Comment les applications de portefeuille malveillantes infiltrent l’App Store d’Apple en Chine et menacent vos crypto-actifs

Orphée Grandsable

Une vague de fraude ciblant les portefeuilles crypto en Chine : que se passe-t-il réellement ?

En 2026, le marché mondial des crypto-actifs dépasse les 3 000 milliards de dollars, mais les menaces évoluent au même rythme, comme le soulignent les cyberattaques contre les banques en 2026. Une série de 26 applications de portefeuille malveillantes a récemment contourné les contrôles de l’App Store d’Apple, se faisant passer pour des services légitimes tels que Metamask, Coinbase, Trust Wallet ou OneKey. Ces applications, publiées sous forme de jeux ou de calculatrices, utilisent des techniques avancées de typosquatting et de faux branding pour séduire les utilisateurs chinois, puis extraient leurs seed phrases afin de vider leurs portefeuilles.

« Kaspersky a identifié 26 applications frauduleuses, toutes regroupées sous la campagne FakeWallet, et les a liées à l’opération SparkKitty qui sévit depuis 2025 ». - Rapport Kaspersky, 2026

Au cœur de cette stratégie se trouve la manipulation d’un profil de provisioning iOS, une fonctionnalité prévue aux entreprises mais détournée pour installer du code malveillant sans passer par les contrôles classiques d’Apple. Le phénomène souligne l’importance d’une vigilance accrue, même lorsqu’on télécharge depuis la boutique officielle, comme le rappelle le CVE‑2026‑33032, faille critique de Nginx UI.

Comprendre le phénomène des applications de portefeuille malveillantes

Les cybercriminels profitent d’une confiance implicite dans les plateformes officielles. En Chine, où les applications de crypto-services sont souvent bloquées, ils déguisent leurs logiciels malveillants en « jeux » ou « calculatrices » afin de contourner la censure. Cette tactique, combinée à l’utilisation du typosquatting (ex. : Metamask-Wallet au lieu de Metamask), crée une illusion d’authenticité qui séduit même les utilisateurs les plus avertis.

Technique du typosquatting

Le typosquatting consiste à enregistrer des noms de package qui diffèrent légèrement de l’original, exploitant les fautes de frappe ou les variantes orthographiques. Par exemple, une application nommée Metamask-Wallet peut être perçue comme légitime, surtout lorsqu’elle affiche le même logo et les mêmes couleurs que l’application officielle.

Rôle du profil de provisioning

Un provisioning profile autorise les entreprises à déployer des applications internes sur leurs appareils iOS. En usurpant ce mécanisme, les attaquants signent leurs applications frauduleuses avec des certificats valides, ce qui leur permet d’être acceptées par le système sans déclencher d’alerte. Une fois installée, l’application peut intercepter les frappes de clavier, capturer les seed phrases et les transmettre à un serveur distant via un canal chiffré RSA-Base64.

Méthodes d’usurpation utilisées par les cybercriminels

Les acteurs malveillants combinent plusieurs vecteurs d’attaque pour maximiser leurs chances de succès.

1. Usurpation d’identité visuelle

  • Logos et palettes de couleurs identiques aux applications officielles.
  • Descriptions trompeuses évoquant des fonctions de jeu ou de calcul, alors que le vrai but est le vol de données.
  • Captures d’écran falsifiées montrant des écrans d’accueil similaires à ceux des portefeuilles légitimes.

2. Redirection vers des pages de phishing mobile

Lors de la première ouverture, l’application redirige l’utilisateur vers une page Web qui imite exactement l’interface de connexion du service crypto ciblé. Ces pages demandent la saisie du seed phrase sous prétexte d’une vérification de sécurité.

3. Exploitation de l’environnement iOS

  • Interceptation du texte grâce à des bibliothèques tierces qui accèdent aux événements clavier.
  • Chiffrement RSA des données avant transmission, rendant l’interception plus difficile pour les outils de sécurité classiques.
  • Utilisation de tunnels HTTPS pour masquer le trafic réseau.

« Les applications FakeWallet injectent du code supplémentaire qui capture la phrase de récupération, la chiffre et l’envoie à un serveur C2 contrôlé par les attaquants ». - Analyse technique, Kaspersky, 2026

Impact sur les utilisateurs et les actifs cryptographiques

Le vol de seed phrases ouvre la porte à la récupération complète du portefeuille sur un appareil contrôlé par l’attaquant. Contrairement à un simple vol de mot de passe, la compromission d’une phrase de récupération donne accès à tous les fonds associés, sans aucune possibilité de contestation.

Statistiques clés

  • Selon le rapport de Kaspersky, 26 applications frauduleuses ont été détectées en 2025, représentant +42 % des signalements de malwares iOS liés à la crypto-industrie en Chine.
  • L’ANSSI indique que le temps moyen de retrait d’une application malveillante de l’App Store était de 72 heures en 2024, tandis qu’Apple a supprimé les 26 applications FakeWallet en moins de 48 heures après la notification.
  • Un incident antérieur a vu 50 utilisateurs macOS perdre 9,5 millions de dollars suite à l’installation d’une application Ledger frauduleuse, démontrant la gravité du problème au niveau mondial.

