Perte de confidentialité de données de e-commerce et marketing - FAQ

Le 14 juillet, un chercheur nous a contactés via notre programme de primes pour nous informer d’une faille de sécurité sur notre base de données de commerce électronique et de marketing. Nous avons immédiatement mis un terme  à la violation de données et lancé des enquêtes internes. Nous avons constaté que les données avaient fait l’objet d’un accès non autorisé. Vos fonds sont en sécurité.

Le 20 décembre, nous avons été informés de l’exposition d’une base de données clients de Ledger. Nous pensons qu’il s’agit du contenu de notre base e-commerce du mois de juin 2020.

Le 23 décembre, Shopify, notre fournisseur de services de commerce en ligne nous a notifié un incident impliquant des données de ses marchands au cours duquel un ou plusieurs membres malhonnêtes de leur service client ont obtenu des données transactionnelles, y compris certaines de Ledger.

Vous trouverez ci-dessous les réponses aux questions fréquemment posées. Pour tous les détails concernant la violation de données, nous vous invitons à vous référer à cet article de blog.

Mes données personnelles (nom, adresse, numéro de téléphone) sont-elles compromises ?

Après avoir découvert la brèche en juillet, nous avons envoyé un e-mail à l’ensemble des 9 500 clients pour lesquels les informations dont nous disposions indiquaient que leur données personnelles avaient été divulguées. Si vous n’aviez pas reçu cet e-mail à ce moment, cela signifie que nous n’avions aucune preuve que vos données personnelles avaient été divulguées, à l’exception de votre adresse e-mail.

Après avoir été informés du transfert de données du 20 décembre, il est apparu clairement qu’un sous-ensemble plus important que les 9 500 clients initiaux avait vu ses données personnelles exposées. Nous avons envoyé un e-mail à tous les clients de ce sous-ensemble (~272 000 personnes). Si vous faisiez partie de ce sous-ensemble vous avez reçu le 21 décembre 2020 un e-mail spécifique vous en informant.

Le 13 Janvier 2021, nous avons envoyé une communication aux environ 292 000 clients impactés par la violation de données Shopify. Si vos données ont été compromises au cours de la violation de données Shopify vous avez été notifiés par email. Le titre de l’email est “SECURITY NOTICE: Ledger included in Shopify database breach”. Ce mail a été envoyé autour de 16:00 CET le 13 janvier 2020.

Que s’est-il passé lors de la perte de confidentialité de données du mois de juillet 2020?

Une personne a mené une attaque pour obtenir l’accès à une partie de notre base de données e-commerce et marketing au travers d’une clé API tierce qui était mal configurée sur notre site web, ce qui a permis un accès non autorisé aux informations de contact de clients et à leurs commandes.

Qui est cette solution tierce ? Pourquoi utilisaient-ils des données client ?

Les équipes e-commerce et marketing de Ledger utilisent une solution tierce (Iterable) pour analyser les transactions et envoyer des emails marketing aux clients qui ont acheté des produits sur ledger.com, ou qui se sont abonnés à nos newsletters.

Depuis quand ce problème existe-t-il ?

La mauvaise configuration de la clé d’API tierce en question était présente depuis le 9 août 2018. Sur la base des preuves et des registres dont nous disposons, nous pensons qu’elle a été découverte et exploitée d’avril 2020 jusqu’au 28 juin 2020. 

Que s’est-il passé avec Shopify?

Le 23 décembre 2020 nous avons reçu une notification de notre fournisseur de service e-commerce, Shopify, au sujet d’un incident visant les données de ses marchands.  Au cours de cet incident, un ou des agents malhonnêtes du support client de Shopify ont obtenu des fichiers des transactions de plusieurs marchands, dont ceux de Ledger. Le ou les agents ont exporté illégalement les données de transactions de clients Ledger aux mois d’avril et de juin 2020. D’après Shopify, cet incident est en lien avec celui communiqué en septembre 2020 qui a impacté plus de 200 marchands. Shopify n’a découvert que le 21 décembre 2020 que Ledger était également concerné par cette attaque. Shopify nous a communiqué qu’ils avaient engagé des experts de l’analyse des attaques informatiques, ainsi que des juristes pour continuer d’enquêter sur cette affaire. Ils nous ont aussi informés avoir effectué un signalement auprès des autorités judiciaires, à la fois au Canada et aux Etats-Unis.

