Comment auditer la surface d'attaque de votre portefeuille crypto: révoquer les approbations, utiliser des portefeuilles jetables et renforcer la sécurité Web3

Pourquoi votre portefeuille crypto a une surface d'attaque (et pourquoi la plupart des utilisateurs ne s'en rendent pas compte)

Lorsqu'on parle de sécuriser ses cryptomonnaies, la conversation s'arrête généralement aux phrases de récupération et aux mots de passe solides. Ces éléments sont importants - mais ils ne couvrent qu'une seule couche du problème. La surface d'attaque de votre portefeuille est bien plus étendue, et elle s'agrandit chaque fois que vous interagissez avec la blockchain.

Une surface d'attaque est l'ensemble des points d'entrée qu'un adversaire peut exploiter pour accéder à vos actifs sans votre coopération. Pour un portefeuille crypto, cette surface inclut l'appareil que vous utilisez, les extensions de navigateur que vous exécutez, les contrats intelligents que vous avez autorisés, les signatures que vous avez produites et les URL que vous avez visitées. Chaque interaction laisse une trace - des autorisations, des approbations et des états de session qui persistent longtemps après que la transaction d'origine est oubliée.

Les approbations de jetons sont la partie la plus sous-estimée de cette surface. Lorsque vous interagissez avec un protocole DeFi, vous signez une transaction ERC-20 approve() qui accorde à un contrat intelligent le droit de transférer vos jetons. La plupart des protocoles demandent une autorisation illimitée par défaut - vous signez une fois et n'y pensez plus jamais. Le contrat conserve cette autorisation indéfiniment, même si le protocole est ultérieurement compromis, abandonné ou remplacé par une version malveillante.

Le mécanisme de phishing d'approbation est techniquement élégant et dévastateurment efficace. Contrairement à une compromission de clé privée - qui exige que l'attaquant contrôle directement votre portefeuille - un exploit d'approbation fonctionne au niveau de la couche des contrats intelligents. L'attaquant n'a besoin que d'une seule signature de votre part: l'appel approve() malveillant. Ensuite, le contrat draineur appelle silencieusement transferFrom(), déplaçant vos jetons vers des adresses contrôlées par l'attaquant. Votre clé privée n'est jamais touchée.

Ce guide décrit les cinq étapes que chaque utilisateur de crypto devrait suivre pour réduire la surface d'attaque de son portefeuille à un niveau gérable. Le processus est pratique, prend moins d'une heure pour la plupart des portefeuilles et ne nécessite pas d'expertise technique au-delà de la connexion d'un portefeuille à un navigateur.

Étape 1 - Auditer vos approbations de jetons existantes

Avant de pouvoir combler les failles, vous devez savoir ce que vous avez laissé ouvert. La première étape consiste en un audit complet de chaque approbation de jeton active associée à votre adresse de portefeuille. La plupart des portefeuilles n'affichent pas ces informations - votre tableau de bord MetaMask montre les soldes, pas la liste des contrats autorisés à les dépenser.

Trois outils rendent cet audit simple:

• Etherscan Token Approval Checker (etherscan.io/tokenapprovalchecker) - la référence on-chain la plus utilisée. Connectez votre portefeuille ou collez votre adresse. L'outil interroge la blockchain Ethereum et liste chaque contrat ayant une approbation active, le jeton approuvé et le montant de l'autorisation. Fonctionne pour les jetons ERC-20 sur le réseau principal Ethereum.
• Revoke.cash - support multi-chaîne couvrant Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base, Avalanche et des dizaines d'autres. Particulièrement utile si vous interagissez avec plusieurs réseaux. Affiche le montant de l'approbation, la date et le contrat destinataire.
• MetaMask Portfolio - si vous utilisez MetaMask, l'onglet Portfolio sur portfolio.metamask.io comprend un tableau de bord des approbations. Il expose les approbations sur tous les réseaux connectés et permet la révocation en un clic depuis la même interface.

