La Cnil prend son temps. Mais quatre années après les faits, la société française Ledger va devoir passer à la caisse. La Commission Nationale Informatique et Libertés a confirmé auprès de l’AFP avoir sanctionné la startup française pour avoir insuffisamment sécurisé les données de ses utilisateurs, dérobées en 2020 lors de plusieurs attaques informatiques.
Le montant total de cette sanction s’élèverait à 750 000 euros selon la Lettre. La CNIL n’a pas souhaité communiquer publiquement sur le montant de l’amende infligée.
La Commission estime que la société Ledger aurait enfreint deux articles du RGPD, l’un relatif à la durée de conservation des données et un autre encadrant la façon dont les données devaient être conservées, selon le média spécialisé dans la blockchain The Big Whale. La CNIL explique avoir été saisie d’une « cinquantaine de plaintes » visant la société Ledger.
Fuites en série
Ledger avait fait face à deux piratages successifs au cours de l’année 2020 ayant notamment permis aux attaquants d’accéder à sa base de données clients. La première attaque avait eu lieu au mois de mai 2020. Elle visait la plateforme Shopify utilisée par Ledger et avait permis la fuite d’une base de données client d’environ 290 000 personnes. Une seconde attaque avait été identifiée au mois de juin de cette même année. Elle avait permis cette fois l’exfiltration des données personnelles d’environ un millions de personnes.
Les responsables de la première attaque ont été identifiés et arrêtés. Mais pas les responsables de la seconde fuite de données. Les données récupérées à cette occasion avaient été partagées à de nombreuses reprises sur différentes plateformes d’échanges de données volées. Elles avaient été réutilisées pour mener des opérations de hameçonnage contre les clients de la marque française. Ledger avait plusieurs fois alerté ses utilisateurs sur les campagnes de phishing.
Dans les deux cas, les vols de données n’ont pas remis en question la sécurité des portefeuilles crypto commercialisés par la société française. Il s’agissait avant tout de bases de données conservées par la société pour des besoins marketing, et qui contenaient des données personnelles sur les clients de la marque.