Aller au contenu principal

Prévention des attaques de phishing crypto : restez en sécurité en ligne

Le phishing est le vecteur d’attaque le plus prolifique dans le vol de cryptomonnaies. Contrairement à l’exploitation de faiblesses cryptographiques (ce qui est computationnellement infaisable), le phishing exploite la psychologie humaine — en incitant les utilisateurs à fournir volontairement leurs phrases de récupération, clés privées ou identifiants d’exchange. Selon les rapports du secteur, les attaques de phishing représentent une part significative de l’ensemble des pertes en cryptomonnaies, avec des milliards de dollars volés chaque année via ces techniques.

Ce guide recense les principaux types d’attaques de phishing crypto, vous apprend à les identifier et fournit des contre-mesures concrètes pour vous protéger.

Comment fonctionne le phishing crypto

Le phishing est une forme d’ingénierie sociale qui utilise la tromperie pour vous faire effectuer une action qui profite à l’attaquant. En cryptomonnaie, cela signifie généralement :

  1. Vol d’identifiants — Vol de votre connexion à l’exchange et de vos codes 2FA.
  2. Vol de phrase de récupération — Vous piéger pour que vous saisissiez votre phrase de récupération dans un faux portefeuille ou un faux site.
  3. Signature de transaction malveillante — Vous amener à approuver une transaction de smart contract qui vide votre portefeuille.
  4. Substitution d’adresse — Remplacer une adresse de réception légitime par l’adresse de l’attaquant.

Le point commun est la tromperie : faire paraître légitime quelque chose de malveillant.

Types d’attaques de phishing crypto

1. Faux sites de portefeuille

Les attaquants créent des copies pixel-perfect de sites de portefeuilles légitimes (MetaMask, Ledger, Trezor, etc.) et y dirigent du trafic via :

  • Des annonces Google/Bing sur des termes liés aux portefeuilles.
  • Des domaines de typosquattage (ex. metamaask.io, ledger-wallet.com).
  • Une manipulation SEO pour se positionner au-dessus ou près du vrai site.
  • Des publications sponsorisées sur les réseaux sociaux.

Le faux site vous demande de "connecter" ou "restaurer" votre portefeuille en entrant votre phrase de récupération. Une fois saisie, l’attaquant l’obtient et vide tous les fonds.

Signaux d’alerte :

  • L’URL diffère du domaine officiel (même d’un seul caractère).
  • Le site demande votre phrase de récupération. Les vrais sites de portefeuille ne demandent jamais cela.
  • Avertissements de sécurité du navigateur ou certificat HTTPS manquant.
  • Le site est apparu dans une annonce de recherche plutôt que dans les résultats organiques.

Prévention :

  • Mettez en favoris les sites officiels des portefeuilles et utilisez toujours ces favoris.
  • Vérifiez l’URL caractère par caractère avant de saisir une information.
  • N’entrez jamais votre phrase de récupération sur un site web. Jamais.
  • Téléchargez les logiciels de portefeuille uniquement depuis des sources officielles (stores d’apps, releases GitHub).

2. Fausses extensions de navigateur

Des extensions malveillantes qui imitent des portefeuilles crypto légitimes (notamment MetaMask) ont été trouvées dans Chrome Web Store, Firefox Add-ons et d’autres marketplaces d’extensions :

  • L’extension ressemble exactement à la vraie.
  • Quand vous "créez" ou "importez" un portefeuille, l’extension capture votre phrase de récupération.
  • Certaines extensions malveillantes interceptent les transactions de la vraie extension.

Prévention :

  • Installez les extensions uniquement via le lien du site officiel du portefeuille.
  • Vérifiez l’ID de l’extension et le nom du développeur dans le store du navigateur.
  • Vérifiez le nombre d’utilisateurs et d’avis (les fausses extensions en ont généralement moins).
  • Après installation, vérifiez l’extension sur le site officiel du portefeuille.

