Les clients de l’entreprise française de gestion des cryptomonnaies Ledger subissent en ce moment de nombreuses campagnes de phishing. Elle abusent d’une technique couramment utilisée : le typosquatting.

En cette fin octobre, les clients de Ledger reçoivent d’étranges messages. Que ce soit par SMS ou par email, des pirates essaient de se faire passer pour l’entreprise française afin d’extorquer la phrase secrète des clients.

Composée de 24 mots, cette clé extrêmement robuste s’avère essentielle dans le fonctionnement des portes-feuilles de cryptomonnaies physiques comme celui de Ledger. Lorsqu’un client de l’entreprise veut connecter à ses portefeuilles, il doit connecter à son ordinateur un appareil de Ledger qui ressemble à une clé USB, puis indiquer son code PIN à 4 ou 8 chiffres. C’est un système particulièrement sûr, puisqu’un voleur de cryptomonnaie devrait à la fois dérober l’appareil qui sert à la connexion et connaître le mot de passe.

La phrase secrète trouve son utilité en cas de perte ou de destruction de l’outil de connexion. L’utilisateur pourra alors rentrer les 24 mots dans une autre clé physique pour obtenir à nouveau l’accès à ses portefeuilles de cryptomonnaies.

Image d'erreur

Les 24 mots de la phrase ne doivent jamais être entrés autre part que sur un portefeuille physique. // Source : Ledger/YouTube

En conséquence, si les hackers réussissent leur coup et obtiennent le précieux code à 24 chiffres d’une personne, ils n’ont plus qu’à la rentrer dans un de leurs appareils, et ils pourront accéder aux portes-feuille de bitcoins, ethereum et autres cryptomonnaies de leurs victimes.

Sur les réseaux sociaux, Ledger alerte régulièrement sur les campagnes de phishing en cours, et répond plutôt efficacement aux interrogations de ses clients sur le sujet. L’entreprise a publié une série d’articles sur le phishing pour accompagner sa prévention, avec des captures d’écran pour illustrer les différents types d’arnaques. La startup française a même mis en place un bandeau d’avertissement en haut de la page d’accueil de son site officiel pour avertir sur les clients que des campagnes de phishing sont en cours.

Partout : elle matraque son message de prévention « ne donnez jamais votre phrase secrète de 24 mots. Ledger ne vous la demandera jamais ». La phrase secrète ne doit être entrée que sur un des appareils de l’entreprise ou celui d’un de ses concurrents. Jamais sur un site.

Votre Ledger aurait une faille, et vos cryptomonnaies seraient en danger

Sur les nombreux faux sites de Ledger en circulation, Cyberguerre n’en a trouvé qu’un d’encore actif, preuve de la réactivité de l’entreprise. Tous les différents messages d’arnaque s’appuient sur le même scénario, dans un anglais parfait (que nous avons traduit) : Ledger avertirait ses clients d’un problème de sécurité, qu’il faudrait rapidement résoudre en se connectant au site.

« Cher [vrai prénom et nom], visitez s’il vous plaît [lien vers un faux site], et mettez à jour le firmware de Ledger, puisque le précédent présente un bug qui risque de vous faire perdre des cryptoactifs », prétend un des SMS. Le firmware est une couche logicielle responsable du fonctionnement profond d’un appareil. En 2015, un jeune hacker avait réellement trouvé des vulnérabilités dans celui de Ledger.

Image d'erreur

Voici un exemple de SMS de phishing, dont il existe de nombreuses versions.

Par email, les pirates développent plus longuement, et s’appliquent à reproduire la charte graphique de Ledger : « Cher client, nous avons le regret de vous informer que ledger a une fuite de données qui touche environ 86 000 de nos clients et que l’adresse [adresse email de la victime] associé à votre portefeuille en fait partie. Plus précisément, le [date plus ou moins récente selon les versions du message], nos équipes d’experts ont découvert que plusieurs serveurs administratifs de Ledger Live ont été infectés par un malware. » Après de plus amples explications, il conclut : « À cause des circonstances, vous devez considérer que vos cryptoactifs risquent d’être volés. Si vous recevez cet email, c’est parce que vous avez été affecté par la faille. Pour protéger vos cryptoactifs, téléchargez la dernière version de Ledger Live et suivez les instructions pour créer un nouveau PIN pour votre portefeuille. »

Comment les pirates ont-ils ciblé ?

Ces scénarios se nourrissent des récents déboires de Ledger. Cet été, l’entreprise s’est fait pirater un fichier utilisé par ses services clients et marketing. Dans un communiqué, elle donnait des détails sur l’incident et précisait son ampleur : un intrus avait eu accès à un million d’adresses email de clients, ainsi qu’au nom, à l’adresse au numéro de téléphone et aux commandes de 9 500 d’entre eux. Elle affirme avoir contacté par email ces derniers. Heureusement, cette fuite a été sans conséquence pour les comptes, mais Ledger avertissait déjà « si vous recevez un email qui paraît provenir de Ledger et qui vous demande vos 24 mots, vous devriez le considérer comme une tentative de phishing ».

