![\"anni\u00e8res](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/05\/07112518\/ios-macos-fake-crypto-apps-01.jpg\")
<\/a>anni\u00e8res sur les pages des applications indiquant qu\u2019elles permettent de t\u00e9l\u00e9charger l\u2019application officielle TokenPocket, indisponible sur l\u2019App Store local<\/p><\/div>\n
Nous avons \u00e9galement recens\u00e9 plusieurs applications dont les noms et les ic\u00f4nes n\u2019avaient aucun rapport avec les cryptomonnaies. Cependant, leurs banni\u00e8res promotionnelles affirmaient qu\u2019elles pouvaient servir \u00e0 t\u00e9l\u00e9charger et \u00e0 installer des applications de portefeuille officielles qui ne sont pas disponibles sur l\u2019App Store r\u00e9gional.<\/p>\n
<\/a>anni\u00e8res sur les pages des applications indiquant qu\u2019elles permettent de t\u00e9l\u00e9charger l\u2019application officielle TokenPocket, indisponible sur l\u2019App Store local<\/p><\/div>\n
Au total, nous avons identifi\u00e9 26\u00a0applications de phishing imitant les portefeuilles populaires suivants\u00a0:<\/p>\n
- \n
- MetaMask<\/li>\n
- Ledger<\/li>\n
- Trust Wallet<\/li>\n
- Coinbase<\/li>\n
- TokenPocket<\/li>\n
- imToken<\/li>\n
- Bitpie<\/li>\n<\/ul>\n
Quelques autres applications tr\u00e8s similaires ne comportaient pas encore de fonctionnalit\u00e9s de phishing, mais tout porte \u00e0 croire qu\u2019elles sont li\u00e9es aux m\u00eames cybercriminels. Leur intention est probablement d\u2019ajouter des fonctions malveillantes dans les prochaines mises \u00e0 jour.<\/p>\n
Pour que ces applications soient accept\u00e9es sur l\u2019App Store, les d\u00e9veloppeurs y ont ajout\u00e9 des fonctionnalit\u00e9s de base, comme un jeu, une calculatrice ou un agenda.<\/p>\n
Si vous installez l\u2019un de ces clones, vous prenez le risque de perdre vos cryptomonnaies. Si ces applications ne volent pas elles-m\u00eames de cryptomonnaies, de phrases secr\u00e8tes ou de mots de passe, elles servent d\u2019app\u00e2t et gagnent la confiance des utilisateurs du simple fait qu\u2019elles figurent sur l\u2019App Store officiel. Cependant, une fois install\u00e9e et lanc\u00e9e, l\u2019application ouvre dans le navigateur de la victime un site de phishing con\u00e7u pour ressembler \u00e0 l\u2019App Store, qui invite ensuite l\u2019utilisateur \u00e0 installer une version pirate du portefeuille de cryptomonnaies en question. Les pirates ont cr\u00e9\u00e9 plusieurs versions de ces modules malveillants, chacune \u00e9tant adapt\u00e9e \u00e0 un portefeuille particulier. Vous trouverez une analyse technique d\u00e9taill\u00e9e de cette attaque dans notre article publi\u00e9 sur Securelist<\/a>.<\/p>\n
Une victime qui tombe dans le pi\u00e8ge est d\u2019abord invit\u00e9e \u00e0 installer un profil d\u2019approvisionnement, qui permet d\u2019installer des applications sur un iPhone en dehors de l\u2019App Store. Ce profil est ensuite utilis\u00e9 pour installer l\u2019application malveillante elle-m\u00eame.<\/p>\n
![\"Un](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/05\/07112415\/ios-macos-fake-crypto-apps-03.jpg\")
<\/a>Un faux site de l\u2019App Store invitant l\u2019utilisateur \u00e0 installer une application se faisant passer pour Ledger Wallet<\/p><\/div>\n
Dans l\u2019exemple ci-dessus, le programme malveillant se base sur la version originale de l\u2019application Ledger, \u00e0 laquelle a \u00e9t\u00e9 int\u00e9gr\u00e9 un cheval de Troie. L\u2019application semble identique \u00e0 l\u2019originale, mais lorsqu\u2019elle est connect\u00e9e \u00e0 un portefeuille mat\u00e9riel, elle affiche une fen\u00eatre exigeant une phrase secr\u00e8te, soi-disant pour r\u00e9tablir l\u2019acc\u00e8s. Ce n\u2019est pas la proc\u00e9dure standard\u00a0: en g\u00e9n\u00e9ral, il suffit de saisir un code PIN, jamais une phrase de r\u00e9cup\u00e9ration. Si une victime se laisse tromper par l\u2019apparente l\u00e9gitimit\u00e9 de l\u2019application et saisit sa phrase secr\u00e8te, celle-ci est imm\u00e9diatement transmise au serveur des pirates, leur donnant ainsi un acc\u00e8s complet aux cryptomonnaies de la victime.<\/p>\n