3. Phishing par e-mail

Les attaquants envoient des e-mails en se faisant passer pour des exchanges, des fournisseurs de portefeuille ou des services crypto :

  • "Votre compte a été compromis — vérifiez votre identité immédiatement."
  • "Nouvelle connexion détectée depuis un appareil inconnu — cliquez ici pour sécuriser votre compte."
  • "Votre retrait est en attente — confirmez en vous connectant."
  • "Mise à jour du firmware requise pour votre Ledger — cliquez pour mettre à jour."

L’e-mail contient un lien vers un site de phishing qui capture vos identifiants.

Signaux d’alerte :

  • L’adresse de l’expéditeur ne correspond pas au domaine officiel (vérifiez attentivement — [email protected] n’est pas [email protected]).
  • Formule générique ("Cher client" au lieu de votre nom).
  • Langage d’urgence ("agissez maintenant", "action immédiate requise").
  • Liens pointant vers des domaines différents au survol.
  • Demandes de phrases de récupération ou de clés privées (les entreprises légitimes ne demandent jamais cela).

Prévention :

  • Ne cliquez jamais sur des liens d’e-mails prétendant venir d’exchanges ou de portefeuilles.
  • Accédez directement au site officiel en tapant l’URL ou via un favori.
  • Activez le filtrage e-mail et la protection anti-phishing.
  • Signalez les e-mails de phishing à l’entreprise usurpée.

4. Arnaques sur les réseaux sociaux

Comptes d’usurpation

Les attaquants créent des comptes de réseaux sociaux qui usurpent des influenceurs crypto, fondateurs de projets ou membres du support. Ils répondent aux utilisateurs qui demandent de l’aide :

  • "Envoyez-moi un DM et je vous aiderai à réparer votre portefeuille."
  • "Envoyez votre phrase de récupération pour qu’on puisse diagnostiquer le problème."
  • "On fait un giveaway — envoyez 0.1 ETH et recevez 1 ETH en retour."

Prévention :

  • Vérifiez l’authenticité du compte (badge, nombre d’abonnés, ancienneté, historique des publications).
  • Aucun support légitime ne vous demandera votre phrase de récupération ou votre clé privée.
  • Aucun giveaway légitime ne vous demande d’envoyer des cryptos d’abord.

Faux airdrops et réclamations de tokens

Les attaquants diffusent des liens vers des réclamations de "free airdrop" :

  • "Claim your free UNISWAP tokens" (avec un lien vers un site de phishing).
  • De faux tokens apparaissent dans votre portefeuille avec un nom du type "Visit claimreward.xyz to claim."
  • Le site de claim vous demande de connecter votre portefeuille et d’approuver une transaction malveillante.

Prévention :

  • N’interagissez jamais avec des tokens apparus dans votre portefeuille sans sollicitation.
  • N’approuvez jamais de transactions sur des sites où vous n’êtes pas allé volontairement.
  • Vérifiez les annonces d’airdrop uniquement via les canaux officiels du projet.

5. Arnaques sur Discord et Telegram

Les communautés crypto sur Discord et Telegram sont fortement ciblées :

  • Faux canaux de support — Les attaquants créent des canaux qui imitent le support officiel.
  • Phishing en DM — Après votre question dans un canal public, les attaquants vous envoient des DM en se faisant passer pour le support.
  • Faux messages d’admin — Usurpation d’admins pour rediriger les utilisateurs vers des sites de phishing.
  • Serveurs compromis — Les attaquants obtiennent un accès admin et publient des liens de phishing dans les canaux officiels.

Prévention :

  • Désactivez les DM des membres du serveur dans les paramètres Discord.
  • Vérifiez que l’aide vient des canaux de support officiels, pas des DM.
  • Méfiez-vous de toute personne qui initie une conversation privée sur votre portefeuille.
  • Vérifiez les annonces avec le site officiel du projet.

6. Phishing par QR code

Les attaquants présentent des QR codes qui encodent des adresses ou URL malveillantes :

  • Un QR code dans un lieu physique (affiche, autocollant) qui renvoie vers un site de phishing.
  • Un QR code qui encode l’adresse de l’attaquant au lieu de celle du marchand.
  • Des QR codes dans des images ou vidéos en ligne.

