En 2025, plus de 3 milliards de dollars de cryptomonnaies ont été volés ou perdus — en grande majorité à cause d’erreurs humaines évitables. Ce guide vous donne toutes les clés pour protéger vos actifs.
La règle d’or : “Not your keys, not your coins”
Si vous laissez vos cryptos sur un exchange (Binance, Coinbase…), vous n’en êtes pas réellement propriétaire. C’est l’exchange qui détient les clés privées. En cas de hack, de faillite (cf. FTX en 2022) ou de gel de compte, vous pouvez perdre tout accès. La souveraineté passe par l’auto-conservation.
1. Comprendre les clés privées et la phrase de récupération
Chaque portefeuille crypto repose sur une clé privée — une chaîne de 256 bits qui prouve que vous êtes bien le propriétaire. Pour la mémoriser facilement, elle est encodée en phrase mnémotechnique (seed phrase) de 12 ou 24 mots.
🔑 Règle absolue : Celui qui possède votre phrase de récupération possède vos cryptos. Point.
À faire :
- Écrire la seed phrase à la main sur papier (jamais en numérique)
- La stocker dans un endroit physiquement sécurisé (coffre, ignifugé)
- En faire deux copies dans deux endroits différents
- Ne jamais la photographier, ne jamais l’envoyer par email ou message
À ne jamais faire :
- Entrer votre seed phrase sur un site web
- La stocker dans vos notes téléphone, iCloud, Google Drive
- La partager avec “le support technique” (arnaque classique)
2. Les hardware wallets : la protection maximale
Un hardware wallet (portefeuille matériel) est un dispositif physique qui stocke vos clés privées hors ligne. Même si votre ordinateur est infecté par un virus, vos clés restent inaccessibles.
Les références du marché
| Marque | Modèle | Prix | Particularité |
|---|---|---|---|
| Ledger | Nano X | ~149€ | Bluetooth, écran tactile sur Flex |
| Trezor | Safe 3 (~79€) / Safe 5 (~169€) | 100% open-source | |
| Coldcard | Mk4 | ~150$ | Orienté Bitcoin, sécurité maximale |
| Foundation | Passport | ~199$ | Open-source, air-gapped |
Comment utiliser un hardware wallet correctement
- Achetez uniquement sur le site officiel du fabricant (jamais Amazon, jamais d’occasion)
- Vérifiez que l’emballage n’a pas été ouvert ou modifié
- Initialisez l’appareil vous-même — la seed phrase doit être générée par le device
- Vérifiez toujours l’adresse de destination sur l’écran du hardware wallet, pas sur votre ordinateur
- Mettez régulièrement à jour le firmware
3. Les exchanges : pour trader, pas pour stocker
Les plateformes centralisées (CEX) sont utiles pour acheter et vendre, mais pas pour conserver vos actifs à long terme.
Si vous devez garder des cryptos sur un exchange :
- Choisissez des plateformes régulées (Coinbase, Kraken, Bitstamp)
- Activez impérativement l’authentification à deux facteurs (2FA)
- Utilisez une application 2FA (Google Authenticator, Authy) — jamais le SMS
- Activez la liste blanche d’adresses de retrait
- Utilisez un email dédié que vous n’utilisez nulle part ailleurs
Pourquoi le SMS 2FA est dangereux
Le SIM swapping consiste à convaincre votre opérateur télécom de transférer votre numéro sur une nouvelle SIM. En 2 heures, un attaquant peut contourner votre 2FA SMS et vider votre compte. Ce type d’attaque est en forte hausse depuis 2023.
4. Les arnaques les plus courantes (et comment les éviter)
Phishing
Un site ou email imitant parfaitement Ledger Live, MetaMask ou votre exchange préféré. La différence : l’URL est légèrement différente (ledger-live.net au lieu de ledger.com).
Comment s’en protéger :
- Mettez en favoris les sites officiels, n’utilisez jamais Google pour y accéder
- Vérifiez toujours le cadenas HTTPS et l’URL exacte
- Ne cliquez jamais sur les liens dans les emails “urgents”
Faux airdrops et tokens malveillants
Vous recevez des tokens gratuits dans votre wallet. En interagissant avec eux (en essayant de les vendre), vous signez une transaction qui donne accès à l’ensemble de votre portefeuille.
Règle : N’interagissez jamais avec des tokens que vous n’avez pas achetés vous-même.
Rug pull
Un projet lève des fonds, crée un engouement artificiel, puis les développeurs disparaissent avec la trésorerie. Signes d’alerte : équipe anonyme, whitepaper vague, promesses de rendements irréalistes.
Romance scam / Pig butchering
Une relation en ligne (romantique ou amicale) évolue progressivement vers des “conseils d’investissement” dans un protocole obscur. La victime investit de plus en plus jusqu’à tout perdre.
5. Sécurité du portefeuille logiciel (MetaMask, Phantom…)
Si vous utilisez des wallets logiciels pour interagir avec la DeFi :
- Utilisez un navigateur dédié uniquement au Web3 (ne mélangez pas avec vos activités quotidiennes)
- Révoquez régulièrement les approbations de smart contracts via revoke.cash
- Méfiez-vous des extensions Chrome — vérifiez les avis et le nombre d’installations
- Avant de signer une transaction, lisez ce que vous signez (montant, adresse destinataire)
- Utilisez un hardware wallet même pour la DeFi : la signature se fait physiquement
6. La règle des 3-2-1 pour vos sauvegardes
Inspirée de la sauvegarde informatique professionnelle :
- 3 copies de votre seed phrase
- Sur 2 supports différents (papier + métal gravé)
- Dont 1 hors site (chez un proche de confiance, dans un coffre bancaire)
Des plaques en acier inoxydable comme Cryptosteel ou Bilodl permettent de graver votre seed phrase et de la rendre résistante au feu et à l’eau.
Récapitulatif : votre checklist de sécurité
- Seed phrase écrite à la main, stockée physiquement en lieu sûr
- Hardware wallet pour tout capital supérieur à 500€
- 2FA applicatif (Authy/Google Auth) sur tous les exchanges
- Email dédié crypto (jamais utilisé ailleurs)
- Approbations smart contracts révoquées régulièrement
- Signets vers les sites officiels (pas de recherche Google)
- Double vérification des adresses de destination (toujours)
💡 Pour aller plus loin, consultez notre cours sur la sécurité crypto et notre cours sur les wallets Web3.