Un chercheur en cybersécurité basé au Brésil a mis au jour une vaste opération d’arnaque après avoir acheté un wallet matériel présenté comme un Ledger sur une marketplace chinoise. L’annonce paraissait légitime et le prix était identique à celui de la boutique officielle. L’emballage semblait authentique au premier regard, mais l’appareil était en réalité une contrefaçon.
Lorsque le chercheur l’a connecté à Ledger Live téléchargé depuis ledger.com, l’appareil a échoué au Genuine Check, confirmant qu’il ne s’agissait pas d’un vrai appareil Ledger. Cet échec l’a conduit à ouvrir le produit pour examiner son matériel interne et son firmware.
Un matériel interne totalement différent
À l’intérieur du boîtier, le chercheur a découvert une puce complètement différente de celles utilisées dans un wallet matériel classique. Les inscriptions de la puce avaient été physiquement grattées afin d’empêcher toute identification.
D’après une publication du chercheur sur Reddit, l’appareil contenait également une antenne Wi-Fi et Bluetooth, ce qui n’existe pas sur un véritable Ledger Nano S+. En analysant l’agencement du composant, il l’a identifié comme une ESP32-S3 avec mémoire flash interne.
Lors du démarrage, l’appareil se faisait d’abord passer pour un Ledger Nano S+ 7704, avec des numéros de série et une identité d’usine Ledger. Mais il révélait ensuite son véritable fabricant, à savoir Espressif Systems.
Seed phrases et PIN stockés en clair
Après avoir extrait le firmware et procédé à son reverse engineering, le chercheur a découvert que le code PIN créé sur l’appareil était stocké en clair. Les seed phrases des wallets générés sur l’appareil étaient elles aussi conservées en clair.
Le firmware contenait également plusieurs références de domaines codées en dur, pointant vers des serveurs externes de commande et de contrôle. Ces éléments ont révélé que l’appareil avait été conçu pour collecter des données sensibles de wallet et les relier à une infrastructure distante.
Le chercheur a aussi examiné la manière dont l’attaque pouvait fonctionner en pratique. Même si le matériel intégrait une antenne Wi-Fi et Bluetooth, le firmware n’a montré aucune preuve de transmission de données sans fil ni de connexion à un point d’accès Wi-Fi.
Il ne contenait pas non plus de scripts bad USB pour l’injection de frappes clavier ou l’exécution de commandes terminal. L’attaque semblait donc reposer principalement sur une interaction de l’utilisateur en dehors de l’appareil lui-même.
De faux sites et de fausses applications Ledger Live
Selon le chercheur, l’arnaque commence lorsque l’utilisateur scanne un QR code inclus dans l’emballage. Ce QR code renvoie vers un site cloné qui ressemble à ledger.com.
À partir de là, l’utilisateur est invité à télécharger une fausse application Ledger Live pour Android, iOS, Windows ou Mac. Cette application affiche un faux écran de Genuine Check qui réussit systématiquement.
Les utilisateurs créent ensuite leurs wallets et notent leurs seed phrases, convaincus que la configuration est sécurisée. Pendant ce temps, la fausse application exfiltre les seed phrases vers des serveurs contrôlés par les attaquants.
Le chercheur a également décompilé la version APK Android de cette fausse application Ledger Live et y a trouvé d’autres comportements malveillants. L’application avait été développée avec React Native et le moteur Hermes.
Elle était signée avec un certificat de débogage Android au lieu d’une clé de signature appropriée. Elle interceptait les commandes APDU entre l’application et l’appareil, envoyait discrètement des requêtes vers des serveurs externes et continuait de fonctionner en arrière-plan pendant plusieurs minutes après sa fermeture.
L’application demandait aussi l’autorisation d’accéder à la localisation et surveillait les soldes des wallets à l’aide de clés publiques, permettant ainsi aux attaquants de suivre les dépôts et les montants détenus.
Il ne s’agit pas d’une faille de sécurité chez Ledger
Le chercheur a précisé qu’il ne s’agit ni d’une vulnérabilité zero-day, ni d’une faiblesse dans la conception de sécurité de Ledger. Le Genuine Check et le Secure Element de Ledger ont au contraire été confirmés comme fonctionnant correctement.
Cette affaire est décrite comme une opération de phishing sophistiquée combinant matériel contrefait, applications malveillantes et infrastructure externe. Le dispositif complet comprend des appareils équipés de puces ESP32-S3, des applications piégées pour Android et d’autres plateformes, ainsi que des serveurs de commande et de contrôle utilisés pour l’exfiltration des données.
Le chercheur a aussi précisé que de faux appareils Ledger avaient déjà été signalés dans le passé, mais que ce cas se distingue car il permet de cartographier l’ensemble du système, y compris le matériel, les applications, l’infrastructure et la distribution via une société écran liée aux annonces publiées sur des marketplaces.
Il a indiqué avoir transmis un rapport à l’équipe Customer Success de Ledger et préparer une analyse technique complète, avec de nouvelles investigations sur les versions Windows, macOS et iOS du malware.
Une menace déjà observée dans le passé
Il y a quelques années, un autre utilisateur de Reddit avait signalé avoir reçu un Ledger Nano X dans un emballage paraissant authentique. Cependant, une lettre présente à l’intérieur avait rapidement suscité des soupçons en raison de fautes d’orthographe et de grammaire.
Cette lettre affirmait qu’il s’agissait d’un appareil de remplacement envoyé après une fuite de données.
Un expert en sécurité avait ensuite découvert que l’appareil contenait une clé USB reliée au connecteur USB, destinée à livrer un malware et potentiellement à voler des données.
