Comment protéger vos cryptos : checklist pratique

Pourquoi la « sécurité crypto » est réellement une liste de modes de défaillance, et non une liste de produits

La raison pour laquelle les guides de sécurité génériques semblent insatisfaisants est qu'ils décrivent des outils sans décrire les attaques. Ils vous disent d'« utiliser un portefeuille matériel » et d'« être prudent en ligne », ce qui paraît correct jusqu'à ce qu'un e-mail de phishing ressemble exactement à un véritable avis de Ledger, ou jusqu'à ce que vous deviez signer une transaction dans MetaMask avec des chiffres de gas que vous ne reconnaissez pas. À ce stade, « être prudent » n'est pas une stratégie.

Il est utile de considérer la sécurité crypto comme une liste de modes de défaillance, c'est-à-dire les façons spécifiques dont les gens perdent réellement des fonds. Une fois le mode de défaillance identifié, la bonne habitude s'impose presque d'elle-même. La plupart des pertes documentées se répartissent dans environ six catégories : sites et e-mails de phishing qui volent identifiants ou phrases de récupération, faux comptes de support sur les réseaux sociaux, extensions de navigateur malveillantes et sites « drainers », signature à l'aveugle d'une transaction qui vide votre portefeuille, envoi de fonds vers le mauvais réseau ou la mauvaise adresse, et plateformes d'échange centralisées qui deviennent insolvables ou gèlent les retraits.

Certains de ces risques peuvent être entièrement neutralisés par une seule habitude. D'autres ne peuvent qu'être réduits. L'astuce consiste à associer la bonne habitude au bon mode de défaillance, et non à accumuler les applications. Un gestionnaire de mots de passe, un portefeuille matériel et la mise en favoris de vos URL d'échange viendront à bout de la majorité des attaques réelles en 2024 et 2025. Un empilement d'extensions de navigateur et un groupe Telegram « alpha » n'y parviendront pas.

Les risques réels contre lesquels vous vous protégez réellement

Avant de parcourir la checklist, il vaut la peine de nommer les risques en français clair pour savoir ce que vous devez garder à l'œil.

Les e-mails de phishing imitant les véritables communications d'entreprise. En 2020, le fabricant de portefeuilles matériels Ledger a divulgué une fuite de sa base de données d'e-mails clients. Des années plus tard, des escrocs envoient encore des messages presque identiques aux vraies communications de Ledger, avec les mêmes polices et le même pied de page, demandant aux utilisateurs de « vérifier leur phrase de récupération » ou « d'installer une mise à jour critique du micrologiciel ». Quiconque tape ses 24 mots sur la page liée perd tout. Les attaquants sont patients et les e-mails sont convaincants.

Les faux comptes de support sur X et Discord. Cherchez n'importe quel portefeuille ou échange majeur sur X et vous trouverez des dizaines de comptes similaires répondant aux utilisateurs avec « DM me for help ». Le faux agent guide l'utilisateur pour « resynchroniser » son portefeuille en lui faisant coller une phrase de récupération ou signer une transaction. Le même schéma se produit sur Discord, où des bots à l'apparence officielle envoient des messages privés aux utilisateurs à propos de « mises à jour de sécurité ».

Les sites « drainers » se faisant passer pour des mints, des airdrops ou des bridges. Une page de « mint gratuit », une page de « réclamer votre airdrop » ou une fausse interface de bridge vous demande de connecter votre portefeuille, puis vous invite à signer une transaction qui accorde au site l'autorisation de transférer certains tokens. La transaction est formulée en anglais, mais l'approbation sous-jacente ne l'est pas, et une fois signée, elle peut rester en sommeil pendant des semaines avant de tout vider.

L'insolvabilité des plateformes d'échange et les gels de retraits. C'est le mode de défaillance que les gens oublient, car il ne ressemble pas du tout à un piratage. Lorsque la plateforme centralisée FTX s'est effondrée en novembre 2022, les clients n'ont pas perdu leurs fonds à cause d'un e-mail de phishing. Ils les ont perdus parce que l'entreprise détenant leurs soldes a fait faillite. Le même schéma s'est reproduit à moindre échelle avec Celsius, Voyager, BlockFi et diverses plateformes offshore. Une plateforme d'échange centralisée (CEX) est un dépositaire : pratique, mais ce n'est pas la même chose que posséder vous-même vos cryptos.

