîte mail secondaires, même si c'est un peu chiant à gérer, comme ça si une est compromise, on change de mail sur les quelques sites où on l'a utilisée, et on l'abandonne.

Aucune raison technique de ne pas le faire pourtant si tu sais vérifier l'authenticité ;)

Exact, mais par principe (con certes) j'éviterai.

Je voulais revenir 2minutes sur cette histoire de hack de db et préciser qu'avant de recevoir ces mails de phishing, jamais je n'ai reçu de mail officiel de Ledger pour me signifier que mes infos avaient fuité. Et à priori, d'après ce thread reddit je serais loin d'être le seul.

https://www.reddit.com/r/ledgerwallet/comments/jhm12n/lets_talk_about_the_recent_fake_mail_from_ledger/

Ledger auraient ils omis de prévenir leurs clients ? Si c'est le cas, c'est encore un mauvais point.


Et pourtant .... les mails que je reçois commencent par mon prénom !

Je dois louper quelque chose, mais tu m'avais répondu que tu avais bien reçu l'email, mais dans les spams.

Par contre avec ton device Ledger orphelin, j'ai bien compris que tu avais déjà commencé le boycot des produits francais bien avant les autres...
traitre! :D

Je viens de recevoir le phishing. Super bien fait, certains vont se faire avoir, c'est sûr ! Le site contrefait est moins bien par contre.

Je n'ai jamais reçu de mail de la part de Ledger pour me prévenir du hack, je pensais être épargné...

@groswesh:
C'est quoi ?

Eurf non tu n'as rien loupé. C'est moi qui déraille... J'avais oublié que j'avais reçu ce mail. Bon c'est 'rassurant' quelque part.

Et pour le boycott haha oui on peut voir ça comme ça :) Mais ça me fera jamais arrêter la cochonaille et un bon ptit verre de vin #franchouillard



Oui c'est malheureusement déja le cas : https://bitcointalk.org/index.php?topic=5284391.msg55451850#msg55451850



Par exemple 'Malwarebytes'.

@Groswesh: Waouh tu réponds trop vite, j'ai pas eu le temps d'éditer ! Je viens de voir ton conseil dans l'autre thread. Merci.

Info complètement inutile mais qui permet de briller (modérement) en société : le e avec un point (ė )utilisé par les scammers s'appelle "e point suscrit".  :)
Parfois je perds mon temps sur le web...

Ca serait bien qu'un des deux threads soit renommé et épinglé (ou qu'un autre thread soit créé) pour alerter sur cette campagne de phishing en cours...

Ouaip, et voyant que certains se font avoir (faut avouer que le scam est assez 'fin') je trouve qu'il serait bien si ça pouvait être visible sur tout le forum, partie anglophone y compris. Je rêve surement mais les wallets Ledger sont probablement parmis les plus utilisés et d'autre part je me souviens avoir vu ce type d'annonce concernant les risques inhérents à Electrum si je me plante pas  ::)

Mais bon, faut déja avoir le bras long pour être écouté par @Theymos.

Oui il y avait une annonce demandant de mettre à jour Electrum car il y avait une faille dans une certaine version.

Tu peux toujours lui envoyer un PM ou faire une suggestion en Méta, il le lira, après est-ce qu'il agira ?
Malheureusement des campagnes de phishing, y'en a tous les jours, on pourra mettre des annonces partout, y'en aura toujours qui tomberont dans le piège.

J'ai épinglé ce topic (et changé le titre), je laisse quelques semaines/mois.

Bon je me dit que ça a peu de chances d'aboutir mais j'ai tenté le coup. Si on se dit toujours que quelqu'un d'autre le fera alors...

https://bitcointalk.org/index.php?topic=5284855.msg55465895#msg55465895

Bien joué pour l'épinglage du topic en tout cas.

Bonsoir à tous,

Je crois que l'info a déjà été donnée, mais en plus des mails (j'en ai reçu 2 Dimanche) j'ai également reçu un SMS ce soir:
"
Dear XXX,
Please visit https: // ledger . legal (sans les espaces) website and update Ledger firmware as the previous one has a bug with the risk of losing assets
"

L'adresse fournie renvoie encore à un site avec un "e point suscrit"

Après vérification, j'avais reçu l'alerte de Ledger avec le titre suivant "Security Notice - Ecommerce and Marketing data have been exposed - Your funds are safe.' C'était le 29/07, vacances, j'ai survolé...

Steph, j'ai reçu le même sms ce soir à 20h58.

J'ai trouvé ça très louche et je n'ai pas cliqué sur leur lien.
Ma visite sur le forum confirme mes doutes et j'apprends qu'il y a une campagne de phishing en cours ...
J'irais bien supprimer mon compte ledger mais trop tard non ? Pê que ça permettrait d'éviter les prochains hacks ou quoi qu'il arrive ça ne supprime pas de la base de donnée ? Vous pensez faire quoi à ce sujet ?

En gros maintenant des gens malveillants vont avoir nos noms et nos adresses ? C'est embêtant ... Vous vous rassurez comment à ce sujet ?

Courage et restez vigilants !

HC

Malheureusement je crains qu'il n'y ait plus grand chose à faire, puisqu'avec des informations comme le numero de telephone ils peuvent facilement recouper les informations avec d'autres fichiers client disponibles sur le darknet. Ce qui peut leur permettre d'accéder à des informations encore plus durables et "indélébiles" comme la date et le lieu de naissance, le numero fiscal, le numero de sécurité sociale, les IBAN bancaires, etc. Changer de numéro de telephone et déménager n'est donc même pas une garantie totale de tranquillité, il te faudra donc toujours rester vigilant.

C'est pourtant assez facile d'avoir un numéro qui ne soit pas relié à ton identité...

Après avoir reçu 2 fois 2 mails de phishing ces derniers jours, aujourd'hui ils m'ont envoyé un sms  :D

https://nsa40.casimages.com/img/2020/10/31/201031110755800494.jpg (https://www.casimages.com/i/201031110755800494.jpg.html)

Et la confirmation qu'il s'agit bien d'un scam.

https://nsa40.casimages.com/img/2020/10/31/20103111104942718.jpg (https://www.casimages.com/i/20103111104942718.jpg.html)

Ils se lasseront avant moi  :P Mais il faut avouer que là il vont saouler du monde (et pendant un moment).

Rien recu ici
 Attend qu'il décide de recycler la base de données une fois qu'il l'aura usé avec Ledger. Le jour ou il va décidé de la mettre en vente sur le darkweb je t'explique pas le nombre de spams qui sera recu.

Pire que lorsque bitcointalk s'est fait hacker.

Bitcointalk s'est fait hacker....?

Pas récemment, pas de panique  :D

Sinon oui et même plusieurs fois. Si tu lis l'anglais tu peux trouver un complément d'infos ici : https://bitcointalk.org/index.php?topic=4405796.msg39201021#msg39201021.

Le hack le plus important a visé la base de données et date de 2015. Les explications ici : https://bitcointalk.org/index.php?topic=1067985.0.

Comme spécifié dans le post suivant (https://bitcointalk.org/index.php?topic=5284855.msg55531996#msg55531996), la totalité des sommes volées dans le cadre de cette campagne de phishing (soit 107 Btc !!) à été dispatchée vers 2 nouvelles adresses.

Tout est traçable ici : https://www.blockchain.com/btc/address/bc1q9g52wp96ndzma850jl2ncummwsxzrj0alwd6js?page=6

'Tain ça rapporte ce ptit bizness  :o

Ouais ca m'irait bien comme business ^^

Avec un peu de connaissances et de temps.... ( 2 choses que je n'ai pas xD malheureusement ).

Profiter du manque de connaissances des gens pour les dépouiller. Très noble comme business effectivement.

C est immoral et alors ??? Ou est le problème ? C est dans la normalité ambiante ! Pas de quoi s offusquer !

Ça se passe ainsi a tous les niveaux. Si la noblesse payait et permettait de vivre ça se saurait.

second degré ?

Maybe ....... Or not ...... 🌗
😂😂😂 Of course humour.

EDIT : ATTENTION !!! Nous avons un maitre à penser qui régule et sanctionne si nous pensons ( avec humour ) différemment de lui. La police de la pensée a un nom asche, cette personne ne comprend ni l'humour, ni le second degré et use donc de la censure verbale. Cette attitude démontre une belle ouverture d'esprit.... Pour un gars pro-crypto ca fait peur.
Ne plus pouvoir s'exprimer librement avec humour, sans commettre aucun acte répréhensible et être sanctionné car ça ne plait pas à une personne....pathetique

Pour les histoires de Red Trust, la suite c'est ici (https://bitcointalk.org/index.php?topic=5287719.msg55548836#msg55548836).

J'ai reçu encore un mail de phishing. Le site web "ledger" avec un point sur le e, n'est toujours pas bloqué.

Ouais reçu aussi. Ca c'était un peu calmé mais il tentent encore  :P Ils ont changé leur texte également, je ne sais pas si tu as reçu le même ?

https://nsa40.casimages.com/img/2020/11/28/mini_201128093118792763.jpg (https://www.casimages.com/i/201128093118792763.jpg.html)

c'est le même.

Ils n'ont pas encore essayé de vous envoyer un courrier? Avec un numero de telephone à appeler ou un lien court d'URL shortener?
Ca serait certainement le plus efficace amha, ça ne m'étonnerait pas qu'ils tentent le coup un jour ou l'autre pour ceux dont ils possèdent l'adresse postale.
Le pire plan ça serait qu'ils envoient carrément des CD(bien sérigraphiés), là je crois que le "taux de conversion" ferait très mal.

Non, uniquement via mail et sms jusqu'à maintenant. Et oui, ton idée de cd est effrayante en effet. D'autant qu'ils ont l'air de 'soigner' (hum) leur scam, pas de fautes d'orthographe etc... Si ils vont jusque là ca fera mal c'est sûr.

Logistiquement c'est déjà plus contraignant, sans compter le coup des timbres, le nombre de personne qui vont aller direct sur ledger sans suivre une URL à retaper.
Par contre par téléphone ça pourrait fonctionner, j'ai toujours été surpris de voir le manque de méfiance des gens quand ils ont un interlocuteur en ligne.

Certes mais il y a fort à parier qu'ils revendront un jour leur listing comme dans la majorité des hacks (si ce n'est pas déjà fait) et ceux qui l'auront acheté rubis sur l'ongle seront peut-être bien obligés d'employer des méthodes plus couteuses pour espérer rentrer dans leurs frais.

Le cd demande une logistique trop importante et ça laisse des traces (fabrication, impression, expédition...).
Puis qui irait mettre un cd dans son pc en 2020 ?

Pour le téléphone, il y a la barrière de la langue. Si je reçois un appel de Ledger avec un fort accent de pays de l'est, c'est pas crédible  :).

Le pire dans tout ça, serait la visite à domicile par des démarcheurs pas très sympathiques. On ne sait pas qui détient cette base de données, qui l'a acheté, qui peut la consulter...cela peut être des malfrats pas loin de chez nous.

Oui c'est un risque mais c'est un raisonnement qui se tient tout autant pour les voitures de luxe garées devant la maison, habitation dans un quartier chic ... c'est juste que celui qui ne cherchait pas à attirer l'attention, c'est foutu (merci Ledger).
Par contre, ce sont des adresses mails qui sont susceptible de recevoir des malwares/virus régulièrement et peut-être pour de longues années.

Le risque en vaudrait quand même beaucoup moins la chandelle.

