Une fausse version de l’application de cryptomonnaie Ledger Live est restée deux semaines sur le Mac App Store, le temps de soutirer 9,5 millions de dollars à plus de 50 victimes. Apple a supprimé l’application sans jamais expliquer comment elle a pu passer son test de validation.

Bitcoin Piece

Une fausse application Ledger qui a fait des dégâts

L’arnaque reposait sur un principe simple : la fausse application demandait aux utilisateurs d’entrer leur phrase de récupération, une clé d’accès intégrale au portefeuille crypto que la vraie application Ledger Live ne sollicite jamais. Les fonds dérobés ont transité par la plateforme d’échange KuCoin, puis par un service de mixage appelé AudiA6, connu pour facturer des frais élevés afin de brouiller les traces. L’auteur de la fausse application a utilisé plusieurs adresses de portefeuilles répartis sur cinq réseaux : Bitcoin, Ethereum, Tron, Solana et Ripple.

L’application avait été soumise sous le nom d’éditeur Leva Heal Limited, un compte sans aucun lien avec l’équipe de Ledger. Pour renforcer sa crédibilité, le fraudeur a fabriqué un historique de versions fictif en publiant des mises à jour tous les deux à trois jours sur le Mac App Store, passant de la version 1.0 à la version 5.0 en l’espace de deux semaines seulement.

9,5 millions de dollars arnaqués au total

Trois des victimes ont perdu des sommes à sept chiffres : 3,23 millions, 2,08 millions et 1,95 million de dollars. L’enquêteur indépendant ZachXBT, qui a documenté l’affaire sur Telegram, a évoqué la possibilité d’une class action contre Apple au regard des montants en jeu. La firme de Cupertino n’a fait aucun commentaire sur les failles de son processus de validation.

KuCoin a annoncé le gel des comptes impliqués, mais cette mesure est limitée au 20 avril. Au-delà de cette date, seule une demande officielle des autorités judiciaires permettra de prolonger le blocage, ce qui réduit la fenêtre d’action pour les victimes. La vraie application Ledger Live n’est distribuée que via le site officiel de Ledger et n’est pas disponible sur le Mac App Store.

Apple vit en tout cas une mauvaise semaine pour la réputation de l’App Store. Le groupe a également Freecash, une application iOS qui collectait beaucoup de données personnelles sur les utilisateurs. Plus d’informations sont à retrouver sur cet article.