Lors de l'audit, concentrez-vous sur trois catégories d'approbations:

• Approbations illimitées - toute approbation affichant un très grand nombre (souvent affiché comme "illimité" ou une valeur comme 115792089237316...) accorde au contrat dépensier un contrôle total sur l'intégralité de votre solde de jetons. Ce sont les entrées les plus risquées.
• Approbations pour des contrats inconnus ou suspects - si l'adresse du dépensier n'a pas de label Etherscan, pas de documentation publique, ou ne fait pas partie d'un protocole que vous avez intentionnellement utilisé, traitez-la comme suspecte.
• Approbations obsolètes pour d'anciens protocoles - les protocoles DeFi ferment, pivotent ou sont piratés. Une approbation que vous avez accordée il y a deux ans à un protocole qui n'existe plus reste active et exploitable.

Notez quelles approbations vous souhaitez conserver (positions actives dans des protocoles en vie) par opposition à celles que vous n'avez aucune raison de maintenir actuellement. L'étape suivante est le processus de révocation.

Étape 2 - Révoquer les approbations dangereuses ou illimitées

Révoquer une approbation est une transaction on-chain. Elle coûte du gas, prend quelques secondes pour être confirmée et supprime définitivement l'autorisation du dépensier sur ce jeton. Vous n'avez pas besoin de fermer vos positions ou de retirer des fonds au préalable - la révocation signifie simplement que le contrat ne peut plus déplacer ces jetons en votre nom.

Traitez votre liste d'audit dans l'ordre de priorité suivant:

• Priorité 1: Contrats inconnus ou suspects avec approbation illimitée. Ce sont les entrées les plus dangereuses. Si vous ne pouvez pas identifier le contrat dépensier - aucun label Etherscan, aucun nom de protocole reconnaissable - révoquez immédiatement.
• Priorité 2: Approbations illimitées obsolètes pour des protocoles défunts ou inactifs. Même si vous reconnaissez le nom du protocole, si vous ne l'utilisez plus activement, supprimez l'approbation. Les contrats intelligents d'un protocole peuvent être mis à niveau, exploités ou abandonnés après votre interaction avec eux.
• Priorité 3: Toute approbation pour des jetons de haute valeur (ETH, WBTC, stablecoins) où l'autorisation est illimitée. Si vous utilisez activement le protocole, envisagez de définir une approbation limitée. Revoke.cash vous permet de modifier la valeur de l'autorisation plutôt que de la supprimer entièrement.
• Priorité 4: Approbations illimitées restantes pour des protocoles actifs. Vous pouvez conserver des approbations limitées pour les protocoles que vous utilisez régulièrement, tant que l'autorisation est proportionnelle. Regroupez vos révocations pour réduire les coûts de gas lorsque c'est possible.

Une préoccupation courante est de savoir si la révocation brisera les positions DeFi actives. Dans la plupart des cas, ce ne sera pas le cas - votre position de pool de liquidité ou de staking persiste on-chain indépendamment des approbations. L'approbation n'est importante que pour les futurs transferts de jetons. En cas de doute, consultez la documentation du protocole ou son canal de support avant de révoquer.

Une fois que vous avez révoqué tout ce dont vous n'avez pas besoin, faites de la révocation une part de votre routine. Relancez l'audit après chaque session DeFi importante, et surtout après avoir interagi avec des protocoles nouveaux ou non audités. La surface d'approbation s'agrandit chaque fois que vous signez une nouvelle transaction approve().

Étape 3 - La stratégie du portefeuille jetable: isoler votre risque

Même après avoir révoqué toutes vos approbations existantes, les nouvelles interactions DeFi en créeront de nouvelles. La réponse structurelle à ce problème est la segmentation des portefeuilles - spécifiquement, l'utilisation d'un portefeuille jetable dédié.