Prévention :

  • Vérifiez le contenu décodé de tout QR code avant d’agir.
  • Comparez l’adresse issue du QR code avec l’adresse attendue via un canal indépendant.
  • Ne scannez pas de QR codes provenant de sources non fiables.

7. Empoisonnement d’adresse

Cette attaque sophistiquée exploite la troncature d’adresse dans les interfaces de portefeuille :

  1. L’attaquant génère une adresse correspondant aux premiers et derniers caractères d’une adresse avec laquelle vous avez récemment effectué une transaction.
  2. L’attaquant vous envoie une petite transaction (dust) depuis cette adresse ressemblante.
  3. Quand vous copiez plus tard une adresse depuis votre historique, vous pouvez copier par erreur l’adresse ressemblante de l’attaquant.

Prévention :

  • Vérifiez toujours l’adresse complète, pas seulement les premiers et derniers caractères.
  • Ne copiez pas les adresses depuis l’historique des transactions — utilisez la source d’origine.
  • Certains portefeuilles signalent désormais les tentatives d’empoisonnement d’adresse.

8. Détournement du presse-papiers

Un malware qui surveille votre presse-papiers et remplace les adresses de cryptomonnaie par celle de l’attaquant :

  • Vous copiez une adresse légitime pour envoyer des fonds.
  • Le malware la remplace silencieusement par l’adresse de l’attaquant.
  • Vous collez et envoyez — les fonds partent chez l’attaquant.

Prévention :

  • Vérifiez toujours que l’adresse collée correspond à l’originale en comparant au moins les 6 premiers et 6 derniers caractères.
  • Utilisez des hardware wallets qui affichent l’adresse de réception sur l’écran de l’appareil pour vérification.
  • Exécutez un logiciel anti-malware et gardez votre système à jour.
  • Envisagez de saisir les adresses manuellement pour les transactions à forte valeur (même si cela introduit un risque de faute de frappe).

9. Fausses applications mobiles

Des applications contrefaites de portefeuille et d’exchange dans les stores :

  • Elles ressemblent à l’application réelle mais contiennent du code pour voler des identifiants ou des phrases de récupération.
  • Elles peuvent avoir de bonnes notes grâce à de faux avis.
  • Elles apparaissent souvent peu après la sortie d’une nouvelle application légitime.

Prévention :

  • Téléchargez uniquement depuis les liens du site officiel.
  • Vérifiez le nom du développeur dans le store.
  • Vérifiez la date de publication de l’app et le nombre d’avis.
  • Signalez les fausses applications au store.

Approbations malveillantes de smart contracts

Une forme particulièrement dangereuse de phishing dans la DeFi consiste à piéger les utilisateurs pour qu’ils approuvent des interactions malveillantes avec des smart contracts :

Arnaques d’approbation de tokens

Lorsque vous interagissez avec un protocole DeFi, vous approuvez généralement le smart contract pour qu’il dépense vos tokens. Un site malveillant peut demander une approbation illimitée, lui permettant de vider à tout moment tous les tokens d’un type donné de votre portefeuille — même après avoir quitté le site.

Prévention :

  • Vérifiez attentivement chaque approbation de transaction avant de signer.
  • Utilisez un portefeuille qui affiche des descriptions de transaction lisibles.
  • Limitez les approbations de tokens au montant exact nécessaire (pas "unlimited").
  • Vérifiez et révoquez régulièrement les approbations inutiles avec des outils comme Revoke.cash.

Signature aveugle

Certaines attaques de phishing présentent des transactions qui ne peuvent pas être entièrement décodées par l’interface du portefeuille, entraînant une "signature aveugle" — l’approbation d’une transaction dont vous ne pouvez pas vérifier les effets. C’est particulièrement dangereux avec les ordres de marketplaces NFT et les interactions DeFi complexes.

