Comment une fausse app passe les contrôles d’Apple!!
L’application a été publiée sous le nom de développeur « Leva Heal Limited ». Elle ressemblait visuellement à Ledger Live, l’outil officiel de gestion des portefeuilles matériels Ledger. Même branding approximatif, même interface, mêmes étapes de configuration. La différence : à un moment du processus, l’application demandait à l’utilisateur de saisir sa phrase de récupération de 24 mots directement dans l’interface. C’est là que tout se joue. Une phrase de récupération saisie dans une application connectée à Internet donne à l’attaquant un accès total et permanent à tous les portefeuilles associés. Aucune confirmation physique sur le hardware wallet n’est nécessaire une fois les 24 mots compromis.
La communauté Reddit a commencé à alerter sur des anomalies dans l’identité du développeur peu avant le retrait de l’application. Apple a supprimé l’app après signalement. Mais entre le premier signalement et la suppression effective, les dégâts étaient déjà considérables. Ce n’est pas la première fois : en 2023, une fausse application Ledger Live sur le Microsoft Store avait déjà siphonné près de 600 000 dollars selon le même mécanisme.
Ce qui a changé : l’échelle et les victimes identifiées
L’enquêteur on-chain ZachXBT a retracé les flux et identifié au moins trois pertes individuelles dépassant chacune le million de dollars. La plus lourde : 3,23 millions de dollars en USDT vidés en une seule transaction le 9 avril. Le 11 avril, 2,07 millions de dollars en USDC. Le 8 avril, 1,95 million de dollars ont été répartis en Bitcoin, stETH et ETH. Les fonds volés ont été dispersés à travers plus de 150 adresses de dépôt KuCoin, puis dirigés vers un service de mixing centralisé appelé AudiA6, connu pour ses frais élevés d’obfuscation de transactions.
Impact pour les utilisateurs francophones
Cette affaire concerne directement les utilisateurs de hardware wallets Ledger en France, en Belgique et au Canada, où le matériel Ledger est particulièrement populaire grâce à son origine française. Beaucoup d’utilisateurs francophones ont acheté un Ledger précisément pour sécuriser leurs actifs, et la logique naturelle est d’aller chercher l’application de gestion là où on cherche tous ses logiciels : sur l’App Store ou le Play Store. C’est exactement ce réflexe que les attaquants exploitent. Ledger a rappelé à plusieurs reprises qu’il ne distribue jamais Ledger Live via des boutiques d’applications tierces. L’unique source officielle est ledger.com, à taper directement dans le navigateur.
Ce qu’il faut surveiller et retenir pour se protéger
ZachXBT a suggéré que l’ampleur de l’incident pourrait constituer la base d’un recours collectif contre Apple pour défaillance du processus de vérification des applications. KuCoin est également dans le viseur des enquêteurs : l’exchange avait perdu sa licence MiCA en Autriche en février 2026, quelques mois seulement après l’avoir obtenue, et avait payé plus de 300 millions de dollars d’amendes aux autorités américaines en 2025 pour violations des règles anti-blanchiment. Trois règles simples à retenir : ne jamais saisir sa phrase de récupération sur un appareil connecté, télécharger Ledger Live uniquement depuis ledger.com, et considérer comme frauduleuse toute application wallet trouvée sur une boutique d’applications grand public.
⚠️️ Cet article est à titre informatif uniquement et ne constitue pas un conseil financier. Les cryptomonnaies sont des actifs hautement volatils. Effectuez toujours vos propres recherches avant tout investissement.
