Faux Ledger Live : 9,5 M$ de crypto volés via l’App Store d’Apple

Une fausse version de Ledger Live a été disponible sur l’App Store d’Apple pendant environ deux semaines. Avant qu’Apple ne la retire le 14 avril, au moins 50 utilisateurs ont perdu au total 9,5 millions de dollars en cryptomonnaies. L’application était publiée sous le nom « Leva Heal Limited », une entité sans aucun lien avec Ledger SAS, société qui fabrique les véritables portefeuilles Ledger. Les victimes ont téléchargé ce qu’elles pensaient être l’application officielle, saisi leur phrase de récupération et vu leur portefeuille vidé en quelques minutes.

L’enquêteur blockchain ZachXBT a retracé les fonds volés et publié une analyse détaillée le 14 avril. Les trois plus grosses pertes individuelles s’élèvent à 3,23 M$ en USDT, 2,08 M$ en USDC et 1,95 M$ sur BTC, ETH et stETH. Un utilisateur a partagé sur X la perte de 5,9 BTC, soit l’épargne d’une décennie.

Cet incident illustre six jours où le processus de validation de l’App Store n’a pas détecté la fraude, au détriment des utilisateurs qui lui faisaient confiance.

Comment l’arnaque a fonctionné

L’attaque était simple, ce qui la rend d’autant plus efficace. L’application frauduleuse apparaissait sur le Mac App Store avec le même nom, le même logo, et un éditeur dont l’intitulé pouvait passer inaperçu. « Leva Heal Limited » ne signifiait rien pour quelqu’un cherchant « Ledger Live » et supposant qu’Apple filtre les fausses applications.

Une fois installée, l’application reproduisait l’écran de configuration d’un portefeuille électronique identique à l’interface officielle. Elle demandait aux utilisateurs de saisir leur phrase de récupération de 24 mots pour « restaurer » ou « synchroniser » leur portefeuille. Dès cette étape, les attaquants obtenaient un accès complet à tous les actifs. Pas de malware, ni d’exploitation technique : simplement un formulaire auquel l’utilisateur fait confiance.

Les transferts ont été rapides. Du 7 au 13 avril, les voleurs ont systématiquement vidé les portefeuilles. Le vol de 3,23 M$ en USDT a eu lieu le 9 avril, celui de 1,95 M$ en BTC/ETH/stETH le 8 avril, et les 2,08 M$ en USDC le 11 avril. À chaque fois, le scénario se répète : phrase entrée, fonds transférés en quelques minutes, puis acheminés vers des portefeuilles intermédiaires avant d’atteindre des adresses de dépôt sur des plateformes d’échange.

Destination des fonds

L’analyse on-chain de ZachXBT a permis de suivre les fonds à travers plus de 150 adresses de dépôt KuCoin. Le blanchiment s’appuyait sur un service de mixage centralisé appelé « AudiA6 », fractionnant les montants pour échapper aux contrôles réglementaires.

Le choix de KuCoin est notable ; la plateforme a fait face à des pressions réglementaires dans plusieurs juridictions ces dernières années, et ses exigences KYC sont parfois jugées moins strictes que d’autres bourses régulées. Pour les attaquants, convertir des cryptos volées rapidement passe donc par des plateformes à contrôle plus souple.

Aucun fonds n’a été récupéré à la date du 16 avril. La rapidité et la complexité du blanchiment rendent la récupération très difficile, sauf en cas de collaboration de KuCoin avec les autorités.

Pourquoi le processus de validation d’Apple a échoué

Cette situation est particulièrement frustrante pour les victimes. Apple prélève une commission de 30 % sur les transactions et valorise la sécurité de son écosystème grâce à son processus de validation. Cela a longtemps été l’un des arguments pour limiter l’accès aux applications provenant d’autres sources.

Pourtant, une fausse application de portefeuille crypto est restée disponible près de deux semaines avant suppression. L’équipe de validation ne l’a ni détectée, ni signalée. Son retrait n’a eu lieu qu’après des signalements communautaires et une médiatisation.

