La justice française a visiblement bien avancé dans l’affaire de la fuite de données de la base de données clients de Ledger. Selon la newsletter spécialisée sur les cryptomonnaies The Big Whale, un suspect a en effet été extradé en France à l’automne dernier.
A son arrivée dans l’Hexagone, Davide M., un Portugais de 28 ans, a été mis en examen pour six infractions, dont escroquerie en bande organisée, association de malfaiteurs ainsi que diverses infractions de piratage informatique, une information dont ZDNet.fr a également eu la confirmation.
Campagnes de hameçonnage élaborées
La société française Ledger, l’une des rares licornes hexagonales, avait été victime de plusieurs incidents de sécurité en 2020. Elle avait signalé tout d’abord en juillet un piratage de sa base de données de commerce électronique. Puis, quelques mois plus tard, en avril et juin, elle avait découvert deux autres vols de données liés à son fournisseur de services de commerce électronique, Shopify. Ce dernier hack s’était soldé par la vente d’informations de 292 000 clients sur un marché noir. Un vol extrêmement préjudiciable, qui avait entraîné des campagnes de hameçonnage particulièrement élaborées, avec par exemple l’envoi de contrefaçons de produits Ledger par la poste.
Mais en janvier 2021, alors que l’enquête est au point mort, Ledger est contactée via Twitter par un internaute, explique The Big Whale. Ce dernier a repéré des messages suspects sur des groupes Telegram. Un homme y parle de la revente de base de données… dont celles du spécialiste des coffres-forts cryptos.
Ce premier suspect est identifié par le FBI américain. Il s’agit de Tassilo H. Connu en ligne sous les pseudos de Tass, BigBoy ou encore Pokeball, cet Autrichien de 22 ans est aussitôt poursuivi aux Etats-Unis, où il réside, pour vol d’identité et fraude électronique. Comme l’explique l’acte d’accusation dévoilé par la justice américaine en février 2021, on le soupçonne d’avoir soudoyé avec un complice au Portugal un sous-traitant philippin d’une plateforme de commerce électronique, contacté sur le chat d’assistance.
Transactions douteuses de quelques centaines de dollars
Selon la justice américaine, plusieurs messages attestent dès mai 2019 de transactions douteuses de quelques centaines de dollars, en vue d’obtenir de façon frauduleuse des fichiers de données clients. En complément, des faux avis positifs sur la prestation du sous-traitant ont également été accordés. Les fichiers de données volées, le nom des clients, leurs adresses et leurs e-mails, leurs facturations et moyens de paiement étaient exportés via des liens Google drive ou des captures d’écran.
Un trafic louche qui s’est poursuivi jusqu’en septembre 2020. Le géant canadien Shopify, partenaire de Ledger pour ses activités de e-commerce, avait déploré le comportement de deux « employés voyous » de son équipe d’assistance, qui avaient lésé au total 200 de ses clients.
Selon la justice américaine, les données clients volées – un total de 3 000 fichiers ont été retrouvés sur l’ordinateur du jeune Autrichien – auraient ensuite permis aux deux mis en cause de créer de fausses pages de e-commerce ou auraient été revendues. Selon The Big Whale, les ventes frauduleuses auraient rapporté un total de 150 000 euros.
Information judiciaire en cours
Première sur le coup, la justice américaine a déjà clôturé l’affaire. Tassilo H. a en effet été déclaré coupable de fraude électronique le 25 février 2022. Il a alors été condamné à une peine de trois ans de liberté surveillée, avec l’obligation d’indemniser Shopify à hauteur de près de 52 000 dollars. Mais par ricochet, ses déclarations ont permis entre-temps à la justice française d’avancer aussi sur le dossier en identifiant son partenaire portugais, l’homme qui a été extradé et mis en examen en France.
Actuellement en détention, ce dernier a demandé en vain sa libération en décembre dernier. Selon nos informations, ce geek autodidacte a expliqué à la justice n’avoir été qu’un simple intermédiaire, les fichiers de données de clients de Ledger ayant été vendus à un tiers non identifié. L’information judiciaire, toujours en cours et suivie à Paris par la juge d’instruction Elise Treguer, permettra peut-être d’en savoir plus sur ce point.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));