Une arnaque sophistiquée découverte : du faux matériel infiltrant les marchés mondiaux et siphonnant les actifs numériques.

Les portefeuilles matériels Counterfeit Ledger sont au centre d'une menace croissante ciblant les utilisateurs de crypto-monnaie dans le monde entier. Un chercheur en sécurité a documenté une opération à grande échelle de distribution de faux appareils Ledger Nano S Plus sur plusieurs marchés en ligne. Les unités compromises semblent identiques aux produits légitimes mais comportent un matériel interne totalement différent. Les graines, les codes PIN et les données du portefeuille sont envoyés directement aux serveurs contrôlés par les attaquants, vidant ainsi tout portefeuille initialisé sur l'appareil. Les appareils contrefaits remplacent la puce d’élément sécurisé de Ledger par un microcontrôleur ESP32. Cette puce de remplacement exécute un micrologiciel modifié intitulé « Nano S+ V2 1 ». Contrairement au véritable élément sécurisé, ce matériel stocke les données sensibles en texte brut. Ces données sont ensuite transmises à des serveurs distants contrôlés par les attaquants à l'origine de l'opération. Au-delà du matériel, la campagne distribue également une version frauduleuse de Ledger Live. Cette fausse application est construite avec React Native et signée à l'aide d'un certificat de débogage. Il intercepte les transactions et envoie les données utilisateur sensibles à plusieurs serveurs de commande et de contrôle. Les utilisateurs téléchargeant cette version n’ont aucune indication visible que quelque chose ne va pas. L'attaque s'étend sur cinq vecteurs distincts : le matériel compromis, les APK Android, les exécutables Windows, les installateurs macOS et les applications iOS. Un chercheur en sécurité vient de documenter une opération de contrefaçon à grande échelle du Ledger Nano S Plus vendant des appareils compromis sur plusieurs marchés en ligne. Les fausses unités semblent identiques aux vraies mais contiennent du matériel complètement différent. Au lieu du système sécurisé de Ledger… pic.twitter.com/6ZfP9pJkUU – TFTC (@TFTC21) 16 avril 2026 La distribution iOS utilise la plate-forme TestFlight d'Apple pour contourner le processus d'examen standard de l'App Store. Cette approche permet au logiciel frauduleux d'atteindre les utilisateurs sans déclencher les contrôles de sécurité habituels. Chaque canal sert de point d’entrée indépendant pour la même arnaque sous-jacente. La fonction de vérification d'authenticité intégrée de Ledger est conçue pour vérifier l'authenticité de l'appareil. Toutefois, ce processus de vérification peut être contourné lorsque le matériel est falsifié à la source. Cela fait du point d’achat une variable de sécurité essentielle. L'achat auprès de vendeurs non autorisés supprime la seule couche fiable de vérification au niveau matériel. Par ailleurs, l'enquêteur en chaîne ZachXBT a documenté une autre fausse application Ledger Live qui a été examinée par le Mac App Store d'Apple. Cette opération à elle seule a coûté plus de 9,5 millions de dollars à plus de 50 victimes. Parmi les personnes concernées figurait le musicien G. Love, qui a perdu 5,92 BTC après avoir saisi sa phrase de récupération dans l'application frauduleuse. L'application s'est présentée comme le logiciel compagnon légitime de Ledger. Ensemble, ces deux opérations montrent clairement la manière dont les attaquants ciblent les utilisateurs de portefeuilles matériels. Plutôt que d’exploiter les vulnérabilités du micrologiciel, ils interceptent les utilisateurs avant qu’ils n’atteignent un véritable appareil. La fraude se produit au niveau de la distribution et non au niveau du protocole. Ce changement rend le comportement des utilisateurs et la source d’achat plus importants que jamais. Les meilleures pratiques de sécurité restent inchangées malgré l’évolution des tactiques. Les portefeuilles matériels ne doivent être achetés que directement sur le site officiel du fabricant. Aucun logiciel de portefeuille légitime ne demandera jamais une phrase de récupération de 24 mots à l'écran. Toute application demandant la saisie d’une phrase de départ est une arnaque, sans exception. Le message plus large des deux incidents est simple. Le matériel lui-même reste sécurisé lorsqu’il est obtenu via les canaux appropriés. La vulnérabilité réside désormais dans l’écosystème de la chaîne d’approvisionnement et de la distribution de logiciels. Rester en sécurité nécessite une attention égale à l'endroit où un appareil est acheté et à la manière dont le logiciel associé est obtenu.