D’après 9to5Mac, le faux Ledger Live n’était pas la seule application supprimée ce jour-là : une version frauduleuse de Freecash a également été retirée, suggérant plusieurs dysfonctionnements simultanés.

Apple a confirmé la résiliation du compte développeur après suppression. Mais agir après 9,5 M$ de pertes revient à fermer la porte après le vol. La vraie question : comment un clone d’une application crypto majeure, publié par une entité extérieure, a-t-il pu passer la validation ?

Victimes et répercussions juridiques

Plus de 50 personnes ont été affectées. Un utilisateur, @glove sur X, a décrit la perte de 5,9 BTC, économisés sur 10 ans. D’autres ont perdu des montants importants, alors qu’ils pensaient protéger leurs fonds grâce au stockage à froid sur portefeuille matériel.

L’ironie est forte : ces utilisateurs ne cliquaient pas sur des liens suspects ; ils sont passés par l’App Store, réputé pour sa sécurité, et ont téléchargé ce qu’ils pensaient être une application vérifiée. Ils ont suivi les recommandations classiques : utiliser le store officiel.

ZachXBT estime que ces pertes pourraient ouvrir la voie à un recours collectif contre Apple, basé sur l’obligation de diligence. En valorisant son modèle fermé et en interdisant l’installation d’applications hors App Store, Apple s’engage sur la sécurité de ses usagers. Quand ce système faillit et entraîne des pertes financières majeures, cela pose la question de la responsabilité.

La possibilité d’une action collective dépendra de l’organisation des victimes et de l’intérêt des cabinets juridiques. Mais le précédent est important : si Apple n’est pas inquiété pour avoir hébergé une fausse application à l’origine d’un tel préjudice, la promesse de sécurité de l’App Store pourrait être remise en cause.

Comment se protéger des faux portefeuilles

L’enseignement clé est que « télécharger depuis l’App Store officiel » ne suffit plus. Des vérifications supplémentaires s’imposent, elles prennent moins d’une minute :

Vérifiez le nom de l’éditeur avant de télécharger. L’application officielle Ledger Live est éditée par « Ledger SAS ». Le faux venait de « Leva Heal Limited ». Cette vérification aurait suffi à éviter tous les vols. Consultez le site officiel de l’éditeur, trouvez le lien de téléchargement et confirmez qu’il correspond à celui de l’App Store.

Ne saisissez jamais votre phrase de récupération dans une application. Vos 24 mots sont la clé maîtresse de votre portefeuille. Aucune application légitime ne vous demandera de les saisir pour « synchroniser » ou « restaurer ». La documentation de Ledger précise que cette phrase doit uniquement être saisie sur l’appareil physique, jamais sur un ordinateur ou un mobile.

Ajoutez la page de téléchargement officielle à vos favoris. Rendez-vous une fois sur ledger.com/ledger-live, vérifiez le domaine, ajoutez-le à vos favoris. Utilisez ce lien pour tout téléchargement ou mise à jour, et évitez la recherche manuelle sur l’App Store, car elle peut présenter de fausses applications.

Vérifiez sur la blockchain avant de faire confiance à une application. Si vous avez déjà installé une application portefeuille et souhaitez vérifier sa légitimité, effectuez d’abord une petite transaction test (par exemple 5 $), puis vérifiez si les fonds arrivent correctement avant d’envoyer des montants plus importants.

Pour ceux qui préfèrent laisser leurs actifs sur une plateforme régulée plutôt que gérer eux-mêmes leurs clés, la perception du risque évolue. La conservation personnelle reste la référence en termes de souveraineté, mais implique de valider chaque logiciel utilisé. L’hébergement sur plateforme élimine le risque de fausse application, mais introduit d’autres risques comme la solvabilité de l’exchange.