Installation hors App Store<\/h2>\n
Une composante essentielle de ce stratag\u00e8me consiste \u00e0 installer un programme malveillant sur l\u2019iPhone de la victime en contournant l\u2019App Store et son processus de v\u00e9rification. Cette op\u00e9ration s\u2019effectue de mani\u00e8re tr\u00e8s semblable \u00e0 celle du voleur d\u2019informations SparkKitty pour iOS<\/a> que nous avions d\u00e9couvert pr\u00e9c\u00e9demment. Les pirates ont r\u00e9ussi \u00e0 acc\u00e9der au programme Apple Developer Enterprise Program<\/a>. Pour seulement 299\u00a0dollars US par an, apr\u00e8s un entretien et une v\u00e9rification de l\u2019entreprise, ce programme permet aux entit\u00e9s de cr\u00e9er leurs propres applications et profils de configuration, que les utilisateurs peuvent t\u00e9l\u00e9charger directement sur leurs appareils sans qu\u2019ils soient jamais publi\u00e9s sur l\u2019App Store.<\/p>\n
![\"Pour](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/05\/07112323\/ios-macos-fake-crypto-apps-04.jpg\")
<\/a>Pour installer l\u2019application, la victime doit d\u2019abord installer un profil de configuration qui permet de t\u00e9l\u00e9charger directement le programme malveillant, sans passer par l\u2019App Store. Notez la coche de v\u00e9rification verte<\/p><\/div>\n
En g\u00e9n\u00e9ral, les profils d\u2019entreprise sont con\u00e7us pour permettre aux organisations de d\u00e9ployer des applications internes sur les appareils de leurs employ\u00e9s. Ces applications ne sont pas publi\u00e9es sur l\u2019App Store et peuvent \u00eatre install\u00e9es sur un nombre illimit\u00e9 d\u2019appareils. Malheureusement, cette fonctionnalit\u00e9 fait souvent l\u2019objet d\u2019abus. Ces profils servent fr\u00e9quemment \u00e0 distribuer des logiciels qui enfreignent les r\u00e8gles d\u2019Apple, tels que les casinos en ligne, les mods pirat\u00e9s et, bien s\u00fbr, les programmes malveillants.<\/p>\n
C\u2019est pr\u00e9cis\u00e9ment pour cette raison que le faux site imitant l\u2019Apple Store invite l\u2019utilisateur \u00e0 installer un profil de configuration avant de lui fournir l\u2019application sign\u00e9e par ce profil.<\/p>\n
Vol de cryptomonnaies via des applications et des extensions macOS<\/h2>\n
De nombreux d\u00e9tenteurs de cryptomonnaies pr\u00e9f\u00e8rent g\u00e9rer leurs portefeuilles sur un ordinateur plut\u00f4t que sur un smartphone, et optent souvent pour un Mac \u00e0 cette fin. Il n\u2019est donc pas surprenant que la plupart des logiciels de vol d\u2019informations les plus r\u00e9pandus sous macOS ciblent, d\u2019une mani\u00e8re ou d\u2019une autre, les donn\u00e9es des portefeuilles de cryptomonnaies. Cependant, une nouvelle tactique malveillante a r\u00e9cemment gagn\u00e9 en popularit\u00e9\u00a0: en plus de voler les donn\u00e9es enregistr\u00e9es, les pirates int\u00e8grent des fen\u00eatres de phishing directement dans les applications de portefeuille authentiques d\u00e9j\u00e0 install\u00e9es sur les ordinateurs des utilisateurs. Au d\u00e9but de cette ann\u00e9e, le logiciel de vol d\u2019informations MacSync<\/a> s\u2019est dot\u00e9 de cette fonctionnalit\u00e9. Il s\u2019introduit dans les syst\u00e8mes par le biais d\u2019attaques de type ClickFix<\/a>\u00a0: les utilisateurs \u00e0 la recherche de logiciels sont redirig\u00e9s vers de faux sites contenant des instructions frauduleuses les incitant \u00e0 installer l\u2019application en ex\u00e9cutant des commandes dans Terminal. Le voleur d\u2019informations s\u2019ex\u00e9cute alors, et r\u00e9cup\u00e8re les mots de passe et les cookies enregistr\u00e9s dans Chrome, les conversations issues de messageries instantan\u00e9es populaires, ainsi que les donn\u00e9es provenant d\u2019extensions de portefeuilles cryptographiques int\u00e9gr\u00e9es au navigateur.<\/p>\n