En collaboration avec le prestataire de services en cybersécurité (Orange Cyberdefense), nous avons pu déterminer que l’incident affecte environ 292 000 clients. Bien que la base de données soit à 93% similaire à celle divulguée lors de l’attaque précédente, nous avons constaté qu’environ 20 000 clients supplémentaires étaient impactés par cette violation, incluant leurs emails, noms, adresses postales, numéros de téléphone et produit(s) commandé(s). 

Si vous avez commandé un produit Ledger fin juin 2020 ou si vous avez acheté votre produit ailleurs que sur Ledger.com, vos données n’ont pas été divulguées.

Quels types de données ont été compromises à partir de la base de données clients de Ledger ?

Dans les deux cas, c'est  la base de données de commerce électronique et de marketing qui a été divulguée. Elle contient des e-mails, des noms et prénoms, des numéros de téléphone et des adresses postales, ainsi que le type de produit acheté.

Elle n’inclut aucune information concernant les cartes bancaires.

Nous savons maintenant qu’environ 1 million d’adresses e-mail ont été divulguées ainsi qu’environ 292 000 ensembles d’informations personnelles plus détaillées comprenant le prénom, le nom, le numéro de téléphone, l’adresse postale et les produits achetés.

Pourquoi avez-vous communiqué sur 9 500 ensembles de données personnelles, et non 272 000 lors de la première perte de confidentialité de données ?

La détermination du nombre d' ensembles de données personnelles (nom, adresse physique, numéro de téléphone) qui a été effectuée en juillet 2020 était basée sur l’analyse à posteriori par notre cabinet de conseil en cybersécurité qui n’a obtenu des preuves que pour 9 500 personnes. Les registres analysés n’avaient permis d’identifier spécifiquement qu’un peu plus de 9 500 personnes pour lesquelles des informations personnelles plus détaillées avaient été obtenues par les attaquants. Nous pouvons désormais vérifier, à partir de la base de données publiée, que des informations personnelles détaillées (nom, adresse postale, numéro de téléphone) d’environ 272 000 utilisateurs ont été obtenues.

Les brèches ont-elles été corrigées ?

Dès que nous l’avons découverte, cette brèche a été corrigée le jour même, et la clé d’API a été désactivée.

Concernant la faille Shopify: Dès qu’ils ont été au courant de cet incident, Shopify a suspendu immédiatement les accès réseaux et confisqué l’ordinateur de la personne incriminée, et engagé des experts en analyse des attaques informatiques, ainsi que des juristes pour poursuivre leur enquête.

Nous faisons tout notre possible pour rendre Ledger encore plus solide à l’avenir. Nous avons engagé un nouveau responsable de la sécurité de l’information (CISO). Nous renforçons encore nos systèmes déjà solides. Nous avons effectué des tests d’intrusion et des analyses de cyber-attaques avec des sociétés de cybersécurité externes, afin de tester nos systèmes et de trouver d’autres vulnérabilités sur nos systèmes de commerce électronique.

Nous travaillons en permanence avec les forces de l’ordre pour poursuivre les pirates et arrêter les personnes responsables et/ ou impliquées dans les campagnes de phishing, et nous travaillons avec d’autres autorités de protection des données dans le monde entier.

Les fonds des clients sont-ils touchés ?

Non. Les informations de paiement, les informations d’identification (mots de passe) ou les fonds en cryptomonnaie n’ont pas été affectés. Cette violation de données n’a aucun lien ni impact sur nos wallets physiques et l’application Ledger Live. Vos crypto-actifs sont en sécurité et ne sont pas en danger.