Prévention :

  • N’approuvez jamais une transaction que vous ne comprenez pas totalement.
  • Utilisez des portefeuilles qui prennent en charge la simulation de transaction (affichage du résultat attendu avant signature).
  • Si une dApp vous demande de signer quelque chose d’illisible, ne signez pas.
Outil SafeSeed

Le SafeSeed Paper Wallet Creator génère des portefeuilles entièrement dans votre navigateur — aucune connexion à des services externes, aucune signature de transaction, aucune approbation de smart contract. Pour recevoir et stocker des cryptomonnaies en cold storage, les paper wallets éliminent entièrement le risque de phishing via des dApps malveillantes.

Construire une configuration résistante au phishing

1. Utilisez un hardware wallet

Les hardware wallets fournissent une couche de défense critique : ils affichent les détails de transaction sur leur propre écran, qui ne peut pas être manipulé par un malware sur votre ordinateur. Même si vous visitez un site de phishing, le hardware wallet affichera la vraie transaction pour vérification avant signature.

2. Utilisez exclusivement les favoris

Créez des favoris pour chaque service crypto que vous utilisez :

  • Votre exchange (Coinbase, Binance, Kraken, etc.)
  • Le site de votre fournisseur de portefeuille
  • Les protocoles DeFi que vous utilisez régulièrement

N’utilisez jamais de moteur de recherche pour accéder à ces sites. Utilisez toujours les favoris.

3. Vérifiez avant d’agir

Avant toute action impliquant des identifiants, des phrases de récupération ou une signature de transaction :

  • Vérifiez l’URL dans la barre d’adresse du navigateur.
  • Vérifiez l’adresse de réception via un canal indépendant.
  • Vérifiez les détails de transaction sur l’écran de votre hardware wallet.
  • Prenez un moment pour évaluer si la demande est cohérente.

4. Considérez tout contact non sollicité comme une arnaque

Aucun exchange, fournisseur de portefeuille ou projet crypto ne :

  • Vous demandera votre phrase de récupération ou votre clé privée.
  • Vous demandera votre mot de passe par e-mail ou DM.
  • Vous demandera d’envoyer des cryptos pour "vérifier" votre portefeuille.
  • Ne vous contactera en premier via DM pour proposer de l’aide.

5. Utilisez des portefeuilles séparés

Conservez des portefeuilles séparés selon l’usage :

  • Portefeuille de cold storage — Ne se connecte jamais à une dApp. Stocke la majorité de vos fonds.
  • Hot wallet pour la DeFi — Ne contient que le montant utilisé activement. En cas de compromission, les pertes sont limitées.
  • Burner wallet pour nouveaux protocoles — Utilisé pour tester des protocoles inconnus avec un minimum de fonds.

6. Activez toutes les fonctionnalités de sécurité disponibles

  • 2FA sur tous les comptes d’exchange — Utilisez des applis d’authentification (TOTP), pas le SMS.
  • Liste blanche d’adresses de retrait — Limitez les retraits aux adresses préapprouvées uniquement.
  • Notifications e-mail — Recevez des alertes pour toute activité de compte.
  • Code anti-phishing — De nombreux exchanges vous permettent de définir un code qui apparaît dans tous leurs e-mails légitimes.

Que faire si vous avez été victime de phishing

Si votre phrase de récupération a été compromise

  1. Agissez immédiatement. Sur un appareil propre et fiable, créez un nouveau portefeuille avec une nouvelle phrase de récupération.
  2. Transférez tous les fonds du portefeuille compromis vers le nouveau portefeuille. La rapidité est critique — des bots automatisés vident les portefeuilles compromis en quelques minutes.
  3. Pour les tokens sur des chaînes nécessitant des frais de gas, vous devrez peut-être d’abord envoyer du gas au portefeuille compromis — sachez que les attaquants peuvent balayer les ETH entrants avant que vous puissiez les utiliser.
  4. N’utilisez plus jamais la phrase de récupération compromise.

Si vos identifiants d’exchange ont été compromis

  1. Connectez-vous immédiatement à l’exchange (via le site officiel) et changez votre mot de passe.
  2. Réinitialisez votre 2FA.
  3. Vérifiez les retraits non autorisés ou la création de clés API.
  4. Contactez le support de l’exchange pour geler temporairement votre compte si nécessaire.
  5. Vérifiez votre compte e-mail pour détecter tout accès non autorisé (l’attaquant a peut-être aussi compromis votre e-mail).

