Une fausse application sur iPhone fait perdre 17,1 bitcoins à un entrepreneur

Un entrepreneur américain croyait pouvoir se fier à l’App Store, avant qu’une fausse application ne lui vole toutes ses économies en bitcoins.

Philippe Christodoulou conservait 17,1 bitcoins dans un portefeuille électronique sécurisé de Trezor. Le mois dernier, alors qu’il voulait vérifier le solde de ses bitcoins, il a cherché dans l’App Store de son iPhone l’application de Trezor. Mais une fois installée, toute sa fortune en cryptomonnaie estimée à 600 000 dollars au moment des faits s’est immédiatement envolée.

Sans se méfier, l’entrepreneur avait cru télécharger l’application officielle – notée 5 étoiles et disposant du logo du cadenas de la société, comme le rapporte le Washington Post – alors qu’il avait en réalité installé une version frauduleuse. Comble de l’escroquerie : Trezor n’a jamais eu d’application mobile à ce jour.

Des failles sous l’armure iOS

Si l’arnaque a coûté cher, elle questionne surtout les failles de sécurité du magasin d’applications d’Apple. Même si la firme de Cupertino assure que son App Store est fiable et sécurisé, il est aisé pour les escrocs de contourner les règles, en soumettant des applications inoffensives au premier abord, avant de les transformer en applications de phishing, relève le Post.

« La confiance des utilisateurs est la base de la raison pour laquelle nous avons créé l’App Store, et nous n’avons fait que renforcer cet engagement au cours des années qui ont suivi » a déclaré Fred Sainz, porte-parole d’Apple, au journal américain. Apple déclare avoir supprimé 6 500 aplications pour « fonctionnalités cachées ou non documentées » l’an passé.

Le Washington Post rapporte qu’Apple a reconnu que d’autres escroqueries aux cryptomonnaies avaient été détectées sur l’App Store, sans en préciser l’ampleur. En outre, selon Coinfirm, cinq personnes ont signalié par le passé s’être fait voler des cryptomonnaies par le biais de la fausse application Trezor sur iOS, pour des pertes d’une valeur estimée à 1,6 million d’euros. Le Post précise qu’Apple n’a pas révélé le nom du développeur de la fausse application, ni n’a accepté de fournir ses coordonnées.

Trezor informe Google et Apple depuis des années

Le journal américain affirme aussi que Google a pris connaissance de deux fausses applications Trezor apparues sur Google Play et les a supprimées.

Dans le cadre de ces arnaques, les escrocs ont utilisé une technique d’hameçonnage pour convaincre les propriétaires de portefeuilles de saisir leur phrase de récupération, ce qui leur permet de créer une copie du portefeuille et d’envoyer les fonds qu’il contient à une adresse de leur choix.

Trezor a réagi sur Twitter sur le problème récurrent des applications de phishing et les escroqueries sur son secteur. « Nous continuerons à lutter de toutes nos forces et à les signaler aux magasins d’applications » a indiqué la société. Elle en a profité pour rappeler n’avoir « pas encore d’application mobile officielle » mais en prévoit une « au quatrième trimestre 2021 ». Avant de conclure : « Toute application sera d’abord annoncée officiellement ici ».

D’après le Washington Post, Trezor informe Apple et Google depuis des années de l’existence de fausses applications qui se font passer pour un produit Trezor.  Aussi, selon une porte-parole de Trezor, l’application frauduleuse avait été supprimée une première fois par Apple le 3 février dernier, avait de réapparaître quelques jours plus tard et être à nouveau supprimée.

Selon Sensor Tower, l’application Trezor était présente sur l’App Store du 22 janvier au 3 février au moins, et semble avoir été « téléchargée environ 1 000 fois ». L’application a également été téléchargée près de 1 000 fois sur Android, mais Sensor Tower n’a pas recueilli de d’élément sur le moment exact de sa disponibilité.