Le Mac App Store risque de se retrouver, une fois de plus, au cœur d’une tempête médiatique et juridique dont Apple se serait bien passée. Tandis que la firme de Cupertino ne cesse de vanter les mérites de son écosystème fermé, présenté comme le rempart ultime pour la sécurité des utilisateurs, une faille béante vient d’être mise en lumière. Une affaire de fraude massive, impliquant une fausse application Ledger Live, secoue actuellement la communauté crypto et jette un voile de suspicion sur les processus de validation de la plateforme.
Le préjudice est colossal : au moins 9,5 millions de dollars ont été dérobés. Pour les victimes, le réveil est brutal. Derrière les chiffres se cachent des tragédies personnelles, comme celle de cet utilisateur de X, connu sous le pseudonyme @glove, qui a vu ses économies d’une décennie s’évaporer en un instant. En téléchargeant ce qu’il pensait être l’application officielle pour configurer son nouvel ordinateur, il a perdu 5,9 bitcoins. À près de 74 000 dollars l’unité au moment où nous rédigeons ces lignes, le calcul est aussi simple qu’effrayant.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
Une campagne de phishing d’une efficacité redoutable
Les témoignages recueillis par le site spécialisé CoinDesk confirment l’ampleur du désastre. Entre le 7 et le 13 avril, cette campagne de phishing a piégé plus d'une cinquantaine de personnes sur divers réseaux, du Bitcoin à l'Ethereum en passant par Solana ou XRP. La précision des attaques est chirurgicale. Trois victimes majeures ont notamment perdu des sommes à sept chiffres en l'espace de quelques jours seulement : 3,23 millions de dollars en USDT (une cryptomonnaie) le 9 avril, suivis de pertes de plus de 2 millions en USDC (une autre cryptomonnaie) et en diverses cryptomonnaies les jours suivants.
La mécanique est tristement classique, mais toujours aussi dévastatrice. Une fois l'application installée, les utilisateurs sont invités à saisir leur phrase de récupération. C’est la clé de voûte de la sécurité d'un portefeuille crypto : une fois en possession des attaquants, ces derniers disposent d'un accès total et irrévocable aux fonds.
Le circuit du blanchiment et les failles de la validation
L'argent dérobé n'est pas resté inactif. Les fonds ont transité par plus de 150 adresses de dépôt sur la plateforme KuCoin, avant d'être envoyés vers « AudiA6 », un service de mixage centralisé réputé pour son opacité et ses frais élevés. Le choix de KuCoin n'est sans doute pas anodin, alors que l'échangeur traverse une zone de turbulences réglementaires. Interdit de recrutement de nouveaux utilisateurs dans l'UE par les autorités autrichiennes en février 2026, malgré sa licence MiCA, KuCoin avait déjà dû verser 300 millions de dollars aux autorités américaines en 2025 pour solder des litiges liés au blanchiment d'argent.
Si Apple a fini par supprimer la fausse application de sa boutique, le mal est fait. La question qui brûle toutes les lèvres reste la même : comment un tel logiciel a-t-il pu passer les fourches caudines du Mac App Store ? La durée de disponibilité de l'application et l'ampleur des pertes pourraient bien exposer Apple à des poursuites judiciaires d'envergure. L'expert en sécurité ZachXBT suggère déjà que cet incident pourrait servir de base à un recours collectif.
Cette affaire illustre une fois de plus la persistance des menaces par ingénierie sociale, qui restent le vecteur d'attaque privilégié malgré les milliards de dollars de pertes enregistrés chaque année dans le secteur. Pour Apple, qui a fait de la vie privée et de la sécurité ses principaux arguments de vente, l'explication risque d'être difficile à fournir. Pour les victimes, il est quoi qu’il arrive trop tard.