Mais le plus int\u00e9ressant, c\u2019est ce qui se passe ensuite. Si la victime a d\u00e9j\u00e0 install\u00e9 l\u2019application Trezor ou Ledger authentique, le logiciel de vol d\u2019informations t\u00e9l\u00e9charge des modules suppl\u00e9mentaires et\u2026 remplace des fragments de l\u2019application par son propre code infect\u00e9. Le programme malveillant resignera ensuite le fichier modifi\u00e9 pour que, une fois ces \u00a0\u00bb\u00a0corrections\u00a0\u00a0\u00bb apport\u00e9es, Gatekeeper (un m\u00e9canisme de protection int\u00e9gr\u00e9 \u00e0 macOS) autorise l\u2019ex\u00e9cution de l\u2019application sans demander d\u2019autorisation suppl\u00e9mentaire \u00e0 l\u2019utilisateur. M\u00eame si cette technique ne fonctionne pas toujours, elle s\u2019av\u00e8re efficace pour les applications plus simples d\u00e9velopp\u00e9es \u00e0 l\u2019aide du c\u00e9l\u00e8bre framework Electron<\/a>.<\/p>\n
![\"L'application](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/05\/07112231\/ios-macos-fake-crypto-apps-05.jpg\")
<\/a>L\u2019application infect\u00e9e par un cheval de Troie demande \u00e0 l\u2019utilisateur de saisir la phrase secr\u00e8te de son portefeuille<\/p><\/div>\n
Lorsque l\u2019application infect\u00e9e est ouverte, elle simule une erreur et lance un \u00ab\u00a0processus de r\u00e9cup\u00e9ration\u00a0\u00bb, demandant \u00e0 l\u2019utilisateur de saisir la phrase secr\u00e8te de son portefeuille.<\/p>\n
Outre MacSync, les d\u00e9veloppeurs \u00e0 l\u2019origine d\u2019autres logiciels espions populaires sous macOS ont adopt\u00e9 cette m\u00eame approche d\u2019infection par cheval de Troie. Nous avons d\u00e9j\u00e0 pr\u00e9sent\u00e9 en d\u00e9tail un m\u00e9canisme similaire utilis\u00e9 pour compromettre les portefeuilles Exodus et Bitcoin-Qt<\/a>.<\/p>\n
Comment prot\u00e9ger vos cryptomonnaies<\/h2>\n
Les pirates ont d\u00e9montr\u00e9 \u00e0 maintes reprises qu\u2019aucun appareil n\u2019est vraiment invuln\u00e9rable. \u00c9tant donn\u00e9 que de nombreux d\u00e9veloppeurs et adeptes des cryptomonnaies privil\u00e9gient les syst\u00e8mes macOS et iOS, les cybercriminels con\u00e7oivent et lancent des attaques \u00e0 grande \u00e9chelle visant ces deux plateformes. Pour rester en s\u00e9curit\u00e9, il faut mettre en place une d\u00e9fense en profondeur, fond\u00e9e sur le scepticisme et la vigilance.<\/p>\n
- \n
- T\u00e9l\u00e9chargez uniquement des applications provenant de sources fiables\u00a0: soit le site officiel du d\u00e9veloppeur, soit sa page sur l\u2019App Store. \u00c9tant donn\u00e9 que des programmes malveillants peuvent se glisser m\u00eame dans les boutiques officielles, v\u00e9rifiez toujours l\u2019\u00e9diteur de l\u2019application.<\/li>\n
- V\u00e9rifiez la note de l\u2019application, sa date de publication et le nombre de t\u00e9l\u00e9chargements.<\/li>\n
- Lisez les avis, en particulier les n\u00e9gatifs. Triez les commentaires par date pour consulter les avis au sujet de la derni\u00e8re version. Les pirates commencent souvent par proposer une application tout \u00e0 fait inoffensive qui recueille d\u2019excellents avis, avant d\u2019y ajouter des fonctionnalit\u00e9s malveillantes lors d\u2019une mise \u00e0 jour ult\u00e9rieure.<\/li>\n
- Ne copiez-collez jamais de commandes dans Terminal \u00e0 moins d\u2019\u00eatre s\u00fbr \u00e0 100\u00a0% de ce qu\u2019elles font. Ces attaques sont devenues tr\u00e8s courantes ces derniers temps. Elles se pr\u00e9sentent souvent sous la forme d\u2019\u00e9tapes d\u2019installation pour des applications d\u2019IA<\/a> telles que Claude Code ou OpenClaw.<\/li>\n
- Installez un syst\u00e8me de s\u00e9curit\u00e9 complet sur tous vos ordinateurs et smartphones. Nous vous recommandons Kaspersky Premium<\/a>. Cette mesure contribue grandement \u00e0 r\u00e9duire le risque de se rendre sur des sites de phishing ou d\u2019installer des applications malveillantes.<\/li>\n
- Ne saisissez jamais votre phrase secr\u00e8te dans une application de portefeuille mat\u00e9riel, sur un site Internet ou dans une discussion en ligne. Dans tous les cas, qu\u2019il s\u2019agisse de migrer vers un nouveau portefeuille, de r\u00e9installer des applications ou de r\u00e9cup\u00e9rer un portefeuille, la phrase secr\u00e8te doit \u00eatre saisie exclusivement sur l\u2019appareil lui-m\u00eame<\/strong> \u2013 jamais dans une application mobile ou de bureau.<\/li>\n