Avec leur technique actuelle le risque encouru est quasiment nul.

A partir du moment où il y a une relation physique, c'est beaucoup plus rapide de se retrouver en tôle. En plus voilà les coûts pour aller rendre visite aux gens alors que tu ne sais pas si ils ont déménagé, si ils utilisent leur ledger (et comment savoir si c'est le cas où si ils te baratinent). Je ne pense pas qu'il y ait beaucoup de ledger au km carré à part dans les métropoles...

Méfie-toi quand même si un jour tu reçois en "avant-première" leur nouveau modèle "hypersécurisé"...  :P

Pour ma part je n'ai rien reçu par SMS, alors que je n'ai pas changé de numéro de mobile depuis plus de 20 ans. Tant mieux !

Je vous linke un topic (https://bitcointalk.org/index.php?topic=5296185.msg55742492#msg55742492) sur lequel je viens de tomber en Réputation et où la France semble (encore) se distinguer.


Si quelqu'un à des infos à donner sur ce topic qu'il n'hésite pas. Perso, je ne connais pas du tout mailjet.
Mais du coup la piste franco-française (voire une piste interne à Ledger ?) serait à privilégier ou simple coïncidence ?

Intéressant ça Halab, merci. Ca m'a fait me replonger encore un peu dans cette histoire et le hack à l'air d'être encore plus
sérieux qu'on le pense puisque certains envisagent la possibilité qu'un second hack, d'une autre database se soit produit.

Cela concernerait la base de données du programme d'affiliation de ledger. A en croire le fil de discussion suivant (https://www.reddit.com/r/ledgerwallet/comments/jqiftv/this_is_unbelievable_a_new_ledger_leak_that_was/) (qui a presque un mois) les bases de données de ce programme d'affiliation et celle des clients sont bien distinctes. Or des gens ayant créé des adresses à cet usage uniquement commencent à recevoir des mails de phishing.

A noter aussi concernant cette campagne d'hameçonnage : les mails passent à travers les protections anti phishing (dkim,dmarc,spf) sans problème. A ce sujet, le manque de réction de ledger semble irriter pas mal d'usagers d'ailleurs.

https://twitter.com/prettyp4ncake/status/1326666688646029312

A prendre avec des pincettes, c'est un boloss qui raconte souvent n'importe quoi, partage des informations techniques fausses ou plus à jour depuis belle lurette, sans même avoir une once de connaissance et est également dans une periode de clash envers Ledger depuis un moment. Avec des affirmations completement fausses aussi, essai de changer de sujet quand tu lui  prouves qu'il dit un peu du n'importe quoi.
Et lorsque 2-3 membres sont contre lui, mr se demande même si certains membres ne sont pas payés par Ledger pour défendre l'entreprise avec des posts. N'hésite pas à demander dans la partie rép'.

La personne type qui l'ouvre pour dire n'importe quoi, n'ajoute rien de spécial aux topics,ect. Bref,...


Mailjet à son siège en France, mais dispose de bureaux dans des pays étrangers.
C'est pas parce que un hacker envoir des emails en utilisant une solution ayant son siège en France que le hacker est Francais ou que je sais quoi. L'IP ne veut absolument rien dire, non plus. cf: voir comment ce type de service fonctionne.

@GrosWesh

Il n'y a pas de manque de réaction de leur part. Ce n'est pas parce qu'ils ne communiquent pas dessus qu'ils ne font rien. C'est parce que le moment n'est pas venu, ou autre. Les entreprises ne communiquent pas de la même façon, comme par exemple un supermarché qui communique pour faire rappeler des saucissons à cause d'un problème sanitaire

J'aurai peut être du utiliser le terme 'réactivité' plutôt alors. Comment se fait il que les mails frauduleux passent encore les protections au bout de plusieurs semaines/mois ?

Ils bossent certainement de leur côté mais nous, nous continuons à recevoir des indésirables. Le minimum serait une communication accrue (et pourquoi pas en français) en cette période mais ça, ça reste mon humble ressenti. (oui je fais partie de ces gens qui pensent qu'une bonne communication entre individus permet d'affronter/éviter beaucoup de situations désagréables).

A noter, pour ceux qui se soucieraient de leur anonymat (bon c'est un peu foiré là  ;D), que d'après un post présent dans la discussion reddit citée au dessus, on peut faire la demande à ledger d'effacer nos infos persos stockées dans leur db (fuyarde). Ils accèdent à toutes les demandes (dixit ledger eux mêmes) mais la file d'attente est longue en ce moment.

https://nsa40.casimages.com/img/2020/12/04/mini_201204064846165147.jpg (https://www.casimages.com/i/201204064846165147.jpg.html)

Ceci dit je suppose qu'ils faut leur faire confiance une fois qu'ils affirment avoir effacé nos traces ?

Edit : allez pour le fun, la nouvelle pub Ledger (pas mal faite) : https://www.youtube.com/watch?v=0Rg2-aBYaEE
        A noter aussi que Ledger annonce (pour 2021) la sortie d'une carte :
        https://twitter.com/gregory_raymond/status/1334518670735847429

Pourquoi ca passe encore les filtres de spams.
Ben parce que le hacker utilise différent adresse IPs pour envoyé les mails par exemple. Ou que si ce n'est pas une IP dédié, mais partagée, ca ne se bloque pas comme ca. Tu peux pas bloquer directement une IP utilisée par plusieurs à cause d'un seul élément pertubateur

la demande à ledger d'effacer nos infos persos stockées dans leur db
Ben comme partout de toute facon.c'est juste l'application du RGPD

En même temps le dkim et spf ça ne dépend que du bon paramétrage de ton serveur mail. Je ne connais pas dmarc mais ça doit être similaire.

En gros ça évite qu'un mec t'envoie un mail depuis moi@abc.com s'il n'a pas accès au nom de domaine abc.com.

En effet le champ expéditeur est de base un champ libre. Dans mes jeunes années j'avais hacké (white hat) pas mal de gens comme ça, a l'époque dkim et spf n'existaient pas.

Or la ils n'envoient pas le mail depuis @ledger.com.
Donc s'ils savent configurer un serveur mail ça se passera bien

En outre j'ai lu qu'ils utilisaient mailjet. C'est donc leur serveur mail qui doit bien configurer son dkim/spf.

Et allez... encore une tentative il y a quelques minutes ...

https://nsa40.casimages.com/img/2020/12/06/mini_20120607575865978.jpg (https://www.casimages.com/i/20120607575865978.jpg.html)

J'imagine bien les gus derrière ces hameçonnages, en train d'attendre que ça morde  :-\

Ce qui me surprend assez c'est que j'ai fait 2 achats chez ledger sur la période, et que je n'ai jamais rien reçu. Pas de SMS, pas d'email. Rien DU TOUT.

Ouais bizarre ... j'ai un moment cru être épargné aussi mais les mails arrivaient dans les spams, puis les sms ont commencé. Le numero de mobile et le mail que tu as donné te servent régulièrement ?

ils arrivent dans mes spams également, par contre pas de sms pour l'instant

Comment peut-on envoyer des sms en masse sans se faire chopper ?

Ben parce que cela prend du temps.

Il faut déjà identifier le fournisseur d'accès, et même lorsque cela est fait, le fournisseur ne vas donner d'information à Ledger mais à la police.
Le 17, entre le temps que tu deposes une plainte et les rappel plus tard pour leur donner une piste, le temps qu ils s'y mettent tu as le temps d'aller en vacances plusieurs jours/semaines. Surtout dans une affaire "non-urgente".

Et puis encore faudrait il que la personne derrière tout ca soit assez conne pour laisser de traces, telles que son IP utilisée pour acheter le service, le moyen de paiement utilisé, afin de pouvoir remonter jusqu'à elle.

Pour ma part je n'ai pas non plus recu de message, ni' d'email d'ailleurs je crois, même il ne faut pas se faire d'illusion. Vous recevrez d'autres SMS, la liste de numéros sera certainement vendu plusieurs fois même. Vous en avez pour longtemps.

Je sais qu'ils ont trouvé le fournisseur mais bon il reste de la route à faire

Et surtout qu'on peut très facilement changer de numéro / service d'envoi tous les deux jours.

Alors au bout d'un moment t'as fait le tour du marché et t'es baisé, mais là encore, ça te laisse beaucoup de temps  * N fournisseurs.

Et franchement, je crois pas qu'il y ait tant de français que ça qui aient un ledger. Donc en nombre de flags ça doit être beaucoup plus faible qu'une vieille pub pour un investissement loi pinel ou similaire.

Pour finir, pas sur qu'une arnaque à la crypto soit non plus en top prio pour ces gars là.

La bdd de ledger en accès libre sur raidforums.


https://i.imgur.com/5MfCx0I.png

Source : https://twitter.com/JimmyMcShill/status/1340733120610447365/photo/1

Réaction de la part de Ledger :

https://i.imgur.com/RXR5Cml.png

Source : https://twitter.com/Ledger/status/1340769583259639808

Il semblerait que certains reçoivent déja des demandent de rançon avec menace de visite à la clé  ::)

https://nsa40.casimages.com/img/2020/12/21/mini_201221085016601894.jpg (https://www.casimages.com/i/201221085016601894.jpg.html)

Source : https://twitter.com/alltruthmatter/status/1340914682446508032

quelqu'un l'a récupéré ?
Il faut des crédits pour le downloader.

Purée donc c'est un fichier avec les adresses physiques des gens qu'ils ont balancé? ah ouais c'est chaud là quand même.  :-\
Ledger au lieu de présenter des excuses hors-sol ferait mieux d'expliquer à ses clients comment se protéger, par exemple en rappelant comment configuer un decoy wallet avec la passphrase BIP39


Pour rappel : https://support.ledger.com/hc/en-us/articles/115005214529-Advanced-passphrase-security (dsl c'est en anglais)

Ledger est mort.

Dans certains pays, des gens sont en danger, ils peuvent craindre pour leur vie.
-------------------------------------------------------------------
+ de 16000 adresses en France.

ben oui sl, tu avais pas compris depuis le temps ? (no offense)


Je viens pour la première fois (à l'instant) de recevoir un coup de fil d'une femme affirmant qu'elle appelle pour 'euro million'. Elocution pas top, pas dynamique. Je lui dit que ça ne m'intéresse pas et elle me répond 'alors bonne journée à vous dans ce cas' sans essayer de rajouter quoi que ce soit. Je me fais probablement un film mais je me dis que certains pourraient commencer à utiliser la db...

Tu n'as pas dû beaucoup suivre le thread, si tu crois ça  :P
Je parlais du fichier mis en ligne gratuitement, rien n'obligeait l'auteur à mettre un fichier avec les adresses physiques des gens, vu les conséquences "physiques" qui en découlent.

J'imagine meme pas dans des pays comme le Mexique, les mecs après t'avoir dépouillé, ils obligent ta famille à payer une seconde fois pour te libérer.  :-\

Bon après des appels pour avoir gagné à EuroMillion j'en ai déjà eus avant d'avoir acheté le moindre ledger. Pas sur que ça vienne de là :)

voici la base de données
https://intelx.io/?did=0b6c44ff-0c94-46c4-b8ad-b7cb762ba5c6 (https://intelx.io/?did=0b6c44ff-0c94-46c4-b8ad-b7cb762ba5c6)

elle est en plusieurs morceaux, allez dans tree view pour explorer les différentes parties

le fisc, les flics, les sociétés de recouvrement et les épouses en instance de divorce du monde entier vont se connecter  ::)

Quelle faute impardonnable de Ledger !

