Une fausse application Ledger sur l’App Store dérobe 5,9 BTC à un utilisateur
Par Emmanuel Roux
Dernière mise à jour
5 mins de lecture
Une fausse application Ledger Live répertoriée sur le Mac App Store d’Apple a siphonné 5,92 BTC – d’une valeur d’environ 420 000 USD – au musicien Garrett Dutton, connu professionnellement sous le nom de G. Love, après que la victime a saisi sa phrase de récupération (seed phrase) de 24 mots dans l’application frauduleuse lors de la configuration de son portefeuille matériel sur un nouvel ordinateur Apple.
Dutton a révélé le vol le 11 avril 2026 via X, décrivant cette perte comme l’intégralité de son épargne retraite en Bitcoin, accumulée sur environ une décennie. L’enquêteur on-chain ZachXBT a ensuite confirmé le parcours de blanchiment, traçant les fonds volés à travers neuf transactions vers des adresses de dépôt chez KuCoin.
Nous soupçonnons que cet incident est moins l’histoire de la malchance d’un utilisateur qu’un signal structurel de l’échec persistant des grandes plateformes de distribution d’applications à filtrer les applications frauduleuses de portefeuilles de cryptomonnaies avant qu’elles n’atteignent les utilisateurs finaux.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
À DÉCOUVRIR : Meilleure crypto memes à acheter dès maintenant
Le mécanisme fonctionne comme suit : l’application frauduleuse était répertoriée sur le Mac App Store d’Apple sous un compte développeur non affilié à Ledger, tout en se présentant visuellement et fonctionnellement comme le client de bureau légitime Ledger Live, le logiciel compagnon que les utilisateurs de portefeuilles matériels Ledger installent pour gérer leurs appareils et leurs actifs.
Lorsque Dutton a téléchargé l’application et l’a lancée lors d’une migration vers un nouvel ordinateur Apple, l’application lui a immédiatement demandé de saisir sa phrase de récupération de 24 mots – une demande que le véritable logiciel Ledger Live ne fait jamais lors d’une configuration de bureau normale, car la saisie de la seed phrase s’effectue exclusivement sur l’appareil physique.
Dutton a obtempéré, saisissant la phrase dans l’application contrefaite, qui a transmis les identifiants aux attaquants. Le mécanisme par lequel les BTC ont ensuite été extraits n’a nécessité aucune interaction supplémentaire de la part de la victime : la possession de la phrase de récupération accorde un contrôle complet et irrévocable sur tous les fonds associés au portefeuille, indépendamment de l’appareil matériel lui-même.
Hi I traced out your 5.92 BTC stolen and it was all laundered via @kucoincom deposit addresses in the following transactions:
6f5c8eb6b01774626f33527e0cb03c0d1860447acacd6079e69bf41b459bcf1f
9ee1288f941b2c3775ebd125eefeebdc713aa160bf2cf9d18661fd07f84ce891…— ZachXBT (@zachxbt) April 12, 2026
Le traçage de ZachXBT a identifié neuf transactions sortantes dispersant les 5,92 BTC vers des adresses de dépôt KuCoin, un modèle de blanchiment cohérent avec les précédentes campagnes de faux portefeuilles où des plateformes d’échange avec des contrôles de dépôt moins stricts sont utilisées pour convertir rapidement les avoirs volés.
Au moment du vol, la valeur en dollars était d’environ 420 000 USD sur la base d’un prix du BTC proche de 70 955 USD. Au moment de la publication, KuCoin n’avait pas publié de déclaration officielle concernant les dépôts tracés.
Dutton a précisé publiquement que l’attaque relevait de l’ingénierie sociale via une application trompeuse, et non d’une faille dans l’appareil de Ledger lui-même – une distinction importante pour la manière dont les utilisateurs doivent évaluer la menace.
Ce n’est pas la première fois qu’une application Ledger contrefaite franchit un processus d’examen d’App Store prétendument supervisé. En 2023, une fausse application Ledger Live répertoriée sur le Microsoft Store avait permis à des attaquants de dérober près de 600 000 USD de Bitcoin à plusieurs victimes avant que la fiche ne soit supprimée.
Début 2025, la société de cybersécurité Moonlock a documenté un logiciel malveillant spécifique à macOS qui remplaçait discrètement les installations légitimes de Ledger Live sur les machines des utilisateurs et demandait la saisie de la seed phrase via une interface falsifiée.
Ce modèle récurrent – fausse application, livraison via l’App Store ou le système de fichiers, capture de la phrase de récupération, drainage immédiat des fonds – a persisté sur différentes plateformes au fil des ans sans résolution structurelle.
Ledger a maintenu une position publique constante selon laquelle son logiciel est distribué exclusivement via ledger.com, et qu’aucune application Ledger légitime ne demandera jamais de phrase de récupération sur une interface de bureau ou mobile.
it seems Apple does not want people documenting the fact they allow fake apps on the App Store. pic.twitter.com/1mnkSsZ9R7
— ZachXBT (@zachxbt) April 12, 2026
Malgré cela, des applications de contrefaçon continuent d’apparaître dans les résultats de recherche de l’App Store sous des comptes de développeurs non liés à Ledger, exploitant la confiance que les utilisateurs accordent à l’infrastructure d’examen d’Apple.
Nous soupçonnons que le processus d’examen d’Apple – conçu principalement pour évaluer la sécurité fonctionnelle et la conformité aux politiques – est structurellement mal équipé pour détecter l’usurpation d’identité sémantique des interfaces de portefeuilles matériels, où la tromperie ne réside pas dans l’exécution de code malveillant, mais dans une interface utilisateur frauduleuse qui sollicite des informations sensibles.
Le contexte général pour les détenteurs pratiquant l’auto-conservation est que les opérations de vol sophistiquées ciblant les détenteurs de crypto combinent de plus en plus l’ingénierie sociale avec une infrastructure de distribution bénéficiant d’une légitimité implicite : une fiche sur un App Store, une interface réaliste, un flux de configuration plausible. La surface d’attaque ne se réduit pas.
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.