Cette fuite, si elle a été vendue, pourrait avoir alimenté les récentes campagnes de phishing. Mais rien n’indique que les pirates n’ont pas utilisé d’autres bases de données pour faire leur ciblage : par exemple, les malfaiteurs pourraient contacter les adresses issues d’une fuite d’un forum de crypto-enthousiastes en supposant qu’ils ont de grandes chances d’être clients de Ledger.

Parmi les cibles du phishing, certains s’étonnent d’être contactés sur leur vrai numéro et leur vrai nom. La précision de ce ciblage n’est forcément synonyme d’une fuite de Ledger, loin de là. Les organisations cybercriminels récupèrent les données issues de plusieurs fuites et les croisent entre elles : par exemple, une première fuite peut indiquer l’adresse email et le fait que la personne est client de Ledger, tandis qu’une seconde liera la même adresse email à une identité et un numéro de téléphone.

Le typosquatting, principale ficelle des pirates

Une des clés pour déjouer ces tentatives de phishing est de porter une attention particulière aux noms de domaines des emails. Cette précaution permet d’éviter le « typosquatting » une technique qui consiste à tromper l’utilisateur avec un nom très proche.

Le site officiel de Ledger est ledger.com, mais dans les SMS, les pirates renvoient vers des adresses ressemblantes comme ledger[.]media ou ledger[.]legal. Cette différence du nom de domaine est un des principaux signes de l’entourloupe. Dans tous les cas, si vous avez un doute, le meilleur moyen est de passer par un moteur de recherche comme Google pour trouver le site officiel de l’entreprise.

Dans les emails de phishing que nous avons vu, la même attention au nom de l’expéditeur permet d’éviter le piège. Celui qui semble avoir le mieux fonctionné est legder[.]com, car il est particulièrement proche de celui du vrai site. Dans l’urgence causée par des inquiétudes sur la perte de cryptoactifs, un utilisateur peut ne pas déceler l’inversion des lettres « g » et « d » et tomber dans le piège.

Nous avons nous même mordu au phishing et cliqué sur un des liens frauduleux. Non seulement les pirates ont créé une page destinée au vol de la phrase secrète, ils ont aussi créé une réplique fidèle du site de Ledger autour.

Image d'erreur

Les pirates utilisent une copie assez fidèle du site de Ledger. // Source : Capture d’écran Numerama

L’URL semble bien afficher « ledger.com », l’adresse du site officiel. Sauf qu’en y regardant de plus près, le premier « e » de l’adresse est un « e point souscrit » un graphème utilisé dans certaines langues nigérianes et dans le vietnamien. Nous ne sommes donc pas sur le site officiel, mais sur un site pirate. Pour faire ce « e » spécial, les pirates utilisent un code ASCII. Quand nous regardons de plus près le certificat de l’adresse, nous décelons le vrai nom de domaine de la page : https://xn--ldger-n51b[.]com/, qui n’a rien à voir avec celui que nous voyons. C’est ce nom que les pirates ont déposé.

Un autre détail peut tromper le visiter : le « https » qui affiche la connexion comme étant sécurisée sur certains navigateurs. Mais il faut savoir que ce certificat n’est aujourd’hui plus une garanti, car les pirates peuvent s’en procurer gratuitement, en trompant un des organismes émetteurs.

Image d'erreur

Il faut regarder l’URL de bien près pour voir le point sous le premier « e » de Ledger. // Source : Capture d’écran Numerama

Image d'erreur

C’est en regardant le certificat de plus près que nous découvrons l’entourloupe. // Source : Capture d’écran Numerama

Fausse connexion, vrai vol

La page sur laquelle nous atterrissons depuis l’email de phishing, nous demande de connecter notre appareil Ledger. Nous n’en avons pas, mais après une dizaine de secondes d’attente, la page simule une connexion avec l’appareil. Les pirates ont vraiment soigné l’arnaque : un écran progressif nous informe que nous allons entrer un espace sécurisé, où les communications sont chiffrées.

C’est alors que le site nous présente un message d’erreur : la connexion avec l’appareil n’aurait pas fonctionné et nous devrions récupérer nos portefeuilles grâce à la phrase secrète. Le site nous propose de l’écrire mot par mot, soi-disant pour plus de sécurité. Bien évidemment, ce sont des informations qu’ils récupèrent…

Image d'erreur

Le site simule une connexion via les clés de Ledger, puis affiche un message d’erreur. // Source : Capture d’écran Numerama

Comme il est courant dans les phishing, après avoir terminé de remplir nos informations, nous sommes redirigés vers le vrai site de Ledger, laissant planer le doute sur une erreur ou un bug. Si vous êtes allé jusqu’à cette étape, contactez Ledger au plus vite, les pirates ont désormais les informations suffisantes pour vider vos portefeuilles.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.