Il y a sûrement des gens qui risquent de se faire torturer dans les mois à venir.

Ceux qui utilisent Ledger je vous conseille de vous armer.

Je ne suis pas spécialiste mais si ils sont déjà rentrés chez toi et t'attendent, tu ne pourras pas aller chercher ton arme.  ???

C'est pour ça que personnellement j'ai toujours une arme sur moi depuis plusieurs années maintenant.

Mdr.

Tu peux définir arme ? Genre couteau ? Arme à feu ? Clé de 40 ?

Yaplatu est lui-même l'arme.
 ;)

Oui bien sûr, tu ne veux pas aussi le code de mon portail pendant qu'on y est ? Dsl, mais je me prénomme pas " Asche le pigeon " a prendre un risque inutile et stupide (c'était à dire donner mon ID pour un échange de 1 000€ et avoir une CB avec un gros logo Binance).

Toutefois elma n'a pas forcement tort sachant que d'une certaine manière mes poings sont considérés comme une arme blanche aux yeux de la loi.

En France il n'y a que les voyous qui ont le droit d'être armé. :(

En tout cas sympa cette petite BDD, cela m'a permis de voir que j'avais un proche voisin qui est dans la crypto sphère.

c'est qui ?

Mais je ne te conseille pas de me rendre visite: j'ai chez moi la puissance de feu d'un porte-avion nucléaire. :D

Si jamais les gens n'ont pas compris je veux rester au maximum anonyme, donc tu te doutes bien que je ne vais pas balancer le nom d'un de mes voisins...

---

Oui j'imagine bien

https://lapassionauboutdesdoigts.fr/wp-content/uploads/2015/05/papy-canne.gif

Putain, je suis dessus, avec la totale : mail, tél, adresse postale, etc.
La, je flippe carrément. J'ai pas beaucoup de cryptos, mais un mec qui vient te tabasser ou s'en prendre à tes gosses ne le sait pas forcément.
Faute impardonnable de la part de Ledger. Comment je dors maintenant ?

C'est cela oui. :D

Tu peux mettre une alarme chez toi pour te rassurer et acheter un chien de défense.

Oui ça craint, nous avons une étiquette désormais. Mais il faut se dire que c'est le même type d'étiquette que le gars qui roule avec une voiture à 100000 euros, ça attire l'attention.
C'est quand même risqué pour les malfrats de séquestrer quelqu'un pour un résultat aléatoire.

Heureusement, nous sommes dans un pays où les malhonnêtes ont un pouvoir de nuisance limité: j'aimerais pas habiter au Mexique ou en Colombie et être dans cette liste.

Il faut par contre bouger les fonds ailleurs que sur la ledger.

Ledger reconnait que la fuite est 30 fois plus importante qu'ils ne l'avaient cru/dit initialement.
Les coordonnées personnelles de 272 000 clients sont exposées
Et les adresses e-mail d'un million de clients
https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ

Que faire si mes coordonnées sont dans cette liste ? (et d'ailleurs elles y sont peut-être...)

- Déménager ?
- S'armer et passer en mode parano 24H/24 ?
- Vendre ses cryptos et le faire savoir ?
- Demander à la police ce qu'il faut faire dans ce cas ? (a-t-on le droit de changer d'identité dans ce genre de situation ?)
- Créer une association avec les autres victimes françaises ?
- Autres idées ?

L'idée n'est pas de moi, je l'ai lu ici (ou ailleurs), mais tu peux laisser un peu de cryptos sur ta Ledger et en faire un decoy (leurre) wallet. Si jamais le pire t'arrive tu leur donnes ton ledger pretextant qu'après le hack tu as tout vendu.
Bon en parallèle, je commencerai à m'entrainer à la résistance à la douleur si les mecs sont un peu trop insistants :)

A mon avis si il existait des solutions vraiment efficaces contre ça, on aurait pas inventé les panic rooms.  :-[
Le chien de garde comme dit Yaplatu c'est généralement tres dissuasif, même si ça n'arrête pas les plus déterminés.

Ce n'est pas parce que vous avez acheté un Ledger dans le passé que vous avez forcement des cryptos. L'achat aurait très bien pu être pour offrir à un proche, le faire gagner lors d'un concours ou autre. Ou vous auriez très bien pu tout vendre lorsque le marché se cassait la gueule de façon royale. Vous avez aussi pu déménager entre temps. Il y a plein d'autres choses que l'on eut penser.

Tout ca, ca fait beaucoup de paramètres à prendre en compte pour qui veut vraiment s'adonner à ce délit. Prendre le risque alors que la personne n'habite plus là? Sans savoir si à l'heure actuelle elle possède encore des cryptos? Que l'achat était bien pour elle même et pas un autre...

@patrickus

Ben non tu ne peux pas changer d'identité comme ca. Si tu vas à la police leur dire ca ils vont plutôt rigoler.
Déménager c'est céder à la peur, vendre tes coins, céder à la pression que tu te mets toi même.
Si tu te sent vraiment en danger, achète toi un flashball et tu vises dans les couilles, ou un Tazer, une arme à poudre, une arbalète, une alarme maison. Je me suis fait une alarme connectée pour pas trop chèr comparé au prix habituel, avec detecteur d'ouverture de porte, fenetre, et même detecteur de vivration.

@Yaplatu

ne t'inquiette pas, personne ne viendra te braquer pour ton shitcoin de xrp

j'y avais pensé au leurre: réinitialiser la ledger, nouvelle seed, envoyer qques coins depuis un exchange (où on ne laissera presque rien aussi). S'ils creusent un peu, ils verront que les dates de tx sont récentes....mais j'ai pas mieux.
Ne pas cacher trop bien cette ledger, laisser le code pin avec (en cas de cambriolage, ils seront contents).
(j'suis parano !)


Pas vraiment besoin de parler de vente, car ils ne sauront pas combien tu avais.

C'est le summum de la protection. :D

T'es pas parano, je trouve.
Ce sont des questions qui se posent effectivement, surtout vu l'état des choses.

Après, ça dépend aussi à quel point celui ou ceux qui viennent te rendre visite te connaissent.
Cette technique de pin peut servir à se protéger, mais c'est pour autant que ça va convaincre 100% des assaillants.
Et si ils connaissent cette technique de "leurre" ?

https://i.imgur.com/rdlL3Wo.png

Le pire à mon avis est le déni de Ledger face aux conséquences de ce hack, la réaction, et comment la crise a été gérée.
Certes, rappeller que les cryptos sont safe c'est important, seulement personne n'a jamais douté de leur produits et ceux qui sont impliqués dans le milieu savent bien que le hack ne compromet pas le produit qu'ils ont achetés.

Attends, ils se font péter en juillet mais c'est seulement 6 mois après qu'ils se rendent compte qu'en fait, c'est 10x plus grave que ce qu'ils pensaient.
Je sais pas. Je trouve ça aberrant.

Bon personnellement j'ai pu vérifier que je ne figurais pas dans cette liste, alors que bizarrement j'ai commandé un ledger au "mauvais" moment.

Ce qui est rigolo c'est qu'on peut comparer certaines villes :)

Par exemple si on compare Lyon Nantes et Grenoble on se rend compte que la proportion de ledger est identique :)

J'ai aussi cherché les patelins où j'habitais pour rigoler, c'est intéressant de voir les achats effectués dans des endroits où la moyenne d'âge est de 50 + ans aha

Ou alors on peut comparer les pays


France
17 263 commandes
67 millions d'habitants
Ratio 257

Allemagne :
23 519 commandes
83 millions d'habitants
Ratio 283

Italie :
5 579 commandes
60 millions d'habitants
Ratio 93

France, je trouve 17263
Allemagne 23519
Italie 5579

Total 272853

Je pense que ta liste n'est pas complète et du coup t'es peut-être dedans :-[

AH yes bien vu !

Non la liste est bien complète, c'est à cause du décalage de données en cas de deuxième ligne d'adresse !

Misà  jour avec tes données au-dessus

Après, je fais la recherche avec "France", il doit bien y avoir qques  noms de famille ou de rues avec ce mot.

Yes je m'étais limité à la colonne qui semblait être dans la majorité es cas le pays, sauf qu'en fait cette majorité était beaucoup moins importante que je le pensais aha

Ledger a intérêt à avoir de bons avocats.

Moisson du jour : deux coups de fils bizarres (dont un du royaume uni) et quelques mails de phishing dont celui ci :

https://nsa40.casimages.com/img/2020/12/21/mini_201221113522932185.jpg (https://www.casimages.com/i/201221113522932185.jpg.html)

Reçu également 3 ou 4 mails de ledger (lol) pour parler de cette histoire et un autre d'un site qui cherche à se montrer 'sympa' de nous prévenir pour ensuite nous vendre des formations cryptos...

Je crois qu'il va falloir penser à changer de mail et de numero de portable  ;D

Je ne sais pas pourquoi tout le monde s'imagine ça.

Ledger ne peut pas être rendu responsable de s'être fait hacker sauf si l'on saurait prouver que c'était soit voulu, soit que la faille était connue et non patchée.

Si tu es si fort patrickus, trouve nous une jurisprudence la dessus en France :)

Il n'y a pas que la France qui est concernée, me semble-t-il...

La juridiction compétente est la France pour une entreprise française.

Les dirigeants de Ledger auront donc intérêt à ne pas trop voyager. ;)

De toutes façons je pense qu'on en reparlera rapidement quand les premiers cas de home jacking vont sortir dans la presse ou sur les RS...

Opf ... Ca ne date pas d'hier.

https://cointelegraph.com/news/netherlands-bitcoin-trader-attacked-in-his-home

Ca existe depuis longtemps ces histoires là, mais les individus sont forcément ciblés.
Il y'a eu pas mal d'histoires louches avec le temps ... beaucoup prenant place ou débutent sur ce forum.

 :D :D

https://nsa40.casimages.com/img/2020/12/22/20122201220172055.png (https://www.casimages.com/i/20122201220172055.png.html)

Mettre le Ledger avec son PIN dans une boîte "casser en cas de besoin" accrochée à ta porte d'entrée. Préciser qu'il est vide, histoire de dissuader les moins téméraires de vérifier.

Faut arrêter deux minutes.

Être sur cette liste veut dire que vous avez un jour acheté un ledger. Pas que vous détenez des cryptos, et encore moins que vous en détenez beaucoup.

Dans un pays civilisé il y a peu de gens qui sont prêt à risquer la prison pour quelques milliers d'euros.

Donc le seul vrai risque ce serait qu'il soit public que tu detiennes beaucoup beaucoup plus. La ça pourrait motiver plus de monde.

Mais la entre ceux qui achètent pour faire un cadeau, veux qui ont acheté mais finalement laissé tomber l'idée d'investir et veux qui on mis 100€ pour être riche dans dix ans, qui serait assez stupide pour aller faire du porte à porte sur des informations pareilles.

Ça n'en vaut pas la peine. Pas en France en tout cas. La méthode de phishing est mille fois plus efficace.

En tout cas de mon côté, je reçois déjà emails et SMS  :-\

Mais quel recours nous avons face à ça?

Dsl mais j'ai du mal à me faire à l'idée de me taire, subir et ne rien réclamer à Ledger.

Très bon ! c'est de toi ?