Un portefeuille jetable est une adresse de portefeuille chaud séparée utilisée exclusivement pour les interactions DeFi, le frappe de NFT, les réclamations d'airdrop et toute autre activité on-chain où vous devez vous connecter à un protocole inconnu. Le principe de base est simple: le portefeuille jetable ne contient que les fonds minimaux requis pour la transaction immédiate. Vos avoirs principaux - en particulier tout ce qui est significatif - ne se trouvent jamais dans le portefeuille jetable.

La mise en place d'un portefeuille jetable prend environ cinq minutes:

• Créez une nouvelle adresse de portefeuille dans MetaMask (ou tout autre portefeuille chaud) - utilisez la fonction "Créer un compte" pour générer une adresse fraîche avec une phrase de récupération unique stockée sécurisément hors ligne.
• Financez-le uniquement pour la session. Avant chaque interaction DeFi, transférez juste ce dont vous avez besoin - suffisamment de gas plus les jetons pour la transaction spécifique. Après la session, transférez toute valeur restante vers votre portefeuille principal ou votre appareil matériel.
• Gardez-le entièrement séparé de votre identité principale. Ne reliez pas l'adresse jetable à votre nom ENS, à vos profils sociaux publics ou aux services basés sur e-mail. L'objectif d'un portefeuille jetable est qu'il ne soit pas associé à vos avoirs réels.
• Retirez-le périodiquement. Après une période d'utilisation intensive, le portefeuille jetable accumule un historique d'approbations et d'interactions on-chain. Créez une nouvelle adresse jetable tous les quelques mois ou après toute interaction dont vous vous sentez incertain.

Le portefeuille matériel complète le portefeuille jetable, il ne le remplace pas. Votre Ledger ou Trezor détient l'essentiel de votre portefeuille et ne se connecte jamais directement aux dApps. Il est utilisé pour les transferts importants et délibérés - pas pour cliquer sur "Connecter le portefeuille" sur une nouvelle plateforme NFT trouvée sur Twitter. La surface d'attaque du portefeuille matériel est quasi nulle car il n'est jamais exposé aux flux d'approbation Web.

Ensemble, un portefeuille chaud jetable et un portefeuille matériel air-gappe couvrent le spectre complet des activités crypto: agilité pour les interactions DeFi quotidiennes, sécurité maximale pour les avoirs à long terme.

Étape 4 - Reconnaître les tentatives de phishing d'approbation en temps réel

Révoquer les anciennes approbations élimine l'exposition historique. Reconnaître les tentatives de phishing en temps réel empêche la création d'une nouvelle exposition. Le phishing d'approbation n'est pas purement une attaque technique - il repose sur l'ingénierie sociale pour vous amener à signer une transaction que vous ne signeriez pas si vous compreniez ce qu'elle faisait.

Les mécanismes sont cohérents entre les campagnes. Une victime est dirigée vers un site malveillant - via un message Discord, une fausse annonce d'airdrop, une URL de protocole usurpée ou un compte d'imposteur sur X. Le site invite à "connecter le portefeuille" puis demande immédiatement une approbation de transaction. L'approbation semble routinière. La cible clique sur confirmer. À partir de ce moment, le draineur dispose d'un accès silencieux et illimité au jeton approuvé.

Signaux d'alerte indiquant qu'une demande de transaction est une tentative de phishing:

• La demande d'approbation apparaît immédiatement après la connexion de votre portefeuille, avant que toute interaction significative n'ait eu lieu. Les protocoles légitimes ne demandent généralement des approbations que lorsque vous soumettez explicitement une transaction nécessitant un mouvement de jetons.
• L'adresse du dépensier affichée dans les données de transaction MetaMask n'a pas de label reconnaissable. Les protocoles légitimes ont généralement des labels vérifiés sur Etherscan. Une adresse hexadécimale sans label demandant une approbation ERC-20 illimitée devrait déclencher une prudence immédiate.
• La demande est arrivée par message direct - d'un compte "support", d'un "membre d'équipe" ou d'une invitation non sollicitée à réclamer des jetons. Aucun flux de support de protocole légitime n'implique de coller un lien dans des MP et de vous demander de connecter votre portefeuille.
• L'URL est un homoglyphe ou un typosquat d'un protocole légitime. Comparez le domaine caractère par caractère. Les attaquants utilisent des domaines comme uniswqp.com, opensеa.io (avec un "e" cyrillique) ou airdrop-uniswap.org. Naviguez toujours directement vers les protocoles depuis des favoris ou des liens officiels.
• La transaction vous demande de signer des données hors chaîne (eth_sign ou personal_sign) avec un payload inhabituel. Certains draineurs utilisent des demandes de signature plutôt que des approbations on-chain pour autoriser les transferts de jetons via Permit2 ou des mécanismes similaires. Lisez l'intégralité du hex avant de signer.

