Une fausse application Ledger Live sur l'App Store macOS a permis le vol de 9,5 millions de dollars en cryptomonnaies auprès de 50 victimes en quelques jours.
En bref
- Une fausse application Ledger Live distribuée via l'App Store macOS a siphonné 9,5 millions de dollars en cryptomonnaies auprès de 50 victimes entre le 8 et le 11 avril 2026.
- Les attaquants récupéraient les phrases de récupération (seed phrases) saisies par les utilisateurs pour vider intégralement leurs portefeuilles.
- Les fonds volés ont été blanchis via plus de 150 adresses de dépôt sur KuCoin et un service de mixage centralisé.
Ce qui s'est passé
Une application frauduleuse imitant Ledger Live, le logiciel officiel de gestion des portefeuilles matériels Ledger, a réussi à passer les contrôles de validation de l'App Store d'Apple pour macOS. Cette contrefaçon, visuellement identique à l'originale, incitait les utilisateurs à saisir leur phrase de récupération de 24 mots sous prétexte d'une vérification de sécurité ou d'une synchronisation du portefeuille. Une fois ces informations sensibles capturées, les attaquants obtenaient un accès total aux fonds des victimes et procédaient au transfert immédiat des actifs numériques vers des adresses sous leur contrôle. L'enquête menée par l'investigateur blockchain ZachXBT a permis d'identifier au moins 50 victimes et de retracer les flux financiers sur plusieurs chaînes, notamment Bitcoin, Ethereum, Tron, Solana et Ripple. Trois victimes ont subi des pertes individuelles dépassant le million de dollars, avec des montants de 3,23 millions, 2,08 millions et 1,95 million de dollars respectivement.
Les fonds dérobés ont ensuite été acheminés vers plus de 150 adresses de dépôt sur la plateforme d'échange KuCoin, liées à un service de mixage centralisé baptisé « AudiA6 ». Ce service blanchit les cryptomonnaies moyennant des commissions élevées, rendant la traçabilité des fonds considérablement plus complexe pour les enquêteurs. Apple a depuis retiré l'application frauduleuse de l'App Store, mais le délai entre sa publication et son retrait a suffi aux attaquants pour causer des dommages considérables. Cette affaire rappelle un précédent similaire où de fausses applications Ledger avaient déjà ciblé les utilisateurs macOS, comme l'avaient signalé plusieurs chercheurs en sécurité début 2025.
Pourquoi c'est important
Cette attaque remet en question la confiance accordée aux stores d'applications officiels comme garantie de sécurité. L'App Store d'Apple, réputé pour ses processus de validation rigoureux, a laissé passer une application manifestement malveillante qui imitait un logiciel financier critique. Pour les détenteurs de cryptomonnaies, la compromission d'une seed phrase signifie la perte irréversible de tous les actifs associés, sans aucun recours possible auprès d'une banque ou d'un assureur. Cette affaire s'inscrit dans une tendance plus large où les cybercriminels ciblent de plus en plus les utilisateurs de cryptomonnaies via des arnaques sophistiquées, comme en témoigne le récent démantèlement de l'opération Atlantic. Elle souligne également la responsabilité des plateformes de distribution dans la vérification de l'authenticité des applications financières, un enjeu que la feuille de route cybersécurité française 2026-2027 aborde dans son volet protection des consommateurs.
Ce qu'il faut retenir
- Ne jamais saisir sa phrase de récupération (seed phrase) dans une application, même téléchargée depuis un store officiel : Ledger ne la demande jamais dans son logiciel.
- Toujours vérifier l'éditeur et les avis d'une application avant installation, et privilégier le téléchargement direct depuis le site officiel du fabricant.
- Les vols de cryptomonnaies à grande échelle se multiplient : la vigilance reste le premier rempart, y compris face aux attaques ciblant les plateformes fintech.
Comment vérifier qu'on utilise la vraie application Ledger Live ?
Téléchargez exclusivement Ledger Live depuis le site officiel ledger.com. Vérifiez le certificat de l'application et son éditeur dans les propriétés du fichier. Ledger ne demande jamais votre phrase de récupération dans l'application : toute demande de ce type est un signal d'arnaque immédiat.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire