Comment déjouer les applications malveillantes Apple Store qui volent vos portefeuilles crypto
Lysandre Beauchêne
Une menace silencieuse qui cible vos crypto-actifs
En 2026, Kaspersky a identifié 26 applications malveillantes publiées sur l’Apple App Store et destinées aux utilisateurs chinois. Ces applications imitent des portefeuilles populaires - Metamask, Coinbase, Trust Wallet, OneKey - pour subtiliser les seed phrases et vider les comptes en quelques clics. Selon le même rapport, plus de 9,5 M$ ont été volés par une fausse application Ledger en moins d’un mois.
Dans ce guide, nous détaillons le mode opératoire de la campagne FakeWallet, les vecteurs de contournement des contrôles d’Apple, ainsi que les bonnes pratiques à adopter pour protéger vos actifs numériques, que vous soyez un investisseur individuel ou un responsable sécurité d’entreprise.
Le mode d’emploi du cybercriminel : de la fausse boutique à la prise de contrôle
Typosquatting et usurpation de marque
Les acteurs malveillants exploitent le typosquatting, c’est-à-dire la création d’identifiants très similaires aux originaux (ex. « Metamask » → « Metamask-Wallet »). Ils profitent également de l’branding factice : logos identiques, captures d’écran copiées, même couleur dominante. L’objectif est d’instaurer la confiance en quelques secondes.
Contournement des restrictions chinoises via des catégories « jeu » ou « calculatrice »
Comme la Chine bloque les véritables portefeuilles crypto, les fraudeurs les publient sous des catégories bénignes (jeux, utilitaires). Cette technique permet de délivrer l’application à un public qui n’attend pas de restrictions.
Utilisation du profil de provisionnement iOS
Un profil de provisionnement est une fonctionnalité d’entreprise légitime permettant d’installer des applications internes sans passer par l’App Store. Les attaquants l’utilisent pour sideloader leurs trojans. Une fois le profil installé, le code malveillant s’exécute avec les mêmes privilèges que l’application officielle.
« Le recours aux profils de provisionnement constitue le point d’entrée le plus insidieux », explique un chercheur de Kaspersky.
Techniques de récupération des seed phrases
Interception lors de la configuration
Les applications injectent du code qui intercepte les mots-de-passe mnémotechniques affichés à l’écran lors de la création ou de la récupération du portefeuille. Les données sont immédiatement chiffrées avec RSA et encodées en Base64 avant d’être transmises au serveur de commande.
Phishing intégré aux écrans de vérification
Pour les portefeuilles matériels comme Ledger, les fraudeurs affichent de fausses fenêtres de verification où l’utilisateur est invité à saisir sa seed phrase. Aucun mot de passe supplémentaire n’est requis, ce qui rend la technique particulièrement efficace.
« Une fois la phrase récupérée, l’attaquant peut reconstituer le portefeuille sur n’importe quel appareil », précise le rapport Kaspersky.
Analyse des vecteurs de diffusion et de la portée géographique
| Critère | FakeWallet (2026) | Campagnes classiques (pré-2025) |
|---|---|---|
| Nombre d’applications | 26 (identifiées) | 10-15 (moyenne) |
| Méthode de contournement | Typosquatting, fausses catégories, profils | Référencement officiel, mise à jour OTA |
| Cible principale | Chine (restrictions crypto) | Europe, Amérique du Nord |
| Impact financier déclaré | 9,5 M $ (Ledger) + pertes diverses | 2-3 M $ (moyenne) |
Pourquoi la campagne reste globalement dangereuse ?
- Absence de restrictions géographiques : le malware est portable, aucune vérification de localisation n’est intégrée.
- Réutilisation du même code : les 26 apps partagent des bibliothèques communes, facilitant la détection par un seul indice.
- Abus de la chaîne de confiance iOS : le système de signature d’Apple est contourné via les profils d’entreprise.