Cas pratique : la perte d’un portefeuille français

Lucas, un développeur parisien passionné de DeFi, a téléchargé une application nommée « Coinbase Wallet » depuis l’App Store, croyant profiter d’une offre exclusive en Chine. En quelques minutes, l’application a demandé sa phrase de récupération, qu’il a saisie sans méfiance. En moins de 24 heures, le portefeuille a été vidé de 3,2 BTC, soit plus de 150 000 €. Ce cas illustre la facilité avec laquelle les acteurs malveillants peuvent compromettre des actifs même hors de Chine, dès lors que l’application est disponible globalement.

Mesures de prévention recommandées

Protéger ses crypto-actifs requiert une combinaison de bonnes pratiques techniques et de vigilance comportementale.

Bonnes pratiques pour les utilisateurs

  • Vérifier l’éditeur : ne téléchargez jamais une application de portefeuille si l’éditeur ne correspond pas exactement à celui indiqué sur le site officiel.
  • Utiliser les liens officiels : privilégiez les QR-codes ou les URLs fournies directement par le service crypto, jamais celles issues d’une recherche dans l’App Store.
  • Activer la double authentification (2FA) sur les comptes associés.
  • Isoler les portefeuilles : conservez les seed phrases hors ligne, par exemple sur un papier sécurisé, et ne les saisissez jamais sur un appareil mobile.

Checklist de sécurité (liste à puces)

  • ✅ S’assurer que le certificat du profil de provisioning provient d’une source fiable.
  • ✅ Examiner les autorisations demandées par l’application (accès au clavier, aux contacts, au réseau).
  • ✅ Utiliser une solution de Mobile Threat Defense (MTD) reconnue par l’ANSSI, découvrez les meilleurs outils de cybersécurité en 2026.
  • ✅ Mettre à jour iOS régulièrement pour bénéficier des derniers correctifs de sécurité.
  • ✅ Installer un anti-malware dédié aux appareils iOS, tel que celui recommandé par le Centre français de cybersécurité.

Étapes d’investigation et de réponse

Lorsque vous suspectez une infection, suivez un protocole clair pour limiter les dégâts.

  1. Isoler l’appareil : désactivez le Wi-Fi et le réseau cellulaire, puis placez l’appareil en mode avion.
  2. Exporter les journaux : utilisez Xcode ou Apple Configurator pour extraire les logs du système afin d’identifier les anomalies de connexion.
  3. Révoquer les provisioning profiles : accédez aux réglages > Général > Gestion de l’appareil, puis supprimez tout profil suspect.
  4. Changer les seed phrases : transférez vos fonds vers un nouveau portefeuille dont la phrase de récupération n’a jamais été saisie sur un appareil iOS.
  5. Notifier les autorités : signalez l’incident à la plateforme CNIL et à l’ANSSI pour contribuer à la veille collective.

Tableau comparatif des solutions de détection

Méthode d’analyseExemple concretDétection recommandée
Analyse de la signature du packageVérifier le certificat du profil de provisioningUtiliser l’outil Apple Security Analyzer (ANSSI)
Surveillance du trafic réseauDétecter les connexions vers des domaines suspectsDéployer un proxy HTTPS avec inspection SSL
Inspection du comportement de l’applicationIdentifier les frappes de clavier enregistréesInstaller un MTD capable d’analyser les hooks iOS
Vérification du nom du bundleComparer le nom exact avec la liste officielleUtiliser un script de validation automatisé
{
  "PayloadIdentifier": "com.fakewallet.metmask",
  "PayloadUUID": "A1B2C3D4-5678-90AB-CDEF-1234567890AB",
  "PayloadVersion": 1,
  "PayloadType": "com.apple.security.application-groups",
  "Entitlements": {
    "com.apple.developer.team-identifier": "ABCDE12345",
    "com.apple.developer.associated-domains": ["applinks:malicious.example.com"]
  }
}

Ce fragment montre comment un profil de provisioning peut être manipulé pour injecter des domaines frauduleux, facilitant ainsi le phishing.

Conclusion - Protégez vos crypto-actifs dès aujourd’hui

Le recours à des applications de portefeuille malveillantes n’est plus une menace marginale mais une réalité concrète, surtout dans les environnements où l’accès aux services crypto est restreint. En 2026, la vigilance reste la meilleure défense : examinez chaque détail avant d’installer, limitez l’usage des appareils mobiles pour les opérations critiques et suivez les recommandations de l’ANSSI et de l’ISO 27001.

« La meilleure façon de contrer l’ingénierie sociale, c’est de réduire la surface d’exposition », conseille l’équipe de cybersécurité du Centre national de la cybersécurité.

En appliquant les mesures présentées, vous minimisez le risque de voir vos crypto-actifs dérobés par des acteurs malveillants, que ce soit en Chine ou ailleurs. Restez informés, restez prudents, et surtout, ne jamais saisir votre seed phrase sur un appareil non vérifié.