La période des fêtes voit traditionnellement fleurir les tentatives de phishing. Ledger alerte sur plusieurs campagnes actives qui ciblent ses clients, par e-mail, faux sites, applications piégées ou courrier postal. Les escrocs profitent du relâchement de fin d’année pour pousser les utilisateurs à commettre une erreur irréversible.
A l'image de la traditionnelle bûche de Noël ou des cotillons de la Saint-Sylvestre, les tentatives de phishing font désormais partie des traditions des fêtes de fin d'année. Et le fabricant français de portefeuilles matériels pour cryptomonnaies, Ledger, n'y échappe pas. Ses appareils, comme le Nano S conçu en 2016 et l'un des plus vendus au monde, permettent de stocker des actifs numériques hors ligne, sans intermédiaire.
Chaque fin d’année suit pourtant le même schéma. Les achats en ligne se multiplient, l’attention baisse, les messages s’accumulent. Les escrocs le savent.
Ledger, que vous avez peut-être découvert avec l'enlèvement de son cofondateur, David Balland en janvier dernier, observe depuis plusieurs semaines une hausse des tentatives de phishing qui visent directement ses utilisateurs. Le constructeur publie régulièrement l’état des campagnes en cours et détaille les méthodes employées.
Les scénarios changent peu sur le fond. Les messages évoquent une urgence liée à la sécurité, un problème technique ou une procédure interne. Certains imitent les canaux officiels de Ledger avec une grande précision. D’autres prennent des chemins plus surprenants, comme le courrier postal. Dans tous les cas, ce que cherchent les cybercriminels, c'est d'amener la victime à saisir sa phrase de récupération ou à valider une transaction qu’elle n’a jamais demandée.
Les campagnes de phishing se multiplient et prennent des formes inattendues
Chez Ledger, les équipes voient passer plusieurs familles d’attaques en parallèle.
Les plus répandues arrivent encore par e-mail, comme on vous l'a décrypté récemment sur Clubic avec les boîtes mail pro. Le message renvoie vers un site qui prétend être Ledger Live. À l’écran, tout semble normal : présence du logo et même charte graphique. Seul le nom de domaine trahit l’arnaque, souvent à peine. Une lettre déplacée, un caractère inhabituel, parfois presque imperceptible selon la police ou le navigateur. Une fois sur la page, le discours se veut pressant. Il faut agir, corriger un incident, sécuriser un compte. L’interface pousse alors à une action immédiate.
D’autres campagnes prennent un détour beaucoup moins attendu, d'un autre temps. Des utilisateurs ont découvert une lettre dans leur boîte aux lettres, bien réelle cette fois et ça n'était pas la réponse à la lettre au Père Noël. Le courrier invite à scanner un QR code ou à se rendre sur une adresse web précise. Le texte parle de sécurité, évoque parfois la création d’un coffre-fort dédié. Le ton se veut rassurant, presque administratif. Le parcours mène pourtant toujours au même point. Après quelques étapes, la demande apparaît. Il faut saisir les 24 mots de la phrase de récupération et fissa.
L’un de ces courriers a récemment circulé sur X, photos à l’appui. Le document mentionne une mise en sécurité des fonds et suggère un transfert vers une adresse indiquée comme temporaire. Ledger indique clairement que ce service n’existe pas. Dans l’écosystème crypto, la règle reste simple. Quiconque connaît la phrase de récupération dispose d’un accès total aux actifs associés, sans validation supplémentaire et sans possibilité de retour.
Enfin, certaines passent par des canaux plus directs, presque intrusifs. SMS, appels téléphoniques, messages sur WhatsApp ou Telegram arrivent parfois sans prévenir. Le prétexte varie, mais pas la cible : déclencher une réaction rapide. Ledger rappelle que ses équipes ne contactent jamais les utilisateurs par ces moyens. Toute sollicitation qui ne passe pas par un e-mail officiel ou par les comptes sociaux vérifiés de l’entreprise doit immédiatement éveiller la méfiance.
Les rappels de Ledger valent pour tout l’écosystème crypto
Ledger diffuse une série de règles simples, qui dépassent largement le cadre de ses propres produits. La première concerne la validation des transactions. Un utilisateur doit toujours refuser une opération qu’il n’a pas initiée lui-même. L’écran de l’appareil affiche chaque détail. Ce moment sert de dernier verrou.
Autre point clé. Aucun service sérieux ne demande une phrase de récupération. Ni par e-mail, ni par téléphone, ni par courrier. Ces 24 mots ne se saisissent jamais sur un ordinateur ou un smartphone. Une fois transmis, les fonds deviennent impossibles à récupérer.
Ledger rappelle aussi qu’aucun acteur externe ne peut bloquer ou désactiver un portefeuille matériel. Les messages qui évoquent une suspension liée à une vérification d’identité cherchent uniquement à provoquer une réaction rapide. Les appareils fonctionnent hors ligne et sans contrôle central.
Les canaux de communication constituent un autre élément central. Les domaines officiels se limitent à quelques adresses clairement identifiées. Les variantes plus longues ou complexes doivent susciter une vigilance immédiate, même si le nom “ledger” apparaît dans l’URL.
Les recommandations de Clubic pour éviter les pièges
Sur Clubic, on vous recommande de toujours vérifier l’adresse complète d’un site avant toute action sensible. Un simple copier-coller dans la barre du navigateur suffit souvent à repérer une anomalie.
N’oubliez jamais qu’aucun support client ne peut intervenir sur vos fonds. Toute demande qui évoque un transfert « temporaire » ou une mise en sécurité externe doit alerter.
Ne communiquez jamais votre phrase de récupération, quel que soit le canal utilisé. Cette règle vaut pour Ledger, mais aussi pour l’ensemble des portefeuilles et services crypto.
Passez toujours par les canaux officiels pour toute demande d’assistance. Les sites web vérifiés, les adresses e-mail publiques et les comptes sociaux certifiés restent les seuls points de contact fiables.
Enfin, signalez systématiquement les tentatives de phishing. En France, la plateforme THESEE permet de déclarer ces faits, que vous ayez évité l’arnaque ou que vous en ayez été victime. Ce signalement aide les autorités à identifier les campagnes actives et à limiter leur diffusion.
Source : Ledger
