SSP Editorial Team

Qu'est-ce que WalletConnect et comment fonctionne-t-il avec SSP

·7 min de lecture·Par SSP Editorial Team
QR code WalletConnect reliant l'extension navigateur SSP Wallet et l'application SSP Key à une dApp.

Qu'est-ce que WalletConnect et comment fonctionne-t-il avec SSP

Si vous avez déjà ouvert un échange décentralisé, une marketplace NFT ou une application de prêt et vu un bouton "Connect Wallet" à côté d'un QR code, vous avez déjà croisé WalletConnect. C'est la tuyauterie discrète qui relie les portefeuilles autocustodiaux aux applications que les gens utilisent réellement. Pour un utilisateur de SSP, la question n'est pas seulement "qu'est-ce que WalletConnect", mais "qu'est-ce qui change dans ma sécurité quand je l'utilise, et qu'est-ce qui reste pareil ?"

La réponse courte : WalletConnect est la porte. Vos clés, et la protection 2-of-2 de SSP, restent exactement là où elles étaient.

Ce qu'est réellement WalletConnect

WalletConnect est un protocole ouvert pour faire transiter des demandes de signature entre une application décentralisée (une dApp) et un portefeuille. Ce n'est pas un dépositaire. Il ne détient pas de fonds. Il ne voit ni votre phrase de récupération, ni vos clés privées. Quand un portefeuille et une dApp se connectent via WalletConnect, les deux points établissent une session chiffrée à travers un réseau de relais, et les messages circulent dans les deux sens à travers cette session. Le relais ne voit que des blobs chiffrés ; seuls les deux points peuvent les lire.

Il est utilisé presque partout dans l'écosystème, et c'est pour cela qu'un seul flux côté portefeuille vous porte à travers des centaines d'applications sans devoir apprendre un nouveau parcours à chaque fois. Le protocole est documenté ouvertement sur docs.walletconnect.com, et vous trouverez un long catalogue d'applications compatibles WalletConnect sur ethereum.org/en/dapps.

Le flux de base, étape par étape

Le rituel de connexion est presque toujours le même, quelle que soit la dApp utilisée.

  1. La dApp affiche une option "Connect Wallet" et présente un QR code, ou — si vous êtes sur mobile — un lien profond.
  2. Vous ouvrez SSP, choisissez de vous connecter à une dApp et scannez le QR code (ou suivez le lien).
  3. SSP vous montre ce que la dApp demande : une session, votre adresse, la chaîne sur laquelle vous vous connectez.
  4. Vous approuvez la session. Un canal chiffré est désormais ouvert entre SSP et la dApp.
  5. Lorsque vous effectuez une action sur la dApp qui exige une signature — un swap, une autorisation de tokens, un dépôt — la dApp envoie une demande de signature à travers le canal. SSP vous montre exactement ce qui est demandé.
  6. Vous décidez. Si vous approuvez, le processus de signature s'exécute dans SSP et la transaction signée est renvoyée à la dApp, qui la diffuse.
  7. Quand vous avez fini, vous déconnectez la session.

Le point essentiel : la dApp ne demande jamais vos clés privées. Elle demande des signatures. Chaque signature est une décision distincte que vous prenez dans votre portefeuille.

Comment le modèle de signature s'applique à SSP

C'est là que SSP change la donne d'une manière que la plupart des portefeuilles ne peuvent pas reproduire. Dans un portefeuille classique à signature unique, chaque demande de signature est une seule approbation dans l'UI du portefeuille — rapide, mais aussi un point unique de défaillance. Si ce seul appareil est compromis ou si vous tapez "approuver" sur une demande hostile, la signature se produit.

SSP est un portefeuille multisig 2-of-2. La clé 1 vit dans l'extension navigateur SSP Wallet. La clé 2 vit sur votre téléphone dans l'application mobile SSP Key. Chaque transaction nécessite les deux clés, à chaque fois. Ce modèle ne disparaît pas quand vous utilisez WalletConnect — il s'étend à lui.

Lorsqu'une dApp envoie une demande de signature via WalletConnect :

  • La demande arrive d'abord à l'extension SSP Wallet sur votre ordinateur.
  • Vous examinez ce que la dApp demande de signer — le contrat, le montant, la chaîne, le calldata si vous choisissez de l'afficher.
  • Vous l'approuvez sur l'extension. L'extension produit sa part de la signature.
  • La demande est poussée vers SSP Key sur votre téléphone pour cosignature. Vous voyez les mêmes détails là-bas.
  • Vous l'approuvez sur votre téléphone. SSP Key produit sa part.
  • Les deux parts se combinent en une seule signature valide, qui est renvoyée à la dApp.

Sur les chaînes UTXO cela se passe comme une signature multisig BIP-48 ; sur les chaînes EVM (Ethereum, Polygon, Base, BNB Smart Chain, Avalanche) c'est une signature 2-of-2 agrégée Schnorr, vérifiée par un smart account ERC-4337. Cryptographie différente, même propriété : deux appareils, deux approbations, une transaction. Pour aller plus loin côté EVM, voyez l'architecture d'account abstraction de SSP, et pour le concept fondateur, ce qu'est le multisig 2-of-2.

Une dApp de phishing qui trompe l'extension doit encore franchir votre téléphone. C'est tout le propos.

