Les escrocs envoient de fausses lettres : les utilisateurs de Ledger et Trezor en danger

Les utilisateurs de Ledger et Trezor reçoivent, une fois de plus, des courriers de fraudeurs. Ces lettres visent à tromper les détenteurs de portefeuilles matériels pour qu’ils cèdent l’accès à leurs cryptomonnaies. Si vous recevez une telle demande, il est impératif de se méfier, peu importe la présentation professionnelle du courrier.

Leçon importante pour les investisseurs en crypto

L’expert en cybersécurité Dmitry Smilyanets a signalé le 13 février qu’il avait reçu une fausse lettre prétendument envoyée par Trezor. Elle exigeait qu’il effectue un « contrôle d’authentification » obligatoire avant le 15 février, sous peine de voir son appareil restreint.

La lettre contient un hologramme et un code QR menant à un site imitant ceux de Ledger et Trezor. Les victimes sont invitées à entrer leur phrase de récupération.

Une phrase de récupération est une suite de 12 ou 24 mots qui donne un accès complet à un portefeuille crypto. Partager ces mots revient à donner les clés de son coffre-fort numérique.

Selon Smilyanets, la lettre était prétendument signée par Matěj Žák, désigné comme « PDG de Ledger ». En réalité, Žák est le PDG de Trezor. En octobre également, les utilisateurs de Ledger ont signalé des lettres similaires avec une « vérification de transaction » obligatoire.

Une fois la phrase de récupération saisie, elle est transmise via une API au fraudeur, qui peut alors importer le portefeuille sur son propre appareil et transférer immédiatement les crypto-actifs.

Ledger souligne sur son site que l’entreprise ne demande jamais une phrase de récupération. Ni par email, ni via un site web, ni par courrier.

Cela vaut également pour d’autres entreprises crypto de confiance. Aucun acteur sérieux ne demandera jamais ce type d’information sensible. Dans le domaine de la crypto, il faut être encore plus vigilant. Une seule erreur peut vous coûter une fortune en quelques secondes. Et dans ce cas, aucune assistance clientèle ne pourra récupérer vos pertes.

Les arnaques crypto s’adaptent

Selon Deddy Lavid, PDG de l’entreprise de cybersécurité Cyvers, les arnaques crypto ne diminuent pas en marché baissier. « Quand la spéculation ralentit, les piratages opportunistes peuvent diminuer, mais les arnaques par ingénierie sociale et imitation augmentent souvent », a-t-il déclaré.

« Pendant les marchés en baisse, les utilisateurs sont plus anxieux, réagissent de manière impulsive et sont plus vulnérables aux campagnes de peur, comme les faux courriers sur des contrôles de conformité ou les fausses alertes de portefeuille. »

Les fuites de données continuent d’avoir des répercussions

Ledger a subi plusieurs fuites de données importantes ces dernières années, via ses propres systèmes ou des partenaires externes. Le mois dernier encore. Cela inclut des informations d’adresses physiques, facilitant ces attaques par courrier.

Trezor a signalé en janvier 2024 un incident de sécurité exposant les informations de contact de près de 66 000 clients.

Ce n’est pas la première fois que des criminels utilisent le courrier physique. En 2021, de faux appareils Ledger Nano ont été envoyés aux victimes de la fuite de données de 2020. En avril 2025, des lettres de phishing avec codes QR ont refait surface et en mai, de fausses versions de l’application Ledger Live ont circulé.