Recommandations pratiques pour les utilisateurs et les organisations
- Vérifier l’éditeur
- Accédez toujours à la page développeur via le lien officiel du portefeuille. Guide de protection des banques contre les cyber‑attaques
- Méfiez-vous des noms contenant des traits d’union, des chiffres ou des fautes d’orthographe.
- Limiter l’usage des profils de provisionnement
- Désactivez l’installation de profils non certifiés depuis les réglages iOS.
- Sur les appareils d’entreprise, appliquez la politique MDM (Mobile Device Management) pour bloquer les profils externes.
- Utiliser l’authentification multi-facteurs (MFA)
les 15 meilleurs outils de cybersécurité 2026
- Activez MFA sur chaque compte crypto, même si le portefeuille est hors ligne.
- Auditer régulièrement vos portefeuilles
- Comparez les adresses et soldes via un explorateur blockchain public.
- Former les équipes
- Organisez des ateliers de sensibilisation aux techniques de phishing mobile et aux signes d’usurpation.
Checklist de sécurité mobile (format tableau)
| Action | Oui / Non | Commentaire |
|---|---|---|
| Le développeur est-il reconnu par l’ANSSI ? | Vérifier le certificat numérique | |
| Le nom de l’application correspond-il exactement à celui du portefeuille officiel ? | Rechercher les variantes de typo | |
| Un profil de provisionnement est-il installé ? | Supprimer tout profil inconnu | |
| L’application demande-elle une seed phrase en dehors du processus officiel ? | Refuser et signaler immédiatement |
Mise en œuvre - Étapes actionnables pour sécuriser vos appareils iOS
# Exemple de script curl pour interroger l’API d’Apple afin de récupérer le développeur d’une app
curl -s "https://itunes.apple.com/lookup?bundleId=com.fake.wallet" \
| jq '.results[0] | {trackName, sellerName, version}'
- Exécuter le script sur chaque appareil pour identifier les applications suspectes.
- Comparer le
sellerNameavec la liste officielle fournie par le portefeuille (consultable sur le site web du service). - Supprimer les applications dont le développeur n’est pas vérifié ou qui utilisent des catégories illégitimes.
- Révoquer tout profil de provisionnement :
Settings → General → VPN & Device Management → Remove Profile. CVE‑2026‑33032 sur Nginx - Mettre à jour iOS vers la dernière version (iOS 18 en 2026) afin d’activer les dernières protections contre le sideloading.
Cas pratique : Un utilisateur français victime d’un FakeWallet
« J’ai téléchargé une application nommée « Metamask-Game » depuis l’App Store, pensant que c’était la version officielle. Après quelques minutes, une fenêtre m’a demandé ma phrase de récupération. J’ai saisi les mots, et le lendemain mon portefeuille Ledger était vide. »
Dans ce scénario, l’utilisateur n’a pas confirmé le développeur et a ignoré les signaux d’alarme (nom atypique, catégorie « jeu », demande de seed phrase non justifiée). En appliquant la checklist présentée plus haut, le risque aurait pu être évité.
Le point de vue de l’autorité française
L’ANSSI recommande depuis 2024 l’utilisation de la norme ISO 27001 pour la gestion des actifs numériques, incluant une classification des risques liés aux applications mobiles. Elle insiste sur la mise en place d’un processus de validation des applications tierces, ainsi que sur la surveillance continue des stores officiels.
Conclusion - Agissez dès maintenant pour protéger vos crypto-actifs
Face à la sophistication croissante des campagnes comme FakeWallet, la vigilance individuelle ne suffit plus. Adoptez une approche holistique : vérifiez toujours l’éditeur, limitez les profils de provisionnement, activez MFA, et formez vos équipes aux méthodes de phishing mobile. En suivant les étapes décrites, vous réduirez de manière significative le risque de perte financière et contribuerez à renforcer la résilience de l’écosystème crypto français.
Prochaine action : effectuez dès aujourd’hui l’audit de vos applications iOS à l’aide du script fourni, et revoyez votre politique de sécurité mobile avec le comité informatique.