- V\u00e9rifiez toujours l\u2019adresse du destinataire sur l\u2019\u00e9cran du portefeuille mat\u00e9riel afin d\u2019\u00e9viter toute attaque impliquant une substitution d\u2019adresse.<\/li>\n
- Conservez vos phrases secr\u00e8tes de la mani\u00e8re la plus s\u00fbre possible, par exemple sur une plaque m\u00e9tallique<\/a> ou dans une enveloppe scell\u00e9e plac\u00e9e dans un coffre-fort. Il vaut mieux ne pas les stocker du tout sur un ordinateur, mais si c\u2019est votre seule option, utilisez un coffre-fort num\u00e9rique s\u00e9curis\u00e9 et chiffr\u00e9 comme Kaspersky Password Manager<\/a>.<\/li>\n<\/ul>\n
\u00a0<\/p>\n
Vous pensez encore que les appareils Apple sont invuln\u00e9rables\u00a0? Les articles suivants pourraient vous faire changer d\u2019avis.<\/p>\n
- \n
- L\u2019iPhone n\u2019est plus invincible\u00a0: le cas de DarkSword et de Coruna<\/a><\/li>\n
- Predator et iPhone\u00a0: l\u2019art de la surveillance invisible<\/a><\/li>\n
- Vos \u00e9couteurs Bluetooth vous espionnent-ils\u00a0?<\/a><\/li>\n
- AirBorne\u00a0: attaques contre les appareils Apple via des vuln\u00e9rabilit\u00e9s dans AirPlay<\/a><\/li>\n
- Banshee\u00a0: un malware ciblant les utilisateurs de macOS<\/a><\/li>\n<\/ul>\n<\/blockquote>\n
\u00a0<\/p>\n\n","protected":false},"excerpt":{"rendered":"
Nous avons d\u00e9couvert plus d’une vingtaine d’applications de phishing ressemblant \u00e0 des portefeuilles de cryptomonnaies populaires, disponibles directement sur l’App Store officiel. Voici un aper\u00e7u des nouvelles s\u00e9ries d’attaques visant les utilisateurs d’iPhone et de Mac ainsi que leurs avoirs en cryptomonnaies.<\/p>\n","protected":false},"author":2749,"featured_media":23898,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[29,522,4546,4122,4420,165,4526,4601,599,204,4437],"class_list":{"0":"post-23891","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apple","9":"tag-chevaux-de-troie","10":"tag-clickfix","11":"tag-cryptomonnaies","12":"tag-escroqueries","13":"tag-ios","14":"tag-logiciels-de-vol","15":"tag-logiciels-de-vol-dinformations","16":"tag-macos","17":"tag-menaces","18":"tag-portefeuilles-de-cryptomonnaies"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ios-macos-fake-crypto-apps\/23891\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ios-macos-fake-crypto-apps\/30449\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/25495\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ios-macos-fake-crypto-apps\/30293\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ios-macos-fake-crypto-apps\/32093\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ios-macos-fake-crypto-apps\/30644\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ios-macos-fake-crypto-apps\/41766\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ios-macos-fake-crypto-apps\/14504\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/55665\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ios-macos-fake-crypto-apps\/30602\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ios-macos-fake-crypto-apps\/36180\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ios-macos-fake-crypto-apps\/35831\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23891","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23891"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23891\/revisions"}],"predecessor-version":[{"id":23900,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23891\/revisions\/23900"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23898"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23891"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23891"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23891"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Predator et iPhone\u00a0: l\u2019art de la surveillance invisible<\/a><\/li>\n
- Installez un syst\u00e8me de s\u00e9curit\u00e9 complet sur tous vos ordinateurs et smartphones. Nous vous recommandons Kaspersky Premium<\/a>. Cette mesure contribue grandement \u00e0 r\u00e9duire le risque de se rendre sur des sites de phishing ou d\u2019installer des applications malveillantes.<\/li>\n