2025-04-30

Protéger vos cryptoactifs : Prendre sa sécurité en main

Découvrez des conseils pour assurer votre sécurité dans la quatrième partie de notre série : Protéger vos cryptoactifs.

Le choix du portefeuille, de l’échange ou de l’entreprise de services monétaires auquel faire confiance sont de bonnes étapes pour sécuriser votre cryptomonnaie, mais il est important de rester conscient des menaces afin de les éviter activement.

Dans notre dernier article de blogue, nous avons passé en revue ce qu'il faut rechercher et ce qu'il faut éviter au sein des plateformes d’échange et des entreprises de services monétaires. Dans la quatrième partie de notre série sur la protection des cryptoactifs, nous rappelons les mesures à garder à l’esprit pour prendre votre sécurité en main.

La sécurité au sein de votre portefeuille

Parmi la panoplie de types de portefeuilles de cryptomonnaie offrant des avantages différents en matière de sécurité, il est important de choisir celui (ou ceux !) qui répond le mieux à vos besoins. Dans notre article Protéger vos cryptoactifs: Une vue d'ensemble sur vos options de portefeuilles, nous avons appris que l'utilisation stratégique de plusieurs portefeuilles de différents types en coordination peut vous aider à optimiser la sécurité de vos cryptoactifs.

Veillez à ce que vous utilisez les sites web et les logiciels officiels

Après avoir choisi votre portefeuille, achetez-le ou téléchargez-le auprès de son fabricant officiel, sur son site Web officiel ou sur son application officielle. Vous vous assurez ainsi que vous n'utilisez pas un code corrompu ou du matériel qui a été altéré. Vous devriez également ajouter en favori les liens officiels afin de vous assurer que vous téléchargez continuellement votre logiciel et vos mises à jour à partir des sources les plus fiables.

Les URL mal orthographiées de plateformes crypto autrement bien établies sont conçues pour vous inciter à vous connecter à leur site Web frauduleux. Ils procèdent ensuite au vol de vos informations d'identification.

Veillez à ce que vous utilisiez la dernière version de votre logiciel

Veillez à rester informé de toute nouvelle mise à jour de micrologiciel ou de logiciel, que vous disposiez d’un portefeuille matériel ou logiciel. Vérifiez toujours la légitimité de la mise à jour en consultant les profils de médias sociaux vérifiés des entreprises avec lesquelles vous faites affaire, ainsi que leurs sites Web officiels à partir de vos favoris.

Les versions obsolètes d’un logiciel peuvent être vulnérables aux attaques par hameçonnage. Par exemple, des utilisateurs du portefeuille Electrum ont été invités, par le biais d'une fenêtre contextuelle dans l'application pour ordinateur, à télécharger une mise à jour logicielle provenant d'un tiers non autorisé. Alors que le pop-up redirigeait les utilisateurs vers GitHub, le fait qu'il apparaisse à l'intérieur même de l'application comme un message d'erreur tandis que l'utilisateur était en train d'effectuer une transaction en a convaincu plus d'un de sa légitimité. Plus de 22 millions de dollars ont été perdus à cause de ces attaques de phishing Electrum.

En résumé, méfiez-vous des liens externes et des légers changements d'URL. Téléchargez les mises à jour directement à partir de la source et tenez-vous au courant pour assurer une sécurité maximale à votre portefeuille.

Assurer la sécurité de votre phrase de récupération

Votre phrase de récupération (seed phrase) fait office de clé passe-partout pour votre portefeuille. Elle peut restaurer votre portefeuille si votre accès est interrompu, mais quiconque met la main dessus aura accès aux clés privées qu'elle protège. Elle pourra accéder à vos actifs numériques et les gérer à votre place. La perte de votre phrase phrase mnémonique peut vous empêcher de récupérer les actifs numériques liés à votre portefeuille.

Conservez votre phrase de récupération à l’écrit dans un endroit sûr

Les logiciels de portefeuilles recommandent souvent, au cours du processus de génération aléatoire de votre phrase de récupération — composée d'une séquence de 12 à 24 mots — de l'écrire sur un morceau de papier. Il s'agit d'une option simple et accessible, même si elle n'est pas vraiment la plus sûre. Un morceau de papier peut facilement être volé, détruit ou perdu, entre autres.

D'autres prennent plutôt le temps et l'argent nécessaires pour graver leur phrase de récupération sur une pièce de métal. Il est ainsi beaucoup plus difficile de la détruire ou de la perdre accidentellement, mais, là encore, elle peut être facilement volée, surtout si un voleur la reconnaît comme étant une phrase de récupération.