Notre modèle de sécurité empêche les attaquants d’accéder aux informations sensibles liées à nos appareils matériels, telles que les phrases secrètes de récupération et les clés privées. Les utilisateurs ont un contrôle total et sont les seuls à pouvoir accéder à ces informations.

Qu’en est-il des « informations d’identification non publiques » comme les numéros de compte bancaire et les informations de sécurité sociale ?

Comme indiqué dans notre Politique de confidentialité, nous ne demandons ni ne conservons jamais ces informations.

Les données clients sont-elles gérées en interne ou par un fournisseur tiers ?

Conformément à notre Politique de confidentialité, en tant que contrôleur de données, nous pouvons transmettre certaines de vos données à des tiers tels que les serveurs des fournisseurs de services de paiement (PSP), la logistique, et d’autres fournisseurs de services, dans les cadres contractuels et juridiques applicables.

Y a-t-il eu des demandes de rançon ?

Nous avons été informés de certaines demandes de rançon. Nous pensons qu’il s’agit d’une autre tentative d’escroquerie mondiale, car le même message est envoyé par e-mail et SMS dans différentes langues. Nous surveillons en permanence la campagne sur une page dédiée.

Quelles mesures correctives Ledger prend-il pour résoudre ce problème ?

  • Nous avons immédiatement corrigé la faille.
  • Nous avons enquêté immédiatement sur la violation de données, en interne et avec des experts judiciaires externes (Orange Cyber Defense) pour découvrir tout accès non autorisé aux données de nos clients par un tiers.
  • Nous avons informé l’autorité de protection des données de la violation de données et l’avons mise au courant de la situation.
  • Nous avons informé nos clients.
  • Nous avons déposé une plainte formelle auprès du Procureur de la République Française et la mettons à jour avec de nouvelles informations.
  • Nous avons effectué des tests de pénétration en interne et nous anticipons les tests de pénétration externes initialement prévus pour septembre 2020.
  • Nous menons des audits internes périodiques sur nos politiques de conservation des données, pour assurer la conformité continue avec les lois applicables.
  • Nous étendons au commerce électronique la portée de notre programme de sécurité et d’organisation qui se concentrait à l’origine sur nos produits (matériel et coffre-fort). Nous prenons des mesures pour répondre aux exigences énumérées dans la norme ISO 27001.

Les informations obtenues par les pirates peuvent-elles contourner les mesures d’authentification à deux facteurs (2FA) ?

Non. Notre site Web de commerce électronique ne conserve aucune information de connexion/mot de passe puisque l’authentification 2FA n’est pas pertinente par rapport à notre système de sécurité.

Des clients signalent-ils des extorsions physiques ?

Pas à notre connaissance. Ni récemment, ni dans le passé, mais certaines de ces escroqueries impliquent une menace de violence physique. Si vous recevez une telle menace, veuillez contacter immédiatement les autorités locales. Vous pouvez également nous signaler la menace sur cette page afin qu’elle soit incluse dans notre enquête. Sachez que les produits Ledger ont été conçus en tenant compte des menaces d’attaques physiques. Nous vous invitons à consulter les bonnes pratiques en matière de mesures de sécurité avancées pour savoir comment vous protéger et rester vigilant(e). Nous surveillons en permanence les campagnes d’hameçonnage sur une page dédiée.

Nous recommandons à nos clients préoccupés par cette éventualité de consulter nos bonnes pratiques en matière de mesures de sécurité avancées et de garder à l’esprit qu’en cas d’urgence, en tapant 3 fois le mauvais code PIN, votre appareil sera réinitialisé.

Pourquoi Ledger a-t-il attendu plus d’une semaine pour communiquer publiquement sur cette violation de données relatives au marketing et au commerce électronique ?

