Pourquoi il est fortement déconseillé d'acheter un portefeuille Ledger d'occasion pour vos cryptos

L'effondrement du géant FTX est une aubaine pour la licorne française Ledger, qui commercialise des portefeuilles dits froids (ou "cold wallets") stockant les clés privés associées aux cryptomonnaies des utilisateurs. Au mois de novembre, les ventes de l'entreprise ont été "près de quatre fois supérieures" à celle d'octobre. Ledger devrait d'ailleurs dépasser les six millions de portefeuilles vendus dans le monde d'ici la fin de l'année, selon son patron Pascal Gauthier.

24 mots

Depuis plusieurs années, la société commercialise différents modèles de portefeuilles, dont le Nano S ou encore le Nano X. Pour rappel, un portefeuille Ledger permet de conserver la clé privée d'un utilisateur hors du réseau (ordinateur, téléphone). Mais il permet aussi de réaliser des transactions pour les utilisateurs (échanges sur des plateformes décentralisées, envois de cryptomonnaies, achats de NFT) lorsqu'il est connecté à un réseau et utilisé avec l'intermédiaire de logiciels comme Ledger Live ou encore MetaMask.

"Le dispositif sécurise notamment la clé privée de l'utilisateur en générant de manière aléatoire une "seed" personnelle, sous forme de 24 mots. Ces 24 mots, qui doivent être notés et placés en lieu sûr, permettront à un utilisateur d'avoir toujours accès à ses cryptomonnaies même s'il devait perdre son portefeuille Ledger", explique à BFM Crypto Sébastien Leguell, fondateur du média spécialisé Au Coin du Bloc.

Alors que les portefeuilles Ledger commencent à arriver dans des grandes surfaces comme chez Boulanger, de plus en plus d'annonces paraissent sur des sites de e-commerce entre particuliers, tels que Leboncoin.

"Je n'utilise plus cette clé ledger"

Une simple recherche sur ce site permet de voir la vente de certains portefeuilles, soit neufs soit d'occasion. "Je n'utilise plus cette clé ledger nano S, mais elle fonctionne parfaitement. Je l'ai réinitialisée pour son prochain utilisateur", peut-on ainsi lire sur l'annonce d'un particulier. Or, il existe un risque réel en achetant un portefeuille Ledger d'occasion.

"Le risque d'acheter une Ledger d'occasion, c'est que le logiciel qui se trouve dans la Ledger ait été modifié par la personne qui vend la Ledger", souligne Sébastien Leguell.

Concrètement, le vendeur peut remplacer le programme initial par un autre qui permet de récupérer les 24 mots lors de la mise en service ou tout simplement de générer des mots précis pour que les fonds soient récupérables.

"Et donc quand la personne va créer son portefeuille et qu'elle va déposer des fonds dessus, le pirate pourra y avoir accès et lui dérober. C'est un peu comme vendre un ordinateur avec un virus dedans", conclut-il.

En 2018 par exemple, un utilisateur ayant acheté une Ledger d'occasion sur eBay s'était fait volé toutes ses cryptomonnaies. Le vendeur avait ainsi livré l'appareil avec un "faux document sur lequel se trouvait une partie à gratter cachant la seed de récupération".

"Or, le Ledger ne fonctionne pas comme ça, puisque la seed doit être générée au hasard via l’appareil à la première utilisation, et la seed sur le document n’est pas du tout celle qui a été assignée par le fabricant. Grâce à cette seed qu’il connait bien évidement, l’arnaqueur a pu transférer sur son propre compte tous les LTC, XRP et autres cryptomonnaies stockées de la victime, pour un total de 30.000 dollars", rapporte un article du Journal du Coin.

Parmi les autres risques identifiés, figure celui de communiquer son adresse de livraison à une personne malveillante, qui pourrait menacer l'acheteur pour récupérer ses clés privées. L'animateur dit "Crypto Bubulle" sur Twitter l'a récemment évoqué dans un thread.