Un portefeuille sous forme d'extension de navigateur est un petit logiciel qui stocke vos clés privées dans votre navigateur afin que vous puissiez signer des transactions en cryptomonnaies et vous connecter à des applications décentralisées. Pour le configurer en toute sécurité, installez-le uniquement depuis le site officiel, jamais depuis une annonce sponsorisée, notez votre phrase de récupération de 12 ou 24 mots sur papier ou sur du métal hors ligne, définissez un mot de passe robuste, et traitez la phrase de récupération comme la clé maîtresse de chaque dollar que vous placerez un jour dans ce portefeuille.
Points clés
- Le risque numéro un pour un portefeuille est la phrase de récupération : quiconque la lit peut vider vos fonds, elle ne doit donc jamais être photographiée, saisie sur un téléphone ni enregistrée dans le cloud.
- Les faux magasins d'extensions de navigateur et les annonces sponsorisées sont la première cause de perte de cryptomonnaies pour les nouveaux utilisateurs, c'est pourquoi le site officiel est la seule source de téléchargement sûre.
- Un portefeuille de navigateur est un portefeuille chaud par conception ; les avoirs à long terme appartiennent à un portefeuille matériel auquel l'extension ne se connecte qu'en lecture seule.
- Les autorisations de jetons accordées à des applications décentralisées peuvent survivre à la dApp elle-même, c'est pourquoi révoquer les autorisations inutilisées est une habitude d'hygiène récurrente, et non une tâche ponctuelle.
Ce qu'est réellement un portefeuille sous forme d'extension de navigateur, et pourquoi le jour de la configuration compte
Un portefeuille sous forme d'extension de navigateur est un petit programme qui vit dans Chrome, Firefox, Brave ou Edge et qui sert de pont entre vous et une blockchain. L'extension conserve vos clés privées, signe des transactions en votre nom et affiche une fenêtre de confirmation chaque fois qu'un site web demande à déplacer des fonds. MetaMask est l'exemple dominant sur Ethereum et les chaînes compatibles EVM comme Polygon, Arbitrum et BNB Chain. Phantom est l'équivalent sur Solana, avec un flux de configuration et un modèle de menace très similaires. Les deux sont parfois appelés portefeuilles chauds car les clés se trouvent sur un appareil connecté à Internet, ce qui est pratique pour trader et utiliser des dApps, et c'est aussi la raison pour laquelle le moment de la configuration est si dangereux.
La raison pour laquelle les spécialistes de la sécurité s'attardent sur les dix premières minutes de la vie d'un portefeuille est que presque toutes les pertes catastrophiques en cryptomonnaies remontent à l'un des cinq cas suivants : une fausse extension installée depuis une annonce sponsorisée, une phrase de récupération sauvegardée dans une capture d'écran de téléphone, une phrase de récupération saisie sur un site de phishing qui se faisait passer pour le support, une autorisation de jetons illimitée accordée à un contrat intelligent malveillant, ou un navigateur infecté par un logiciel malveillant de presse-papiers qui remplace une adresse de portefeuille au moment du copier-coller. Aucune de ces attaques n'est exotique. Elles sont banales, répétitives, et elles fonctionnent précisément parce que la victime est pressée. Une configuration soignée crée des habitudes qui survivent au moment où vous êtes fatigué, distrait ou excité par un nouveau jeton.
Il existe aussi un modèle mental qu'il vaut la peine d'adopter avant de cliquer quoi que ce soit. Votre phrase de récupération, les 12 ou 24 mots anglais affichés lors de la configuration, est le portefeuille. Pas l'extension. Pas le mot de passe. Pas l'appareil. Quiconque possède ces mots peut recréer le portefeuille sur son propre appareil et déplacer vos fonds, même si votre ordinateur est dans votre sac à côté de vous. L'extension n'est qu'une fenêtre sur un trousseau qui vit sur la blockchain, et la phrase de récupération en est la clé. Traitez la phrase de récupération en conséquence et la suite de ce guide n'est pour l'essentiel qu'une liste de vérification.