Nous voulions avoir toutes les données nécessaires et nous devions d’abord nous conformer aux obligations légales et règlementaires qui nous incombent.

Nous avons immédiatement résolu le problème et lancé une enquête interne pour évaluer l’étendue de la violation. Nous avons également enquêté avec Orange Cyberdefense pour évaluer la gravité de la violation et avons reçu le rapport initial d’OCD le 24 juillet.

Nous avons notifié cette violation de données à l’autorité française de protection des données, la CNIL, dans le respect des lois applicables.

Ledger respecte-t-il le Réglement Général sur la Protection des Données (RGPD)?

Le but de Ledger est d’aller au-delà de la simple conformité avec le RGPD et aux autres réglementations sur la protection des données. C’est pourquoi, dans les trois jours qui ont suivi la découverte de la violation des données, Ledger a signalé les informations à la CNIL, et a fourni des mises à jour dès qu’elles étaient disponibles. Ledger travaille également et communique ouvertement avec d’autres autorités de protection des données.

L’équipe de Ledger chargée de la protection de la vie privée est également mobilisée pour répondre et gérer toute demande liée à la protection de la vie privée dont nos clients pourraient nous faire part. Si vous avez une demande spécifique concernant vos données (accès, effacement…), veuillez nous adresser votre requête à privacy@ledger.fr.

Notre but est d’effacer vos données personnelles telles que vos noms, adresses et numéros de téléphone aussi vite que possible. Pour aller au-delà de ce qui est requis par le RGPD, nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Les données qui doivent être conservées le seront dans un environnement séparé. Cet objectif s’applique également à nos fournisseurs. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.

Que puis-je faire pour protéger mes données à l’avenir ?

Méfiez-vous des tentatives d’hameçonnage qui usurperaient l’identité de Ledger pour demander votre phrase de récupération. Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération, pas même dans Ledger Live, et Ledger ne vous contactera jamais par SMS ou téléphone.

Si vous souhaitez améliorer la sécurité de votre phrase de récupération, nous vous recommandons de consulter nos bonnes pratiques en matière de mesures de sécurité avancée et de garder à l’esprit qu’en cas d’urgence, le fait de taper 3 fois le mauvais code PIN réinitialisera votre appareil.

Quelles mesures de sécurité étaient en place pour protéger nos informations personnelles ?

Afin d’assurer l’intégrité et la confidentialité de vos données personnelles, nous mettons en œuvre des procédures physiques, électroniques et organisationnelles appropriées pour sauvegarder et sécuriser les données personnelles dans tous nos services.

Plus de détails sur les mesures de sécurité mises en œuvre sont disponibles dans notre Politique de confidentialité.

Nous mettons notamment en œuvre les mesures de sécurité suivantes :

  • Sécurité des données de paiement : si vous nous fournissez des informations de carte de crédit, ces informations sont cryptées à l’aide d’un protocole Internet Trade Protocol (TLS) sécurisé et envoyées directement à notre fournisseur de services de paiement (PSP). Ces informations ne sont jamais stockées sur notre serveur.
  • Programme de sensibilisation et de formation des employés.
  • Chiffrement des données transférées et stockées.
  • Centres de données régulièrement audités.
  • Redondance des données pour la résilience en cas de dommage.
  • Authentification basée sur les rôles.
  • Authentification à deux facteurs de nos employés autorisés.
  • Surveillance continue des systèmes.
  • Évaluations de sécurité conformes aux normes du secteur.
  • Audits de sécurité tiers indépendants et tests de pénétration.
  • Recrutement d’un nouveau Responsable de la Sécurité Informatique (CISO)
  • Mise hors ligne de plus de 200 sites d'hameçonnage depuis la perte de confidentialité de données initiale.

Êtes-vous sûr qu’il n’y a pas d’autre problème similaire sur votre site de commerce électronique ? Utilisez-vous d’autres API ?

