#Web3安全指南

Les chiffres à partir de 2025 ne sont pas des statistiques abstraites. Rien qu’au premier trimestre, plus de deux milliards de dollars ont disparu des portefeuilles Web3, des protocoles et des contrats intelligents. La majorité de ces pertes ne provient pas d’exploits cryptographiques exotiques ou de zero-days au niveau des États-nations. Elles résultent d’erreurs prévisibles et répétables que de meilleures habitudes auraient pu éviter. Ce guide concerne ces habitudes.

Votre clé privée est la seule chose qui vous sépare d’une perte totale

Web3 vous donne une véritable propriété de vos actifs. Le compromis est qu’il n’y a pas de banque à appeler, pas de ticket de support à déposer, pas de rétrofacturation à contester. Si quelqu’un obtient votre phrase de récupération ou votre clé privée, les actifs sont perdus. Définitivement. La blockchain ne se soucie pas de vos intentions ou de vos émotions, elle ne traite que des signatures valides.

Aucune entité légitime ne vous demandera jamais votre phrase de récupération. Ni un agent du support client, ni un auditeur de sécurité, ni un développeur du projet que vous utilisez, ni votre contact le plus fiable dans l’espace. Dès qu’une personne demande cela, la conversation est terminée et la plateforme par laquelle elle vous a contacté doit être considérée comme compromise.

Pour le stockage, tout ce qui est connecté à Internet est une vulnérabilité. Captures d’écran, disques cloud, brouillons d’e-mails, applications de notes synchronisées avec un serveur, tous ces vecteurs ont été à l’origine de pertes. Écrivez votre phrase de récupération sur papier ou gravez-la sur du métal, stockez-la dans un endroit physiquement sécurisé, et gardez-la entièrement hors ligne.

Les portefeuilles matériels sont la base pour tout ce que vous ne pouvez pas vous permettre de perdre

Un portefeuille d’extension de navigateur est toujours connecté, toujours exposé, et aussi sécurisé que l’appareil sur lequel il fonctionne. Les portefeuilles matériels gardent vos clés privées sur une puce dédiée qui ne touche jamais Internet, et chaque transaction nécessite une confirmation physique sur l’appareil lui-même. Cette couche physique brise presque toutes les chaînes d’attaque à distance.

La configuration pratique est en couches. Utilisez un portefeuille matériel pour vos avoirs principaux, ceux que vous ne tradez pas activement. Utilisez un portefeuille chaud séparé pour vos interactions quotidiennes en DeFi, connecté à rien d’autre, et financé uniquement avec ce que vous êtes réellement prêt à perdre complètement. Gardez ces deux éléments complètement isolés l’un de l’autre. Si le portefeuille chaud est vidé par un contrat de phishing, vos actifs principaux restent intacts.

Lisez ce que vous signez, à chaque fois

C’est là que la plupart des gens perdent de l’argent et ne comprennent jamais pourquoi. Lorsqu’un protocole DeFi vous demande d’approuver un token ou de signer un message, ce qui est réellement écrit dans cette transaction compte énormément.

Les approbations de tokens sont le mécanisme le plus abusé en DeFi. Lorsque vous approuvez un contrat pour dépenser vos tokens, cette permission reste active indéfiniment à moins que vous ne la révoquiez. Un contrat malveillant auquel vous avez donné l’approbation peut vider votre solde à tout moment dans le futur, longtemps après que vous ayez oublié que cette interaction a eu lieu. La habitude à adopter est de vérifier et révoquer régulièrement les approbations à l’aide d’outils dédiés, et de ne jamais accorder d’approbation illimitée quand une somme spécifique suffit.

Utilisez un portefeuille qui traduit les données brutes de la transaction en langage clair avant de signer. Voir "ce contrat transférera tout l’USDT de votre adresse" écrit clairement est très différent de regarder une chaîne hexadécimale et cliquer sur confirmer parce que le bouton est vert.

Si vous ne comprenez pas ce qu’une transaction demande, ne la signez pas. Ralentissez, recherchez, demandez dans un canal communautaire légitime. Le coût de quelques minutes supplémentaires est nul. Le coût de signer la mauvaise chose peut être tout.

