Points clés à retenir
Conservez votre phrase secrète hors ligne : ne l’enregistrez pas dans le cloud, ne prenez pas une capture de l’écran où elle apparaît, et ne l’ajoutez pas aux dossiers locaux de vos appareils connectés à Internet.
Activez l’authentification à deux facteurs (A2F) pour tous vos comptes crypto. Les applications d’authentification et les clés matérielles sont plus sûres que l’A2F par SMS, qui peut être contournée par le SIM swapping.
Méfiez-vous des attaques utilisant l’ingénierie sociale, comme l’usurpation de profils sur les réseaux sociaux, les faux concours promus dans des diffusions en direct, et l’envoi de messages non sollicités qui vous incitent à transférer des fonds de toute urgence.
N’accédez pas à votre portefeuille crypto et n’effectuez pas de transactions lorsque vous êtes connecté à un réseau Wi-Fi public.
Les fraudes par deepfakes sont une menace croissante dont le nombre a augmenté de 19 % au premier trimestre 2025 par rapport à l’année 2024 toute entière et qui a coûté 547,2 millions $ aux Américains rien que sur ces trois mois.
Introduction
À mesure que les cryptomonnaies ont gagné en popularité, elles sont aussi devenues une cible plus alléchante pour les cybercriminels. Chaque année, d’énormes sommes d’actifs numériques sont perdus suite à des arnaques, des piratages et des erreurs de leurs propriétaires ; adopter des habitudes durables et comprendre le déroulement des attaques sont deux tactiques cruciales pour protéger vos cryptos.
Cet article présente cinq mesures pratiques que vous pouvez adopter : protéger votre phrase secrète, activer l’A2F, reconnaître les attaques d’ingénierie sociale, éviter le Wi-Fi public et identifier les arnaques aux deepfakes créés par l’IA.
Comment protéger mes avoirs en cryptos ?
Pour protéger vos cryptomonnaies, vous devez connaître les menaces les plus communes et agir de manière proactive avant tout incident. Voici cinq pratiques à mettre en place.
1. Protéger votre phrase secrète
Votre phrase secrète (aussi appelée phrase de récupération) est une suite de 12 à 24 mots qui est générée lorsque vous créez un portefeuille non-custodial. Cette clé passe-partout permet à toute personne qui la possède de restaurer votre portefeuille et d’accéder aux fonds qu’il contient sur n’importe quel appareil compatible. Il est absolument vital de la garder en lieu sûr.
Stockez-la hors ligne
N’enregistrez pas votre phrase secrète dans le cloud, dans des brouillons d’e-mails, dans des dossiers de captures d’écran ou dans un autre emplacement numérique connecté à Internet : son stockage en ligne l’expose à un potentiel accès à distance. L’option la plus sûre est de la garder hors ligne, par exemple dans un portefeuille matériel qui génère et stocke une phrase secrète sur un appareil qui ne se connecte jamais à Internet. Vous pouvez aussi l’écrire à la main et la placer dans un coffre-fort ignifuge ou un coffre bancaire. Il existe des plaques métalliques où sont gravés les mots de votre phrase secrète, plus durables que le papier et capables de résister aux incendies ou aux dégâts des eaux.
Si pour une raison quelconque, vous préférez tout de même la sauvegarder en ligne, pensez à utiliser un gestionnaire de mots de passe réputé.
Divisez-la
Pour renforcer votre protection, vous pouvez diviser votre phrase secrète en parties que vous conserverez dans différents emplacements protégés, comme plusieurs coffres bancaires ou auprès de personnes de confiance dans des endroits distincts. L’essentiel est que la phrase complète ne puisse être accessible par personne, depuis nulle part.
2. Activez l’authentification à deux facteurs
L’authentification à deux facteurs, ou A2F, ajoute une étape de vérification après le mot de passe demandé lorsque vous vous connectez ou approuvez une transaction. Même si un tiers obtient votre mot de passe, il lui faut ce deuxième facteur pour accéder à votre compte ; l’A2F est par conséquent l’une des mesures de sécurité du compte les plus efficaces et les plus recommandées.
Utilisez une application d’authentification, pas les SMS
De nombreuses plateformes proposent une A2F qui envoie un code à votre numéro de téléphone. Cette méthode est certes plus sûre qu’un mot de passe seul, mais elle comporte le risque connu de SIM swapping, une attaque où le malfaiteur convainc l’opérateur mobile de réattribuer votre numéro à une carte SIM qu’il contrôle pour obtenir l’accès à vos codes SMS. Des applications d’authentification telles que Google Authenticator ou Authy génèrent des codes temporaires directement sur votre appareil sans passer par votre opérateur, ce qui les rend nettement plus difficiles à intercepter.
Clés de sécurité matérielles
Les clés de sécurité matérielles, comme les YubiKey, vous obligent à brancher ou à toucher physiquement un petit appareil pour approuver une connexion. Elles ne sont pas prises en charge par toutes les plateformes, mais constituent l’une des options d’A2F les plus sûres lorsqu’elles sont disponibles.
