Chargement des prix…
La Cryptothèque
❤️
intermédiaire ⏱ 22 min · 6 chapitres

🛡️ Sécurité Crypto

Phishing, rugpull, hack de protocol, perte de seed phrase… Les risques sont réels. Ce cours vous donne les réflexes essentiels pour protéger vos cryptomonnaies comme un pro.

Progression 0 / 6 chapitres

Au programme

  1. Panorama des risques crypto 3 min
  2. Protéger ses clés privées 5 min
  3. Reconnaître le phishing et les arnaques 5 min
  4. Audits de smart contracts et rugpulls 4 min
  5. Sécuriser un exchange centralisé (2FA, whitelist) 3 min
  6. Stratégie globale : répartition et cold storage 2 min
1

Panorama des risques crypto

⚠️

Chiffre clé

Selon Chainalysis, plus de 90 % des pertes en crypto sont dues à des erreurs humaines — phishing, mauvaise gestion des clés, arnaques — et non à des failles protocolaires.

L'écosystème crypto offre des opportunités considérables, mais il attire aussi une grande variété de menaces. Comprendre ces risques est la première étape pour se protéger efficacement.

Les grandes catégories de risques

  • Piratage d'exchanges : Mt.Gox (2014) — 850 000 BTC volés, faillite de l'exchange leader mondial. FTX (2022) — 8 milliards de dollars de fonds clients détournés par la direction même.
  • Exploits de protocoles : bugs dans les smart contracts permettant à des attaquants de vider des pools de liquidité (ex. : Ronin Network, 625 M$, 2022).
  • Phishing et ingénierie sociale : faux sites, faux supports, arnaques par email et réseaux sociaux.
  • Perte de seed phrase : perte définitive des fonds si la phrase de récupération est détruite, volée ou oubliée.
  • Rugpulls : l'équipe derrière un projet disparaît avec les fonds des investisseurs.

📊 Matrice des risques

Probabilité haute / Impact élevé

Phishing, perte de seed phrase, arnaques

Probabilité basse / Impact élevé

Piratage d'exchange, exploit de protocole

Probabilité haute / Impact modéré

Tokens scam, contrats malveillants

Probabilité basse / Impact modéré

Bug de wallet, erreur de réseau

2

Protéger ses clés privées

🔑

Règle d'or

"Not your keys, not your coins" — Si vous n'avez pas le contrôle de votre clé privée ou seed phrase, vous ne possédez pas vraiment vos cryptos. L'exchange peut faire faillite ou être piraté.

Un wallet HD (Hierarchical Deterministic) génère toutes vos clés à partir d'une seule seed phrase — une suite de 12 ou 24 mots aléatoires conformes au standard BIP-39. Ce sont ces mots qui constituent votre véritable accès à vos fonds, pas votre mot de passe d'application.

Ce qu'il ne faut jamais faire avec sa seed phrase

  • La stocker dans un email, un cloud (Google Drive, iCloud, Dropbox)
  • La prendre en photo avec son téléphone
  • La saisir dans un formulaire en ligne, quel qu'il soit
  • La partager avec qui que ce soit — même un "support technique"
  • La conserver en un seul endroit physique (risque d'incendie, vol, inondation)

💡 Bonnes pratiques de sauvegarde physique

  • Papier : deux copies manuscrites, rangées dans des endroits séparés géographiquement
  • Coffre ignifuge : protège contre les incendies et les dégâts des eaux
  • Plaque métal : Cryptosteel ou Bilodal — indestructible par le feu et l'eau
  • Multisig : pour des montants importants, répartir la signature sur plusieurs appareils (Specter, Sparrow)
  • Social recovery : wallets comme Argent ou Safe permettent une récupération via gardiens de confiance

Les wallets à récupération sociale (Argent, Safe) représentent une alternative moderne : au lieu de tout reposer sur une seed phrase unique, vous désignez des gardiens de confiance (amis, famille, autres appareils) qui peuvent collectivement restaurer l'accès à votre wallet en cas de perte.

3

Reconnaître le phishing et les arnaques

Le phishing est la technique d'arnaque la plus répandue dans l'écosystème crypto. Elle consiste à usurper l'identité d'un service ou d'une personne de confiance pour vous soutirer vos identifiants ou votre seed phrase.

