Des faux portefeuilles Ledger circulent sur des boutiques en ligne, notamment chinoises. Ces contrefaçons sont taillées pour aspirer les cryptomonnaies de leurs utilisateurs.
Joje Mendes, un chercheur en cybersécurité brésilien, a acheté un Ledger Nano S+ sur une boutique en ligne. Il s’agit d’un portefeuille qui permet de sécuriser des cryptos détenues directement sur la blockchain. Le Nano S+ fait partie du vaste catalogue de Ledger, la licorne française qui fabrique et commercialise les portefeuilles physiques, et fait office d’option entrée de gamme.
L’expert n’est pas passé par le site officiel de Ledger. Le prix était bien plus bas que celui du site officiel (79 euros), tout comme l’emballage, marqué de faux numéros de série. Une fois qu’il a voulu connecter le Ledger à l’application officielle, à savoir Ledger Live, un avertissement est apparu sur l’écran de son smartphone. L’alerte indiquait qu’il s’agissait d’un « appareil non authentique ».
À lire aussi : Arnaque crypto sur l’App Store – cette fausse application Ledger a dépouillé des dizaines de personnes
Puce, firmware trafiqué et fausse application Ledger
À la suite de cette alerte, le chercheur a décidé d’ouvrir le portefeuille physique pour savoir ce qu’il avait dans le ventre. À l’intérieur, il ne trouve pas de puce sécurisée Ledger, mais une carte ESP32-S3 bon marché. Il repère aussi des antennes Wi-Fi et Bluetooth dont les inscriptions ont été grattées, pour masquer leur origine. L’expert est néanmoins parvenu à identifier l’origine des composants.
Ceux-ci ont été fabriqués par Espressif Systems, une firme chinoise spécialisée dans la conception de semi-conducteurs. La société conçoit des composants électroniques que l’on retrouve dans des millions d’appareils connectés du quotidien, des ampoules intelligentes aux machines à café. Ce composant est programmé pour s’emparer de vos données sensibles à des serveurs sous le contrôle des pirates dès l’initialisation du faux portefeuille.
Le firmware de l’appareil, trafiqué par les hackers, stocke à la fois votre PIN et votre phrase de récupération de 24 mots, qui permet d’accéder à vos cryptos sur la blockchain. Notez que l’appareil ne dispose pas d’une transmission Wi-Fi autonome. La carte électronique en son sein est capable de stocker les données, mais elle ne peut pas les envoyer à distance, sans un petit coup de main. C’est là que le QR code malveillant collé sur la boîte intervient. Ce QR code est taillé pour rediriger l’utilisateur sur une fausse page Ledger permettant de télécharger et d’installer une fausse app Ledger Wallet, que ce soit sur Android, iOS, Windows et macOS.
Cette app malveillante simule une configuration réussie, vole la phrase de récupération saisie et surveille les soldes sur la blockchain en temps réel. L’application cible plus de 20 blockchains comme Bitcoin, Ethereum, Solana ou Polygon. Les informations sont alors promptement transférées aux serveurs des cybercriminels. Ceux-ci peuvent alors prendre le contrôle du wallet et siphonner tous les actifs numériques.
L’application sert à transférer les informations aux pirates, mais elle fait aussi office de second vecteur d’attaque. Si le faux Ledger n’est pas parvenu à voler vos données, l’application devrait y parvenir. Les deux mécanismes se renforcent mutuellement, et l’un prend le relais si l’autre échoue. D’une manière ou d’une autre, les cybercriminels arrivent à leurs fins.
Comment ne pas tomber dans le piège ?
Ces contrefaçons, taillées pour piéger les acheteurs, pullulent sur les boutiques en ligne, notamment sur Amazon ou sur certaines plateformes chinoises. On risque également de trouver des contrefaçons analogues sur le marché de l’occasion, notamment sur Vinted ou sur Leboncoin. Les marketplaces tierces ont « un historique avéré de distribution de portefeuilles compromis », explique le chercheur brésilien. Par sécurité, on vous recommande de ne jamais acheter un portefeuille physique d’occasion, ni de passer par des sites tiers pour acheter un Ledger neuf. Rendez-vous directement sur le site officiel de la marque française, ou après de revendeurs certifiés.
Dès réception, rendez-vous sur le site de Ledger pour installer l’application Ledger Wallet, anciennement Ledger Live, que ce soit sur iOS ou sur Android. Ne prêtez pas attention à d’éventuels QR codes. Une fois l’application lancée, vous devriez être averti si vous êtes tombé sur une contrefaçon.
« Si votre appareil arrive avec une phrase de récupération déjà générée, ou si la documentation vous demande d’« entrer votre phrase dans l’application », il s’agit d’une arnaque. Détruisez-le immédiatement », résume Joje Mendes.
Quoi qu’il en soit, on rappellera qu’il ne faut jamais entrer votre phrase de récupération dans l’interface de l’application Ledger. L’entreprise française ne vous la demandera jamais. Elle vous recommande plutôt d’inscrire la phrase de récupération sur un support hors ligne, comme une simple feuille de papier.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Reddit