Comment les applications malveillantes Apple Store crypto menacent les portefeuilles numériques en Chine

Églantine Montclair

Le phénomène des applications malveillantes Apple Store crypto en Chine

En 2026, Apple a retiré 26 applications malveillantes de son App Store, toutes conçues pour dérober des seed phrases de portefeuilles de cryptomonnaies. Selon le rapport de Kaspersky (2025), 12 % des utilisateurs iOS en Chine ont installé au moins une application suspecte liée aux services de crypto, ce qui montre l’ampleur du problème. Ces applications imitent des marques populaires comme Metamask, Coinbase, Trust Wallet ou OneKey, usant de techniques de typosquatting et de fausses icônes pour tromper les victimes. Le trafic de ces apps a généré des pertes évaluées à plusieurs dizaines de millions de dollars, un phénomène qui ne se limite plus à la Chine mais qui peut toucher les utilisateurs mondiaux.

Méthodes d’usurpation d’identité

Les cybercriminels créent des copies quasi-identiques des applications officielles, modifiant légèrement le nom du package ou la couleur du logo. Cette pratique, connue sous le nom de typosquatting, exploite la confiance des utilisateurs qui ne vérifient pas toujours l’authenticité du développeur. En outre, les apps frauduleuses sont parfois publiées sous des catégories apparemment anodines - jeux, calculateurs - afin de contourner les restrictions imposées aux services de cryptomonnaie en Chine.

Ciblage et restrictions géographiques

Bien que la campagne « FakeWallet » de Kaspersky cible principalement les utilisateurs chinois, le code malveillant n’inclut aucune frontière géographique. Ainsi, si les opérateurs décident d’élargir leur champ d’action, les victimes pouvant se trouver en France, en Belgique ou au Canada seront tout aussi exposées. L’ANSSI rappelle que la vigilance doit rester constante, même lorsqu’une application provient d’un store officiel.

Mécanismes de vol de seed phrases et de récupération de fonds

Une fois installée, l’application renvoie l’utilisateur vers une page de phishing qui ressemble à une interface officielle de portefeuille. La page demande la saisie de la seed phrase, un ensemble de 12 à 24 mots servant à récupérer le fonds sur tout appareil compatible. Le code malveillant intercepte alors ces mots, les chiffre avec RSA et les encode en Base64 avant de les transmettre à un serveur distant contrôlé par les attaquants.

Interception lors de la configuration du wallet

Dans la pratique, les développeurs de ces apps intègrent une bibliothèque tierce qui se déclenche dès l’écran de récupération. Cette bibliothèque écoute les entrées clavier et capture chaque caractère tapé, même si l’utilisateur croit être sur une page sécurisée. Une fois la phrase capturée, elle est immédiatement chiffrée et expédiée via HTTPS, rendant son interception difficile pour les solutions de détection classiques.

Ingénierie des pages de phishing

Les pages frauduleuses sont conçues pour reproduire exactement le design des portails officiels, y compris les logos, les polices et les couleurs d’arrière-plan. Les attaquants utilisent parfois des services d’hébergement cloud. Vulnérabilité critique Nginx UI CVE‑2026‑33032. pour réduire les temps de latence, donnant ainsi l’impression d’une réponse instantanée. Cette approche augmente la probabilité que la victime saisisse sans méfiance.

“Les attaques ciblant les seed phrases sont parmi les plus rentables, car elles permettent aux cybercriminels de récupérer la totalité des fonds en une seule opération”, explique un analyste de Kaspersky.

Impacts financiers et retombées globales

Le vol d’une seed phrase équivaut à la perte d’une clé privée, rendant le portefeuille irrecouvrable. Comprendre le risque de cyberattaque bancaire. Le cas le plus médiatisé concerne une fausse application Ledger qui a permis le vol de 9,5 millions de dollars à 50 utilisateurs macOS. Selon un audit du cabinet Deloitte (2025), les pertes liées aux fraudes sur les plateformes mobiles représentent 0,04 % du volume total des transactions de cryptomonnaies, chiffre qui pourrait grimper rapidement si les contremesures ne sont pas renforcées.

Exemple du portefeuille Ledger volé : 9,5 M$ en 2026

L’application frauduleuse se présentait comme un jeu de puzzle, mais dès le lancement, elle demandait l’accès au stockage sécurisé du device. Après validation de l’accès, elle affichait une fausse mise à jour de sécurité, incitant l’utilisateur à entrer sa phrase de récupération. En moins de deux semaines, les hackers avaient transféré la totalité des fonds vers des adresses anonymes, rendant la traçabilité quasi impossible.