Envisagez d'autres tactiques et options de sauvegarde

Une autre option pour une couche de sécurité supplémentaire pour votre phrase de récupération est le partage de clés secrètes de Shamir, qui consiste à la diviser en plusieurs parties et à conserver ces différentes parties dans des endroits différents. Ainsi, personne ne peut pirater votre portefeuille avec un seul fragment de votre phrase de récupération. Le faire vous-même sur des morceaux de papier peut toutefois s'avérer délicat : si vous oubliez où vous les avez cachés, vous risquez de ne pas pouvoir récupérer votre portefeuille si vous n'y avez plus accès. Le partage de clés secrètes de Shamir peut être intégré dans certains portefeuilles matériels à l'aide de contrats intelligents.

Certains portefeuilles vous permettent également de créer un mot d'extension. Un 13e ou 25e mot de votre choix lors de l'initialisation sera nécessaire, en plus de votre phrase mnémonique, pour récupérer votre portefeuille. Il s'agit d'une forme d'authentification à deux facteurs. N'oubliez pas de les conserver dans des endroits distincts, de manière à ce qu'une personne qui trouve l'un ou l'autre ne puisse pas contourner l'authentification à deux facteurs.

Dans tous les cas, il est important de conserver votre phrase de récupération dans un endroit sûr, hors de vue, mais pas hors de l'esprit, afin de pouvoir y accéder chaque fois qu’il est nécessaire. Vous pouvez également faire plusieurs copies, cachées dans différents endroits, afin d'être prêt à agir si vous perdez ou détruisez accidentellement une copie.

Si le fait de disposer de plusieurs copies augmente les chances de retrouver l'une d'entre elles, il est également important de ne pas se retrouver démuni au cas où votre phrase de récupération serait détruite. Le plus important est de bien les cacher, dans des coffres différents, par exemple.

Conservez votre phrase de récupération hors ligne

Ne saisissez jamais votre phrase de récupération sur votre ordinateur ou votre téléphone, que ce soit en la tapant ou en la prenant en photo. Les deux sont connectés à l'Ifnternet et peuvent ainsi être compromis par des acteurs frauduleux. 

Si un pirate informatique accède à votre ordinateur ou à votre téléphone, il pourra rechercher des mots-clés dans tous vos fichiers ou même reconnaître le modèle du protocole utilisé pour générer votre phrase de récupération unique, le BIP 39. Des acteurs malveillants peuvent également essayer de vous inciter à saisir votre phrase de base dans un faux logiciel. Ne saisissez jamais votre seed phrase dans le logiciel de votre portefeuille que lorsque vous lancez activement et prudemment un processus de récupération.

En résumé, gardez votre phrase de récupération écrite dans un endroit sûr, mais dont vous pouvez vous souvenir et auquel vous pouvez accéder en cas de besoin. Vous pouvez utiliser le partage des secrets de Shamir pour diviser votre phrase de base en fragments que vous pouvez cacher à différents endroits ou créer un mot d'extension si votre fournisseur de portefeuille vous propose ces options. Dans tous les cas, n'oubliez pas de conserver votre seed phrase hors ligne.

Protéger votre mot de passe

Créez un mot de passe sécurisé

Les mesures de sécurité  à prendre pour le mot de passe de votre portefeuille — à ne pas confondre avec votre phrase de récupération, utilisée pour récupérer votre portefeuille si vous perdez votre mot de passe — sont similaires à celles de n'importe quel autre mot de passe. Traitez-le comme le mot de passe de votre compte bancaire ou le code PIN de votre carte de débit.

Lorsque vous créez votre mot de passe, choisissez quelque chose dont vous pouvez vous souvenir ou que vous pouvez conserver. Vous pouvez également opter pour des clés d'accès (passkeys), qui sont générées automatiquement et stockées dans votre appareil à l'aide de la cryptographie. Souvent liés à des données biométriques, ils sont plus difficiles à percer et à reproduire qu'un mot de passe.

Utilisez un mot de passe unique pour votre portefeuille — idéalement, vous devriez déjà appliquer ce principe à tous vos comptes. Le gestionnaire de mots de passe Google est une bonne option pour vous aider à garder une trace de tous vos différents mots de passe, mais veillez à ne pas y saisir votre phrase de récupération, car il est connecté à l'Internet. YubiKeys est également une bonne option à considérer.