Je pense que l'aspect juridique va apparaître prochainement. Vu le nombre d'Américains procéduriers qui ont des ledgers...vu le nombre de pauvres gars vivants dans des pays dangereux...les ennuis vont vraiment commencer pour Ledger.

Ensuite, il va sûrement y avoir une enquête. Ce qui me fout les boules, c'est qu'apparemment Ledger n'a même pas cherché à acheter la base volée pour savoir qui était dedans. Ou alors ils mentent depuis le début avec leurs 9000 clients touchés.
J'espère pour eux, que nous n'apprendrons pas que les pirates leur avaient proposé de racheter la base pour quelques btc (bien sûr avec le risque de se faire arnaquer...)

T'es pourtant le premier à te vanter de prendre mille précautions avec ça d'après ce que tu racontes régulièrement ici...

La sécurité est aussi efficace que son élément le plus faible.

Ça ne sert a rien de se blinder contre un problème qui n'arrivera jamais.

Attention, on entend parler d'attaques Sim swap vu qu'ils ont les numéros de telephone...(je sais pas trop comment ça marche)
Sécurisez vos accès aux exchanges.

ça c'est ce que l'on peut dire quand on est pas soi-même exposé à la menace.

Non du tout, trouvé sur discord. Dur de donner les crédits  :P


Ca je m'y attendais !! Si tu as des liens (pas vers les explications sur le sim swap mais sur les faits qui arrivent) tu peux faire tourner si tu veux bien.

Le sim swap c'est détourner ta ligne en se faisant passer pour toi (ingénierie sociale). Les fai ont mis en place de nouvelles barrières quand même depuis quelques années.

https://twitter.com/jimbochewdip/status/1341181907707572230?ref_src=twsrc%5Etfw

Merci. Il me parait bon de rappeler que l'authentification par sms est à proscrire. De même comme déja dit plusieurs fois ici, si on peut installer le 2fa (authy, google anthenticator etc...) sur un appareil hors ligne c'est mieux (ou encore une clé d'authentification) . Bref.... ce fil de discussion risque d'être bien alimenté  ::)

Si le phreaker dispose de ton RIO il n'a besoin d'aucune "ingénierie sociale"

S'il a mon smartphone dans la poche, aucune besoin d'ingénierie sociale non plus haha  ;D

Comment veux tu qu'il récupère le rio ?

Si l'attaquant dispose de ta seed, pas besoin de "ingénierie sociale" non plus. ::)

Non, plus sérieusement, les attaques par sim swap s'effectuent avec l'aide d'un employé complice d'une société de telecom, ou par un hacker qui a accès et qui peut faire ces modifications chez l'opérateur.

Ils changent l'association entre l'ID (unique) de la carte SIM et de ton numéro de tel.
A l'origine, c'est bien ta SIM qui "accroche" le numéro de tel que tu communiques à tout le monde.
N'importe quel vendeur en boutique SFR, Bouygues ou Orange a le pouvoir de faire ça. (en tout cas, il y'a quelques années)

Si tu va les voir en disant "j'ai perdu mon tel, il m'en faut un de remplacement", ils te fourniront une nouvelle SIM et changeront l'association pour que cela soit fonctionnel.

Rien à voir avec le RIO dans l'histoire.

Côté réclamation, faudra pas espérer :

https://decrypt.co/52215/ledger-wont-reimburse-users-after-major-data-hack

Ben déjà si tu l'as noté quelque part sur ton ordi ou dans tes mails et qu'il y a accès... Par ailleurs il est parfois disponible sur le compte ou les factures, il peut être reconstitué à partir du numero contrat attribué par l'opérateur. Sans compter les leaks.

Le PDG cherche à minimiser le risque.


Mais cette base de données rendue publique est tout de même une fantastique aide pour les truands.

Tout comme ta seed ...

oui et contrairement à ce qui est dit il n'y a pas besoin de faire beaucoup de recherches pour savoir si une personne est aisée ou pas, l'adresse parle bien souvent d'elle-même... Mais je ne souscris pas vraiment à l'idée que seuls "les riches" seraient en danger, ça se saurait si il y avait besoin d'être riche pour se faire cambriolé.

A ma grande surprise, il n'y a pas beaucoup d'articles sur ce sujet même si on peut quand même en trouver, comme par exemple:

https://cointelegraph.com/news/doxxed-ledger-users-in-danger-of-physical-harm (https://cointelegraph.com/news/doxxed-ledger-users-in-danger-of-physical-harm)


(!)

Un replay interessant d'une discussion ayant trait à tout ça est dispo sur youtube.

Je n'ai pas tout visionné mais la partie concernant le sim swap commence à 00h35 et c'est intéressant.

Andreas Antonopoulos
Taylor Monahan
Jameson Lopp
Peter McCormack

https://www.youtube.com/watch?v=uKCMx8nqQhY

(D'ailleurs si quelqu'un a un lien vers la vidéo dont ça parle à 41mn45sec je suis interressé, je l'ai cherchée en vain).

Si j'ai cherché correctement je ne suis pas sur la liste des buyers, donc ils n'ont pas mon nom/prenom ect. Ayant un prénom assez rare, j'ai trouvé des personnes avec le même prénom, ca fait des années que j'ai pas vu ca. Donc ceux qui s'appelle <name> doivent être des personnes intelligentes pour avoir investi dans la crypto :D. Apparemment je suis parmi les plus smart étant donné que mes noms/prénom n'ont pas été leaked ;D.

Bon par contre je suis certainement dans la liste des subscribers vu les spams que je reçois, mais ca ne contient que l'email alors je m'en bat les cacahuètes

Et tu avais reçu un mail de ledger pour te dire que tu étais dans les 272.000 ? Où tu as pu vérifier la liste?

Merci.

Elle a été linkée ici par exemple : https://bitcointalk.org/index.php?topic=5265359.msg55887687#msg55887687

Sur le lien donné au dessus.

Je pense que j'avais recu un email, je ne sais plus trop. En ce moment entre les emails de Ledger (que je recois plusieurs fois ayant plusieurs emails) et les emails pour tenter de me hacker je ne fais plus vraimment de difference. Je ne les ouvre même plus.
Si il y a une news je la verrai sur Twitter puis quand ca me demande de télécharger la dernière version de Ledger Live c'est forcemment une arnaque. Au pire quand j'utilise Ledger Live ca me le dira dans l'application directement

Je suis dans le même cas que toi.
Perso je n'ai jamais acheté chez Ledger mais j'étais inscrit aux newsletters.

Je sais pas si c'est cet évènement qui en est à l'origine, mais j'ai une quantité anormale d'offres promos de la part d'assureurs ... qui font des promos sur des packs de protection "cybercriminalité".

Je partage celui-ci parce qu'il sort de l'ordinaire et n'est pas aussi bien fait que la campagne de phishing de Novembre:
---------

Expéditeur: Служба поддержки" <administration@prestashop.com>
Body:
Dear XXX,
 
]This is an urgent message concerning the security of your assets
 
We regret to inform you that our company database was recently leaked. So if you continue to use Ledger-wallet it may not be safe at this time
 
To ensure the safety of your funds, we recommend temporarily installing a security update in our online wallet.
 
Use this link to update
_______

Je suis ce fil depuis pas mal de temps et perso, en plus de tous les risques qui s'ajoutent chaque jour, je ne sais plus à quel wallet me vouer !
Je sais bien que c'est très perso le wallet qu'on utilise mais Ledger, Online wallet (avec le risque de Sim Swap ?), autre... : avez-vous changé vos habitudes ?

Rofl ils ont honte de rien les mecs ... Sérieux. XD
Genre ils font exprès de pas être crédibles. ::)

---

Personnellement j'ai toujours utilisé un Trezor.
Je suis convaincu qu'intrinsèquement, le wallet de Ledger est fiable, tout comme le Trezor.

Si jamais SatoshiLabs (qui fabrique les Trezor) était victime du même type d'attaque, je ne sais pas si la crise serait mieux gérée que chez Ledger.

Après ... j'ai des habitudes particulières quand à mes cryptos, comme l'utilisation d'une seed dont la copie est éclatée et conservée à différents endroits par exemple.

Je suis concerné.
Achat d’un ledger début 2019, toutes mes infos ont fuité. Nom prénom mail tél et surtout adresse postale sont dans cette fichue liste.
Bien content d’avoir déménagé entre temps, parce que sans tomber dans la paranoïa c’est chaud quand même.
N’importe quel voisin malintentionné ou désespéré...
Ma question est : faut il porter plainte ?
Non pas que ce soit mon style mais rien que pour le côté déclaratif, peut on me reprocher de ne pas avoir déclarer ou porter plainte si un soucis survient suite à cela ?

Je savais que mon mail avait fuité cet été vu le nombre de spams que j’ai reçu, j’ai du recevoir un ou 2 sms également donc idem pour le tel mais ça m’a fait mal au cul d’y trouver mon adresse postale.
Bref qu’est ce que les concernés doivent faire concrètement ? Rien ?

Ben oui bien sûr que tu as le droit de porter plainte surtout si tu n'es même pas dans l'annuaire.

Est ce que je dois pas est ce que j’ai le droit ?
Est ce que ça servirait à quelque chose ou est ce qu’on pourrait me le reprocher l’absence de plainte si il y a des conséquences par la suite ?

Nan parce que 1 fois j’ai eu à porter plainte c’est quand même le parcours du combattant, surtout pour un truc aussi particulier, 3 fois J’ai du m’y rendre au commissariat Pour cet plaintes, soit 3 RTT de posé parce que des horaires pas possible bref
Si ça ne sert à rien je vais pas perdre mon temps tu vois

un début de réponse ici
https://cryptoast.fr/fuite-ledger-risques-entreprise-comment-proteger/ (https://cryptoast.fr/fuite-ledger-risques-entreprise-comment-proteger/)

tu peux aussi porter plainte en ligne ou direct au procureur par courrier.

Je pense que c'est surtout en cas d'usurpation d'identité qu'on pourrait te le "reprocher".
Pour ce genre de plainte, il vaut mieux utiliser la pré-plainte en ligne si tu ne veux pas perdre trop de temps amha, ou porter plainte par courrier auprès du procureur comme dit elma.

Le bobo dans toute sa splendeur, il est incroyable lui.

Ha c'est sûr que s'il y avait le contenu de ton Ledger à côté de ton nom/adresse dans la liste, il y'aurait peu de chances que tu sois pris pour cible. :P

Tu le sors d'où ton chiffre ? Du même chapeau que tes ATs ?

https://i.imgur.com/cVTBp2J.png

Ce chiffre inclus probablement les cambriolages de locaux commerciaux. Donc pas vraiment pertinent.

D'après le ministère de l'intérieur il y a eu 231 900 cambriolages en 2019.
Dont une forte majorité en centre ville.

Donc même pas 0.5 % des ménages qui sont cambriolés. Et si t'es pas en centre ville la probabilité baisse encore.


Mais bon, avec toi le cambriolage tournerait en meurtre, ou un truc du genre. Vu que tu fais partie des gens qui sont convaincus que les armes créent la sécurité. C'est vrai que ça marche tellement bien aux USA. Le mec se fait cambrioler, il fini mort avec deux balles dans la tête mdr.

Scénario inverse, Yaplatu se fait cmabrioler, il tue le mec, il va en tôle :D Et il doit utiliser tous ses XRP pour payer son avocat. Trolololo

On s'en fout du chiffre, même ton chiffre dénombre 1 cambriolage toutes les 90 secondes, mais MrLeBoBo vient vous dire que vous ne risquez rien dans un pays civilisé.