Les vrais risques avant toute installation
Puisque l'argent de l'utilisateur est en jeu, il vaut la peine d'être explicite sur les modes de défaillance qui piègent les débutants. Ils ne sont pas théoriques. Ce sont les cinq mêmes histoires que vous lirez dans chaque autopsie d'un portefeuille perdu.
Premièrement, les fausses extensions. Les moteurs de recherche affichent régulièrement des annonces au-dessus de la véritable fiche MetaMask ou Phantom, et des extensions copiées avec une lettre en plus dans le nom ont volé des dizaines de millions de dollars au fil des ans. La page de l'extension dans le magasin paraîtra identique, y compris l'icône, les captures d'écran et les avis des utilisateurs, car les attaquants sont patients. Le seul téléchargement sûr est l'URL que vous tapez vous-même après avoir vérifié l'orthographe, ou un favori que vous avez enregistré le premier jour.
Deuxièmement, l'exfiltration de la phrase de récupération. La façon la plus courante de perdre un portefeuille est d'écrire la phrase de récupération dans une application de notes, de se l'envoyer par e-mail, de la photographier ou de la stocker dans un gestionnaire de mots de passe. Chacune de ces options crée une copie qui vit sur un serveur que vous ne contrôlez pas. Les notes synchronisées dans le cloud ont été piratées. Les photos se synchronisent vers le cloud. Même un gestionnaire de mots de passe est une cible à identifiant unique qui, s'il est compromis, remet à un attaquant la clé maîtresse de vos cryptomonnaies. La phrase de récupération appartient à un papier, ou gravée dans une plaque métallique conçue pour résister au feu et à l'eau, et nulle part ailleurs.
Troisièmement, les sites de phishing qui imitent le support d'un portefeuille. Si vous googliez un jour une erreur de portefeuille et cliquez sur un lien qui ouvre un chat en direct, vous parlez très probablement à un escroc. La véritable équipe d'un portefeuille ne vous demandera jamais votre phrase de récupération, ne vous demandera jamais de la saisir sur un site web pour résoudre un problème de synchronisation, et ne vous contactera jamais de sa propre initiative. Un portefeuille qui demande votre phrase de récupération est un portefeuille qui se vide lui-même.
Quatrièmement, les autorisations de jetons malveillantes. Lorsqu'une dApp vous demande d'échanger, de prêter ou de staker, elle demande généralement une autorisation de jeton, c'est-à-dire une permission de contrat intelligent pour déplacer un jeton spécifique depuis votre portefeuille plus tard, sans vous redemander. Les autorisations illimitées, celles qui indiquent « définir le plafond de dépenses au maximum », sont pratiques et dangereuses. Si la dApp est piratée, ou était malveillante dès le départ, cette autorisation est la clé de l'attaquant sur ce jeton jusqu'à ce que vous la révoquiez. Revoke.cash et des outils similaires existent précisément pour nettoyer tout cela.
Cinquièmement, les logiciels malveillants qui réécrivent les adresses de portefeuille dans le presse-papiers au moment où vous en copiez une. L'adresse à l'écran semble correcte, l'adresse qui est collée dans la transaction est celle de l'attaquant, et les fonds disparaissent. C'est pourquoi les portefeuilles matériels affichent l'adresse de destination sur un écran de confiance avant la signature, et c'est pourquoi vous devez toujours lire l'adresse complète dans la fenêtre de confirmation de votre portefeuille, et pas seulement le premier et le dernier caractère.
