Longtemps, Philippe a gentiment gagné sa vie en dirigeant une affaire de piscines de luxe sur la Côte d’Azur. Il y a trois ans, cet homme à la cinquantaine fringante décide de tout arrêter pour profiter de la vie. Il se prend alors de passion pour le monde de la cryptomonnaie, ces ressources numériques présentées comme le futur de l’économie car elles permettent d’acheter des biens et des services, de transférer des fonds ou de prêter de l’argent, en s’affranchissant des banques centrales. « Je me suis beaucoup documenté et j’ai pris des abonnements à des lettres spécialisées », raconte-t-il aujourd’hui. En un an, il investit plus de 150 000 euros dans soixante-dix cryptos différentes, dont une majorité de bitcoins et d’ethers, les deux principales cryptomonnaies. Une aubaine : six mois plus tard, son investissement a déjà quadruplé. Un horizon heureux se dessine devant lui. Du moins, jusqu’au 27 octobre 2020.
Ce mardi-là, Philippe attaque sa journée en relevant ses emails. Soudain, un message le fait tressaillir : « Votre dispositif Ledger pourrait avoir été piraté », est-il écrit en anglais. « Je ne suis pas du genre naïf et, dans la crypto, on reçoit en permanence des tentatives de[hameçonnage], raconte l’entrepreneur. Mais là, l’email était crédible. » S’il n’est pas serein, c’est que le dispositif en question est une clé USB sécurisée sur laquelle il stocke une bonne partie de ses cryptomonnaies. Inventé en 2014 par Ledger, une start-up française, ce portefeuille moderne a la réputation d’être la solution la plus sûre pour conserver ses actifs dans un univers où les piratages sont légion. Or, l’email avance que l’entreprise a été victime d’une faille de sécurité : les serveurs de Ledger Live – le logiciel permettant d’accéder au contenu de la clé – ont été infectés par un virus. Philippe pianote sur Google. Ce qu’il trouve a l’air de coller : divers articles se font l’écho d’un . Ledger l’a même reconnu trois mois plus tôt, le 29 juillet 2020, sur son blog, en évoquant une « potentielle » fuite de données qui concernerait un million d’adresses emails, mais aussi, l’ensemble des coordonnées de 9 500 clients – identités et adresses postales comprises.