J'ai l'impression que certains n'ont vraiment pas compris le risque énorme qu'il y a avec ce leak. Et après on vient me pointer du doigt " Agneugneu ce n'est pas bien de donner une fausse identité, parano agneugneu ".

Après je peux comprendre que d'être dans un écosystème de ventilateur ne permet pas d'être à la pointe niveau sécurité...

Ca veut rien dire un cambriolage toutes les secondes.

C'est typiquement le genre de formulation qu'utilisent les gens qui veulent faire peur ala Marine Le Pen.

En Inde je suis c'est que c'est un montant à 2 chiffres par seconde. ouuuuuhhhhhh. Et dans le monde entier suremnt à 3 ou 4 chiffres. Putain c'est vraiment dangereux vivre sur terre.

Arrête ton cirque, et utilise des éléments tangibles. Calcule la probabilité d'être cambriolé en 10 ans, et tu verras que ça reste super faible.
Surtout que soyons bien d'accord. Avec cette liste le risque c'est quoi ? De se faire retourner la baraque par un mec qui cherche ta seed ? Please. Tu crois qu'un cambrioleur il va rester 2h dans ta maison à chercher.
Les mecs ils choppent les trucs chers facilement accessibles et partent rapidement.

Personne veut aller en prison. Et même avec tes blabla toutes les X secondes tu me feras pas croire que le risque reward de passer des heures à chercher une potentielle seed en vaut la chandelle.

Tu peux toujours tenter de nier ou de minimiser les risques Asche mais là je crois que c'est Yaplatu qui a raison. Nous vivons dans un monde d'extrême violence et surtout dans un pays où seuls les voyous ont le droit d'avoir des armes.

Personnellement j'ai déjà du affronter à main nues un cambrioleur chez moi en pleine nuit. Le jour ou cela t'arrivera on verra comment tu vas réagir petite lopette que tu es, puis surtout comment tu vas encaisser le cambriolage psychologiquement.

@asche

A la différence que dans ce cas de figure les mecs ne vont pas te cambrioler quand tu seras absent de chez toi,mais surtout quand tu seras chez toi.

On parlera alors de séquestration, ce qui va chercher entre 5  et 30 ans de prison. Pour peut-être quelques miettes de btc.

Mais non il n'y a plus de place en prison et le juge (de gauche forcément) se contentera de faire un rappel à la loi.

Moi je ne serai absolument pas surpris de voir des séquestrations dans les mois à venir. Voir même plusieurs cambrioleurs qui violent la femme d'un détenteur de crypto sous ses yeux, jusqu'au moment où il craque pour donner sa seed.

Nous pouvons tout imaginer et c'est extrêmement grave ce qu'il se passe.

Oui, on voit que t'as de l'imagination...

Il faut se dire que la ledger et sa seed sont mortes...donc, ne laisser que des miettes et donner la seed direct.

Après, il faut une sacré organisation de la part des malfrats: il faut avoir accès à ledger live, se connecter chez la victime en risquant de laisser des traces,...

et tu penses qu'une entreprise de cette taille se fera par des individus isolés,des petits cambrioleurs de télé dvd et de chaine hifi?
Non,je pense que cela sera par des bandes organisées,très organisées meme.
En tout cas moi je commence a m'intéresser a la culture tchétchéne et ses us et coutumes afin de bien recevoir mes invités le jour venu  :D

A voir ce que ca vaut mais thecointribune propose ceci :

Si nous sommes suffisamment à nous faire entendre, nous pourrons ensemble, mener une action en justice pour que ce genre de cas ne se reproduise plus. Que vous soyez un fervent lecteur de TheCoinTribune, ou un nouvel arrivant, envoyez-nous un mail et partagez-le à vos amis, qu’ils soient français ou anglais.

C’est pour toutes ses raisons, que nous vous enjoignons à nous envoyer un mail à l’adresse suivante : ledgerleak@thecointribune.com

https://www.thecointribune.com/actualites/ledger-securise-vos-cryptos-mais-met-en-danger-vos-donnees/

Que cela ne se reproduise plus, j'y crois pas trop  :), c'est un peu comme la 1ere guerre mondiale qui devait être la "der des der"

Pour obtenir une sorte de compensation, je suis plus d'accord.

Pour obtenir une sorte de compensation, je suis plus d'accord.
[/quote]

Le minimum! Je ne conçois pas que Ledger reste impuni! Ils sont responsables des données.

Tiens j'ai l'impression de lire jcga là...

Pour l'instant il ne se passe RIEN. Rien de plus que quand orange, ou cdiscount vend son fichier de clientèle. Sauf que eux en plus ils le font sciemment en se faisant des thunes.

J'attends de voir une augmentation des personnes sur cette liste qui se font cambrioler au-dessus des statistiques. Vraiment j'attends :)

En attendant je parie que tu te plantes. Comme d'hab.

---

Sinon si ça t'intéresse, tu veux pas demander à un avocat ce qu'il en pense au lie ude raconter de la merde ?

---

J'attends de voir. A ce stade ça reste des fabulations.

Evidemment puisque la database n'a été publiée qu'hier...
http://imagizer.imageshack.us/a/img924/5595/PcYHDu.gif

Publié gratuitement depuis hier.   Trezor doivent être bien content de cette publication.

On verra mais je crois que ça va surtout donner envie à beaucoup de monde d'utiliser d'autres moyens, voir de s'éloigner définitivement des cryptos, donc pas sûr que Tezor soit si gagnant que ça au final.

Les gens ne peuvent pas faire livrer ça dans un point relais au lieu de leur adresse directement ?

Non.

Pourquoi non ? Ils le peuvent. Mais je pense comprendre ce que tu veux dire, à savoir qu'ils s'imaginent (à tort apparemment) qu'une boite qui vend des solutions de stockage sécurisé pour les cryptos devraient être blindés eux mêmes niveau sécurité.  ::)

Si je me souviens bien, il n'y a que livraison à domicile qui est proposé par Ledger.

Je ne m'en souviens pas mais il devait être possible de faire livrer ça par exemple au nom d'une société ou en boite postale (même sous le nom de 'livraison à domicile')

C'est d'ailleurs l'argument donné par Jameson Lopp (https://www.google.com/search?client=firefox-b-d&q=Jameson+Lopp) (dans l'article dont Patrickus a déja posté le lien : https://decrypt.co/52215/ledger-wont-reimburse-users-after-major-data-hack).

'Lopp argued that Ledger’s customers shouldn’t blame the company for the hack. He said that they chose to give the company their personal addresses, when they could have used mail boxes, or even company addresses, to stay private.'

Il va d'ailleurs plus loin :

'[The hack] was inevitable. Fundamentally information wants to be free. This is a recurring theme that you see across any service that stores large amounts of information'
'There is nothing wrong with Ledger’s products. Their products are still secure as far as we know. The insecurity is with the humans using their products.'

Ledger a au moins confirmé qu'ils étaient ok avec ça? Je reste dubitatif, si ils ne permettaient pas la livraison en point-relais je vois mal pourquoi ils accepteraient de livrer à une compagnie tierce. J'ai l'impression que c'est encore un yaka faucon qui inverse les culpabilités... dit-il aussi aux femmes violées que si elles avaient porté un blue-jean au lieu d'une mini, ça ne serait pas arrivé?  :-\
Perso je n'ai jamais voulu acheter de ledger pour ça et pour les failles et bugs récurrents dont on entend régulièrement parler, pourtant ça ne me viendrait pas à l'idée d'accuser les victimes d'imprudence, voir d'irresponsabilité.

Son avis est assez extrême, mais bon c'est le personnage qui est comme ça. C'est assez poilant comme vous partez au quart de tour, je me demandais lequel réagirait comme ça en premier haha. Il a donné son avis quoi. Il faut dire qu'il est très à cheval sur les principes de sécurité et d'anonymat, notamment depuis qu'il s'est fait swat il y a pas mal de temps. Bref, mais effectivement ce que j'en retiens c'est comme tu l'as dit, quelle serait la position de Ledger concernant les modes d'expédition ? (Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

Sûr à 99%, je l'aurai pris.
D'ailleurs ça n'existe toujours pas, je viens d'essayer. D'ailleurs 11€ de frais de port...Ils doivent compter la gestion de la base de données dans ces frais ! :)

Se faire livrer en entreprise ? dans son entreprise ? tout le monde ne peut pas.
Prendre une boîte postale ? ouais, pourquoi pas.

Toute cette affaire n'est pas une bonne publicité pour les cryptos car les gens découvrent qu'il n'y a pas que des avantages à "être sa propre banque". Un truand peut se rendre au domicile d'une personne pour le forcer à lui révéler ses clés d'accés à ses cryptos mais il ne peut pas lui prendre l'argent qu'il a à la banque.

Ledger vend aussi sur amazon. Et là tu peux mettre en pickup.

Il y a des "semi" solutions avec les wallets multi-signatures, Coinbase propose d'ailleurs un "coffre-fort" nécessitant la confirmation de plusieurs utilisateurs et imposant un délai de sécurité de 48h pour effectuer toute transaction sortante https://www.coinbase.com/vault
Mais bon si le truand n'est pas au courant de ça, ça ne va pas l'empêcher de venir te rendre visite chez toi et de te casser les pieds (au figuré ou au sens propre)

Oui c'est une solution. D'ailleurs c'est bizarre que ce soit possible de chez Amazon mais pas de chez eux.
Peut-être que c'est Amazon qui gère un stock et les expéditions...du coup, ça rajoute un intermédiaire en qui il faut avoir confiance.

Bien sûr que c'est amazon qui gère la logistique :)

Parce que tu crois que ledger gère sa logistique ? Tu rêves :) c'est un 3PL (third party logistics).

Je sais pas...j'ai le souvenir d'un reportage avec des boites de Nano empilées au siège à Vierzon.

Ce n'est pas impossible qu'ils aient commencé comme ça, ou même qu'ils le font encore mais c'est très improbable.

Le genre de système a mettre en place pour de la distribution a cette échelle ça coûte une fortune et surtout ce n'est pas facile. Ça veut dire une plateforme logistique, des camions pour livrer la poste, etc.

Vu la taille d'un ledger et un volume de vente quotidien que j'estime somme toutes assez faible, ce serait fou qu'ils ne contient pas la gestion du stock et des expéditions a un spécialiste.

Surtout que ça n'a que des avantages pour eux. Expéditions plus rapides et moindres coûts.

Discutable quand tu n'a que 4 référence. Et que 95% des commandes n'utilise que 2 référence.

La base de donnée qui a fuité a été étudiée et il en résulte quelques graphiques/cartes.

Bon on y apprend rien de révolutionnaire  :D mais c'est propre...

https://onchainreport.fr/hack-legder-visualisation

Les conseils donnés à la fin sont par ailleurs judicieux (même si là encore rien de nouveau) :

'Si vous êtes clients de Ledger, vos clés privées (donc vos bitcoins and co) sont à l’abri. Néanmoins, vous recevez et recevrez de nombreux mails, SMS ou lettres de phishing. Changez, si vous le pouvez d’adresse mails, mots de passes voir de n° de téléphone et activez sur toutes vos plateforme l’authentification à deux facteurs (pas par  SMS), achetez et utilisez une Yubikey.'