Nous avons effectué un audit interne et n’avons trouvé aucune brèche similaire. Cependant, nous continuons d’investiguer régulièrement. Nous effectuons donc un test de pénétration externe et encourageons d’autres chercheurs en sécurité informatique à nous contacter via notre programme de prime aux bogues.

Comment pouvez-vous être sûr que la violation présumée de données Shopify révélée en mai était un canular ?

Nous avons eu accès à un échantillon de la base de données qui aurait prétendument été divulguée et avons constaté qu’elle ne correspondait pas à notre base de données.

Comment la violation de données a-t-elle eu un impact sur les commandes Amazon, plus précisément sur les adresses de facturation/livraison ?

Aucune information concernant des commandes sur Amazon (y compris les adresses e-mail, de facturation et d’expédition des commandes) n’a été affectée par la violation de données.

Êtes-vous au courant des attaques d’hameçonnage existantes ciblant vos clients ?

Oui, et nous surveillons en permanence la campagne sur une page dédiée. Les campagnes d’hameçonnage sont très courantes dans le secteur, c’est pourquoi nous avons créé la Ledger Academy pour sensibiliser nos utilisateurs. Nous menons des campagnes régulières pour rappeler à nos utilisateurs les dangers des attaques d’hameçonnage, et de toujours rester prudents. Nous avons mis en place une équipe de protection contre la contrefaçon depuis deux ans afin de surveiller et faire disparaître ces contenus abusifs.

Avez-vous identifié qui a compromis votre base de données ? Avez-vous des indices ?

Non. Nous avons déposé une plainte auprès du Procureur de la République Française sur la base de preuves préliminaires exposées grâce au rapport indépendant d’enquête de cyberattaque  d’Orange Cyberdefense, que nous avons continuellement mis à jour. Une enquête est en cours.

Croisez-vous mes données Ledger Live avec d’autres données ? (e-com, matériel)

Non.

Partagez-vous des données avec les gouvernements ?

Ledger ne partage pas les informations sur ses clients, sauf si les lois applicables l’exigent, comme décrit dans notre Politique de confidentialité.

Pourquoi ne purgez-vous pas votre base de données ?

Pour des raisons légales, nous sommes obligés de stocker certaines informations transactionnelles relatives aux coordonnées de nos clients et aux données de leurs commandes.

Conformément au principe de limitation du stockage énoncé dans les lois applicables, nous nous efforçons de ne pas conserver les données plus longtemps que le temps nécessaire pour se conformer à ces objectifs légitimes et légaux, y compris afin de satisfaire à toute exigence légale, comptable, fiscale ou autre en matière de rapports de conformité.

Nous pouvons archiver certaines de vos données personnelles, avec un accès restreint, pour une période supplémentaire lorsque cela est strictement nécessaire pour nous conformer à nos obligations légales et/ou réglementaires d’archivage et pour les délais de prescription applicables. À la fin de cette période supplémentaire, vos données personnelles restantes seront définitivement effacées de nos systèmes, ou anonymisées.

Si vous avez acheté un produit ou un service chez nous, nous pouvons conserver certaines données transactionnelles jointes à vos coordonnées afin de nous conformer à nos obligations légales, fiscales ou comptables, et ce pendant une période maximale de 10 ans fixée par les lois françaises applicables, ainsi que pour nous permettre de préserver et/ ou de faire valoir nos droits (par exemple, dans l’exercice de certains de nos droits devant les tribunaux) pendant les délais de prescription français applicables.

Nous devons également conserver certaines de vos données personnelles contenues dans cette base de données, afin de pouvoir répondre à vos questions, de traiter des réclamations potentielles et de conserver des preuves nécessaires à l’enquête pénale.

Suite à la violation de données Shopify, nous avons changé en profondeur la manière dont nous gérons les données pour aller encore plus loin que ce que demande le Réglement Général sur la Protection des Données (RGPD) : 

  1. Notre but est d’effacer vos données personnelles telles que vos noms, adresses et numéros de téléphone aussi vite que possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Les données qui doivent être conservées le seront dans un environnement séparé.Cet objectif s’applique également à nos fournisseurs. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.