Restez conscient des menaces possibles

Soyez au courant des fuites de données. Le gestionnaire de mots de passe Google peut vous alerter si votre mot de passe a été compromis. Si c'est le cas, réagissez rapidement et changez votre mot de passe.

Activez l'authentification à deux facteurs et utilisez l'application Google Authenticator sur un appareil de confiance pour vérifier votre identité. Les SMS peuvent être interceptés, comme c'est le cas dans les escroqueries par échange de cartes SIM.

Il est également préférable d'utiliser un antivirus pour détecter et éliminer toute menace sur vos appareils qui pourrait tenter de voler vos informations personnelles et vos mots de passe.

En résumé, créez un mot de passe fort et utilisez des outils pour vous en souvenir et le protéger contre les menaces potentielles.

Attention aux escrocs

Les escrocs profitent pleinement du fait que les cryptomonnaies sont décentralisées et relativement privées. S'il est essentiel de s'assurer que vous confiez vos affaires à une entreprise légitime et digne de confiance, la protection de vos fonds lorsque vous naviguez dans le monde de la crypto ne s'arrête pas là. Les attaques d’hameçonnage ont coûté à 300 000 personnes environ 52 millions de dollars en 2022.

Vérifiez toujours si vous utilisez le bon site Web ou le bon logiciel

Il arrive que des sites crypto frauduleux reflètent des sites légitimes, à quelques différences près dans leur nom de domaine. C'est ce qu'on appelle le "typosquatting". Ces liens vers des sites Web frauduleux peuvent vous être envoyés par courrier électronique, ou même se trouver dans votre navigateur Web si vous saisissez le nom de domaine avec une erreur subtile. À partir de là, les acteurs frauduleux volent toutes les informations que vous saisissez lorsque vous vous connectez à votre "compte" ou à votre "portefeuille". Un moyen de vous assurer que vous utilisez toujours le site Web officiel est de toujours y accéder par le biais de vos favoris.

Rappelez-vous l'affaire Electrum que nous avons évoquée précédemment, dans laquelle une mise à jour frauduleuse s'affichait sous la forme d'une fenêtre contextuelle à partir du logiciel de l'ordinateur.

Vous devez également vous assurer, en vérifiant l'adresse de son portefeuille sur l'explorateur de blockchain, que les contrats intelligents qui s'y trouvent sont vérifiés. Les escrocs sont connus pour profiter de la popularité croissante des contrats intelligents pour inciter les utilisateurs de cryptomonnaies à autoriser des codes frauduleux dans leurs portefeuilles.

Restez prudent lorsque quelqu'un vous tend la main

Les attaques des acteurs frauduleux ne sont pas toujours d'obscurs stratagèmes techniques. Les escrocs peuvent tenter de vous contacter directement ou, au contraire, se présenter comme un conseiller financier capable de vous rendre riche en quelques étapes simples, qui consisteront notamment à acheter des cryptomonnaies et à les envoyer sur leur compte en guise d'"investissement" initial. Cet "investissement" ne vous sera pas restitué.

Les escroqueries de type "rug pull" ont même coûté à des investisseurs crypto avertis. Il s'agit d'escroqueries dans lesquelles un projet crypto d'apparence légitime se développe grâce aux investissements de passionnés, avant d'être abandonné par ses développeurs. Les investisseurs perdent leur investissement, souvent détourné par les escrocs. 

Les escrocs peuvent également vous contacter en vous disant qu'ils ont des preuves contre vous qu'ils utiliseront pour détruire votre réputation si vous n'obtempérez pas et ne leur envoyez pas de cryptomonnaie. Il s'agit de chantage et, le plus souvent, d'une fausse menace.

D'autre part, les escrocs sont également actifs sur les applications de rencontre. Méfiez-vous de toute personne en ligne qui vous demande de lui envoyer des cryptomonnaies, surtout si vous n'êtes pas familiarisé avec le fonctionnement du monde des cryptomonnaies. Prenez le temps de vous renseigner sur le sujet.

Restez prudent face aux transactions non sollicitées sur votre compte

Lorsque vous avez un compte, méfiez-vous des transactions non sollicitées. Les escrocs envoient de très petites quantités de cryptomonnaies à de nombreux portefeuilles dans l'espoir que vous interagissiez avec elles. Ils peuvent laisser des messages liés à ces transactions non sollicitées contenant des liens externes. Ces opérations sont connues sous le nom d'attaques "dusting", le terme "dust" faisant référence à ces petites quantités de cryptomonnaie — si petites qu'elles peuvent facilement passer inaperçues. L'objectif des escrocs est de tracer vos interactions afin de désanonymiser votre portefeuille et de vous cibler ultérieurement avec des attaques d'ingénierie sociale. La meilleure chose à faire est d'ignorer ces minuscules transactions.