Implications de sécurité à connaître

WalletConnect n'affaiblit pas votre sécurité ; il change ce à quoi vous devez faire attention. Les risques ci-dessous ne sont pas spécifiques à WalletConnect, mais une dApp connectée est un endroit fréquent où les rencontrer.

dApps de phishing. N'importe qui peut construire un site qui ressemble à un protocole populaire et vous demander de vous connecter. Le portefeuille n'a aucun moyen de savoir lequel est réel. Vérifiez toujours que vous êtes sur le bon domaine avant de vous connecter. Mettez en favoris les applications que vous utilisez ; n'y accédez pas via des annonces de recherche ou des liens de discussion.

Demandes de signature malveillantes. Une fois une session ouverte, une dApp peut demander des signatures arbitraires. Une interface de swap peut vous faire signer une autorisation de tokens qui donne à un contrat inconnu la permission de vider un solde de token. Lisez ce que SSP vous affiche. Si une demande de signature paraît étrangère — un contrat que vous ne reconnaissez pas, une autorisation illimitée, un transfert vers une adresse qui n'est pas la vôtre — refusez-la. La revue 2-of-2 sur votre téléphone est votre seconde chance de le détecter.

Signature aveugle. Parfois, les données signées sont opaques — une longue chaîne hex qui ne se décode pas en champs lisibles. Traitez les demandes de signature aveugle avec méfiance. Préférez les applications qui vous montrent l'intention lisible de ce que vous signez.

Confusion entre lien et app. WalletConnect est un protocole. De nombreux portefeuilles l'implémentent. Un site qui dit "Use WalletConnect" n'est pas un signal de confiance lié à une marque — c'est un standard de tuyauterie. Ne confondez pas "la dApp utilise WalletConnect" avec "la dApp est sûre".

Permissions limitées. Une session peut être limitée à des chaînes et à des méthodes spécifiques. Quand SSP vous présente la demande de session, regardez ce qui est demandé. Rien n'empêche de refuser une session qui demande plus que ce dont l'application a réellement besoin.

Sessions oubliées. Une session que vous avez oubliée reste une session. Si le frontend d'une dApp est ensuite compromis, une session active est un point d'entrée. Prenez l'habitude de déconnecter quand vous avez fini.

Habitudes concrètes pour que cela fonctionne

Quelques petites disciplines gardent votre usage de WalletConnect propre.

  • Vérifiez l'URL de la dApp avant de scanner un QR code de connexion. Tapez les noms de domaine plutôt que de cliquer sur des liens venant de discussions ou d'annonces.
  • Lisez chaque demande de signature. Quel contrat est appelé ? Quelle chaîne ? Quel montant ? Une autorisation illimitée de tokens, ce n'est pas la même chose qu'une autorisation à montant fixe — les deux peuvent être légitimes, mais vous devez savoir laquelle vous signez.
  • Utilisez la confirmation sur le téléphone comme un second regard. Si la demande paraissait correcte sur l'ordinateur mais bizarre sur le téléphone, refusez-la. Deux appareils, ce sont deux occasions de remarquer.
  • Déconnectez les sessions quand vous avez fini. SSP vous donne la liste des sessions ; traitez-la comme une liste de portes ouvertes.
  • Préférez des applications réputées avec un historique d'audits. Tendez vers les protocoles installés, qui publient des audits, et qui ne demandent pas de parcours d'authentification au-delà d'un handshake WalletConnect standard.
  • Gardez votre phrase de récupération hors de tout flux de dApp. Aucune dApp légitime n'a jamais besoin de votre phrase de récupération. Les demandes de signature sont la façon dont les dApps parlent à votre portefeuille ; tout ce qui demande une seed est une arnaque. Voyez les bonnes pratiques sur la phrase de récupération pour aller plus loin.
  • Si vous vous connectez sur Ethereum, les mêmes règles spécifiques à la chaîne sur le gas, les nonces et les interactions de contrats s'appliquent — Ethereum dans SSP couvre les détails côté chaîne.

Pour rassembler le tout

WalletConnect est la porte entre SSP et l'écosystème des dApps. Il est chiffré, open source, et utilisé par la plupart des portefeuilles et protocoles que vous rencontrerez. Il ne change pas où vivent vos clés, et il n'affaiblit pas le modèle 2-of-2 de SSP. Chaque transaction qu'une dApp demande doit encore franchir à la fois l'extension de votre navigateur et votre téléphone — c'est la propriété de sécurité que vous avez achetée en choisissant SSP, et elle voyage avec vous à travers chaque dApp à laquelle vous vous connectez.

Les clés restent avec vous. La porte n'est ouverte que le temps que vous la franchissiez.

Partager cet article

Articles connexes

Flux d'achat, vente et swap SSP au-dessus d'un wallet multisig 2-of-2

Échanger de la crypto depuis SSP : achat, vente et swap expliqués

Acheter, vendre et swapper depuis SSP : différences entre on-ramps, off-ramps, l'aggregator intégré et les dApps DEX, votre multisig 2-of-2 signe tout.

7 min read
Illustration carrée d’une cotation de swap aboutissant à un montant final différent à cause du price impact et du slippage.

Slippage et price impact, expliqués

Pourquoi un swap se règle à un prix différent de la cotation, ce que fait la slippage tolerance et comment y penser dans SSP.

7 min read
Illustration carrée montrant le schéma d'attaque sandwich MEV

MEV : frontrunning, sandwiching et comment vous protéger

MEV expliqué aux utilisateurs d'auto-conservation : frontrunning et attaques sandwich, qui est à risque, et les habitudes qui réduisent votre exposition.

7 min read