Le phishing est de loin la cause la plus fréquente de pertes d'argent chez les utilisateurs en auto-conservation. Pas un chiffrement brisé, pas une clé privée craquée — un message convaincant, un site imitant à la perfection un site légitime, ou une transaction qui semble anodine jusqu'à ce qu'il soit trop tard. La cryptographie qui protège votre portefeuille est solide, et l'attaquant le sait, alors il l'évite complètement pour s'en prendre à la seule partie du système qui peut être manipulée : vous. Chaque année, des milliards sont perdus à cause de la fraude et de l'ingénierie sociale liées aux cryptomonnaies, et la majorité des cas commence par un message de phishing plutôt que par une attaque technique.
Cet article détaille ce que le phishing crypto cible réellement, les schémas spécifiques que vous pouvez apprendre à reconnaître au premier coup d'œil, et la façon dont la conception de SSP vous aide — tout en étant honnête sur ce qu'elle ne peut pas faire.
Ce que le phishing cible réellement
Le phishing contre un utilisateur en auto-conservation vise l'une de ces trois choses : votre phrase secrète, vos approbations, ou votre signature. Voler la phrase secrète revient à donner à l'attaquant le contrôle de chaque compte qui en dérive, pour toujours. Vous amener à accorder une approbation de jeton leur permet de vider des actifs spécifiques à leur guise. Vous faire signer une seule transaction malveillante suffit pour que les fonds soient transférés en un seul bloc.
Ces trois scénarios ont en commun que c'est vous qui devez agir. L'attaquant ne peut pas plonger la main dans votre portefeuille et prendre quoi que ce soit ; il a besoin que vous tapiez, cliquiez, approuviez ou signiez. Cette dépendance est aussi votre avantage — chaque attaque a un moment où vous pouvez l'arrêter, si vous savez à quoi ressemble ce moment.
Les schémas que vous pouvez reconnaître
Le phishing crypto réutilise un petit ensemble de procédés. Une fois que vous savez les nommer, il devient beaucoup plus difficile de se laisser piéger.
Faux sites de portefeuille et typosquats dans les publicités de recherche
Le procédé le plus ancien consiste en un clone d'un vrai site de portefeuille ou d'échange, servi depuis un domaine ressemblant et souvent propulsé en tête des résultats de recherche sous forme de publicité payante. La page est visuellement identique à l'originale et n'existe que pour une raison : récolter votre phrase secrète, ou vous inciter à connecter votre portefeuille et à signer. Traitez la barre de recherche comme hostile. Trouvez le vrai site une fois, vérifiez-le, et ajoutez-le à vos favoris — puis arrivez-y uniquement via ce favori. SSP ne vous demandera jamais votre phrase secrète sur un site web, et la vraie extension s'installe depuis le magasin officiel du navigateur, pas depuis une publicité de recherche. Si vous n'êtes pas sûr de ce à quoi ressemble un portefeuille-extension légitime, lisez les portefeuilles extension de navigateur expliqués.
Demandes de saisie de phrase secrète
Celle-ci mérite sa propre règle, car elle est absolue : aucun portefeuille légitime ne vous demande jamais de taper votre phrase secrète sur un site web, un formulaire, une fenêtre contextuelle ou un DM. Pas pour la « valider », pas pour la « synchroniser », pas pour « réclamer » quoi que ce soit. Votre phrase secrète n'est saisie qu'à un seul endroit — à l'intérieur du logiciel du portefeuille lui-même, lors de la configuration initiale ou de la récupération. SSP ne prend votre phrase secrète qu'à l'intérieur de l'extension ou de l'application mobile à cet effet, et jamais sur une page web. Si quoi que ce soit d'autre le demande, c'est une tentative de vol, un point c'est tout. Pour la discipline générale de protection de votre phrase secrète, consultez les bonnes pratiques pour les phrases secrètes.
Phishing d'approbation et draineurs de portefeuille
Plus récent et plus sournois : un dApp malveillant ne demande pas votre phrase secrète. Il vous demande de signer ce qui ressemble à une transaction normale — mais l'action est une approbation de jeton ou un setApprovalForAll qui donne au contrat de l'attaquant la permission de déplacer vos jetons ou NFTs. Vous gardez la possession de vos clés ; vous venez simplement de signer l'abandon de vos droits sur vos actifs, et un draineur de portefeuille les vide plus tard, parfois des semaines après. La défense consiste à comprendre ce qu'est une approbation et à les garder de courte durée. Lisez les approbations de jetons — les permissions que vous continuez d'accorder, puis révoquez celles que vous n'utilisez plus.