Si l'application de votre portefeuille vous demande de signer quelque chose ou d'autoriser quelque chose que vous ne comprenez pas bien, il est préférable de refuser. Au cours des derniers mois, des détenteurs de portefeuilles à signatures multiples de Bybit ont été victimes d'acteurs frauduleux qui ont profité des approbations de transactions à l'aveugle du système de signatures multiples. Ils ont approuvé une transaction malveillante qui semblait routinière, ce qui a coûté à Bybit 1,46 milliard de dollars en Ethereum. Même si la configuration de votre portefeuille n'est pas aussi complexe, le même principe s'applique pour garantir votre sécurité : ne signez que les transactions ou les autorisations dont vous comprenez l'objectif. Vérifiez toujours les détails de la transaction, comme l'adresse du portefeuille et les montants, car les transactions sont irréversibles.

Lorsqu'il s'agit d'escroqueries, il est toujours préférable de faire preuve de prudence. Assurez-vous toujours que vous utilisez le site Web ou le logiciel officiel. Comprenez dans quoi vous vous engagez et restez méfiant à l'égard de toute personne qui vous contacte — restez également prudent à l'égard de ceux que vous contactez en premier ! Vérifiez les activités suspectes sur vos comptes et n'interagissez pas avec des liens inconnus ou des transactions non sollicitées sur l'adresse de votre portefeuille.

En conclusion, assurer votre sécurité lorsque vous plongez dans le monde de la cryptomonnaie et de la DeFi est un processus actif. À chaque étape du processus, restez attentif et vigilant, et prenez le temps d'approfondir vos connaissances sur les cryptomonnaies et la blockchain pour rester au fait des innovations et de l'actualité. Inscrivez-vous à notre bulletin de nouvelles pour plus de contenu comme notre série Protéger vos cryptoactifs.

Questions fréquemment posées

Pourquoi ne devriez-vous jamais saisir votre phrase de récupération dans un appareil pouvant être connecté à l'Internet ?

Votre phrase de récupération ne doit jamais être saisie dans un endroit connecté à l’Internet, car cela l'expose à des menaces potentielles en ligne, y compris des piratages ou des logiciels malveillants. Pour une sécurité maximale, conservez votre phrase de récupération hors ligne.

Quel est le meilleur type de portefeuille crypto?

Les portefeuilles froids sont généralement plus sûrs, tandis que les portefeuilles chauds et les portefeuilles dépositaires sont plus pratiques et plus conviviaux. Les portefeuilles non-dépositaires, quant à eux, vous garantissent l'autonomie sur vos avoirs. L'utilisation d'une combinaison de types de portefeuilles permet d'équilibrer les avantages et les inconvénients de chacun d'entre eux.

Que faire si vous recevez une transaction non sollicitée ? 

Si vous êtes confronté à une attaque de type "dusting", il est préférable d'ignorer la transaction et de ne pas interagir avec les liens qui peuvent y être attachés. L'objectif est de désanonymiser l'adresse de votre portefeuille afin de vous cibler ultérieurement par le biais d'une attaque d'ingénierie sociale.

Symona Lam
Rédactrice de contenu science politique @ EZO
Articles connexes
November 22, 2024

8 faits sur l'accès des femmes aux services financiers

L'accès des femmes aux services financiers reste précaire dans le monde. Il persiste un écart entre les genres qu'il est de plus en plus important de combler.

July 23, 2024

Non bancarisé mais connecté : Le dilemme des pays en développement

Malgré la disponibilité généralisée des téléphones intelligents, de nombreuses personnes dans les pays en développement n'ont toujours pas accès aux services bancaires de base, ce qui souligne un écart important en matière d'inclusion financière.

Connaissance
December 13, 2024

Les fondements de la cryptomonnaie expliqués

La cryptomonnaie a fait l'objet de nombreuses actualités ces dernières années, mais elle reste un mystère pour beaucoup.

Connaissance
Soyez parmi les premiers à joindre EZO!

Abonnez-vous pour obtenir des mises à jour exclusives et un accès anticipé lors du lancement dans votre pays.

Merci ! Votre soumission a bien été reçue !
Oups ! Quelque chose s'est mal passé lors de la soumission du formulaire.