Étape 1 : obtenir l'extension depuis la bonne source
Ouvrez un nouvel onglet de navigateur et saisissez vous-même l'URL officielle du portefeuille. Pour MetaMask, l'adresse canonique est metamask.io, et pour Phantom, c'est phantom.app. Depuis la page d'accueil, cherchez un bouton de téléchargement clairement identifié qui renvoie vers le Chrome Web Store, les modules complémentaires de Firefox ou le site des modules complémentaires d'Edge. Vous n'avez pas encore terminé : une fois sur la boutique, vérifiez le nom du développeur, le nombre d'installations, la date de publication et les avis récents. Une extension de portefeuille authentique aura des millions d'installations, une longue histoire et un nom de développeur qui correspond au domaine officiel du projet. Si la fiche sur la boutique indique « par Some Random LLC » ou ne compte que 200 installations, fermez l'onglet.
N'installez jamais un portefeuille à partir d'une annonce de recherche, d'un commentaire YouTube, d'un groupe Telegram, d'un tweet d'un compte que vous ne suivez pas ou d'un lien dans un message privé Discord. La seule habitude la plus importante de tout ce guide est la plus ennuyeuse : ajoutez le site officiel à vos favoris dès le premier jour et n'utilisez jamais que ce favori. Les moteurs de recherche sont une surface d'attaque, contrairement à la page d'accueil du portefeuille.
Pendant l'installation, le navigateur vous avertira des autorisations demandées par l'extension. Une extension de portefeuille a légitimement besoin de lire et de modifier les données des sites que vous visitez, car c'est ainsi qu'elle injecte sa fenêtre de confirmation et lit la chaîne. Cette autorisation large est normale. Ce qui ne l'est pas, c'est une extension de portefeuille qui demande des autorisations sans rapport avec sa fonction, ou qui a été installée sans que vous ayez cliqué sur un bouton d'installation explicite. Si quelque chose vous semble anormal, désinstallez-la et recommencez depuis l'URL officielle.
Étape 2 : créer un nouveau portefeuille et noter la phrase de récupération hors ligne
Ouvrez l'extension que vous venez d'installer et choisissez « Créer un nouveau portefeuille ». Le portefeuille générera une phrase de récupération de 12 ou 24 mots à l'aide d'un générateur de nombres aléatoires cryptographiquement sûr. C'est le moment qui compte. Les mots vous seront présentés un par un. La bonne réaction consiste à les écrire, dans l'ordre, sur une feuille de papier, avec un stylo. Ne les tapez pas. Ne les prenez pas en photo. Ne les prononcez pas à proximité d'un microphone. Le fait de les écrire à la main est la fonctionnalité de sécurité, car un stylo sur du papier ne se connecte jamais à Internet.
Si vous prévoyez de détenir dans ce portefeuille l'équivalent de plus de quelques centaines de dollars en cryptomonnaies, l'étape papier mérite d'être améliorée. Une plaque métallique pour phrase de récupération, vendue par plusieurs fournisseurs réputés, résiste à un incendie domestique et à une inondation. Son coût est faible et le mode de défaillance qu'elle évite est total. Dans tous les cas, la phrase de récupération doit être stockée dans un endroit physiquement sûr, idéalement dans un lieu différent de celui de l'ordinateur sur lequel vous utiliserez le portefeuille, car des sauvegardes qui se trouvent au même endroit que l'appareil qu'elles sauvegardent ne sont pas de vraies sauvegardes.
L'extension vous demandera de confirmer la phrase de récupération en saisissant à nouveau les mots dans l'ordre. Il s'agit d'une vérification que vous les avez correctement notés. Ne sautez pas cette étape et ne la validez pas en retapant à partir d'une capture d'écran que vous auriez discrètement prise. L'intérêt de l'exercice est que la seule copie de la phrase de récupération existe sur une feuille de papier dans votre tiroir. Après la confirmation, définissez un mot de passe solide pour le portefeuille. Ce mot de passe verrouille l'extension sur votre appareil spécifique, afin qu'un visiteur occasionnel du navigateur ne puisse pas l'ouvrir. Ce n'est pas la même chose que la phrase de récupération. Le mot de passe peut être réinitialisé sur un nouvel appareil à l'aide de la phrase de récupération, mais la phrase de récupération ne peut être réinitialisée par personne, jamais.
