Après deux fuites de données en 2020, la licorne Ledger attaquée au civil par des clients mécontents

Les plaignants s’appuient sur le règlement général sur la protection des données personnelles pour demander une réparation de leur préjudice devant le Tribunal judiciaire de Paris.

Ledger, le spécialiste français des coffres-forts numériques, avait été victime de deux fuites de données en 2020. Quatre ans plus tard, ces deux cyberattaques se doublent désormais d’un front judiciaire avec des actions au civil. Vingt plaignants, représentés par le cabinet ORWL, estiment, en s’appuyant sur le règlement général sur la protection des données personnelles (RGPD), que l’entreprise a manqué à ses obligations. Plus précisément, ils visent son devoir de sécurité, son défaut de diligence dans la notification des violations de données et des insuffisances quant à la minimisation et la limitation de durée de conservation des données collectées sur ses clients – un dernier point qui aurait permis ainsi, selon eux, « la fuite d’un nombre de données considérables ». Ils demandent ainsi 5 000 € au titre du préjudice moral et d’anxiété, et de 10 000 à 15 000 € pour la perte de contrôle sur leurs données.

Suivie par la première section de la quatrième chambre civile du Tribunal judiciaire de Paris, l’affaire a été débattue en audience le mardi 1er octobre dernier – des demandes d’autres plaignants ont été étudiées la semaine suivante, le mardi 8 octobre. « Imaginez que la société de votre coffre-fort divulgue à la terre entière vos noms, prénoms… c’est la situation de nos clients. Ils ont confié leur sécurité à une entreprise qui a perdu par deux fois leurs données personnelles par négligence », pointe Romain Chilly, l’avocat des vingt premiers plaignants. « C’est une action purement opportuniste » d’un nombre restreint de clients, lancée dans « une logique purement indemnitaire », réplique Hermien Van Der Vynckt, l’un des avocats de la société, représentée par le cabinet De Gaulle Fleurance.

Confiance ébranlée

Surnommé dans la presse « l’Apple des des crypto-actifs », Ledger est l’une des entreprises françaises en vue dans le secteur de la tech. Créée il y a dix ans, cette licorne – le terme pour désigner des sociétés valorisées plus d’un milliard d’euros – s’est fait un nom avec ses clés USB qui permettent de stocker en toute sécurité ses cryptoactifs. Il n’est pas indispensable d’avoir de tels outils pour garder la main sur ses clés privées, ce code qui permet l’accès à son portefeuille de cryptos. Mais ces « cold wallet » – des portefeuilles froids, par opposition aux portefeuilles chauds en ligne – sont considérés comme la solution de conservation la plus sûre, car déconnectés d’internet et donc à l’abri des menaces en ligne.

Une confiance dans ces produits « chers, le prix de la tranquillité », souligne Romain Chilly, qui a été ébranlée par deux fuites de données. Au printemps 2020, deux collaborateurs de Shopify, une plateforme de commerce électronique prestataire de Ledger, mettent tout d’abord la main sur des fichiers clients. L’entreprise dénoncera par la suite leur comportement malhonnête. Ces agents de l’assistance sont accusés d’avoir accédé et extrait illégalement des fichiers clients. Au final, l’incident va concerner 292 000 utilisateurs de Ledger. Puis, à la fin juin 2020, une deuxième attaque informatique frappe cette fois directement l’entreprise. La violation de données concerne cette fois-ci 272 000 clients, à 93 % les mêmes que dans la première attaque mentionnée. Ces derniers voient fuiter leur nom, adresses courriel et postale, et numéro de téléphone, tandis qu’un million de clients voient divulguer leur seule adresse email.

Une « mine d’or » pour les cybercriminels

Autant d’informations qui ont représenté pour des cybercriminels « une mine d’or », estime Romain Chilly. Ce type d’information peut en effet faciliter des attaques par hameçonnage, cette technique malveillante pour tromper sa victime et ainsi lui extorquer sa phrase de sauvegarde de son produit Ledger. C’est le seul moyen, à défaut de connaître le code des utilisateurs, pour contourner la sécurité des clés USB. Les cybercriminels se sont d’ailleurs montrés particulièrement imaginatifs. L’entreprise avait ainsi déploré en juin 2021 l’envoi à des clients, visiblement identifiés à la suite des fuites de données, de fausses clés Ledger. Le vrai-faux colis, accompagné d’une soi-disant lettre d’excuses du PDG de l’entreprise, était en réalité une manœuvre élaborée pour voler la phrase de sauvegarde des utilisateurs concernés.