Je ne sais pas si ca a été dit mais la base de donnée est disponible sur raidforum gratuitement

ca fait juste 6 pages qu'on en parle  :D t'es revenu à cause du bull run ou quoi?  ;D

J'avoue que j'ai eu la flemme de lire  ;D.

J'ai ete pas mal malade les dernières semaines, ce qui explique mon absence  :)

Bonjour à tous,

J'ai reçu un nouvel email de Ledger aujourd'hui "Security Notice", qui semble un vrai mail de Ledger.
Voici un extrait:

"NFORMATION DE SECURITE - Ledger impacté par la fuite de données de Shopify
Chère client(e),
Le 23 décembre 2020, Shopify, notre fournisseur de service e-commerce a informé Ledger d’un incident impliquant les données de ses marchands. Un ou des agents malhonnêtes au sein de leur équipe de support client ont obtenu en Avril et Juin 2020 certaines données de clients Ledger ayant effectué des achats sur Ledger.com. Cet incident est lié à celui qui a été communiqué par Shopify en Septembre 2020 et qui concerne plus de 200 marchands. Jusqu’au 21 décembre 2020, Shopify n’avait pas identifié que Ledger était également concerné par cet incident.
Nous avons pu examiner les données dérobées avec l’aide d’une société d’analyse d’attaques informatiques pour identifier qui étaient les clients impactés."

Est-ce que cela signifie que c'est un NOUVEL incident avec Ledger ??

Edit : Quelqu'un sait me dire comment on fait pour demander à Ledger de supprimer nos données dans leur base ?

Oui mais pire que le précédent, car là ça touche 292 000 clients alors que le précédent en touchait "seulement" 272 000.

https://www.ledger.com/blog/update-efforts-to-protect-your-data-and-prosecute-the-scammers

Je l'ai reçu aussi. Ca semble être officiel.
Désormais, on sait qu'un employé de chez Shopify a volé les données. D'après moi, il lui reste peu de temps pour se planquer au fin fond de l'Amazonie.
Ensuite, ils parlent d'une nouvelle façon de protéger ses cryptos en plus de la seed...

je suis pas dans celui la car rien recu .

Je suis sur la liste des mails exposés.
Je dois dire que la campagne de fishing est franchement bien faite. Les mails que je reçois sont en francais et parfaitement réalisé. Je suis presque admiratif.

Si on n'a pas reçu de mail de ledger, ça veut dire qu'on n'est pas concerné par cette nouvelle fuite de données ?

Par ailleurs je commence à en avoir marre de tous ces problèmes de sécurité.

Logiquement si dans les semaines à venir tu n'as pas un homme avec une capuche sur la tête qui fixe ta maison dans la pénombre, logiquement c'est bon tu n'es pas dans la liste.

Dans le cas contraire cet homme ne restera pas longtemps dans la liste des vivants. ;D

Va pas te bloquer la hanche en jouant les jeunes  :D

je ferai attention.  :D

Le pire serait apres une fuite d'une solution aide a la déclaration fiscale .
Hop un petit croisement de fichier leak et on connait les bonne adresses.

je suis sur la liste et je n'ai rien à voir avec le fisc, j'ai jamais vendu.

Ca ne veut pas dire qu'ils ne peuvent pas jeter un oeil plus appuyé à tes déclarations parce que tu es sur la liste.

Et tu sais très bien que même sans vendre tu es censé déclarer tes comptes d'échange a minima.

Dans le cas présent, je pensai pas du tout aux impots.  
D'ailleurs si tu fais un suivis fiscal. C'est en général pour les déclarer donc plutôt un bon signe pour les impôts.

Je pensais plus a un groupe de personne avec des cagoules et qui exerce a ton domicile.  Il serait qui taper et si cette personne ment ( donne pas tous les fonds)

J'en ai déjà parlé et c'est totalement stupide comme raisonnement, en France du moins.

Les gens qui ont accès à ce genre de données, qui utilisent ce genre de données c'est pas des malfrats de bas étage qui racketent/tabassent les gens. Ca c'est le meilleur moyen pour faire de la prison à vie.

Le risque encouru avec leur campagne de phishing est 0. Il n'y a que des gains potentiels.

Tu crois quoi ? Qu'une racaille avec une batte/un flingue/un couteau va aller dans les domiciles des gens après avoir appris à se servir d'une ledger ? C'est n'importe quoi ptdr.

Déjà il a une chance sur 2 qu'en fait la ledger était un cadeau, et aucun moyen de le vérifier.
Ensuite il faut déjà que la personne utilise la ledger / ait des fonds.
Puis que la personne soit présente.

Admettons que le voleur arrive vraiment à accéder à des fonds, il va réussir à faire 1 ou 2 gars avant de se faire pincer par les flics. Le risk reward en vaut pas la peine. Il le vaudrait si dans le fichier il y avait les clé publiques et qu'il savait réellement chez qui aller, en fonction de ses fonds.

Tu répond complètement hors contexte.

Je parle dans le cas ou une société comme walto est victime d'un leak.  
Si cela arrive, je conseil au personne touché par les deux leak ledger + walto ou autre de vite déménager ( d'ailleurs même seulement walto).

Et ne sous estime pas les voleurs. Il y a en europe au moins 10 groupe qualifié pour le faire d'autres vont vite apprendre.  Et il vont venir sans probleme du bresil si il le faut pour X.XXX.XXX Euro facile.

Evidemment le leaks ledger ne nous expose pas reellement pour le moment.

Tu as raison, mybad, j'ai mal lu le post au dessus ou tu disais cela.

Cela rejoint donc le point final de mon message ci-dessus, et nous sommes d'accord sur le fond.

Qu'est ce que c'est "Shopify" ? SVP
J'ai vu qu'on peut acheter des cryptos depuis le Ledger via Coinify, mais Shopify ?

https://www.shopify.com/

C'est une plateforme SaaS permettant à n'importe qui de créer une boutique en ligne. Un peu comme Wix permet de créer un mini site statique ou Wordpress pour créer un blog

Rien à voir avec la crypto donc, c'est juste que Ledger paie Shopify pour pouvoir vendre sur ledger.com

C'est ouf ! Ledger n'est même pas capable de faire son propre site ?!

Ils n'ont visiblement aucun scrupule à mettre en danger leurs clients pour faire du low cost... lamentable

Je m'étais fais exactement la même reflexion :D Parce que j'ai toujours pensé à la base que Shopify visait les débutants, ce qui n'y connaissent rien. Bon après peut etre que c'est utile pour ne pas avoir a se soucier de la maintenance ou de la securité je sais pas, en tout cas c'est pas pour des fonctionnalités. Mais quand tu vois certains noms connus l'utiliser, la BBC par exemple..

C'est totalement logique hein. Leur coeur de métier n'est pas de créer et maintenir un site de e-commerce.

Ca prend énormément de temps et d'argent. Avoir un prestataire qui s'en occupe (quand il est bien choisi) qui fait des économies d'échelle et peut donc se payer le top en terme de développement et de sécurité est bien plus intéressant.

Leur coeur de métier c'est le développement de leur produit. Normal qu'une PME/TPE ne perde pas son temps à développer sa propre solution.

Pas tellement vrai, on ne leur demande pas de coder un nouveau shopify, drupal, ou WP

Si c'est pour une histoire de couts, ca leur reviendrait moins cher de se passer de shopify et de construire quelque chose basé sur Wordpress par exemple. Ce qui leur donnerai en plus de ca beaucoup plus de fonctionnalités et d'opportunités.
Il y a forcement un webadmin derrière le site donc il peut aussi être derrière un WordPress. Ils ont également certainement un community manager. Un CM est censé pouvoir gérer Wordpress, ca fait partie des bases.

Et puis si c'était pour la sécurité, ben la du coup c'est foutu vu ce qui leur arrive. Tu trust quelqu'un et cette personne est le point faible (les 2 employés). c'est ironique même.

C'est comme si le journal Le Monde passait sur blogspot parce que leur cœur de métier c'est le journalisme, fournir du contenu et non pas de créer et maintenir un site CMS

Un entretien relativement intéressant avec un représentant de Ledger, comprenant entre autres un résumé du déroulement des faits de a à z :

https://www.youtube.com/watch?v=H_woLUcYI5M

Comment peut ton savoir si nos propres données ont fuité ?

Un lien pour accéder à la base de donnée qui a fuité a été posté ici --> https://bitcointalk.org/index.php?topic=5265359.msg55887687#msg55887687

La base de données est a été publié sur le net, il y a un lien posté un peu plus tot dans cette discussion, tu peux chercher toi même dedans.

Autrement il y a un moyen d'aller plus vite.
Si tu as recu plusieurs spams dernierement, que ce soit sur ta boite mail ou SMS, te demandant de mettre à jour Ledger Live parce que soit disant ton wallet est potentiellement vulnérable c'est que tes infos perso sont bien incluses dans cette fuite.

Si tu n'as rien recu de tel, il y a de grande chance que tes données n'aient pas fuité


Mdr les gens qui pensent que l'entreprise pourrait donner des indemnités.

En tout cas je trouve qu'ils font bien le travail niveau communication. Pas facile pour eux.
Vis ma vie de Ledger en 2020: entre crise covid et faille de sécurité

Merci !

Ce matin j'ai reçu un coup de fil d'un sympathique mec du service client Ledger qui tenait à me prévenir qu'une mise à jour de sécurité importante venait de sortir. Je l'ai écouté très briévement, étant en train de travailler et je l'ai courtoisement envoyé promener en lui disant que son appel était une tentative d'escroquerie à 95% de chances et que je n'avais pas de temps.

Et ce soir, je regrette de ne pas avoir été plus malin et patient : j'aurai kiffé avoir sur le moment le réflexe de rentrer dans son jeu, tranquillement, jusqu'au moment inévitable où il m'aurait demandé de lui confier mes mots de portefeuilles. Tain j'ai vraiment été mauvais ! J'aurai pu lui dire 'ça tombe bien, je garde la carte toujours dans mon portefeuille, ne quittez pas'....'alors... vous avez de quoi noter ?'...'c'est bien les 24 mots qui sont sur la carte que vous voulez'... 'oui ? ... alors... 'Va...te...faire...' et je suis certain qu'il aurait raccroché de colère.

Vivement qu'un autre me rappelle !!  :D

Je serais vraiment curieux de savoir si c'est un call center avec une série de question développée spécialement par les "hacker" ou n'importe qui, ou si les mecs savent réellement ce qu'ils font...

Bof moi je vois ça comme un type isolé qui part à la pêche  :D Avec moi il a fait bredouille. Mais un naif pourrait peut être (et encore) se laisser embobiner par le ton solennel que le gars prend au téléphone.

Le bemol c'est que les gens qui ont fait l'effort de se procurer un cold wallet ont déja des notions relativement avancées des mesures de sécurité à prendre. De facto ce n'est quand même pas le meilleur panel pour de escrocs, et c'est tant mieux.

'tin j'aimerais qu'on m'appelle.

Je lui dirais de venir sur Zoom, et je lui ferai un coup comme ca https://www.youtube.com/watch?v=qDCwym3blDk
avec un mix de la chaine Sandoz.
Après l'avoir fait tourner en bourrique tu luis dis "attend je vais prendre une photo" et tu lui donnes ca (https://l-frii.com/wp-content/uploads/2020/03/Do%C3%B9-vient-et-que-signifie-vraiment-le-doigt-dhonneur.jpg)

Sinon, tu as remarqué un accent étranger? T'as un numéro de tèl?