Les vecteurs d'attaque les plus courants

  • Faux sites web : des clones quasi-parfaits de MetaMask, Ledger Live, Coinbase ou Binance, accessibles via des publicités Google ou des liens dans des emails. Vérifiez toujours l'URL avec attention — metarnask.io n'est pas metamask.io.
  • Faux support Discord / Telegram : des bots ou imposteurs vous contactent en DM en se faisant passer pour le support officiel d'un projet. Règle absolue : un vrai support ne vous contacte jamais en premier.
  • Faux airdrops et giveaways : "Envoyez 1 ETH, recevez 2 ETH en retour" — Elon Musk, Vitalik Buterin, CZ ne font jamais ce genre de promotions. Ces arnaques ont volé des dizaines de millions de dollars.
  • Extensions de navigateur malveillantes : certaines extensions clonent des wallets populaires pour intercepter vos clés privées. N'installez des extensions que depuis les stores officiels et vérifiez l'éditeur.
  • Usurpation de NFT / Discord compromis : les comptes Discord de projets légitimes sont régulièrement piratés pour diffuser de faux liens de mint.
🚨

Signaux d'alarme immédiats

  • → On vous demande votre seed phrase ou clé privée
  • → Une offre "trop belle pour être vraie" (rendements de 1 000 %)
  • → Urgence artificielle ("offre valable 10 minutes seulement")
  • → Un inconnu vous contacte spontanément pour vous "aider"
  • → L'URL contient des caractères inhabituels ou des fautes

🛡️ Bonnes pratiques de vérification

  • • Ajoutez vos exchanges et wallets en favoris — ne cliquez jamais sur un lien dans un email
  • • Vérifiez les noms ENS et les adresses de contrat sur un explorateur blockchain (Etherscan)
  • • Consultez les liens officiels sur CoinGecko ou CoinMarketCap, pas via Google Ads
  • • Activez les notifications de connexion sur tous vos comptes
4

Audits de smart contracts et rugpulls

Un rugpull (littéralement "tirer le tapis") désigne une arnaque où les créateurs d'un projet crypto abandonnent soudainement celui-ci en emportant les fonds des investisseurs. C'est l'une des escroqueries les plus courantes en DeFi et dans l'univers des memecoins.

Comment identifier un token à risque

  • Équipe anonyme sans historique vérifiable : l'absence d'identité publique n'est pas systématiquement mauvaise signe (Bitcoin !), mais elle amplifie tous les autres risques.
  • Aucun audit de smart contract : un projet sérieux fait auditer son code par des firmes reconnues avant le lancement.
  • Liquidité verrouillée pour une très courte durée : si la liquidité n'est bloquée que 30 jours, les fondateurs peuvent la retirer dès le déverrouillage.
  • Fonction "mint" toujours active : si les créateurs peuvent créer de nouveaux tokens à volonté, ils peuvent diluer indéfiniment la valeur des détenteurs.
  • Forte concentration des tokens : si quelques wallets détiennent 80 % de l'offre, une vente massive peut s'effondrer instantanément.

📚 Exemple réel : le token Squid Game (2021)

En novembre 2021, le token SQUID a été lancé en se réclamant de la série Netflix. Son prix a explosé de 0,01 $ à 2 861 $ en quelques jours. Puis les créateurs ont vendu toute leur liquidité en quelques secondes — le token a chuté à 0 en moins d'une minute. Les détenteurs ne pouvaient même pas revendre (mécanisme anti-dump codé uniquement contre les acheteurs). Bilan : environ 3,4 millions de dollars volés.

Comment lire un audit et utiliser les bons outils

Les firmes d'audit reconnues incluent Certik, Trail of Bits, OpenZeppelin et Consensys Diligence. Un bon audit identifie les vulnérabilités critiques, majeures et mineures — et indique si elles ont été corrigées. Méfiez-vous des audits d'entreprises inconnues ou non vérifiables.

🔍 Outils d'analyse de tokens

TokenSniffer — détecte les fonctions dangereuses
DexScreener — liquidité et transactions récentes
DeFiLlama — TVL et historique des protocoles
Etherscan / Bscscan — code source et transactions

Règle d'or : si les rendements promis semblent irréalistes, c'est qu'ils le sont.