3. Attention aux attaques utilisant l’ingénierie sociale et aux tentatives de phishing
Les attaques d’ingénierie sociale consistent à manipuler des individus afin qu’ils divulguent des informations ou effectuent des actions qui profitent à un arnaqueur. Dans la sphère crypto, ces fraudes d’ingénierie sociale se traduisent souvent par des tentatives de phishing, l’usurpation de profils sur les réseaux sociaux et la promotion de faux concours via des diffusions en direct. Savoir identifier ces tactiques est la première étape pour ne pas en être la victime.
Usurpation des comptes sur les réseaux sociaux
Les malfaiteurs créent de faux profils qui reproduisent ceux de personnalités très connues dans le domaine des cryptos en utilisant des photos de profil similaires, en altérant légèrement les noms d’utilisateur et en copiant l’historique des publications pour sembler légitimes. Par exemple, un faux compte peut utiliser « @Vita1ikButerin » (en rajoutant le chiffre 1) afin de se faire passer pour le véritable « @VitalikButerin ». Si vous recevez un message direct qui vous propose des occasions à saisir ou vous demande d’envoyer des fonds, méfiez-vous même si le profil paraît authentique.
Voici un rappel du véritable Vitalik Buterin publié il y a un certain temps déjà pour avertir les internautes que des milliers de faux profils usurpant son identité circulaient sur les réseaux.
Pour vous assurer de la légitimité d’un compte sur un réseau social, cherchez un badge de vérification, passez en revue l’historique de ses publications pour vous assurer de la cohérence des activités à long terme et comparez le nom d’utilisateur avec le site Web officiel ou les autres comptes vérifiés de la personne.
Faux concours promus dans des diffusions en direct
Les arnaqueurs piratent souvent des comptes YouTube ou Twitch, ou en créent de nouveaux, pour lancer des diffusions en direct qui présentent souvent des montages de personnes connues avec du texte superposé promouvant un concours qui bat son plein. Les spectateurs sont généralement invités à envoyer une petite somme de cryptos pour en recevoir encore plus en retour, mais tous les fonds envoyés seront conservés par l’escroc.
Avant de participer à une diffusion en direct qui présente un concours offrant des cryptos, vérifiez l’ancienneté de la chaîne, le nombre de vidéos qu’elle a publié, et si la promotion est mentionnée sur les autres comptes vérifiés de son propriétaire. La plupart des promotions légitimes ne réclament pas de transferts de fonds et sont souvent annoncées sur plusieurs sources officielles, pas seulement dans une seule diffusion en direct.
4. Ne vous connectez pas au Wi-Fi public
Les réseaux Wi-Fi publics des aéroports, des cafés, des hôtels et des pôles de transport, entre autres, ne sont généralement pas assez sécurisés pour mener à bien vos opérations financières, et ouvrir votre portefeuille crypto ou approuver des transactions tout en étant connecté à ce type de Wi-Fi risque d’exposer votre activité à une interception.
Menaces fréquentes sur les réseaux publics
Attaques du jumeau maléfique : le malfaiteur crée un point d’accès Wi-Fi dont le nom ressemble à un réseau légitime, par exemple, « WiFi_Invité_Hôtel ». Dès que vous vous y connectez, votre trafic transite par l’appareil de l’attaquant.
Attaques de l’homme du milieu : l’attaquant intercepte les données transmises entre votre appareil et le réseau, ce qui lui fournit potentiellement l’accès à vos identifiants de connexion et à vos jetons de session.
Si vous devez accéder à vos comptes crypto mais ne pouvez pas vous connecter à un réseau de confiance, préférez les données mobiles (ou un hotspot via votre téléphone) au lieu d’un réseau Wi-Fi public et partagé pour assurer votre confidentialité.
5. Méfiez-vous des deepfakes créés avec l’IA
La technologie de deepfake se sert de l’intelligence artificielle pour générer des vidéos et des audios synthétiques donnant l’impression qu’une vraie personne dit ou fait quelque chose, alors que cela n’a jamais été le cas. Les escrocs ont adopté cette technologie pour créer du contenu frauduleux convaincant à l’intention des détenteurs de cryptos.
Selon l’Internet Crime Report 2025 du FBI, les pertes découlant de faux investissements crypto ont atteint 7,2 milliards $ en 2025, ce qui équivaut à une hausse de 25 % par rapport à 2024. Les cas de fraude par deepfake ont explosé de 19 % au premier trimestre 2025 par rapport à l’année 2024 complète et ont coûté 547,2 millions $ aux Américains rien que sur ces trois mois.
Par ailleurs, 57 % des entreprises crypto ont signalé des incidents impliquant des deepfakes audio en 2024, avec des pertes moyennes avoisinant 440 000 $ par entreprise. Les recherches montrent également que les humains n’identifient correctement des deepfakes vidéo de haute qualité que dans 24,5 % des cas : la seule vigilance visuelle est donc insuffisante.
