Applications malveillantes portefeuille crypto sur l'Apple App Store en Chine : comment les faux portefeuilles volent vos actifs

Apollinaire Monteclair

Le phénomène des faux portefeuilles crypto sur l’Apple App Store chinois

En 2026, Kaspersky a identifié 26 applications malveillantes qui se déguisent en portefeuilles crypto populaires - Metamask, Coinbase, Trust Wallet ou OneKey - et qui s’infiltrent dans l’Apple App Store destiné aux utilisateurs en Chine.

cyber‑attaques contre le secteur bancaire en 2026 Ces faux portefeuilles interceptent les phrases de récupération (seed phrases) et drainent les comptes, provoquant des pertes parfois astronomiques. Selon les données publiées, une application frauduleuse a déjà permis le vol de 9,5 millions de dollars de cryptomonnaies, touchant 50 utilisateurs macOS. La campagne, nommée FakeWallet, s’inscrit dans la continuité de l’opération SparkKitty, active depuis l’année précédente.

« Les acteurs de la cybercriminalité ciblent les mêmes vecteurs d’infection depuis plusieurs années, mais la sophistication des techniques de contournement des contrôles d’Apple a atteint un nouveau niveau. » - Rapport Kaspersky, 2026

Dans le cadre de cet article, nous analyserons les méthodes employées, les mécanismes techniques sous-jacents, les impacts sur les détenteurs de crypto-actifs, ainsi que les mesures de protection à mettre en place, en nous appuyant sur les références de l’ANSSI, de l’ISO 27001 et du RGPD.

Méthodes d’usurpation : typosquatting, faux branding et contournement des restrictions

Les cybercriminels utilisent plusieurs tactiques d’usurpation pour rendre leurs applications crédibles :

  • Typosquatting : modification d’un ou deux caractères dans le nom de l’application (ex. « MetaMask » → « MetaMAsk »).
  • Faux branding : utilisation d’icônes, de captures d’écran et de descriptions identiques à celles des applis officielles.
  • Reclassement d’application : les apps sont publiées sous les catégories « Jeux » ou « Calculatrice », afin de contourner la censure locale qui restreint les portefeuilles crypto.

Ces techniques sont renforcées par l’usage de provisioning profiles iOS, une fonctionnalité prévue pour les entreprises afin de déployer des applications internes. Les acteurs malveillants l’exploitent pour charger des logiciels tiers sans passer par le processus de validation d’Apple.

failles critiques Nginx UI en 2026

« Le détournement du provisioning profile montre à quel point les mécanismes légitimes peuvent devenir des vecteurs d’infection lorsqu’ils ne sont pas correctement contrôlés. » - Analyste Kaspersky, 2026

Analyse technique du malware et vecteurs d’infection

Interception des seed phrases

Une fois installée, l’application factice propose un assistant de configuration qui, sous couvert d’une mise à jour de sécurité, demande la phrase de récupération du portefeuille. Le code malveillant capture la saisie, puis l’encode en RSA et Base64 avant de la transmettre à un serveur de commande-et-contrôle (C2).

<?xml version="1.0" encoding="UTF-8"?>
<ProvisioningProfile>
  <TeamIdentifier>ABCDE12345</TeamIdentifier>
  <AppID>com.fakewallet.app</AppID>
  <ExpirationDate>2027-12-31</ExpirationDate>
  <Permissions>
    <AllowAppInstallation>true</AllowAppInstallation>
  </Permissions>
</ProvisioningProfile>

Le snippet ci-dessus illustre le profil utilisé pour sideloader l’app. En pratique, l’utilisateur doit accepter l’installation du profil, ce qui donne au malware les droits nécessaires pour opérer en dehors du sandbox d’iOS.

Phishing intégré et redirection vers des sites factices

Après la saisie de la seed phrase, l’application redirige l’utilisateur vers une page Web qui reproduit l’interface d’un service légitime (ex. Ledger, Coinbase). Ces pages demandent des informations complémentaires, comme un code OTP, qui sont à leur tour collectées.