Si vous avez approuvé un smart contract malveillant

  1. Révoquez immédiatement l’approbation avec un outil de gestion d’approbations de tokens (Revoke.cash ou le vérificateur d’approbations de tokens d’Etherscan).
  2. Transférez les tokens restants vers un autre portefeuille.
  3. Passez en revue toutes les approbations récentes et révoquez celles qui sont suspectes.

FAQ

Quelle est l’attaque de phishing crypto la plus courante ?

Les faux sites de portefeuille et les extensions de navigateur qui piègent les utilisateurs pour saisir leur phrase de récupération sont les attaques de phishing crypto les plus courantes et les plus dommageables. Ces sites ressemblent exactement aux fournisseurs de portefeuilles légitimes et apparaissent souvent sous forme d’annonces dans les résultats de recherche ou de liens dans des publications sur les réseaux sociaux.

Comment savoir si un site web est un site de phishing crypto ?

Vérifiez l’URL attentivement — les sites de phishing utilisent des domaines similaires mais différents du domaine officiel. Vérifiez le certificat SSL, recherchez les liens vers les réseaux sociaux officiels du projet, et n’entrez jamais votre phrase de récupération sur un site web. Si un site demande votre phrase de récupération, c’est un site de phishing — aucun site de portefeuille légitime ne demande de phrase de récupération.

Un hardware wallet peut-il me protéger du phishing ?

Un hardware wallet vous protège contre certaines attaques de phishing en affichant les détails de transaction sur son propre écran pour vérification. Cependant, il ne peut pas vous protéger contre le phishing de phrase de récupération (quand vous la saisissez sur un faux site) ni contre les attaques d’ingénierie sociale. Vérifiez toujours les adresses sur l’écran du hardware wallet avant d’approuver.

Que dois-je faire si j’ai saisi ma phrase de récupération sur un site de phishing ?

Transférez immédiatement tous les fonds du portefeuille compromis vers un nouveau portefeuille (généré sur un appareil sécurisé avec une nouvelle phrase de récupération). N’envoyez pas de fonds supplémentaires au portefeuille compromis. Considérez l’ensemble du portefeuille comme définitivement compromis — toutes les adresses dérivées de cette phrase de récupération sont à risque.

Les arnaques de giveaway crypto sont-elles réelles ?

Pratiquement tous les giveaways de cryptomonnaies qui vous demandent d’envoyer des fonds d’abord sont des arnaques. Le format "envoyez 0.1 ETH pour recevoir 1 ETH" est un schéma classique de phishing. Les airdrops légitimes n’exigent jamais d’envoyer des cryptomonnaies en premier.

Comment me protéger contre l’empoisonnement d’adresse ?

Vérifiez toujours l’adresse complète lors d’un envoi de cryptomonnaie, pas seulement les premiers et derniers caractères. Ne copiez pas les adresses depuis votre historique de transactions — utilisez la source d’origine (l’adresse vérifiée du destinataire). Méfiez-vous des petites transactions entrantes provenant d’adresses inconnues.

La 2FA peut-elle me protéger du phishing ?

La 2FA standard basée sur TOTP offre une protection limitée contre le phishing en temps réel (où l’attaquant relaie immédiatement votre code 2FA vers le vrai site). Les clés de sécurité matérielles (comme YubiKey) utilisant FIDO2/WebAuthn offrent une protection anti-phishing bien plus forte, car elles vérifient le domaine du site avant de libérer les identifiants.

Qu’est-ce que le phishing d’approbation en DeFi ?

Le phishing d’approbation vous piège pour accorder à un smart contract malveillant l’autorisation de dépenser vos tokens. Une fois approuvé, le contrat peut vider vos tokens à tout moment sans interaction supplémentaire. Vérifiez toujours attentivement les approbations, limitez les montants approuvés et révoquez régulièrement les approbations inutilisées.

Guides associés