Les exploits de contrats intelligents. Si vous interagissez avec la finance décentralisée (DeFi), vous faites confiance au fait que le code sous-jacent ne comporte aucun bug qu'un voleur pourrait exploiter. Les bridges ont notamment été touchés : Ronin, Wormhole, Harmony, Nomad et d'autres ont perdu au total des centaines de millions de dollars. Vous ne pouvez pas éliminer ce risque en tant qu'utilisateur, mais vous pouvez choisir de le prendre ou non.

La checklist pratique, classée par impact

Les points ci-dessous sont listés à peu près par ordre d'efficacité, c'est-à-dire la quantité de risque que chacun élimine pour le temps qu'il demande. Vous n'avez pas à tout faire d'un coup. Même les trois premiers vous placeront devant la plupart des détenteurs.

1. Transférer les soldes importants vers un portefeuille matériel

Un portefeuille matériel, comme ceux vendus par Ledger, Trezor et quelques fabricants plus petits, est un petit appareil qui conserve vos clés privées dans une puce jamais exposée directement à votre ordinateur. Quand vous voulez envoyer des crypto-actifs, vous préparez la transaction sur votre ordinateur puis vous la confirmez physiquement sur l'appareil en appuyant sur des boutons. Même si votre ordinateur est entièrement compromis, les clés ne peuvent pas quitter l'appareil sans que vous appuyiez sur les boutons.

Le seuil de « est-ce que ça vaut le coup » se formule généralement ainsi : tout montant que vous ne transporteriez pas dans un portefeuille physique mérite d'être retiré d'une plateforme d'échange ou d'un hot wallet. Pour beaucoup de gens, c'est tout ce qui dépasse quelques centaines de dollars. Vous n'avez pas besoin de placer chaque dollar sur un portefeuille matériel, mais les avoirs à long terme y ont leur place.

Une erreur fréquente consiste à acheter un portefeuille matériel, à le configurer, puis à continuer à laisser des fonds sur la plateforme d'échange parce qu'il est plus facile d'y trader. Le portefeuille matériel ne protège que ce qui s'y trouve réellement.

2. Attribuer à chaque plateforme d'échange et portefeuille un e-mail unique, un mot de passe robuste et la 2FA

La plupart des piratages de compte commencent par du credential stuffing, où des attaquants testent des couples e-mail/mot de passe ayant fuité lors d'autres violations sur toutes les grandes plateformes d'échange. Si vos identifiants sur une plateforme sont les mêmes que ceux d'un vieux compte de forum ayant fuité en 2013, votre compte n'est qu'à une base de données près d'être vidé.

La solution est mécanique et peu glorieuse :

• Un e-mail unique pour chaque plateforme, idéalement un alias dédié que vous n'utilisez nulle part ailleurs.
• Un mot de passe long, généré aléatoirement par un gestionnaire de mots de passe, jamais réutilisé ailleurs.
• L'authentification à deux facteurs (2FA) via une application d'authentification comme Aegis, Raivo ou Google Authenticator, et non par SMS, car les SIM swap restent fréquents.

Cette seule habitude, appliquée à tous les comptes qui touchent à de l'argent, neutralise la majorité des attaques basées sur les identifiants.

3. Mettre en favori les URL des plateformes et portefeuilles, ne jamais cliquer sur des liens

La plupart des histoires de phishing commencent par une annonce Google, un résultat de recherche ou un lien dans un e-mail qui semblait correct mais différait d'un ou deux caractères. Taper l'URL de votre plateforme dans la barre d'adresse, c'est correct. Cliquer sur la première annonce pour « Connexion Binance », c'est jouer à pile ou face.

Créez un petit dossier de favoris pour les sites crypto. Utilisez ces favoris à vie. Si un e-mail ou un message vous demande de vous connecter pour quelque raison que ce soit, ouvrez le favori, pas le lien. C'est l'habitude la moins chère et la plus rapide de la liste, et l'une des plus efficaces.

4. Conserver votre phrase de récupération hors ligne, idéalement sur métal

Votre phrase de récupération, les 12 ou 24 mots générés à la configuration d'un portefeuille, est la clé maîtresse de toutes les adresses qui en découlent. Quiconque possède ces mots possède vos crypto-actifs, point final. Aucun service client ne pourra revenir en arrière, aucune transaction ne pourra être annulée.