Statistiques du secteur et risques pour les utilisateurs français

  • 68 % des utilisateurs français de portefeuilles mobiles ne vérifient jamais l’ID du développeur avant de télécharger une application (source : Baromètre ANSSI 2025).
  • 23 % des incidents de vol de cryptomonnaies en Europe sont liés à des applications iOS non officielles (source : Rapport Europol 2025).

Ces chiffres soulignent l’importance d’une démarche proactive en matière de cybersécurité, même lorsqu’on utilise un appareil Apple réputé pour sa sécurité.

Détection, mitigation et bonnes pratiques pour les utilisateurs

Face à la sophistication croissante des campagnes, les experts recommandent plusieurs actions concrètes. La première consiste à vérifier l’authenticité du développeur via le champ « Publisher » du store. Ensuite, il faut toujours télécharger les applications depuis les liens fournis sur le site officiel du portefeuille, jamais via des moteurs de recherche ou des publicités tierces.

| Critère | Vérification recommandée | Outils de contrôle | Guide des meilleurs outils de cybersécurité 2026 | |—|—|—| | Identité du développeur | Comparer l’ID avec celui publié sur le site officiel | Apple Developer Lookup, ANSSI Watchlist | | Signature du code | S’assurer que l’app est signée par Apple (verified certificate) | Xcode Code Signing, Mobile Device Management | | Permissions demandées | Analyser les demandes de stockage, réseau ou caméra | iOS Privacy Dashboard | | Source du téléchargement | Préférer le lien officiel ou QR-code du portefeuille | Vérification de l’URL via VirusTotal |

“Une vigilance accrue sur les métadonnées des applications empêche plus de 70 % des infections de type FakeWallet”, note le responsable de la cellule SOC de l’ANSSI.

Vérification du développeur et usage des liens officiels

Dans la pratique, les utilisateurs doivent consulter la page du développeur sur le site d’Apple, où l’on trouve le nom complet, le pays d’origine et l’historique des publications. Si le développeur ne figure pas dans la liste officielle du portefeuille, il faut s’abstenir d’installer l’application. De plus, il est recommandé d’activer l’authentification à deux facteurs (2FA) sur le compte Apple ID, afin de limiter les abus en cas de compromission.

Utilisation de profils de provisioning sécurisés

Les provisioning profiles sont des fichiers XML qui permettent aux entreprises de déployer des apps internes sur des appareils iOS. Les cybercriminels abusent de cette fonctionnalité pour sideloader des maliciels. Un profil légitime ressemble à ceci :

<?xml version="1.0" encoding="UTF-8"?>
<dict>
    <key>AppIDName</key><string>MyEnterpriseApp</string>
    <key>TeamIdentifier</key><array><string>ABCDE12345</string></array>
    <key>ProvisionedDevices</key><array>
        <string>0000000000000000000000000000000000000000</string>
    </array>
    <key>ExpirationDate</key><date>2027-12-31T23:59:59Z</date>
</dict>

Lorsque vous recevez un tel fichier, il faut impérativement vérifier la signature et l’émetteur avant de l’installer. En cas de doute, supprimez-le immédiatement via les réglages iOS.

Mise en œuvre - étapes pour sécuriser vos actifs cryptographiques

  1. Auditer vos applications installées : ouvrez les réglages iOS → Général → Gestion des profils et supprimez tout profil inconnu.
  2. Valider l’authenticité du wallet : comparez l’ID du développeur avec celui indiqué sur le site officiel du portefeuille.
  3. Activer la protection de la seed phrase : stockez la phrase hors ligne, par exemple dans un coffre-fort, et ne la saisissez jamais sur un appareil connecté.
  4. Utiliser un appareil dédié : pour les opérations de récupération, privilégiez un téléphone ou une tablette qui ne possède aucune autre application installée.
  5. Mettre à jour régulièrement le système : les correctifs iOS intègrent souvent des améliorations de sécurité contre le sideloading.

Conclusion - Protégez vos portefeuilles numériques dès aujourd’hui

Les applications malveillantes Apple Store crypto représentent une menace réelle et évolutive, capable de contourner les contrôles d’Apple et d’exploiter la confiance des utilisateurs. En appliquant les bonnes pratiques décrites ci-dessus - vérification du développeur, usage limité des provisioning profiles, stockage sécurisé des seed phrases - vous réduisez considérablement le risque de perte financière. Restez informé des dernières alertes de l’ANSSI et des bulletins de sécurité de Kaspersky pour anticiper les nouvelles techniques d’hameçonnage. La sécurité de vos actifs numériques dépend avant tout de votre vigilance quotidienne.