En cas de doute, ne signez pas. Fermez l'onglet, vérifiez l'URL via les comptes officiels du protocole sur les réseaux sociaux, puis réessayez depuis un lien enregistré dans vos favoris. Le coût d'une opportunité manquée est toujours inférieur au coût d'un vidage d'approbation.

Étape 5 - Renforcer votre hygiène de signature

Votre clé privée n'est sûre que si votre comportement de signature l'est aussi. Même si votre portefeuille n'est jamais directement compromis, une signature imprudente vous expose à toute la gamme des vecteurs d'attaque Web3 - phishing d'approbation, vidages Permit2, appels de délégation malveillants et attaques de relecture de signature. Une bonne hygiène de signature est la discipline de traiter chaque demande de signature comme potentiellement hostile jusqu'à ce qu'elle soit vérifiée.

Pratiques fondamentales d'hygiène de signature:

• Lisez l'intégralité des données de transaction avant de signer. MetaMask affiche un champ de données hex pour chaque transaction. Développez-le. Regardez la fonction appelée et l'adresse du dépensier. Si les données sont illisibles et que la dApp ne peut pas expliquer ce que vous signez, ne signez pas.
• Utilisez un portefeuille matériel pour tout ce qui dépasse votre seuil de risque personnel. Un Ledger ou Trezor affiche physiquement l'intégralité des données de transaction sur son propre écran, séparé de votre ordinateur potentiellement compromis. L'attaquant ne peut pas modifier ce qui apparaît sur l'appareil. Pour les avoirs au-dessus de quelques centaines de dollars, un portefeuille matériel est la mise à niveau individuelle la plus efficace.
• Ne définissez jamais des approbations illimitées quand un montant spécifique suffit. La plupart des flux d'approbation ont une option "modifier le montant". Utilisez-la. Entrez le montant exact que vous déposez plutôt que d'accepter le chiffre illimité par défaut.
• Vérifiez obsessionnellement les URL des dApps. Avant de connecter votre portefeuille à un protocole, vérifiez l'URL par rapport à la documentation officielle du protocole, leur compte Twitter/X vérifié et idéalement leur dépôt GitHub. Enregistrez l'URL correcte dans vos favoris après votre première visite vérifiée.
• Ne signez jamais depuis un lien reçu par MP, e-mail ou notification d'airdrop non sollicitée. Chaque dApp légitime a une URL publique que vous pouvez vérifier indépendamment. Un lien dans un MP d'une personne que vous ne connaissez pas est un signal d'alarme par défaut.
• Comprenez la différence entre eth_sign et les signatures de données typées. eth_sign signe un hash arbitraire - il peut autoriser n'importe quoi. Les signatures de données typées (EIP-712) affichent des champs lisibles par l'homme. Si MetaMask affiche un hash brut sans contexte, rejetez-le.
• Maintenez un environnement de signature propre. Les extensions de navigateur peuvent injecter du code malveillant dans les pages Web. Maintenez un profil de navigateur séparé pour les interactions DeFi, avec uniquement l'extension de portefeuille installée.