Empoisonnement d'adresses
L'empoisonnement d'adresses exploite les habitudes de copier-coller. L'attaquant envoie un transfert de faible montant ou à valeur nulle vers votre portefeuille depuis une adresse conçue pour ressembler à une que vous utilisez déjà — les mêmes quatre premiers et quatre derniers caractères. Elle se retrouve ensuite dans votre historique, de sorte que la prochaine fois que vous copiez une adresse « connue » depuis vos transactions passées vous prenez la leur, et envoyez vos fonds directement à l'attaquant. La correction est mécanique : ne jamais copier une adresse depuis l'historique des transactions, et vérifier l'adresse complète, caractère par caractère — pas seulement les quatre premiers et les quatre derniers. Un imposteur peut correspondre aux deux extrémités parfaitement et différer totalement au milieu.
Usurpation d'identité dans les DMs
Si quelqu'un vous envoie un message en premier sur Discord, Telegram ou X en prétendant être le « support officiel », c'est une arnaque par défaut. Le vrai support ne glisse pas dans vos DMs, et aucun administrateur, modérateur ou « bot de validation » n'a jamais besoin de votre phrase secrète, de votre clé privée, ou que vous connectiez votre portefeuille pour le « vérifier ». L'urgence est le signe révélateur — « vos fonds sont en danger, agissez maintenant » existe pour vous empêcher de réfléchir. Fermez le DM et contactez le support uniquement via un canal vers lequel vous avez navigué vous-même.
Demandes de signature malveillantes / signature aveugle
Le procédé le plus technique vous demande de signer un message plutôt qu'une transaction — un Permit, un payload eth_sign, ou un blob opaque que vous ne pouvez pas lire. Ceux-ci peuvent autoriser des transferts de jetons ou des approbations hors chaîne, parfois sans frais de gaz et sans avertissement apparent. La règle : comprendre ce que vous signez avant de signer, et se méfier profondément de toute demande que vous ne pouvez pas déchiffrer. Lorsque vous vous connectez à des dApps, comprenez comment la session et ses demandes de signature fonctionnent — ce qu'est WalletConnect et comment il fonctionne avec SSP passe en revue cette surface.
Comment la conception de SSP aide — et ses limites
SSP est un portefeuille multisig 2 sur 2 : chaque transaction doit être co-signée sur un deuxième appareil, le SSP Key, avant de pouvoir être diffusée. Cela vous donne un deuxième écran, sur un matériel distinct, affichant la demande une fois de plus avant qu'elle ne soit exécutée — une véritable deuxième surface de contrôle qu'un portefeuille à appareil unique n'a pas. L'extension ne demande jamais votre phrase secrète sur une page web, ce qui ferme la route de collecte la plus courante par conception.
Voici la partie honnête : le multisig n'est pas un remède contre le phishing. Si une transaction malveillante est devant vous et que vous l'approuvez dans l'extension et la confirmez sur votre SSP Key, le portefeuille fait exactement ce que vous lui avez dit. Le deuxième appareil vous protège d'un seul appareil compromis qui signerait seul — il ne vous protège pas d'approuver deux fois une mauvaise action. Alors lisez les deux écrans : si la destination, le montant ou l'action ne correspondent pas à ce que vous aviez prévu, rejetez sur le SSP Key. La défense contre le phishing repose en fin de compte sur vous. Pourquoi cette responsabilité en vaut la peine est au cœur de pourquoi l'auto-conservation compte maintenant.
Une vérification anti-phishing en 60 secondes
Avant de signer quoi que ce soit, effectuez cette vérification :
- Vérification de l'URL — êtes-vous arrivé via votre propre favori, ou via un lien ou une publicité que quelqu'un vous a transmis ? Si ce n'est pas votre favori, arrêtez.
- Vérification de la phrase secrète — quelque chose vous demande-t-il votre phrase secrète ? Si oui, c'est une arnaque, à chaque fois, sans exception.
- Lisez le SSP Key — l'action et le montant sur votre deuxième appareil correspondent-ils exactement à ce que vous vouliez faire ?
- Vérification de la destination — vérifiez l'adresse complète du destinataire, pas seulement les quatre premiers et quatre derniers caractères.
- Vérification des DMs — cela a-t-il commencé par un message non sollicité ou par un « agissez maintenant » urgent ? Traitez-le comme hostile.
- Hygiène des approbations — révoquez les approbations de jetons obsolètes dont vous n'avez plus besoin, pour qu'une approbation oubliée ne puisse pas être vidée plus tard.
Si une étape échoue, rejetez et repartez. Une opportunité manquée ne coûte rien ; un draineur signé peut tout coûter.
Continuez
Le phishing n'est qu'une couche d'une pratique de sécurité personnelle plus large. Renforcez le reste avec l'hygiène des extensions de navigateur pour les utilisateurs de cryptomonnaies, et planifiez tout cela sur un calendrier récurrent avec votre liste de contrôle opsec crypto. Pour suivre comment l'écosystème plus large surveille ces attaques, les rapports de tendances de phishing de l'APWG et le FBI's IC3 sont des sources primaires fiables.
