Cet article a été mis à jour avec les commentaires d'un porte-parole de Ledger.
Un chercheur en sécurité brésilien a découvert une opération sophistiquée de contrefaçon d'appareils Ledger après avoir mis au jour un matériel modifié conçu pour dérober des cryptomonnaies à des utilisateurs non avertis.
Le chercheur en sécurité, connu en ligne sous le pseudonyme « Past_Computer2901 », a partagé ses découvertes sur Reddit après avoir acheté ce qui semblait être un Ledger Nano S Plus standard sur un marché chinois.
Malgré un emballage et un prix correspondant aux standards de vente officiels, l'appareil a échoué à un « Contrôle d'authenticité » lorsqu'il a été connecté à l'application de bureau Ledger Live authentique.
Ce signal d'alarme a conduit à un démontage physique de l'appareil, révélant que le circuit interne avait été modifié pour inclure des antennes WiFi et Bluetooth – des fonctionnalités totalement absentes du modèle légitime.
Les escrocs utilisent ces appareils altérés pour piéger les nouveaux acheteurs via un processus de configuration trompeur.
Un code QR inclus dans l'emballage dirige les utilisateurs vers une version frauduleuse de l'application Ledger Live, qui est programmée pour contourner les avertissements de sécurité et émettre une fausse vérification de l'authenticité du matériel.
Une fois qu'un utilisateur suit les instructions pour générer ou saisir une phrase de récupération, le firmware compromis capture les données, permettant aux attaquants de vider le portefeuille à leur guise.
« Ceci n'est pas destiné à semer la panique, mais plutôt à servir d'avertissement sérieux — je suis honnêtement encore un peu secoué par l'ampleur de cette opération », a noté le chercheur.
L'analyse interne de l'unité a montré que les escrocs avaient déployé de grands efforts pour dissimuler la fraude, notamment en grattant les marques originales des puces.
Appareil Ledger contrefait. Source : Reddit.
Alors que l'appareil s'identifiait initialement comme un Nano S Plus 7704 pendant la phase de démarrage, la séquence finale a révélé le fabricant comme étant Espressif Systems, une société de semi-conducteurs basée à Shanghai.
Ces modifications rompent fondamentalement la prémisse de sécurité des produits Ledger, qui sont conçus pour conserver les clés privées dans un environnement strictement hors ligne.
« Lors d'un achat sur un marché, Ledger encourage vivement les utilisateurs à vérifier l'identité du vendeur. Les utilisateurs doivent s'assurer qu'ils ne téléchargent les applications officielles Ledger Wallet que sur ordinateur et mobile. La situation impliquait du matériel contrefait, associé à un faux flux d'application compagnon conçu pour simuler le processus d'intégration, distribué via des canaux non officiels », a déclaré un porte-parole de Ledger à crypto.news.
« Ledger ne demandera jamais aux utilisateurs leurs 24 mots. Si quelqu'un se présentant comme Ledger, ou toute application prétendant être une application Ledger, vous demande vos 24 mots, vous devez immédiatement considérer qu'il s'agit d'une escroquerie », ont-ils ajouté.
Cette découverte fait suite à un incident distinct survenu plus tôt ce mois-ci, où une application frauduleuse a contourné la sécurité de l'App Store d'Apple via une tactique de « bait-and-switch » (leurre et échange). Le logiciel malveillant a réussi à tromper plus de 50 personnes en leur faisant révéler leurs phrases de récupération, entraînant le vol de 9,5 millions de dollars avant que la plateforme ne retire l'annonce. L'application a depuis été retirée pour fonctionnalité malveillante de leurre et échange, selon Apple.
« Restez vigilants. Ne téléchargez Ledger Live que depuis ledger.com. N'achetez le matériel que sur ledger.com. Si votre appareil échoue au contrôle d'authenticité — cessez immédiatement de l'utiliser », a averti le chercheur.