5

Sécuriser un exchange centralisé

Si vous utilisez un exchange centralisé (CEX) comme Binance, Coinbase ou Kraken, votre sécurité dépend à la fois de celle de la plateforme et des mesures que vous mettez en place. Voici les étapes essentielles.

Authentification à deux facteurs (2FA)

Activez impérativement le 2FA — mais pas par SMS. Le SMS est vulnérable aux attaques de type SIM swapping : un attaquant convainc votre opérateur téléphonique de transférer votre numéro vers sa propre SIM, interceptant ainsi tous vos codes. Utilisez plutôt :

  • Application d'authentification : Google Authenticator, Authy, ou Aegis (open-source)
  • Clé de sécurité matérielle : YubiKey ou clé FIDO2 — le niveau de sécurité le plus élevé disponible
📱

Le SIM swapping en pratique

En 2020, le compte Twitter de personnalités comme Barack Obama et Elon Musk ont été piratés via des attaques ciblant les employés de Twitter. Mais pour les particuliers, le SIM swapping suffit : un appel au service client de votre opérateur, et votre numéro de téléphone est redirigé vers l'attaquant. Tous vos SMS — y compris les codes 2FA — lui parviennent désormais.

Mesures de sécurité complémentaires

  • Liste blanche d'adresses de retrait : n'autorisez les retraits que vers des adresses pré-approuvées, avec délai de confirmation obligatoire
  • Code anti-phishing (disponible sur Binance) : un code personnalisé apparaît dans tous les emails légitimes de la plateforme — s'il manque, l'email est un fake
  • Email dédié : utilisez une adresse email unique pour vos comptes crypto, non liée à votre identité publique
  • Mot de passe fort et unique : généré par un gestionnaire de mots de passe (Bitwarden, 1Password)
  • Discrétion sur les réseaux : ne publiez jamais de captures d'écran de vos soldes — cela vous rend cible de phishing ciblé
  • Surveiller l'activité : vérifiez régulièrement l'historique de connexion et activez les alertes email/push pour chaque connexion
6

Stratégie globale : répartition et cold storage

💡

La règle d'or

Ne conservez jamais dans un hot wallet (connecté à internet) plus que ce que vous êtes prêt à perdre du jour au lendemain. Pour tout le reste, utilisez le cold storage.

Répartition recommandée selon les usages

Une stratégie de sécurité crypto efficace repose sur la séparation des fonds selon leur usage :

📐 Allocation type par profil

Cold wallet — épargne long terme (Ledger, Trezor) > 80 %
Exchange — trading actif < 20 %
Hot wallet DeFi — utilisation courante minimum

Checklist de sécurité périodique

La sécurité crypto n'est pas un état statique — c'est une hygiène à maintenir. Effectuez ces vérifications régulièrement :

  • Révoquer les approbations DApp : utilisez revoke.cash ou Etherscan Token Approvals pour retirer les autorisations accordées à des contrats inutilisés ou suspects
  • Vérifier l'activité des comptes : consultez l'historique de connexion sur vos exchanges et les transactions récentes de vos wallets
  • Mettre à jour le 2FA : si vous changez de téléphone, mettez à jour vos applications d'authentification avant de supprimer les anciennes
  • Gestionnaire de mots de passe : Bitwarden (open-source, gratuit) ou 1Password — générez un mot de passe unique de 20+ caractères pour chaque service
  • Appareil dédié : si vos fonds le justifient, envisagez un appareil séparé (tablette ou laptop d'occasion) exclusivement réservé à la gestion crypto — pas de réseaux sociaux, pas de navigation générale

🛡️ Récapitulatif : les 5 piliers de la sécurité crypto

  1. 1. Seed phrase en sécurité — physique, deux copies, jamais numérique
  2. 2. 2FA robuste — application ou clé matérielle, jamais SMS
  3. 3. Cold storage — la majorité des fonds hors ligne
  4. 4. Vigilance phishing — vérifier les URLs, ne jamais cliquer sur des liens reçus
  5. 5. Vérification des projets — audits, liquidité, équipe avant tout investissement
← Tous les cours Prochain cours : Trading Crypto →