Pour les plaignants, Ledger aurait dû faire plus pour prévenir la double fuite de données. L’entreprise n’a pas mis en œuvre, poursuivent-ils, les mesures techniques et organisationnelles appropriées. Pour la fuite de données venant de Shopify, leurs avocats pointent ainsi l’absence de vérification des mesures de sécurité mises en place par le sous-traitant et de mesures de surveillance adaptées. Pour la seconde fuite de données, celle dont a été victime directement Ledger, ils estiment que la seule réalisation d’un test d’intrusion en 2018 – à la durée et au périmètre non précisé – ne permettent pas de dédouaner l’entreprise.

Ce test n’avait pas permis, relèvent les plaignants, la détection d’une erreur de configuration permettant d’accéder aux données personnelles des clients de l’entreprise. Une erreur pourtant qualifiée plus tard par le PDG de Ledger de « simple » et « stupide ». « La société semble se cacher derrière des prestataires incompétents », résume Romain Chilly. L’avocat s’interroge également sur la quantité de données personnelles conservées plusieurs années après l’expédition du produit. Et sur la notification des violations, qui a pris la forme « d’un simple email en anglais ». « A minima, il incombait à la société de mettre en place un numéro d’appel d’urgence », poursuit le juriste.

Des prestataires parmi les meilleurs

Une argumentation vivement contestée en défense. L’avocat Georgie Courtois relève tout d’abord que la fuite de données ne concerne que des « données commerciales », des données de contact sans facteur de sensibilité. Un quart des plaignants a vu fuiter leur seul email, selon le décompte, contesté, de Ledger. « L’analyse de risque doit se faire à cette aune », précise la robe noire à l’adresse de la magistrate. « La donnée personnelle ne peut être protégée à 100 % », rappelle-t-il également, en citant plusieurs exemples récents de fuites de données qui ont défrayé la chronique. Avant enfin de relever que les notifications des violations de données ont été faites dans les temps. « Il n’y a aucune obligation d’envoyer un SMS », signale-t-il à ce sujet.

Ledger estime également qu’en choisissant Shopify, le leader mondial du e-commerce, elle s’était adossée au « meilleur » prestataire disponible. Le développement de la boutique s’est ainsi appuyé sur un sous-traitant listé dans le programme « premium » de cette société, un gage de qualité, sous-entend la défense. Quant à l’erreur de configuration sur le site de l’entreprise, elle était « si évidente que personne ne l’a vue pendant deux ans », ironise l’avocat.

« En réalité, souligne Georgie Courtois, c’était une attaque extrêmement complexe. » La preuve ? La faille n’avait pas été remarquée par le prestataire d’audit en sécurité des systèmes d’information, pourtant une entreprise certifiée par l’Agence nationale de la sécurité des systèmes d’information, le cyberpompier de l’État. Ce test était « superfétatoire, personne ne le fait et pourtant l’entreprise avait décidé de le faire », insiste l’avocat. Et d’estimer ainsi que Ledger, qui a aussi mis en place un programme de bug bounty pour déceler des vulnérabilités informatiques, a bien rempli son obligation de moyens en matière de sécurité. L’entreprise signale enfin à son appui une décision rendue récemment en Allemagne. Outre-Rhin, un tribunal d’instance a estimé qu’un plaignant, dans une procédure distincte, ne démontrait pas suffisamment les manquements de Ledger sur le plan technique et organisationnel.

« Pas sérieux »

Au tour d’Hermien Van Der Vynckt, le second avocat de la société, de plaider. Le juriste vise cette fois-ci les plaignants. La défense leur demande d’ailleurs, au nom de l’article 700, la prise en charge des frais juridiques de Ledger, soit environ 10 000 € par personne. Ces derniers n’apportent tout d’abord pas la preuve de leur « préjudice moral ». « Demander un préjudice d’anxiété parce qu’on a reçu des messages malveillants classés en spam ? Ce n’est pas sérieux », pointe-t-il. « Une violation du règlement général sur la protection des données personnelles n’entraîne pas forcément un dommage », poursuit l’avocat. « Avec leur raisonnement, une fuite de données d’une entreprise de cadenas serait aussi sensible », tacle également le juriste. L’avocat relève enfin qu’une partie des demandeurs, « un public averti », a déjà fait l’objet de fuites de données.

Quant aux cinq plaignants qui affirment avoir perdu leurs cryptoactifs à la suite de la violation de données – pour des pertes alléguées de 25 000 à 600 000 € –, ils « ont fait preuve de négligence et de naïveté en communiquant leur phrase de sauvegarde », affirme Hermien Van Der Vynckt. L’un d’entre eux avait enregistré sa phrase sur une application de prise de notes en ligne. Un autre avait perdu la main sur ces cryptoactifs après avoir cliqué sur un lien reçu par SMS, tout comme un troisième, à la suite d’un mail frauduleux reçu quatre jours après un message explicite de l’entreprise appelant à ne jamais communiquer à un tiers sa phrase de sauvegarde.

Le délibéré sera rendu le 4 mars 2025. 

 

Lefebvre Dalloz