Deux règles couvrent l'essentiel du risque :

• Ne tapez jamais les mots dans un site web, une fenêtre de chat, un formulaire ou un Google Doc. Aucune entreprise, aucun agent, aucun « conseiller support » légitime ne vous les demandera jamais.
• Ne les stockez jamais d'une manière qui nécessite un appareil connecté pour les lire. Les photos dans votre pellicule, les notes sur votre téléphone et les gestionnaires de mots de passe sont de mauvais endroits pour une phrase de récupération, car ils peuvent être exfiltrés.

Le papier convient pour des montants modérés, mais il brûle, prend l'humidité et s'efface. Pour tout ce que vous seriez peiné de perdre, gravez ou frappez les mots sur une plaque de stockage métallique prévue à cet effet. Gardez un exemplaire dans un endroit sûr, idéalement un second dans un autre lieu physique.

5. Ne jamais signer de transaction de portefeuille que vous ne comprenez pas pleinement

Quand vous utilisez un portefeuille en self-custody comme MetaMask, Rabby ou Frame, chaque action se termine par une signature. Certaines signatures déplacent des fonds. Certaines signatures autorisent un contrat à déplacer un token spécifique en votre nom. Certaines signatures accordent une approbation illimitée et permanente pour vider ce token. L'interface du portefeuille affiche un résumé lisible, mais ce sont les données sous-jacentes qui comptent.

Avant de signer quoi que ce soit, posez-vous trois questions :

• Qu'est-ce que j'approuve réellement ? Lisez le nom de la fonction et l'adresse du spender, pas seulement le montant en dollars.
• S'agit-il d'un « approve » ou d'un « setApprovalForAll » ? Ce sont les signatures qui vident les portefeuilles, souvent plusieurs jours plus tard.
• Le site correspond-il à ce que je pensais utiliser ? Si vous avez cliqué sur un lien, êtes-vous sur le vrai domaine ?

Dans le doute, refusez et demandez conseil à une personne de confiance. Refuser une transaction ne coûte rien. Accepter la mauvaise coûte souvent sans recours possible.

6. Maintenir un petit solde de « dépenses » et un solde séparé d'« épargne »

La plupart des gens n'ont besoin d'un portefeuille matériel que pour leurs avoirs à long terme. Pour un usage quotidien, un hot wallet avec un petit solde est plus pratique. En scindant vos fonds ainsi, un hot wallet compromis ne vous coûte que ce que vous auriez de toute façon perdu en laissant tomber votre portefeuille physique.

La même logique s'applique aux comptes sur les plateformes d'échange. Il n'y a aucune raison de conserver l'intégralité de votre patrimoine sur une seule CEX. Si vous tradez, ne gardez sur la plateforme que ce que vous utilisez activement.

7. Comprendre la différence entre une plateforme d'échange qui fait faillite et un piratage de smart contract

Ce sont des événements très différents, aux issues très différentes.

Quand une plateforme centralisée fait faillite, comme FTX, Celsius ou Voyager, votre nom figure sur une liste de créanciers. Selon la juridiction et les actifs récupérés, vous pourrez récupérer une partie de vos fonds, des années plus tard, avec une décote. Le problème venait de la garde : la plateforme avait mutualisé les fonds des clients et les avait utilisés. La leçon, c'est que sur une CEX vous détenez une reconnaissance de dette, pas des crypto-actifs.

Quand un smart contract est piraté, comme un bridge ou un protocole de prêt, les fonds disparaissent généralement immédiatement. Il n'y a aucune entreprise à poursuivre, aucun tribunal des faillites. La récupération, s'il y en a une, vient d'une prime white-hat, d'un vote de gouvernance pour forker, ou d'une longue bataille juridique. La leçon, c'est qu'interagir avec des smart contracts, c'est accepter un risque d'exécution de code.

Vous ne pouvez pas éliminer totalement l'un ou l'autre risque, mais vous pouvez choisir la dose de chacun que vous prenez. La self-custody élimine le premier. Éviter les protocoles et bridges non audités élimine l'essentiel du second.

Arnaques courantes à reconnaître au premier coup d'œil

Même avec des habitudes parfaites, vous en croiserez dans la nature. Les reconnaître au premier coup d'œil, c'est déjà la moitié de la bataille.

Pages de type « Vérifiez votre portefeuille » ou « Synchronisez votre appareil ». Aucun fournisseur de portefeuille légitime ne vous demandera jamais de saisir votre phrase de récupération sur un site pour la « vérifier ». C'est toujours du vol.

