Une arnaque en apparence banale, aux conséquences dévastatrices
Garrett Dutton, musicien américain, a téléchargé sur son nouveau Mac ce qu'il croyait être l'application officielle Ledger Live, disponible sur l'App Store d'Apple. Il y a renseigné sa phrase de récupération de 24 mots. L'intégralité de ses bitcoins, soit 5,9 BTC représentant environ 420 000 dollars, a été siphonnée instantanément.
Les fonds volés ont ensuite été blanchis via des adresses de dépôt sur KuCoin, en 9 transactions distinctes. La rapidité et la méthodologie de l'opération témoignent d'une infrastructure frauduleuse rodée, capable de convertir et disperser les actifs avant toute réaction possible de la victime.
La règle d'or que personne ne devrait ignorer
Face à cet incident, Charles Guillemet, CTO de Ledger, a réaffirmé deux principes fondamentaux. Ledger ne demandera jamais les 24 mots de récupération, dans aucune application, dans aucune circonstance. Par ailleurs, l'application officielle Ledger Live ne doit être téléchargée qu'exclusivement depuis le site officiel de Ledger, et non depuis une boutique d'applications tierce.
Cet épisode illustre une faille structurelle : les stores d'applications, même ceux réputés sécurisés comme l'App Store d'Apple, ne constituent pas une garantie suffisante contre les logiciels malveillants ou les imitations frauduleuses. La vigilance de l'utilisateur reste la première ligne de défense.
Ce cas n'est pas isolé. Selon le FBI, les pertes liées aux fraudes crypto ont atteint 11,36 milliards de dollars en 2025, en hausse de 21 % par rapport à 2024. Les arnaques ciblant les détenteurs de hardware wallets figurent parmi les vecteurs d'attaque les plus efficaces, précisément parce qu'elles exploitent la confiance accordée à des marques reconnues comme Ledger. La phrase de récupération est la clé ultime de vos fonds : elle ne doit jamais être saisie dans une interface numérique, quelle qu'elle soit.