  2. Nous allons réduire au maximum les occasions d’affichage de vos informations personnelles. Par exemple, nous effacerons vos noms, adresse et numéro de téléphone des emails de confirmation de commande que nous vous adresserons, afin que ces informations ne circulent pas via notre prestataire de gestion d’emails e-commerce.
  3. Nous implémenterons prochainement un modèle de communication dans lequel les messages importants de sécurité et à visée technique seront diffusés via Ledger Live. Lorsque nous nous adresserons à vous, les emails et réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.

  4. Nous allons mener un nouvel audit de tous nos fournisseurs et partenaires afin de nous assurer qu’ils continuent d’opérer au plus haut niveau de qualité.

Les 24 mots sont-ils stockés dans la base de données ?

Non, nos clients ont le contrôle total et unique de leur phrase de récupération. Ledger ne demandera jamais votre phrase de récupération.

Si vous n’êtes pas en mesure de protéger nos données de commerce électronique, comment pourriez-vous protéger et sécuriser nos fonds ?

C’est la question la plus précise et la plus légitime que nos clients puissent nous poser. En effet, depuis la création de Ledger, nous avons mis l’accent sur la sécurité de nos produits car nous savions que ce secteur avait besoin de solutions de sécurité solides, entièrement surveillées et vérifiables pour prendre son essor, et nous nous sommes engagés à offrir à nos clients des produits de sécurité que nous développons sur la base de connaissances extrêmement pointues.

Cette violation de données provient d’une clé d’API tierce mal configurée et hébergée sur notre page Web de commerce électronique. Elle n’est en rien liée à nos produits de sécurité, qui disposent de leurs propres infrastructures. Cela ne veut pas dire que cette situation n’est pas grave. Cela signifie qu’elle ne concerne pas le niveau de sécurité de nos produits.

Nous regrettons profondément cet incident. Nous prenons la confidentialité très au sérieux, nous avons découvert ce problème grâce à notre propre programme de « primes aux bogues », et l’avons corrigé immédiatement. Mais indépendamment de tout ce que nous avons fait pour éviter et corriger cette situation, nous nous excusons sincèrement pour les inconvénients que cette affaire peut causer à nos clients.

Cette situation est très stressante, qu’est-ce qui est censé me rassurer ?

Nous comprenons vos préoccupations et nous regrettons profondément cet incident. Les pertes de confidentialité de données et les attaques d’hameçonnage sont un problème pour tout le secteur. Nous continuons chaque jour de travailler sur ce problème et nous prenons très au sérieux la confidentialité et la sécurité des données. Dès que nous avons découvert ce problème, grâce à notre propre programme de prime aux bogues, nous l’avons immédiatement corrigé et avons mis en œuvre les mesures requises pour vous en informer. Mais indépendamment de tout ce que nous avons fait pour éviter et corriger cette situation, nous nous excusons sincèrement pour les inconvénients que ce problème peut vous causer. Cependant, cette violation de données n’a aucun lien avec ni aucun impact sur nos wallets physiques, ni sur la sécurité de Ledger Live. Vos crypto-actifs sont en sécurité et n’ont jamais été en danger. 

Crypto Casey fait un excellent travail pour résumer la situation et pour expliquer comment se protéger dans cette vidéo et ce podcast. Prenez toutes les mesures nécessaires pour assurer votre sécurité, et celle de vos crypto-actifs. 

Vos crypto-actifs n’ont jamais été menacés. Nous sommes reconnaissants de la confiance que vous accordez à nos produits. À l’avenir, vous pouvez attendre de nos services le plus haut niveau de professionnalisme, de transparence et de réactivité.

Connaissez-vous, fournissez-vous ou recommandez-vous un service de surveillance de type “ID theft” ?