Propagation et portée géographique

Bien que la campagne cible majoritairement les utilisateurs en Chine, le code malveillant ne comporte aucune restriction géographique. Si les acteurs décident d’étendre la diffusion, les victimes à l’international risquent d’être exposées. Le facteur de risque est d’autant plus élevé que les plateformes de crypto-actifs sont globales.

Conséquences pour les utilisateurs et les entreprises

  • Perte financière directe : la compromission d’une seed phrase permet à l’attaquant de restaurer le portefeuille sur son propre appareil et de transférer l’ensemble des fonds.
  • Atteinte à la réputation : les entreprises qui ne protègent pas leurs employés contre ce type de menace voient leur image ternie, notamment lorsqu’elles sont soumises au RGPD qui impose la protection des données sensibles.
  • Non-conformité aux normes : un incident de ce type peut être considéré comme une violation de l’ISO 27001, entraînant des audits supplémentaires et des sanctions potentielles.

Statistiques connexes

  • Selon Cybersecurity Ventures, les pertes liées au phishing de crypto-actifs ont dépassé 2,1 milliards de dollars en 2024.
  • Le rapport annuel de l’ANSSI indique que 34 % des incidents de cybersécurité en 2025 impliquent une forme d’usurpation d’identité ou de trojanisation d’applications mobiles.

Bonnes pratiques de sécurisation pour les détenteurs de crypto-actifs

  1. Vérifier l’éditeur : ne télécharger les portefeuilles qu’à partir du site officiel, ou via un lien fourni par le service.
  2. Utiliser l’authentification à deux facteurs (2FA) : même en cas de compromission de la seed phrase, le deuxième facteur ajoute une barrière.
  3. Audit des permissions : sous iOS, inspecter les profils d’entreprise installés dans Réglages → Général → Gestion de l’appareil.
  4. Déployer une solution EDR (Endpoint Detection and Response) conforme à l’ISO 27001, afin de détecter les comportements anormaux.
  5. Former les équipes : sensibiliser les employés aux risques de phishing mobile, en s’appuyant sur les guidelines de l’ANSSI.

outils de cybersécurité 2026

Liste de contrôle rapide

  • ✅ Le nom de l’application correspond-il exactement à l’orthographe officielle ?
  • ✅ L’icône provient-elle d’une source vérifiée ?
  • ✅ Le lien de téléchargement provient-il du domaine officiel (.com, .org) ?
  • ✅ Le certificat du profil d’entreprise est-il signé par Apple ?
  • ✅ Le service utilise-t-il le 2FA ou des clés matérielles ?

Mise en œuvre - étapes actionnables pour une protection renforcée

  1. Inventorier les applications installées : utilisez l’outil de gestion des appareils mobiles (MDM) pour recenser toutes les apps présentes sur les dispositifs iOS.
  2. Supprimer les provisioning profiles suspects : dans les réglages, révoquez tout profil qui ne provient pas d’une organisation reconnue.
  3. Appliquer des contrôles de conformité : configurez les politiques de sécurité MDM afin de bloquer l’installation d’applications non signées par Apple.
  4. Activer le mode « Application Security » de l’iPhone, qui limite l’accès aux données sensibles aux seules apps certifiées.
  5. Mettre en place un processus de récupération de seed phrases : encouragez les utilisateurs à stocker leurs phrases hors ligne, dans des coffres sécurisés, conformément aux exigences du RGPD sur la minimisation des données.
  6. Surveiller les flux réseau : utilisez un système de détection d’intrusion (IDS) capable d’identifier les communications vers les serveurs C2 connus de Kaspersky.

Conclusion - Protégez vos actifs crypto dès maintenant

En 2026, la menace des applications malveillantes portefeuille crypto sur l’Apple App Store chinois montre que même les écosystèmes les plus contrôlés ne sont pas à l’abri d’une infiltration ciblée. En appliquant les bonnes pratiques décrites ci-dessus - vérification des éditeurs, utilisation de l’authentification forte, gestion stricte des profils d’entreprise - vous réduisez significativement le risque de perte financière et de non-conformité aux standards comme l’ISO 27001 ou le RGPD. La vigilance reste la première ligne de défense ; chaque utilisateur doit s’assurer que les applications qu’il télécharge respectent les exigences de sécurité, afin de protéger durablement ses crypto-actifs.