Fausse app Ledger Live sur l'App Store : 9,5 M$ volés

Ce qui s'est passé

Une application frauduleuse imitant Ledger Live, le logiciel officiel de gestion des portefeuilles matériels Ledger, a réussi à passer les contrôles de validation de l'App Store d'Apple pour macOS. Cette contrefaçon, visuellement identique à l'originale, incitait les utilisateurs à saisir leur phrase de récupération de 24 mots sous prétexte d'une vérification de sécurité ou d'une synchronisation du portefeuille. Une fois ces informations sensibles capturées, les attaquants obtenaient un accès total aux fonds des victimes et procédaient au transfert immédiat des actifs numériques vers des adresses sous leur contrôle. L'enquête menée par l'investigateur blockchain ZachXBT a permis d'identifier au moins 50 victimes et de retracer les flux financiers sur plusieurs chaînes, notamment Bitcoin, Ethereum, Tron, Solana et Ripple. Trois victimes ont subi des pertes individuelles dépassant le million de dollars, avec des montants de 3,23 millions, 2,08 millions et 1,95 million de dollars respectivement.

Les fonds dérobés ont ensuite été acheminés vers plus de 150 adresses de dépôt sur la plateforme d'échange KuCoin, liées à un service de mixage centralisé baptisé « AudiA6 ». Ce service blanchit les cryptomonnaies moyennant des commissions élevées, rendant la traçabilité des fonds considérablement plus complexe pour les enquêteurs. Apple a depuis retiré l'application frauduleuse de l'App Store, mais le délai entre sa publication et son retrait a suffi aux attaquants pour causer des dommages considérables. Cette affaire rappelle un précédent similaire où de fausses applications Ledger avaient déjà ciblé les utilisateurs macOS, comme l'avaient signalé plusieurs chercheurs en sécurité début 2025.

Pourquoi c'est important

Cette attaque remet en question la confiance accordée aux stores d'applications officiels comme garantie de sécurité. L'App Store d'Apple, réputé pour ses processus de validation rigoureux, a laissé passer une application manifestement malveillante qui imitait un logiciel financier critique. Pour les détenteurs de cryptomonnaies, la compromission d'une seed phrase signifie la perte irréversible de tous les actifs associés, sans aucun recours possible auprès d'une banque ou d'un assureur. Cette affaire s'inscrit dans une tendance plus large où les cybercriminels ciblent de plus en plus les utilisateurs de cryptomonnaies via des arnaques sophistiquées, comme en témoigne le récent démantèlement de l'opération Atlantic. Elle souligne également la responsabilité des plateformes de distribution dans la vérification de l'authenticité des applications financières, un enjeu que la feuille de route cybersécurité française 2026-2027 aborde dans son volet protection des consommateurs.

Ce qu'il faut retenir

• Ne jamais saisir sa phrase de récupération (seed phrase) dans une application, même téléchargée depuis un store officiel : Ledger ne la demande jamais dans son logiciel.
• Toujours vérifier l'éditeur et les avis d'une application avant installation, et privilégier le téléchargement direct depuis le site officiel du fabricant.
• Les vols de cryptomonnaies à grande échelle se multiplient : la vigilance reste le premier rempart, y compris face aux attaques ciblant les plateformes fintech.