Le phishing en 2025 est suffisamment sophistiqué pour tromper des utilisateurs expérimentés

Le site web factice avec un anglais approximatif et des erreurs visuelles évidentes n’est plus la menace principale. Les attaques qui ont causé le plus de dégâts en 2025 étaient techniquement raffinées, contextuellement conscientes, et conçues spécifiquement pour contourner l’instinct des personnes qui pensent déjà savoir ce qu’il faut rechercher.

Le poisoning d’adresses est l’une des méthodes les plus insidieuses. Un attaquant vous envoie une petite transaction depuis une adresse de portefeuille qui ressemble étroitement à celle avec laquelle vous interagissez régulièrement, en faisant correspondre les premiers et derniers caractères. Si vous copiez une adresse depuis votre historique de transactions plutôt que depuis un contact sauvegardé, vous enverrez des fonds directement à l’attaquant. Quelqu’un a perdu près de cinquante millions de dollars avec cette technique en 2025. La solution est simple mais exige de la discipline : envoyez toujours depuis votre propre carnet d’adresses vérifié, jamais depuis l’historique de transactions.

Les extensions de navigateur malveillantes méritent une attention sérieuse. Une extension Chrome appelée ShieldGuard se faisait passer pour un outil de sécurité pour les utilisateurs de crypto, a construit une audience via la promotion sur les réseaux sociaux, et a discrètement récolté des données de session de toutes les grandes plateformes visitées par ses victimes. Elle extrayait des adresses de portefeuille, surveillait les sessions utilisateur, et exécutait du code à distance, tout en se présentant comme une protection. Installez le moins d’extensions possible, vérifiez l’éditeur de tout ce que vous installez, et traitez toute extension demandant des permissions étendues avec la plus grande suspicion.

Les faux airdrops suivent un schéma cohérent. Un token inconnu apparaît dans votre portefeuille. Un message vous indique que vous êtes éligible pour réclamer une récompense. Le site de réclamation vous demande de connecter votre portefeuille et d’approuver un contrat. Ce contrat vous vide. La règle est absolue : n’interagissez pas avec des tokens que vous n’avez pas recherché vous-même, ne visitez pas de liens promettant quelque chose que vous n’avez pas signé.

Le social engineering via Discord et Telegram reste le canal d’attaque le plus utilisé. Les noms d’utilisateur, photos de profil, et styles d’écriture des impersonateurs sont suffisamment affinés pour passer un contrôle casual. Les véritables équipes de projets n’envoient pas de messages privés non sollicités avec des liens. Si quelqu’un vous contacte d’abord avec une opportunité, un avertissement concernant votre compte, ou une offre exclusive, ce n’est pas réel.

Le contrat est le produit. Traitez-le en conséquence.

Un protocole DeFi n’est aussi fiable que son code sous-jacent. Des chiffres d’APY élevés, des communautés enthousiastes, et des endorsements de comptes connus ne disent rien sur la solvabilité du contrat intelligent la semaine suivante.

Les rapports d’audit de sociétés crédibles sont des documents publics. Les trouver prend deux minutes. Lire le résumé exécutif et la liste des vulnérabilités identifiées prend cinq minutes. Un protocole sans audit, avec un audit d’une société inconnue, ou avec des vulnérabilités non résolues à haute gravité dans son rapport ne doit pas détenir de fonds que vous n’êtes pas prêt à abandonner.

Au-delà des audits, regardez la distribution des tokens. Lorsqu’un petit nombre de portefeuilles contrôle la majorité de l’offre en circulation, les conditions pour une sortie coordonnée sont déjà en place. Vérifiez si la liquidité est verrouillée et pour combien de temps. Vérifiez si le contrat contient des fonctions d’administration pouvant transférer ou geler les fonds des utilisateurs sans consentement. Aucun de ces signaux n’est automatiquement disqualifiant, mais leur combinaison décrit quelque chose en quoi vous ne devriez pas faire confiance avec de l’argent réel.

Les portefeuilles multisignatures sont la prochaine étape pour protéger des avoirs importants

Un portefeuille standard n’est aussi sécurisé que la clé privée unique qui le contrôle. Les portefeuilles multisignatures nécessitent un nombre défini d’approbations indépendantes avant qu’une transaction puisse être exécutée. Avec une configuration deux-sur-trois, une clé compromise ne conduit pas à une perte de portefeuille. L’attaquant devrait compromettre deux appareils ou deux détenteurs de clés séparément et simultanément.

