Cryptomonnaie : De faux portefeuilles Ledger envoyés par des pirates pour voler votre argent

CYBERATTAQUE Des hackers ont envoyé à certains clients de Ledger un portefeuille trafiqué en leur demandant de remplacer leur ancien dispositif par le nouvel objet, afin de subtiliser leur cryptomonnaie

avec agence

— 

Les utilisateurs de Ledger font l'objet d'une cyberattaque.
Les utilisateurs de Ledger font l'objet d'une cyberattaque. — Jenny Kane/AP/SIPA

Un utilisateur de Reddit a raconté ce jeudi sur un forum de la plateforme avoir reçu un colis suspect de la start-up française Ledger. Le spécialiste des portefeuilles physiques destinés à stocker la cryptomonnaie a en effet offert à l’internaute un des produits de sa gamme, accompagné d'une lettre. Cette dernière reprenait le logo de l’entreprise et semblait être signée de son PDG Pascal Gauthier, comme l’a repéré Capital.

Le courrier expliquait que suite à une fuite des données personnelles relatives aux clients de Ledger en juin 2020, la sécurité de l’ancien portefeuille n’était plus garantie. Le dirigeant demandait donc au destinataire de remplacer son ancien boîtier par le nouvel objet joint à la lettre. L’emballage de l’appareil était lui aussi similaire à celui utilisé par le fabricant français. Il s’agissait pourtant d’un piège.

Ledger a averti ses utilisateurs

Le portefeuille physique a été conçu et envoyé par des pirates espérant subtiliser à distance la cryptomonnaie qu’un utilisateur y déposerait. Ledger a immédiatement réagi et a alerté ce jeudi de l’existence de « campagnes de phishing en cours ». Sur son site Internet, l’entreprise a évoqué « une fausse lettre et un portefeuille physique Ledger trafiqué. Il est emballé sous plastique comme s’il n’avait jamais été ouvert ».

Ledger a dénoncé « une arnaque » puisqu'« un implant USB a été connecté aux circuits imprimés ». Ce mini disque dur contient une fausse appli Ledger. La notice rédigée par les hackers demande à l’utilisateur de brancher le portefeuille sur son ordinateur et d’entrer les 24 mots qui constituent la clé de sécurité pour initialiser son nouvel appareil. Munis de ces mots de passe, les cybercriminels sont par la suite susceptibles de s’emparer du contenu du portefeuille.

La start-up a rappelé à ses clients qu’elle ne leur demanderait jamais de communiquer les 24 mots de sécurité et que la seule source fiable de téléchargement de l’appli Ledger était la page officielle de l’entreprise.