Toutes les actualités sont rigoureusement vérifiées et examinées par des experts de la blockchain et des professionnels du secteur.
- Des courriers physiques frauduleux, imitant parfaitement l’identité visuelle de Ledger et Trezor, sont envoyés aux domiciles des utilisateurs pour les inciter à scanner un code QR.
- Ces lettres prévoient une date butoir factice, fixée au 22 février 2026, pour effectuer une vérification de sécurité obligatoire sous peine de blocage du portefeuille.
Alors que les investisseurs sont habitués aux emails de hameçonnage, une vague de courriers papier cible actuellement les propriétaires de portefeuilles physiques. Ces lettres, qui utilisent des logos officiels, des signatures de dirigeants et parfois même des hologrammes factices, exploitent la confiance que les utilisateurs accordent encore au courrier postal. Les adresses postales ont été probablement obtenues via des fuites de données historiques, comme celle subie par Ledger en 2020 ou des brèches plus récentes chez des processeurs de paiement tiers en 2026.
Le piège redoutable du code QR et du site miroir
Le mode opératoire est minutieusement orchestré pour créer un sentiment d’urgence et de peur. Le courrier explique qu’en raison d’une mise à jour de conformité ou d’une faille de sécurité majeure, l’utilisateur doit impérativement activer une fonction de Transaction Check ou d’Authentication Check. Pour ce faire, il est invité à scanner un code QR imprimé sur la lettre. Ce code redirige vers un site internet dont l’apparence est une copie conforme des sites officiels (ex: trezor.authentication-check.io ou ledger.setuptransactioncheck.com).
Sur ces sites, un message d’avertissement insiste sur le risque de perte définitive des fonds si la procédure n’est pas finalisée immédiatement. C’est à cette étape que le piège se referme : il est demandé à l’utilisateur de saisir sa phrase de récupération de 24 mots (seed phrase) pour authentifier son appareil. Une fois saisie sur un ordinateur ou un smartphone, cette phrase est instantanément transmise aux attaquants, qui vident alors le portefeuille à distance en quelques secondes.
Rappel des règles de sécurité fondamentales en 2026
Face à cette menace hybride, les fabricants Ledger et Trezor ont réitéré leurs protocoles de sécurité les plus stricts. Il est impératif de se souvenir qu’un constructeur de hardware wallet n’envoie pratiquement jamais de courrier postal. Surtout, il ne demandera jamais votre phrase de récupération par ce biais. Cette phrase secrète ne doit être saisie que sur l’écran physique de votre clé (Ledger Nano, Trezor Safe, etc). Et ce, seulement lors d’une restauration, et jamais sur un clavier de téléphone ou d’ordinateur.
Si vous recevez une telle lettre, la recommandation officielle est de ne pas interagir avec le code QR et de détruire le document. En cas de doute sur une mise à jour, rendez-vous toujours manuellement sur le site officiel de la marque. Ou alors, utilisez l’application dédiée (Ledger Live ou Trezor Suite) préalablement installée. En 2026, la vigilance doit être absolue. Le passage du numérique au physique montre que les réseaux criminels sont prêts à investir des moyens considérables pour contourner la sécurité technologique par la manipulation humaine.