Enjeux pour la sécurité crypto globale

Il ne s’agissait pas d’un piratage de smart contract, ni d’une faille technique blockchain. L’attaque a exploité le maillon le plus faible : la confiance de l’humain dans le processus de validation d’une plateforme. Et cela a fonctionné parce que la validation Apple n’a pas été à la hauteur.

Des efforts considérables ont été faits pour renforcer la sécurité on-chain : portefeuilles multi-signatures, modules matériels, audits de smart contracts, programmes de récompenses. Mais la surface d’attaque s’est déplacée. Les vols les plus conséquents en 2025-2026 sont dus à des attaques d’ingénierie sociale, de phishing ou de fausses applications, qui exploitent l’écart entre perception et réalité de la sécurité.

The Block indique que les fonds volés couvraient Bitcoin, Ethereum, Solana, Tron et XRP, démontrant que les attaquants ont pu vider tous les portefeuilles liés à une même phrase de récupération. Un champ de saisie, une perte totale.

Pour Apple, l’enjeu réputationnel va au-delà de la crypto. Si l’App Store ne filtre pas de manière fiable les clones d’applications financières connues, l’argument de la sécurité d’un écosystème fermé s’affaiblit. Avec la législation européenne (DMA) imposant déjà l’ouverture à d’autres stores, la capacité d’Apple à justifier l’exclusivité de son App Store est remise en cause.

Commencez à trader sur Phemex →

Foire aux questions

Comment une fausse application Ledger a-t-elle été validée sur l’App Store ?

Le processus de validation d’Apple, bien que performant contre les malwares, ne détecte pas systématiquement les applications qui imitent l’apparence et la marque d’un produit financier légitime. Le faux Ledger Live était publié par « Leva Heal Limited » ; l’équipe Apple n’a pas identifié l’incohérence entre l’éditeur et la marque réputée. L’application n’a été retirée qu’après signalement public, pas par détection proactive.

Les victimes peuvent-elles récupérer les 9,5 M$ volés ?

La récupération est très complexe à ce stade. Les fonds ont transité par plus de 150 adresses KuCoin via un service de mixage nommé « AudiA6 ». Si KuCoin coopère avec les autorités et gèle les comptes associés, une partie pourrait être récupérée, mais le processus rend le traçage difficile. Aucun fonds n’a été retrouvé au 16 avril.

Faut-il arrêter d’utiliser les portefeuilles matériels Ledger après cela ?

Le portefeuille matériel Ledger n’a pas été compromis. La faille provenait d’une fausse application invitant à saisir la phrase de récupération. Votre appareil Ledger reste sécurisé si vous n’entrez la phrase que sur l’appareil lui-même, et que vous téléchargez Ledger Live uniquement depuis ledger.com.

Apple est-elle juridiquement responsable des pertes liées à une fausse application ?

ZachXBT et certains juristes estiment que cela pourrait ouvrir la voie à une action collective. Apple promeut son App Store comme un espace sécurisé et en tire profit. Lorsque la sélection échoue et cause des pertes financières, la question de la responsabilité se pose, même si aucune procédure n’est engagée à ce stade.

À retenir

La fausse application Ledger Live sur l’App Store révèle une faille que beaucoup pensaient inexistante. Cinquante personnes ont fait confiance au processus de validation d’Apple, saisi leur phrase de récupération dans une application supposée vérifiée, et perdu 9,5 M$ en six jours. Les attaquants n’étaient pas des hackers sophistiqués : ils ont créé un clone, l’ont publié sous une fausse entité et attendu que les victimes livrent leurs clés.

Conseil clé : vérifiez TOUJOURS le nom de l’éditeur avant d’installer toute application crypto. Ne saisissez jamais votre phrase de récupération sur un écran. Et traitez les applications de l’App Store avec le même esprit critique que n’importe quelle source de téléchargement, car le label « store officiel » ne garantit pas la sécurité. Les 9,5 M$ bloqués dans les services de mixage en sont la preuve.

Cet article est à visée informative et ne constitue en aucun cas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte des risques. Effectuez toujours vos propres recherches.