Haha oui il y a clairement moyen de se foutre de leur g... J'ai manqué de présence d'esprit ce matin.

Non aucun accent, très bonne élocution, posé, voix grave mdr se la jouait hyper sérieux.

Sinon oui bien sûr j'ai le numero mais ça ne servira à rien, quand tu rappelle (meme aussitôt) un message vocal te dit que le numéro n'est pas attribué. Je ne l'ai pas rappelé lui mais je l'ai fait au moins 3 fois avec d'autres. D'ailleurs ça faisait un moment que je n'avais pas reçu d'appel, ça va se tasser.

Encore une gaffe de chez Ledger, certes moins sérieuse, mais ils ont vraiment un problème chez eux...

- La personne achète un wallet Ledger.
- Après quelques heures, elle reçoit un email d'une personne qu'elle ne connait pas, et qui lui dit:

Eh j'ai acheté un Ledger et j'ai reçu un email de confirmation, mais au lieu que ce soit mes coordonnées, c'est les tiennes. Avec nom/prénom adresse, etc

En gros, tu fais un achat et tes coordonnées personnelles sont envoyées par email à une autre personne

https://preview.redd.it/144wu1xaoyh61.png?width=1449&format=png&auto=webp&s=ae011b93bf3158effa4456bab0b28b339b3eb5d3
https://www.reddit.com/r/ledgerwallet/comments/llm3yp/beware_ledger_shop_appears_to_be_leaking_order/

Il fallait s'y attendre, une class action vise Ledger (ainsi que Shopify) aux usa.

https://journalducoin.com/bitcoin/piratage-de-donnees-ledger-face-a-une-class-action-aux-etats-unis/

J'aime assez la conclusion d'Hellmouth  :D

"Quant à Ledger, habitué à communiquer exclusivement dans la langue de Shakespeare, l'occasion et la tribune seront parfaites pour continuer à progresser en la matière".

je sais pas chez vous mais ils ont repris du poil de la bête, une semaine d'appel et sms en provenance des pays-bas  >:(

Rassures toi tu n'es pas le seul lol... Des appels chaque jour depuis plusieurs pays de mon côté. Généralement je ne répond pas, mais une fois  ou deux j'ai claqué un 'fuck you' en guise de bonjour avant de raccrocher. C'est con mais ça fais du bien  ;D

Maintenant que la database est sortie c'est un annuaire pour emmerdeurs et arnaqueurs de tous poils...

(merci Ledger) j'espère qu'ils vont pas essayer chacun à leur tour pendant des années

Des années je sais pas mais ça a leaké et c'est public maintenant qu'on le veuille ou non... Seule chose à faire pour éviter les appels intempestifs : changer de numéro de mobile...

Pour l'instant aucun reçu chez moi, je me sent presque comme un VIP chez Ledger  :D


Bien que sur une boite mail c'est pas trop dérangeant en partant du principe que tu utilises une boite mails 'poubelle', mais un mobile ou fixe c'est la merdas. Seul moyen, changer de numéro, ce qui peut être hyper chiant.
Après il doit bien y avoir des applications, ou même des réglages qui permettent de bloquer les appels reçus en provenance de pays autre que la France

Par contre les emails, ca y va les tentatives de phishing en utilisant blockchain.com, et autre wallets

bloquer les numéros ça va, mais tout un pays c'est embêtant.
Sur mon smartphone, j'ai "smart contact" qui indique parfois si le numéro est connu comme "fraude potentiel" (ça fonctionne assez bien)

J'ai pas mal d'appels de ce style, je n'avais pas fait le rapprochement. J'ai tendance à ne pas répondre quand je ne connais pas le numéro, mais en plus effectivement mon Samsung me signale systématiquement "fraude potentielle" ou "suspicion de spam" donc là je réponds encore moins.

Oui pour ceux qui ne connaissent pas c'est une fonctionnalité qui peut être très utile et qui est disponible sur tous les smartphones Android à partir de la version 6.0 (et pas seulement sur Samsung)
Pour l'activer

Pour signaler un appelant comme spammeur et le faire ficher
https://support.google.com/phoneapp/answer/3459196

Malgré ces histoires de hack de database, Ledger a l'air de bien se porter...

https://journalducoin.com/actualites/ledger-2021-trimestre/

" Ledger annonce une explosion de 500% de ses ventes au 1er trimestre 2021. La société a indiqué avoir été rentable durant cette période. Elle s’est cependant gardée de dévoiler les chiffres."

"Le CEO de Ledger, Pascal Gauthier ... a souligné les réalisations de l'”équipe talentueuse et travailleuse” de la société. Cette dernière est en pleine croissance avec plus de 150 postes à pourvoir"  :o

Je pense à tous ces gens qui disaient que l'entreprise allait perdre sa crédibilité, que les ventes chuteront jusqu'à les mettre en défaut, que personne ne leur ferait confiance de nouveau, et toutes les autres conneries....
Sur la partie anglaise je parle.

Là dans ma tête je chante: Han Ouais...? Han Ouais...? Han Ouais....? bah ca jsuis pas au courant hein! Ca c'est toutes mes conneries d'avant... toutes mes conneries d'avant....  :D

En vérité comme entreprise c'est une vraie vache à lait. Il n'y en a pas beauoup ayant 150 postes à pourvoir, surtout ces temps ci.
Ca m'étonnerai même pas si dans un future proche ils se font racheter par un poisson plus gros.

Ou eux qui rêvaient de les trainer en justice :)

La bonne blague. Je n'ai pas vu l'ombre d'une indemnisation versée de leur part.

J'ai testé leur support. Je leur ai posé une question et j'ai eu une réponse 3 semaines plus tard m'invitant à consulter leur FAQ (qui ne contient pas la réponse à ma question). Ils n'ont pas l'air très bon. Je crois que je vais bientôt cesser d'utiliser leur produit.

Bizzarement lorsqu'il s'agit de Facebook, Amazon ou autre géant du web on les entend beaucoup moins se plaindre. Peut être trop génés sur un forum comme bitcointalk ou ils prechent constament la vie privée et tout ca,....

Penser à se faire indemniser, c'est être complètement à coté de la plaque. En vérité ca pourrait être Ledger qui pourrait demander des indemnisations à Shopify.

Par contre je sais pas si c'est lié, d'autant que je ne trouvais pas mes coordonnées sur la BDD (mais j'avais cherché vite fais à l'arrache), mais je reçois plusieurs appels ces jours ci, parfois touts les jours, pour me parler du compte de formation professionnel. A chaque fois la personne me demande de me connecter à mon compte pour avoir des renseignements. En m'appelant bien par mon nom de famille.

J'ai aussi eu le cas de soit disant Visa qui m'appelait parce qu'il parait que j'ai gagné beaucoup de points de fidélité et que j'ai droit à ceci ou cela. Alors que je n'ai même pas de carte Visa...

J'ai jamais autant recu de spams sur mon tèl que ces 10 dernières années


Je ne vais pas leur trouver d'excuses, mais ces temps ci l'organisation en entreprise c'est un peu du "on fait comme on peut". Il ne faut pas juger leur produits par rapport à leur SAV

Je te rassure ce n'est pas lié à Ledger. Je n'ai pas de Ledger et j'y ai eu droit vers octobre-novembre et ils ne te lachent pas ("Oui, oui rappelez moi demain"... bin ils rappellent le lendemain). Ils m'ont laché quand je leur ai demandé s'ils avaient une formation liée à la blockchain et ils avaient rien ("La block-quoi ? Houla non monsieur") et j'ai fait comprendre qu'il n'y avait que ça qui m'intéressait. Vers février, j'ai eu un nouvel appel (je sais pas si c'était les mêmes), là ça été plus court car je leur ai dit que j'avais tout cramé niveau heures de formation (ce qui était vrai). Et depuis plus rien.
Et hier en pleine conf call, un collègue reçoit un appel sur son fixe "Attendez, j'ai un appel [...] Tain encore un appel pour le CPF, ça n'arrête pas en ce moment !!". Et il n'est pas dans les cryptos (à ma connaissance).
Mais tout comme toi, j'ai été étonné qu'ils connaissent plein de détails sur moi. Mon compte formation est un site de l'état, je le vois mal vendre/donner des infos sur nous pour se faire démarcher. Mais les arnaques pullulent (https://www.google.com/search?q=mon+compte+formation+arnaque&newwindow=1&rlz=1C1CHBF_frFR916FR916&sxsrf=ALeKk03Pcrf_07QhRGDI8d56geF4iRj1lA%3A1622731869300&ei=Xey4YPrhEdbpsAeqopnYAw&oq=mon+compte+formation+arnaque&gs_lcp=Cgdnd3Mtd2l6EAMyAggAMgYIABAWEB4yBggAEBYQHjoHCAAQRxCwAzoECCMQJzoHCAAQhwIQFDoFCAAQyQNQs4gDWMmgA2CKpANoAXACeACAAVOIAdANkgECMjSYAQCgAQGqAQdnd3Mtd2l6yAEIwAEB&sclient=gws-wiz&ved=0ahUKEwi6hIql2_vwAhXWNOwKHSpRBjsQ4dUDCA4&uact=5).

Ah je comprend mieux maintenant. Je ne savais pas que c'était la mode en ce moment. Je viens de voir un article de Que Choisir qui eux même en ont été 'victime'.
J'ai beau leur dire que je suis à la retraite (c'est pas vrai), que je n'habite plus en France (pas vrai non plus), ils ne lachent pas l'affaire. J'ai même sorti "Monsieur, je suis millionaire, vous croyez que je vais faire un truc de prolétaire?"

J'ai lu qu'ils vont même jusqu'à l'usurpation de l’identité de Mon compte formation. C'est vraiment des enculés. Le pire c'est ce que c'est vraiment des organismes de formations.

Faut vraiment que je me fasse un compte sur le site. Avec la chance que j'ai en ce moment, ils pourraient avoir créer un compte en mon nom et fait je ne sais quoi.

Hors sujet: c'est possible de se faire financer une formation à 100%? Ou il y a forcement un partie à payer de sa poche?

edit:

Oui, j'ai vu qu'il y a un peu à boire et à manger. J'ai vu une formation dans mon domaine, 100% à distance.
Ce qui est totalement impossible. En tout cas jamais je n'embaucherai quelqu'un avec une telle formation

Ca dépend de la formation et des droits formation que tu as. Si la formation coute plus chère que tu as en droits, là oui faudra sortir de l'argent de ta poche. Mais par exemple pour ma "formation trading (https://bitcointalk.org/index.php?topic=5307636.msg56849269#msg56849269)", j'ai rien déboursé, j'avais assez sur mon CPF.
Après les formations, j'ai l'impression que c'est un peu la loterie. Surtout les formations à distance, tu vas te taper des e-learnings et faire des quizz... Bref faut être vraiment motivé.

J'ai l'impression que les entreprises profitent un peu de ça pour proposer des prix exorbitants.

J'ai fait le test sur certaines formations qui m'intéressaient et les prix sur cpf étaient honteux.

Ledger se porte décidemment de mieux en mieux ... Avec l'entrée de 'l'homme le plus riche du monde' dans son capital  :D

https://twitter.com/gregory_raymond/status/1402878091660308481

https://www.bfmtv.com/economie/pascal-gauthier-pdg-de-ledger-on-a-de-quoi-faire-la-premiere-boite-francaise-a-100-milliards_AV-202106100516.html (https://www.bfmtv.com/economie/pascal-gauthier-pdg-de-ledger-on-a-de-quoi-faire-la-premiere-boite-francaise-a-100-milliards_AV-202106100516.html)

Pascal Gauthier, CEO de Ledger, vise rien de moins qu'une valorisation de 100 Mds...

