Fausse application Ledger sur l’App Store : un musicien perd sa retraite en Bitcoin

De fausses applications crypto échappent encore et toujours aux contrôles d’Apple et Google, et les conséquences peuvent être désastreuses. Récemment, un musicien américain en a fait les frais : il a perdu l’intégralité de sa retraite en Bitcoin via une application factice Ledger de l’App Store. Et cela aurait pu arriver à quiconque.

5,9 BTC perdus en un clin d’œil

Il s’agit de Garrett Dutton, plus connu sous le nom de G. Love, le leader du groupe de hip-hop blues G. Love & Special Sauce. Samedi dernier, il a annoncé sur le réseau social X avoir vu disparaître tous ses Bitcoin (BTC) « en un clin d’œil ».

Dutton transférait son portefeuille matériel Ledger vers un nouvel ordinateur et cherchait dans l’App Store l’application officielle Ledger Live. Ce qu’il a téléchargé semblait légitime, mais ne l’était pas.

L’application factice lui a demandé d’entrer sa phrase de récupération, une suite de 24 mots servant de clé principale pour un portefeuille crypto. Saisir cette phrase est une étape standard pour restaurer un portefeuille sur un nouvel appareil. Cela permet de régénérer les clés privées utilisées pour envoyer des cryptomonnaies.

Mais au lieu de restaurer son portefeuille, l’application a transmis les mots directement à l’attaquant. Celui-ci a pu ainsi générer les mêmes clés privées et vider le portefeuille en une fois.

Son portefeuille Bitcoin, totalisant 5,9 BTC, a disparu, ce qui, selon Dutton, représentait son fonds de retraite. Compte tenu du cours actuel du Bitcoin, cela équivaut à une valeur de près de 419 000 dollars. Dutton le considérait comme son fonds de retraite.

Le détective de la blockchain ZachXBT a découvert que l’attaquant avait déjà blanchi les Bitcoin volés par le biais de neuf transactions vers des adresses de dépôt sur la plateforme d’échange crypto KuCoin. Ses autres avoirs en cryptomonnaies n’ont pas été affectés.

Les fausses applications, un fléau dans les app stores

La responsabilité n’incombe pas ici à Ledger lui-même. Le problème des applications de portefeuilles imitées dans l’App Store et le Google Play Store est répandu et touche presque toutes les marques crypto connues. Les escrocs copient l’apparence et le nom des portefeuilles populaires et parviennent toujours à déjouer les contrôles d’Apple et de Google.

L’année dernière, la société de sécurité Cyble a découvert plus de vingt applications crypto malveillantes dans le Google Play Store se présentant comme des portefeuilles de SushiSwap, PancakeSwap et Hyperliquid, entre autres.

La méthode est presque toujours la même : l’application factice affiche une interface familière et demande à l’utilisateur de saisir une phrase de récupération. Sans techniques de piratage sophistiquées, l’attaquant accède ainsi à l’intégralité du contenu d’un portefeuille.

Ledger a déjà averti que les boutiques d’applications officielles peuvent contenir des versions factices et recommande aux utilisateurs de télécharger l’application de portefeuille uniquement via le site officiel.