Une habitude supplémentaire qui s'avère utile par la suite : activez la liste de blocage anti-hameçonnage intégrée au portefeuille, si celui-ci en propose une. MetaMask tient à jour une liste de domaines malveillants connus et vous avertit avant que vous ne vous y connectiez. Phantom fait de même sur Solana. Laissez cette fonctionnalité activée. C'est l'une des rares fonctionnalités de sécurité qui ne vous coûte rien et qui bloque des catégories entières d'attaques.
Étape 3 : approvisionner le portefeuille sans devenir une cible
La première fois que de l'argent réel entre dans un portefeuille, c'est aussi la première fois que le portefeuille devient intéressant pour un attaquant. Quelques petites habitudes permettent de rester une cible de petite taille. Commencez par approvisionner depuis une plateforme centralisée que vous utilisez déjà, en envoyant d'abord une transaction de test. Une transaction de test est un petit montant, souvent quelques dollars en ETH ou SOL, envoyé à l'adresse de réception du nouveau portefeuille. Vous confirmez son arrivée, puis vous envoyez le reste. Cela semble lent. C'est la différence entre une erreur de 50 $ et une erreur de 5 000 $ lorsqu'une adresse a été mal saisie.
Copiez toujours l'adresse de réception depuis l'intérieur de l'extension et lisez toujours l'adresse complète dans l'écran de confirmation d'envoi de l'extension avant de signer. L'adresse sera longue. Lisez-la. Si vous avez plus tard un portefeuille matériel, relisez-la sur l'écran de l'appareil comme seconde vérification. Si l'adresse côté plateforme ne correspond pas exactement à l'adresse dans l'extension, interrompez l'opération et cherchez pourquoi. Les logiciels malveillants qui réécrivent les adresses du presse-papiers constituent une catégorie d'attaque bien réelle, et la seule défense est l'habitude ennuyeuse de lire.
Décidez, avant d'approvisionner le portefeuille, quel rôle ce portefeuille va jouer. Si la réponse est « usage quotidien, dApps, petites transactions », le portefeuille sous forme d'extension de navigateur est le bon outil, et vous devriez y conserver un solde suffisamment faible pour que la perte soit gênante plutôt que bouleversante. Si la réponse est « c'est là que se trouve mon épargne à long terme », le bon outil est un portefeuille matériel, et l'extension de navigateur n'est qu'une fenêtre fine vers celui-ci. Les portefeuilles matériels comme Ledger et Trezor conservent les clés privées sur un appareil qui ne se connecte jamais à Internet, et l'extension ne voit jamais que des transactions signées. Une réserve de valeur à long terme ne devrait pas se trouver dans un portefeuille chaud, un point c'est tout. L'extension de navigateur sert à dépenser ; le portefeuille matériel sert à épargner.
Étape 4 : se connecter aux dApps et nettoyer après son passage
Lorsque vous visitez une application décentralisée, le site demandera à votre portefeuille de « se connecter ». Une fenêtre de confirmation affichera le compte que la dApp souhaite voir et la chaîne à laquelle elle veut parler. Lisez-la. Si un simple site d'échange demande à voir tous les comptes de votre portefeuille, y compris ceux que vous n'avez pas approvisionnés, c'est un signal d'alerte jaune. Si un site vous demande de signer un message que vous ne comprenez pas, c'est un signal d'alerte rouge. Les signatures sont le moyen utilisé pour vider des portefeuilles sans qu'aucune transaction ne soit jamais envoyée ; l'attaquant utilise la signature hors du site pour autoriser une action malveillante. En cas de doute, déconnectez-vous et utilisez un petit compte dédié aux dApps plutôt que votre compte principal.
La bonne pratique consiste à conserver au moins deux comptes dans MetaMask ou Phantom. Le premier, votre compte « coffre-fort », détient les fonds à long terme et ne se connecte jamais à aucune dApp. Le second, votre compte « dépenses », est celui qui communique avec Uniswap, OpenSea, Aave et autres. L'extension permet de passer de l'un à l'autre en un clic. Si une dApp vous demande un jour une autorisation que vous regrettez, ou vous inscrit à quelque chose de douteux, la perte est limitée au solde du compte de dépenses.