Il peuvent meme viser 500 Mds :)

Quand le dollars vaudra rien tous sera a des prix complement con.

Le BTC a 1.000.000$ est une certitude a long terme mais le dollar vaudra combien a ce moment ?

Toujours 1 $ en tout cas.

La question serait plutôt la variation du BTC avec des actifs tangibles. Les produits de première nécessité, l'alimentation, l'essence, etc.

C’était justement mes propos :)

Alors là, le phishing "physique", j'avais jamais vu :

(https://twitter.com/gregory_raymond/status/1405484014048264204)

Quand on veut enculer une personne, on est jamais en manque d'imagination. Mais là c'est de l'art.

J'imagine qu'on va savoir à quelle adresse sont envoyés les btc.

Recevoir un wallet de chez Ledger alors que vous n'avez rien commandé, vous devez commencer à vous poser des questions.
Même s'il était vrai que l'entreprise remplace les produits, elle en informerait les gens au préalable. Tout d'abord, il faut savoir si la personne habite auparavant à la même adresse.
Parce qu'il y a des gens qui déménagent, qui partent en vacances et tout ça.

@elma

Ça ne servira pas à grand-chose. Sauf si la personne est compétement idiote. La (ou les) personnes déplaceront probablement les BTC vers un mixeur, ou une plateforme d'échange où le KYC n'est pas requis.
La seule façon dont cela pourrait être utilisé serait d'estimer les dommages (argent collecté en faisant cela).

Bien sûr, je pensais effectivement aux preuves que l'on s'est fait arnaquer.
C'est une arnaque astucieuse mais très hasardeuse.
Acheter des ledgers a un coût, il faut en plus les modifer. Il faut ensuite tomber sur des gens crédules qui ont encore des btc, et qui n'ont pas déménagé.

C'est une version très élaborée du vieux scam consistant à expedier des clé usb vérolées au hasard  :D

J'aurais plutôt pensé qu'ils enverraient un soi-disant tout nouveau modèle plutôt qu'un clone d'un modèle existant.

D'après Ledger, Ledger Live vérifie une clef secrète gravée dans une puce "sécurisée" pour bloquer les contrefaçons.
Points à contrôler pour vérifier l'authenticité d'un Nano S :
https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine
https://support.ledger.com/hc/en-us/articles/115005321449

Points à contrôler pour vérifier l'authenticité d'un Nano X :
https://support.ledger.com/hc/en-us/articles/360019010473-Check-if-device-is-genuine
https://support.ledger.com/hc/en-us/articles/360019352834

C'est une technique de hack vieille comme le monde, j'ai moi-même utilisé cette technique dans le passé.

Tu déposes des clés USB vérolées dans des boites aux lettres, sur une table de restauration proche d'entreprise etc. Cette technique est moins connu maintenant, car les gens sont beaucoup plus méfiant et les entreprises sensibles bloquent les ports USB.

Je crois que c'est la deuxième fois que tu admets pirater / hacker des particuliers. Cela démontre de nouveau quelle genre de personne tu es...

C'est pour cela que j'ai précisé " dans le passé ", cela démontre simplement mon attrait pour l'informatique quand j'étais plus jeune.

Je te rassure, le hacking ne m'intéresse plus depuis plusieurs années, de plus à 90% du temps j'étais dedans surtout pour le challenge et ma culture personnelle.

Merci d'arrêter de me faire passer pour le pire des enculés, sachant que c'est faux.

En tout cas les hackers ont vu les choses en grand, c'est vraiment bien fait leur paquet (il y a des photos sur le site de ledger : https://www.ledger.com/phishing-campaigns-status-fr)


Il y a aura forcément des gens qui vont tomber dans le piège.

A mon avis un bon nombre et ledger agrave sont cas.   Et si quelqu'un ce fait avoir. Il peut gagner contre ledger.

Je n'ai pas reçu un seul mail et encore moins un courrier. Il devrait prevenir pour une attaque de ce niveau.  

Surtout que bien souvent lorsque les gens reçoivent quelque chose en double ils le revendent ou le donnent à quelqu'un...
Les pauvres néophytes qui vont se faire avoir vont être dégoutés des cryptos à vie. ("Et dire que c'était un cadeau de mon meilleur pote")  :-\

Reçu aujourd'hui par courrier postal , une publicité pulsechain.com, c'est en rapport avec Hex.
Ils ont probablement eu mon adresse postale grâce au hack de Ledger.

Vraiment chiant à force les emails de spam ..

Si ce n'est que de la publicité dans les boites aux lettres et de spams, ce n'est pas bien grave, même si c'est chiant.

Lui par contre est déjà un peu plus emmerder. Des gens sont venus jusqu'à chez lui
Il y a quelques mois, sa sœur est tombée sur 2 branleurs qui attendaient devant leur domicile. Ils étaient à sa recherche et possédaient ses coordonnées sur leur téléphone, et celles d’une autre personne habitant dans la même ville

Une action en justice a commencée contre Ledger (voir ici (https://www.capital.fr/entreprises-marches/ledger-les-victimes-de-la-fuite-de-donnees-entament-une-action-en-justice-1416678)). Je ne pense pas pas que cela ira bien loin, je vois ca plutôt comme une opportunité de récupérer de l'argent via des dommages et intérêts ou autre chose. Si c'était leur propre banque ils n'auraient rien fait, et resteraient même dans la banque.


https://www.capital.fr/entreprises-marches/ledger-les-victimes-de-la-fuite-de-donnees-entament-une-action-en-justice-1416678

J'ai pas encore tout compris, je sais pas si Ledger est responsable ou non, mais ça semble sérieux et ça s'affole pas mal :

https://pbs.twimg.com/media/GBT3po5WcAALd-Q?format=png&name=medium
(source : https://twitter.com/CryptoRank_io/status/1735284058853130628)

donc gaffe à ce que vous faites.

Edit :

 :o

Wow en effet, ça sent mauvais... Merci Halab d'avoir partagé !

Il serait tant que Ledger prennent des vacances... ::)

https://www.talkimg.com/images/2023/12/14/Ekr9H.png

Pas sur de vouloir faire cette update.... mais pas trop le choix

Rhoo la chatte que j'ai. j'ai le cul bordé de nouilles


Encore une casserole pour la réputation de l'entreprise

Edit:
Ledger vient de publier ceci (https://twitter.com/Ledger/status/1735291427100455293)

Edit 2:

https://pbs.twimg.com/media/GBT_2SFWoAAa1mv?format=png&name=900x900

JunichiSugiura sur twitter https://twitter.com/JunichiSugiura
Un ex de chez Ledger.

Il sait très bien que les meta data laisseraient cette trace donc il aurait été idiot de faire quelque chose alors que tout le monde aurait su que c'est lui. Certainement un compte/email compromis mais Ledger a en même temps oublié de lui enlever les acces

Pourquoi dis-tu cela exactement je n'ai pas compris.
En tous cas l'attaque arrive (fortuitement ou pas) à un assez mauvais moment puisque Trust Wallet avait sorti il y a un peu moins de 2mois une nouvelle version qui avait pas mal de problèmes (https://bitcointalk.org/index.php?topic=5318010.msg63036755#msg63036755) et qui ne permettait plus à beaucoup d'utilisateurs(tous?) de se connecter à leurs dApps habituelles. Une mise à jour avait résolu le problème par la suite, mais il est fort probable que beaucoup d'utilisateurs se soient rabattus sur Ledger à ce moment-là et qu'ils n'étaient pas encore revenus vers TW au moment de cette attaque :-\

Le bug a été rapidement traité donc un quasi non-événement sauf pour ceux qui ont pu profiter de la baisse pour acheter.

La faille a été rapidement traitée mais certains medias affirment que près d'un demi-million de dollars ont quand même eu le temps d'être dérobés ($484k).
Le hack a semble-t-il eu lieu en pleine journée, durant les heures de bureaux de Ledger, en milieu de semaine, mais le vol aurait certainement pu être plus important si cela s'était passé durant le week-end ou même la nuit.

https://bitcoinist.com/ledger-supply-chain-attack-over-480000-drained/
https://bitcoinist.com/wp-content/uploads/2023/12/GBUOatsakAASJIK.jpg

Ce "non évenement" va quand même couter $600K à Ledger puiqu'ils viennent d'annoncer qu'ils allaient rembourser les victimes d'ici fin février 2024.

Annonce de Ledger : https://twitter.com/Ledger/status/1737457365526470665

Ils s'améliorent niveau damage control :)

Je crois qu'il ne faut utiliser la ledger qu'avec une extrême-prudence, la main tremblante et uniquement pour du cold storage. Il ne faut rien faire de sophistiqué avec sa ledger.

La classe, c'est beau une telle réactivité ! Heureux pour ceux qui ont perdus leurs $ avec ce hack.
Ils ont raison de ne pas faire trainer les remboursements : si un vrai bull devait commencer, ils pourraient se retrouver avec une note vraiment salée.


Faut leur accorder qu'ils ne manquent pas d'opportunités pour s'exercer  ;D

Je suis exactement dans le même cas que toi et je ne sais pas du tout si je dois la faire. J'ai déjà vécu le hack des bases de données et là je vois cette news ... Je n'ai plus du tout confiance en ledger...
Est-ce que l'on peut faire cette mise à jour (photo que je quote ci-dessus) ?
Cette MAJ n'a rien a voir avec les hack des dApps ledger non ? Je me trompe ?
Je n'ai pas fait la mise à jour, est-ce que cela empêche ledger live d'afficher mon compte correctement avec les quelques coins que j'ai dessus + le bon prix  ? Ou ledger live me montre que rien n'a disparu mais c'est faux, en fait plus rien n'est là mais ça ne me le montre pas parceque ledger live n'est pas à jour ? Dans mon tableau de bord, sur le statut du logiciel, ils disent que ledger fonctionne correctement mais en même temps sur mon wallet (encran d'accueil), au dessus de la demande de mise à jour, ils disent "erreur de synchronisation".


Sinon pour vous prévenir, j'ai eu un sms disant qu'il y a une activité suspecte sur mon compte ledger ce qui suspend son acces + avec un lien ensuite pour réactiver mon ledger. 3h après un gars appelle en disant qu'il est de ledger et qu'il pense avoir vu une activité suspecte sur mon compte blabla. J'ai raccroché direct. Pour moi c'est un gros scam. Vous en pensez quoi ? Avez vous eu ce cas de figure ?

Merci a bientôt !!

Ce que je ferai : je me procure un autre wallet qui a fait ses preuves et qui est open-source, je réinstalle mon wallet, je transfère mes fonds et j'oublie Ledger.

Ouais, tu peux y aller, ils ont patché Ledger Live depuis ces problèmes.

Comme l'a dit Becassine, mieux vaut faire ta mise à jour, t'envoyer tes coins vers un Trezor et arrêter avec Ledger si la confiance est perdue.

Merci pour vos retours,
Je vais aussi leur écrire ! On est d'accord le vrai site de ledger pour contacter ensuite l'assitance client c'est : https://www.ledger.com ?

Est-ce que vous pensez que faire la mise à jour peut véroler mon ledger ? D'après ce que j'ai compris ça n'est pas relié au d'Apps qui se sont fait véroler non ?