Contrefaçon de Ledger Nano S+ vide les portefeuilles sur 20 chaînes

Un chercheur en sécurité basé au Brésil dévoile une opération contrefaite du Ledger Nano S+ utilisant un firmware malveillant et de fausses applications pour vider des portefeuilles sur 20 blockchains.

Un chercheur en sécurité basé au Brésil a révélé l’une des opérations de contrefaçon de Ledger Nano S+ les plus sophistiquées jamais documentées. L’appareil faux, provenant d’un marché chinois, était équipé d’un firmware malveillant personnalisé et d’une application clonée. L’attaquant a immédiatement volé toutes les phrases de récupération que les utilisateurs ont entrées.

Le chercheur a acheté l’appareil suspectant des irrégularités de prix. En l’ouvrant, la nature contrefaite était évidente. Au lieu de le jeter, une déconstruction complète a été réalisée.

Ce qui était caché à l’intérieur de la puce

Le véritable Ledger Nano S+ utilise une puce Secure Element ST33. Cet appareil en contenait une ESP32-S3 à la place. Les marquages de la puce avaient été physiquement poncés pour empêcher l’identification. Le firmware s’identifiait comme « Ledger Nano S+ V2.1 » — une version qui n’existe pas.

Les enquêteurs ont trouvé des seeds et des PINs stockés en texte clair après avoir effectué un dump mémoire. Le firmware envoyait un signal à un serveur de commandement et de contrôle à kkkhhhnnn[.]com. Toute phrase de récupération entrée dans ce matériel était exfiltrée instantanément.

L’appareil supporte environ 20 blockchains pour vider des portefeuilles. Ce n’est pas une opération mineure.

Cinq vecteurs d’attaque, pas un seul

Le vendeur a livré une version modifiée de « Ledger Live » avec l’appareil. Les développeurs ont construit l’application avec React Native en utilisant Hermes v96 et l’ont signée avec un certificat de débogage Android. Les attaquants n’ont pas pris la peine d’obtenir une signature légitime.

L’application s’intègre à XState pour intercepter les commandes APDU. Elle utilise des requêtes XHR furtives pour extraire les données silencieusement. Les enquêteurs ont identifié deux autres serveurs de commandement et de contrôle : s6s7smdxyzbsd7d7nsrx[.]icu et ysknfr[.]cn.

Ce n’est pas limité à Android. La même opération distribue un fichier .EXE pour Windows et un .DMG pour macOS, ressemblant à des campagnes suivies par Moonlock sous AMOS/JandiInstaller. Une version iOS TestFlight circule également, contournant totalement la revue de l’App Store — une tactique déjà liée à des escroqueries CryptoRom. Au total, cinq vecteurs : matériel, Android, Windows, macOS, iOS.

La vérification de l’authenticité ne peut pas vous sauver ici

Le guide officiel de Ledger confirme que les appareils authentiques possèdent une clé cryptographique secrète définie lors de la fabrication. La vérification Ledger Genuine Check dans Ledger Wallet confirme cette clé à chaque connexion d’un appareil. Selon la documentation du support Ledger, seul un appareil authentique peut passer cette vérification.

Le problème est simple. Une compromission lors de la fabrication rend toute vérification logicielle inutile. Le firmware malveillant imite suffisamment le comportement attendu pour passer les contrôles de base. Le chercheur a confirmé cela directement lors de la déconstruction.

Les attaques passées sur la chaîne d’approvisionnement ciblant les utilisateurs de Ledger ont montré à plusieurs reprises que la vérification au niveau de l’emballage seule est insuffisante. Des cas documentés sur BitcoinTalk rapportent que des utilisateurs ont perdu plus de 200 000 $ à cause de portefeuilles matériels contrefaits provenant de marchés tiers.

Où ces appareils sont-ils vendus

Les marchés tiers sont le canal de distribution principal. Les vendeurs tiers sur Amazon, eBay, Mercado Livre, JD, et AliExpress ont tous des antécédents documentés de listings de portefeuilles matériels compromis, a noté le chercheur dans un post Reddit sur r/ledgerwallet.

Le prix est délibérément suspect. C’est l’appât. Une source non officielle ne propose pas un Ledger à prix réduit en tant qu’offre — elle vend un produit compromis pour profiter à l’attaquant.

Les canaux officiels de Ledger sont son propre site e-commerce à Ledger.com et des boutiques Amazon vérifiées dans 18 pays. Nulle part ailleurs aucune garantie d’authenticité n’est assurée.

Ce que le chercheur prévoit de faire ensuite

L’équipe a préparé un rapport technique complet pour l’équipe Donjon de Ledger et son programme de récompenses pour phishing, et publiera la version intégrale après que Ledger aura terminé son analyse interne.

Le chercheur a mis à disposition des indicateurs de compromission (IOCs) à d’autres professionnels de la sécurité via des messages directs. Toute personne ayant acheté un appareil auprès d’une source douteuse peut le contacter pour assistance à l’identification.

Les signaux d’alerte principaux restent simples. Une phrase de récupération pré-générée incluse avec l’appareil est une arnaque. La documentation demandant aux utilisateurs de taper une phrase de récupération dans une application est une arnaque. Détruisez l’appareil immédiatement dans tous les cas.