● Siècle Digital 📅 15/04/2026 à 10:28

Apple a laissé passer une fausse appli Ledger, des millions de dollars se sont envolés

👤 Jennifer Larcher
🏷️ Tags : pto rte
Illustration
Cybersécurité Apple a laissé passer une fausse appli Ledger, des millions de dollars se sont envolés Entre le 7 et le 13 avril, une fausse application Ledger a passé les contrôles d'Apple, siphonné 9,5 millions de dollars à une cinquantaine de victimes puis disparu. Par Jennifer Larcher Publié le 15 avril 2026 à 10h28 Garrett Dutton a eu une mauvaise journée. Le musicien américain, connu sous le nom de scène G. Love, migrait ses cryptomonnaies vers un nouvel ordinateur. Il tape Ledger Live dans la barre de recherche du Mac App Store, tombe sur une application qui ressemble exactement à l’originale puis l’installe. Quelques minutes plus tard, 5,92 bitcoins (soit environ 420 000 dollars) avaient disparu de son portefeuille. Un fantôme signé Leva Heal Limited L’application frauduleuse avait été déposée sous le nom de développeur Leva Heal Limited. Il s’agit d’une entité sans lien avec la société française Ledger, dont elle usurpait l’identité avec un soin troublant (icône pratiquement identique, interface calquée sur l’original, nom reprenant trait pour trait celui du logiciel officiel). Par contre, Ledger ne propose pas Ledger Live via le Mac App Store. L’application officielle s’obtient uniquement sur le site de la marque. Le Mac App Store était donc, par définition, le mauvais endroit pour chercher. 📩 L’actu digitale évolue vite. Restez à jour.Recevez la newsletter quotidienne, gratuitement. En vous inscrivant vous acceptez notre politique de protection des données personnelles. Le vol était d’une redoutable simplicité Au premier lancement, l’application réclamait la phrase de récupération de 24 mots. Il s’agit du sésame qui donne accès à l’intégralité d’un portefeuille crypto, quelle que soit la plateforme. Les victimes, convaincues d’être face à l’outil officiel, l’ont saisie sans aucune hésitation. La suite s’est jouée en millisecondes côté serveur. L’enquêteur blockchain ZachXBT a reconstitué la trajectoire des fonds dispersés sur plus de 150 adresses de dépôt KuCoin puis aspirés grâce à un service baptisé AudiA6. Les fonds dérobés concernent le bitcoin aux stablecoins, en passant par plusieurs actifs comme l’Ethereum, Solana ou encore Tron. Le butin a atteint 9,5 millions de dollars sur une fenêtre de six jours, avec au moins une cinquantaine de victimes identifiées. Apple a retiré l’application sans communiquer une seule ligne sur la manière dont elle avait franchi les étapes de validation de l’App Store. La forteresse qui laissait entrer les voleurs L’App Store tire précisément sa valeur marchande de la promesse implicite qu’il fait à ses utilisateurs. Tout doit être à la fois validé et sécurisé. Des millions de personnes font confiance les yeux fermés, mais cet aveuglement consenti rend l’arnaque aussi efficace. En 2024, une fausse application Rabby Wallet avait sévi des mois sur l’App Store avant d’être retirée. Le pattern était identique avec une usurpation d’identité, une demande de phrase de récupération. Toutefois, tous les écosystèmes sont concernés, car Android peut aussi être piraté. Apple
← Retour