Après avoir utilisé une dApp, le nettoyage consiste à révoquer les approbations de jetons dont vous n'avez plus besoin. Des outils comme revoke.cash lisent la chaîne et dressent la liste de toutes les autorisations actives. Révoquer une approbation est une petite transaction qui coûte quelques centimes de gas, et elle supprime l'autorisation de la dApp de déplacer des jetons hors de votre portefeuille. Une règle simple : si vous n'avez pas utilisé une dApp depuis 30 jours, révoquez ses approbations. Les autorisations illimitées sont pratiques et dangereuses, et c'est ainsi qu'un protocole compromis vide les portefeuilles bien après que vous avez cessé de visiter le site.
Une checklist de configuration en une page
Utilisez cette liste comme un aide-mémoire littéral la première fois, puis comme liste de révision tous les quelques mois.
- Source de téléchargement : Ajoutez metamask.io ou phantom.app à vos favoris, et installez uniquement depuis ces signets. Jamais depuis une publicité dans un moteur de recherche, jamais depuis un lien Telegram, jamais depuis un tweet.
- Vérification du store : Dans la boutique d'extensions du navigateur, confirmez que le nom du développeur, le nombre d'installations et l'historique de publication correspondent au projet officiel avant de cliquer sur Installer.
- Saisie de la phrase de récupération : Écrivez les 12 ou 24 mots sur papier avec un stylo, dans l'ordre, hors ligne. Pas de capture d'écran, pas d'application de notes, pas de synchronisation cloud, pas de gestionnaire de mots de passe, pas d'email à vous-même.
- Stockage de la phrase de récupération : Conservez le papier (ou une plaque métallique) dans un endroit physiquement sécurisé, idéalement séparé de l'appareil que vous utiliserez avec le wallet.
- Mot de passe : Définissez un mot de passe fort et unique pour l'extension elle-même, différent de tous les autres mots de passe que vous utilisez.
- Protection contre le phishing : Activez la liste de blocage intégrée au wallet pour les domaines malveillants connus, et ne saisissez jamais votre phrase de récupération sur un site web, quelle que soit la personne qui vous la demande.
- Premier approvisionnement : Envoyez d'abord une petite transaction test depuis une plateforme d'échange majeure, et lisez l'adresse de destination complète dans la fenêtre de confirmation de l'extension avant de signer.
- Séparation des comptes : Utilisez un compte pour les dApps et les petits soldes, et conservez un compte séparé (ou un hardware wallet) pour vos avoirs à long terme.
- Approbations : Révoquez les approbations de tokens après avoir utilisé des dApps non familières, et de manière régulière pour l'ensemble du wallet.
- Vérification de l'adresse : Lisez toujours l'adresse de destination complète dans le wallet avant de signer un envoi, et vérifiez à nouveau sur l'écran d'un hardware wallet si vous en avez un.
Comment garder une longueur d'avance sur les risques liés aux wallets et aux dApps
La crypto évolue vite, et les attaques autour des wallets évoluent encore plus vite que le marketing. Un nouveau kit de phishing, une extension copiée, une approbation malveillante, tout cela peut apparaître la même semaine où un lancement de token majeur attire de nouveaux utilisateurs dans l'espace. Suivre manuellement l'actualité des wallets, les exploits de dApps et les risques d'approbation est une bataille perdue d'avance, car les signes avant-coureurs sont dispersés entre fils Twitter, issues GitHub, post-mortems et canaux Telegram que vous ne rejoindrez jamais à temps. Zippfeed met en avant les titres crypto avec une notation de sentiment, bullish, neutral ou bearish, et une cote d'importance, afin que vous puissiez voir les histoires de wallets et de dApps qui comptent vraiment, au moment où elles éclatent, plutôt qu'après la disparition des fonds.