Repérer les deepfakes
Incohérences visuelles : prêtez attention aux clignements non naturels des yeux, au flou ou au scintillement qui entoure les contours du visage et la naissance des cheveux, ainsi qu’au mouvement des lèvres décalé par rapport à l’audio.
Anomalies sonores : si la voix semble robotisée, que la qualité de l’audio change subitement ou que le mouvement des lèvres est légèrement décalé par rapport au son, l’audio est peut-être fabriqué de toutes pièces.
Urgence et insistance : les arnaqueurs qui se servent de deepfakes mentionnent souvent de fausses échéances ou des offres à durée limitée. Méfiez-vous du contenu qui vous pousse à prendre rapidement une décision financière.
Vérification à l’aide des canaux officiels : si une vidéo ou un message semble provenir d’une personne ou d’une organisation connue, rendez-vous sur son site Web officiel et consultez ses comptes vérifiés sur les réseaux sociaux avant d’agir. Le contenu ne doit pas être considéré comme une preuve d’authenticité en soi.
FAQ
Quelle est la méthode la plus sûre de conserver une phrase secrète ?
L’approche la moins risquée consiste à garder votre phrase secrète hors ligne, à l’écart de tout appareil connecté à Internet. Vous pouvez l’écrire sur papier et la placer dans un coffre-fort ignifuge, la graver sur une plaque métallique ou la diviser et la conserver dans plusieurs emplacements physiques protégés. Ne la stockez pas dans des services cloud, des e-mails, des photos sur votre téléphone ou des applications de prise de notes, et pensez à utiliser un gestionnaire de mots de passe réputé si vous souhaitez vraiment la conserver en ligne.
L’authentification à deux facteurs par SMS est-elle sûre pour les cryptomonnaies ?
L’A2F par SMS est préférable à l’utilisation d’un seul mot de passe, mais elle est vulnérable aux attaques de SIM swapping, où les acteurs malveillants convainquent un opérateur de transférer votre numéro sur leur carte SIM. En ce qui concerne les comptes crypto, une application d’authentification ou une clé de sécurité matérielle renforce généralement sa sécurité.
Comment vérifier la légitimité d’un compte sur les réseaux sociaux ?
Cherchez le badge de vérification et comparez le nom d’utilisateur du compte avec celui qui figure sur le site Web officiel de la personne. Consultez l’historique de ses publications : les comptes authentiques sont généralement actifs depuis longtemps, et publient du contenu cohérent. Prêtez attention aux petites fautes d’orthographe dans le pseudonyme (par exemple, le chiffre 1 qui remplace la lettre l), et méfiez-vous tout particulièrement des comptes qui envoient des messages non sollicités à propos de cryptomonnaies.
Que faire en cas d’escroquerie par deepfake ?
N’agissez pas sur les conseils de la vidéo et rendez-vous sur le site Web officiel et les comptes vérifiés sur les réseaux sociaux de la personne ou de l’organisation prétendument représentée. Signalez le contenu à la plateforme sur laquelle il circule, et si l’on vous a demandé d’envoyer des fonds, n’accédez pas à cette requête.
Le Wi-Fi public est-il suffisamment sûr pour effectuer des transactions crypto ?
Les réseaux Wi-Fi publics ne sont généralement pas recommandés pour accéder à des comptes crypto ou approuver des transactions. Si vous devez vous connecter à un réseau que vous ne contrôlez pas, préférez les données mobiles pour préserver votre confidentialité, et vérifiez toujours que l’URL est correcte et que le site repose sur le protocole HTTPS, quel que soit le réseau utilisé.
Conclusion
Protéger vos cryptos n’exige pas de connaissances techniques de pointe, mais des habitudes durables : conserver votre phrase secrète hors ligne, activer l’A2F avec une application d’authentification, rester vigilant face aux attaques d’ingénierie sociale, ne pas se connecter au Wi-Fi public pour mener à bien des opérations financières et reconnaître les signes avant-coureurs du contenu généré par l’IA. Toutes ces mesures réduisent considérablement votre exposition.
À mesure de l’évolution des tactiques employées, il est crucial de vous tenir informé pour continuer à vous protéger en permanence : comprendre le déroulement des attaques les rend nettement plus faciles à contrer.
Pour aller plus loin
Avis de non-responsabilité : ce contenu vous est présenté « tel quel », à des fins d’information générale et pédagogique uniquement, sans déclaration ni garantie d’aucune sorte. Il ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel, ni comme une recommandation d’achat d’un produit ou service spécifique. Demandez vous-même conseil à des professionnels compétents. Si le contenu est fourni par un contributeur tiers, les opinions qu’il exprime appartiennent à ce contributeur et ne reflètent pas nécessairement celles de Binance Academy. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut baisser ou augmenter, et vous ne récupérerez peut-être pas le montant investi. Vous êtes seul responsable de vos décisions d’investissement, et Binance Academy ne saurait être tenu responsable des pertes que vous pourriez subir. Consultez nos Conditions d’utilisation, notre Avertissement sur les risques et les Conditions générales de Binance Academy pour en savoir plus.