Des fraudeurs expédient des lettres directement aux détenteurs de portefeuilles physiques Ledger. Dans ces courriers, ils demandent aux destinataires de « valider » leur phrase de récupération, une astuce pour accéder au wallet et le vider.
Le 29 avril, sur X (anciennement Twitter), l’expert tech Jacob Canfield a publié une photo d’une lettre qu’il a reçue par voie postale. Cette lettre, qui semble provenir de Ledger, lui demande de réaliser de toute urgence une « mise à jour critique de sécurité » sur son appareil.
Le courrier utilise le logo de Ledger, l’adresse postale de l’entreprise et un numéro de référence pour paraître authentique. Il invite à scanner un QR code puis à saisir la phrase secrète de récupération, sous prétexte de valider l’appareil.
Le document avertit que « l'absence de validation dans les délais peut entraîner des restrictions d’accès à votre portefeuille et à vos fonds. »
La phrase de récupération, aussi appelée "seed phrase", est une suite de 24 mots permettant d’accéder à un portefeuille crypto. Toute personne en possession de cette phrase peut transférer les fonds liés, sans restriction.
Plus tôt ce mois-ci, un revendeur de hardware wallet a également rapporté plusieurs cas similaires. Des utilisateurs de Ledger affirmaient avoir reçu des lettres frauduleuses du même type.
Suite à la publication de Canfield, Ledger a confirmé qu’il s’agissait bien d’une tentative de phishing. La société appelle ses utilisateurs à rester vigilants.
« Ledger ne vous contactera jamais par téléphone, message privé ou courrier pour vous demander vos 24 mots de récupération », rappelle l’entreprise. « Si quelqu’un le fait, c’est une arnaque ». Ledger ajoute :
« Ne répondez pas aux personnes prétendant travailler chez Ledger ou proposant de récupérer vos fonds. »
Cette arnaque est-elle liée à une fuite de données ?
Jacob Canfield évoque une possible connexion avec la fuite de données subie par Ledger il y a près de cinq ans. À l’époque, les coordonnées personnelles de milliers de clients avaient été compromises.
En juillet 2020, un hacker avait pénétré la base de données de Ledger, révélant les informations personnelles de plus de 270 000 clients : noms, numéros de téléphone, adresses postales…
L'année suivante, plusieurs utilisateurs de Ledger ont affirmé avoir reçu par la poste de faux appareils Ledger qui avaient été trafiqués et conçus pour installer des logiciels malveillants lors de leur utilisation, a rapporté Bleeping Computer à l'époque.