Ce n’est pas un concept réservé aux utilisateurs avancés. Les outils ont mûri au point où des utilisateurs individuels peuvent le mettre en place en un après-midi. Pour quiconque gère des actifs représentant une exposition financière significative, le coût de mise en place est trivial par rapport à la protection qu’il offre.

Les données de 2025 rappellent utilement que l’outil lui-même ne crée pas la sécurité. Trois trimestres consécutifs de pertes importantes impliquaient une infrastructure de portefeuille multisignature où la sécurité opérationnelle autour des détenteurs de clés était le vrai point faible. Les appareils des signataires ont été compromis par phishing avant même qu’une transaction ne soit diffusée. Les sauvegardes techniques nécessitent une discipline opérationnelle pour fonctionner comme prévu.

Votre appareil et votre réseau font partie de la surface d’attaque

Le Wi-Fi public n’est pas un environnement adapté pour toute opération en chaîne. L’exposition introduite par un réseau non fiable n’est pas théorique.

Les logiciels malveillants de détournement du presse-papiers restent silencieux sur un appareil infecté et surveillent les événements de copie. Lorsqu’ils détectent quelque chose ressemblant à une adresse de portefeuille, ils remplacent le contenu du presse-papiers par une adresse contrôlée par l’attaquant. Vous collez ce qui semble correct et envoyez des fonds à quelqu’un d’autre. La contre-mesure consiste à développer l’habitude de vérifier visuellement l’adresse complète après chaque collage, sans exception. C’est fastidieux jusqu’à ce que cela vous sauve une fois.

L’hygiène du navigateur est également importante. Maintenir un profil ou un appareil séparé exclusivement pour l’activité en chaîne, sans navigation générale, sans e-mail, sans réseaux sociaux, et avec un minimum d’extensions, réduit significativement votre exposition. La plupart des chaînes d’attaque nécessitent plusieurs points de compromission. Maintenir votre environnement de signature propre élimine plusieurs de ces points simultanément.

L’origine de vos informations est aussi importante que ce que vous en faites

Les résultats des moteurs de recherche et les timelines sur les réseaux sociaux ne sont pas des endroits sûrs pour trouver des liens vers des projets. Les attaquants achètent des placements publicitaires pour des mots-clés liés à des protocoles légitimes et lancent des campagnes qui ressemblent à s’y méprendre à la réalité. En 2025, plusieurs opérations de phishing de haut niveau ont atteint leurs victimes de cette façon.

Mettez en favori chaque URL officielle que vous utilisez. Entrez-les directement ou depuis vos favoris personnels, jamais depuis un résultat de recherche, jamais depuis un lien dans un post d’un autre. Cette habitude élimine une catégorie entière d’attaque.

Les faux comptes officiels sur les plateformes sociales sont omniprésents. Les attaquants créent des comptes avec des noms d’utilisateur et des images de profil presque identiques, répondent aux annonces de projets réels, et insèrent des liens malveillants dans des fils de discussion qui ressemblent à un discours légitime. La réponse a parfois plus d’engagement que le post original, car l’engagement peut être fabriqué. Vérifiez l’ancienneté du compte, l’historique des publications, et croisez avec les sources officielles avant de considérer quelque chose comme faisant autorité.

La psychologie de l’urgence est la véritable vulnérabilité

La sophistication technique des attaques Web3 modernes est réelle, mais le vecteur d’attaque le plus constant reste humain. Chaque « airdrop limité dans le temps », chaque « votre portefeuille sera verrouillé dans dix minutes », chaque « agissez maintenant avant que les places ne soient toutes prises » est un mécanisme conçu pour vous faire sauter l’étape de vérification que vous savez devoir faire.

Les opportunités authentiques n’expirent pas en cinq minutes. Les protocoles légitimes ne menacent pas de fermer votre compte si vous ne signez pas quelque chose immédiatement. Toute situation qui crée une pression pour agir avant de réfléchir, par conception, cherche à vous faire penser moins.

La pratique de sécurité la plus précieuse en Web3 est aussi la plus simple : faites une pause avant de signer, fermez l’onglet si quelque chose vous semble artificiel, et réessayez via une source vérifiée avant de faire quoi que ce soit avec de l’argent réel. Cette pause ne coûte rien. Ce qu’elle peut protéger, lui, ne l’est pas.