Non, nous ne recommandons pas d’utiliser ce type de services. Nous recommandons à la place à nos clients d’appliquer des mesures de précaution et d’être au courant des tentatives d’hameçonnage qui pourraient imiter Ledger en vue d'obtenir de votre part votre phrase de récupération. Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération, pas même sur Ledger Live. Et Ledger ne vous contactera jamais par SMS ni par téléphone.

Si vous souhaitez améliorer la sécurité de votre phrase de récupération, nous vous recommandons de consulter notre guide des meilleures pratiques en matière de sécurité avancée, et de garder en tête que 3 codes PIN erronés sur votre appareil effaceront son contenu.

Que faites-vous pour prévenir d’autres pertes de confidentialité à l’avenir?

Ces pertes de confidentialité de données sont pour nous une remise en cause.  Être digne de votre confiance est beaucoup plus important pour nous que de posséder vos données. C’est pourquoi nous changeons la manière dont nous gérons ces données, pour aller encore plus loin que ce que recommande le Règlement Général sur la Protection des Données et être les meilleurs sur ce sujet : 

  1. Notre but est d’effacer vos données personnelles telles que vos noms, adresses et numéros de téléphone aussi vite que possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Les données qui doivent être conservées le seront dans un environnement séparé. Cet objectif s’applique également à nos fournisseurs. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.
  2. Nous allons réduire au maximum les occasions d’affichage de vos informations personnelles. Par exemple, nous effacerons vos noms, adresse et numéro de téléphone des emails de confirmation de commande que nous vous adresserons, afin que ces informations ne circulent pas via notre prestataire de gestion d’emails e-commerce.

  3. Nous implémenterons prochainement un modèle de communication dans lequel les messages importants de sécurité et à visée technique seront diffusés via Ledger Live. Lorsque nous nous adresserons à vous, les emails et réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.

  4. Nous allons mener un nouvel audit de tous nos fournisseurs et partenaires afin de nous assurer qu’ils continuent d’opérer au plus haut niveau de qualité.

Ces vols et ces attaques ne peuvent rester impunis. Des enquêtes doivent être menées. Pour que l’industrie de la crypto se développe il est impératif que le vol de crypto actifs soit sévèrement puni. Nous travaillons sur ces affaires avec les autorités compétentes et avec des enquêteurs privés :

  1. Nous augmentons nos capacités d’enquête via des sociétés privées spécialisées pour apporter davantage d’expertise et varier les approches permettant de retrouver les responsables de ces vols de données. Nous continuerons de travailler main dans la main avec les autorités judiciaires à travers le monde pour identifier, arrêter et traduire en justice les responsables de ces vols de données.
  2. Nous créons une récompense pour l’obtention de nouvelles informations, obtenues légalement, qui permettront d’identifier, d’arrêter et de traduire en justice avec succès les responsables de ces attaques contre Ledger et ses clients. Ledger a abondé un wallet avec 10 BTC (adresse : bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd) comme réserve initiale pour cette récompense. Cette récompense sera versée à l’entière discrétion de Ledger en prenant en compte des facteurs tels que la légalité de l’obtention des informations, la nouveauté des informations, leur importance, leur impact positif sur les progrès de l’enquête et leurs conséquences directes en termes de capacité à poursuivre le ou les individus, ainsi que le résultat des poursuites.Plus généralement, cette récompense sera soumise aux règles de notre programme de récompenses disponibles ici
  3. Nous annonçons notre intention de collaborer dans le cadre de cette initiative avec d’autres acteurs du secteur. Nous avons contacté d’autres sociétés comme des particuliers pour qu’ils abondent ce programme de récompense contre les crimes commis à l’encontre de la communauté crypto au sens large. PDG d’autres sociétés de l’univers des crypto, si vous voulez vous joindre à nous dans ce projet, merci d’avance de vous manifester au plus vite.
Was this article helpful?
2 out of 4 found this helpful