Que faire immédiatement si votre portefeuille a été vidé

La rapidité est la seule chose qui compte dans les 30 premières minutes après un vidage d'approbation. Les transactions blockchain sont irréversibles, mais le pipeline de l'attaquant - conversion des jetons volés en stablecoins, routage via des bridges et encaissement - prend du temps. Chaque minute d'action est une minute où vous pouvez potentiellement réduire les pertes.

Dans les 10 premières minutes:

• Transférez immédiatement tous les actifs restants hors du portefeuille compromis. Si le vidage était sélectif (approbations spécifiques, pas une compromission de clé privée), d'autres jetons peuvent encore être présents. Déplacez-les vers une adresse fraîche et propre avant que l'attaquant n'agisse à nouveau.
• N'utilisez pas le même navigateur, ordinateur ou réseau si vous soupçonnez une infection par malware. Si votre clé privée a été compromise plutôt qu'un exploit d'approbation, toute action sur le même appareil peut être observée. Passez à un appareil propre avant de continuer.
• Révoquez toutes les approbations restantes depuis l'adresse compromise en utilisant Revoke.cash ou Etherscan depuis un appareil propre. Même si la plupart des jetons ont déjà disparu, les approbations en cours peuvent permettre des vidages de suivi.

Dans la première heure:

• Documentez tout. Prenez des captures d'écran des hachages de transactions de vidage, de l'adresse du contrat malveillant, de l'URL du site si connue, de tout message reçu et de la séquence exacte des événements.
• Signalez à l'Internet Crime Complaint Center (IC3) du FBI sur ic3.gov. L'IC3 du FBI a enregistré $11 milliards de pertes liées aux cryptomonnaies en 2025. Dans l'UE, signalez à votre autorité nationale de cybercriminalité (ex: Action Fraud au Royaume-Uni, Bundeskriminalamt en Allemagne, la gendarmerie nationale en France).
• Signalez le contrat malveillant aux plateformes d'analyse blockchain. Soumettez l'adresse du draineur au système de signalement d'Etherscan et à Chainabuse.com.
• Contactez une entreprise de forensique blockchain. Des entreprises comme Recoveris se spécialisent dans le traçage d'actifs numériques volés à travers les chaînes, l'identification de l'infrastructure des attaquants et la construction des dossiers de preuves nécessaires aux procédures de récupération juridique. Un engagement dans les 24-48 premières heures améliore considérablement la traçabilité.

Références

1. 1.Chainalysis. Targeted Approval Phishing Scams See Explosive Growth. 14 décembre 2023. chainalysis.com
2. 2.Chainalysis. Crypto Scams 2026. Mars 2026. chainalysis.com
3. 3.Elliptic. Inside Operation Atlantic: How Blockchain Analytics Helped Disrupt Approval Phishing at Scale. 16 mars 2026. elliptic.co
4. 4.Elliptic. The State of Crypto Scams 2025. Décembre 2025. elliptic.co
5. 5.FBI Internet Crime Complaint Center. 2025 Internet Crime Report. Avril 2026. ic3.gov
6. 6.Financial Action Task Force. Targeted Update on Virtual Assets and VASPs 2025. Juin 2025. fatf-gafi.org
7. 7.Financial Action Task Force. Virtual Assets: Red Flag Indicators of Money Laundering and Terrorist Financing. Septembre 2020. fatf-gafi.org
8. 8.TRM Labs. 2026 Crypto Crime Report. Janvier 2026. trmlabs.com
9. 9.Ledger Academy. Ethereum Token Approvals Explained. Mai 2024. ledger.com
10. 10.Chainalysis. Crypto Drainers. Octobre 2024. chainalysis.com
11. 11.US Secret Service. Operation Atlantic Disrupts More Than $45 Million Cryptocurrency Fraud, Freezes Assets. Avril 2026. secretservice.gov
12. 12.Etherscan. Token Approval Checker. 2024-en cours. etherscan.io
13. 13.MetaMask. How to revoke smart contract allowances / token approvals. 2024. support.metamask.io

Foire aux questions

Ressources associées