Faux airdrops et faux mint. Un token apparaît dans votre portefeuille sans que vous l'ayez acheté. Un site lié affiche « claim » ou « mint ». Le site vous demande de signer une transaction qui accorde des approbations de token à un contrat contrôlé par un attaquant. Le token a été envoyé précisément pour appâter cette signature.

Address poisoning. Vous copiez une adresse à laquelle vous avez déjà envoyé des fonds, vous la collez dans votre portefeuille, puis vous envoyez. L'adresse est correcte, sauf les derniers caractères, car une adresse ressemblante a été générée et une infime quantité de poussière a été envoyée dans votre historique pour la rendre familière. Vérifiez toujours l'adresse complète, pas seulement le début et la fin.

« Service client » qui vous contacte le premier. Aucun agent de support légitime ne vous enverra de DM, ne vous appellera ou ne vous écrira de lui-même pour vous aider avec votre compte. Si quelqu'un le fait, c'est une arnaque, point final.

Faux recruteurs et faux desks OTC. Les « recruteurs » proposant des emplois crypto en remote amènent souvent les victimes à installer des scripts ou à faire des « transactions de test » qui s'avèrent être des drainers. Les faux desks OTC proposent de vous « aider » à échanger d'importants soldes et disparaissent avec les fonds.

Que faire quand quelque chose tourne mal

Aucune checklist n'est parfaite. Si vous suspectez avoir été victime de phishing, avoir signé une transaction malveillante ou perdu un accès, la rapidité compte plus que l'élégance.

Si vous avez tapé votre phrase de récupération sur un site, considérez que le portefeuille est compromis. Transférez les fonds vers un portefeuille tout neuf, généré sur un appareil propre, immédiatement. Si vous n'avez pas de portefeuille matériel, même un nouveau hot wallet vaut mieux que l'ancien.

Si vous avez signé une transaction d'« approve » envers un drainer, il est possible que le drainer n'agisse pas tout de suite. Certains attendent qu'un solde important soit présent avant de tout balayer. Révoquez les approbations de token à l'aide d'un outil comme la page Token Approvals d'Etherscan ou un outil de révocation dédié, et transférez les fonds restants vers un nouveau portefeuille sur lequel le drainer n'a aucune approbation.

Si votre compte sur une plateforme a été compromis, contactez la plateforme via ses canaux officiels, et non via l'e-mail ou le DM reçu. Retirez les fonds restants si vous le pouvez. Attendez-vous au mieux à une récupération lente et partielle.

Pour des soldes plus importants, envisagez des services de récupération professionnels uniquement après avoir vérifié par vous-même leur légitimité, car le secteur de la « récupération » est lui-même truffé d'arnaques secondaires visant les victimes.

Implications pratiques pour les détenteurs au quotidien

Le constat honnête, c'est que la sécurité crypto relève surtout d'une hygiène ennuyeuse et répétitive, et non d'un travail technique astucieux. La même poignée d'habitudes protège contre la même poignée d'échecs, année après année. Si les gens continuent de perdre de l'argent, ce n'est pas que les conseils sont inconnus. C'est que les habitudes ne sont pas installées avant l'incident.

Si vous repartez de zéro, faites ces quatre choses cette semaine :

• Configurez un portefeuille matériel et transférez-y vos avoirs à long terme.
• Générez des e-mails uniques et des mots de passe robustes pour chaque plateforme que vous utilisez, avec la 2FA activée sur chacune.
• Mettez en favori les vraies URL de chaque plateforme et portefeuille, et supprimez les mots de passe enregistrés pour des domaines imités.
• Assurez-vous que votre phrase de récupération est notée sur un support hors ligne, idéalement du métal, et qu'aucune copie numérique n'existe nulle part.

Une fois cela en place, l'effort marginal se déplace vers la vigilance au niveau des transactions : lire ce que vous signez, reconnaître les arnaques, et séparer les dépenses de l'épargne. Rien de tout cela n'exige d'expertise. Cela exige une routine.

Gardez une longueur d'avance sur l'actualité de la sécurité crypto

La sécurité crypto évolue vite, tout comme l'actualité qui l'entoure : nouveaux kits de phishing, récentes campagnes de drainers, incidents sur les plateformes et exploits de protocoles font surface chaque jour. Les suivre manuellement est une bataille perdue d'avance. Zippfeed met en avant les titres crypto avec une notation de sentiment, haussier, neutre ou baissier, et un indice d'importance, pour que vous puissiez repérer les vrais risques tôt au lieu de l'apprendre en consultant le solde de votre portefeuille.