Community Trust ScoreVérifié
Le 6 janvier 2026, une campagne de phishing a été lancée par des cybercriminels utilisant un faux rapprochement entre les fabricants de portefeuilles de crypto-monnaies Ledger et Trezor. Cela fait suite à une violation de données récente chez le partenaire e-commerce de Ledger, Global-e. Ledger a informé ses clients que les informations personnelles telles que les noms, adresses e-mail, numéros de téléphone et détails des commandes avaient été compromises. Rapidement après la divulgation de l’incident, les utilisateurs concernés ont commencé à recevoir des e-mails de phishing prétendant que les deux entreprises avaient fusionné.
Ces communications frauduleuses ont été partagées sur la plateforme X. Un message déclarait : « Nous avons le plaisir d’annoncer qu’après des mois de discussions stratégiques, Ledger et Trezor ont finalisé un accord de fusion. Ce partenariat emblématique unit deux leaders du secteur avec une vision commune de fournir le plus haut niveau de sécurité pour la gestion des actifs numériques. » L’e-mail invitait les destinataires à « migrer » leurs portefeuilles en saisissant leur phrase de récupération de 24 mots sur un faux site web imitant l’image de marque officielle.
En réponse, Global-e a lancé une enquête interne sur la violation et collabore avec des experts en cybersécurité pour évaluer l’ampleur de l’incident. L’entreprise n’a pas précisé le nombre exact d’utilisateurs touchés mais a confirmé que la fuite concernait uniquement les informations de contact et de commande. Ledger a également signalé l’incident aux autorités de protection des données et coopère avec les agences de maintien de l’ordre.
Cet événement n’est pas une première pour Ledger. En 2020, une violation similaire a exposé les informations personnelles de centaines de milliers d’utilisateurs, incluant adresses e-mail, noms, numéros de téléphone et adresses physiques. Les utilisateurs concernés avaient alors signalé avoir reçu des e-mails de phishing et des menaces. Ledger avait été critiqué pour sa divulgation tardive et ses mesures de protection insuffisantes, conduisant à une plainte formelle contre l’entreprise et Shopify. Un employé de Shopify avait été tenu responsable de la fuite des données personnelles de 20 000 clients. Plus tard la même année, les données de 292 000 clients ont été publiées en ligne.
Plus récemment, l’entreprise a subi un autre incident de sécurité, entraînant le vol de près de 600 000 $ en crypto-monnaies après l’insertion d’un drain de portefeuille dans une bibliothèque utilisée par plusieurs applications décentralisées. Les implications de cette nouvelle attaque sont encore à déterminer, et les enquêtes se poursuivent.
