Que faire si une extension de navigateur malveillante a volé vos cryptos : guide complet de récupération
Réponse rapide
Si une extension de navigateur malveillante a vidé votre portefeuille crypto :
Passez hors ligne immédiatement, supprimez l'extension, révoquez toutes les approbations de contrats intelligents depuis un appareil propre, et transférez les actifs restants vers un nouveau portefeuille créé sur du matériel non compromis. Documentez ensuite chaque hash de transaction et déposez un signalement auprès du Centre IC3 du FBI (ic3.gov) et de votre autorité nationale de cybercriminalité dans les 24 heures. Le renversement direct de la blockchain est impossible, mais si les fonds volés ont atteint un exchange centralisé, une demande de gel rapide des forces de l'ordre - ou un enquêteur blockchain professionnel agissant en votre nom - peut les intercepter avant qu'ils ne soient blanchis. La rapidité est la variable la plus importante dans ce qu'il est possible de récupérer.
À quoi ressemble cette arnaque
Les extensions de navigateur malveillantes sont l'un des vecteurs de vol de crypto les plus dangereux aujourd'hui. Contrairement aux emails de phishing qui nécessitent un clic, une extension malveillante se loge silencieusement dans votre navigateur avec un accès privilégié à chaque page visitée - y compris votre interface de portefeuille, tableau de bord d'exchange et presse-papiers.
Le rapport Chainalysis 2025 sur les draineurs a identifié les draineurs basés sur des extensions de navigateur comme composant central de l'écosystème de vol professionnel, ayant déjà extrait plus de 2,17 milliards de dollars au premier semestre 2025. Le rapport IOCTA 2025 d'Europol a signalé les infostealers distribués via des extensions de navigateur malveillantes comme principale méthode de compromission des comptes crypto, citant la famille de logiciels malveillants StealC.
Méthodes de distribution courantes
- Fausses extensions de portefeuille : Des imposteurs de MetaMask, Trust Wallet, Phantom, Ledger Live apparaissent dans les magasins avec des icônes quasi identiques. En juillet 2025, plus de 40 fausses extensions de portefeuille crypto ont été identifiées dans le magasin Firefox dans une campagne baptisée FoxyWallet. Mozilla a signalé avoir supprimé plus de 40 extensions malveillantes utilisant l'« Extension Hollowing » pour contourner la vérification automatisée.
- Compromission de la chaîne d'approvisionnement : En décembre 2025, une extension Chrome légitime de Trust Wallet a été compromise. L'attaque a entraîné 8,5 millions de dollars volés à plus de 2 500 portefeuilles.
- Chevaux de Troie dans des outils de productivité : Des extensions pour enregistreurs d'écran, convertisseurs PDF, traqueurs de prix ou services VPN contiennent parfois des modules de vol de crypto cachés.
- Vol de cookies et de sessions : L'affaire documentée par SlowMist d'un vol de 1 million de dollars via l'extension AGGR (juin 2024) a montré comment une extension malveillante peut voler des cookies de navigateur et contourner entièrement la 2FA.
Ce que fait réellement l'extension
Une fois active, une extension malveillante peut : intercepter les invites de signature de portefeuille, lire et écraser le contenu du presse-papiers, collecter des jetons de session pour vous usurper sur des exchanges, capturer les frappes au clavier, et injecter du JavaScript dans n'importe quelle page.
TRM Labs a rapporté que 76% des fonds volés dans les grandes attaques provenaient de compromissions au niveau de l'infrastructure. Le rapport IC3 du FBI 2024 a documenté 9,3 milliards de dollars de pertes dues à la fraude crypto. Le rapport IC3 2025 a porté ce chiffre à plus de 11 milliards.
Pourquoi les gens tombent dans le piège
Le Chrome Web Store et le magasin Firefox Add-ons utilisent des examens automatisés, mais ces processus ne sont pas infaillibles. Les attaquants investissent dans des listes convaincantes : évaluations cinq étoiles artificielles, captures d'écran soignées, descriptions copiées d'extensions légitimes. L'équipe de sécurité de Mozilla a supprimé plus de 40 extensions malveillantes en 2025 après avoir découvert la technique de l'« Extension Hollowing ».
Les attaques de la chaîne d'approvisionnement contournent entièrement la vigilance de l'utilisateur. La compromission Chrome de Trust Wallet en décembre 2025 a touché des utilisateurs qui avaient installé une vraie extension des mois auparavant. Les extensions de navigateur se mettent à jour silencieusement.
La mise à jour ciblée 2025 du FATF sur les actifs virtuels a noté que la hausse de la fraude est en partie due à l'écart entre la complexité technologique et le niveau de sécurité moyen des utilisateurs. Les attaquants synchronisent leurs campagnes avec des événements de marché - lancements de tokens, frappages NFT, fenêtres d'airdrop - où l'urgence supprime la réflexion critique.
Premières 24 heures : que faire immédiatement
Le temps est critique.
Les attaquants acheminent généralement les fonds volés via des protocoles d'échange décentralisés et des mixeurs en quelques minutes. Chaque heure de retard réduit la probabilité d'un gel auprès d'un exchange destinataire.
- Déconnectez votre navigateur d'internet immédiatement - Passez hors ligne en désactivant le Wi-Fi et en débranchant l'ethernet. Cela stoppe toute session de détournement ou exfiltration de données en cours.
- Supprimez l'extension malveillante et effectuez une analyse complète des malwares - Ouvrez le gestionnaire d'extensions (chrome://extensions ou about:addons), identifiez et supprimez l'extension suspecte. Puis lancez une analyse complète.
- Révoquez toutes les autorisations du portefeuille depuis un appareil propre - Utilisez un appareil séparé non compromis pour vous connecter aux outils de révocation tels que Revoke.cash ou le vérificateur d'approbations de tokens d'Etherscan.
- Transférez les actifs restants vers un tout nouveau portefeuille - Générez un nouveau portefeuille sur un appareil propre - idéalement un portefeuille matériel. Transférez tout ce qui reste et considérez le portefeuille compromis comme définitivement brûlé.
- Documentez tout avant de changer quoi que ce soit d'autre - Capturez d'écran votre liste complète d'extensions, la page des permissions de l'extension, tout email de confirmation d'installation, et tous les hashes de transactions.
- Déposez un signalement auprès des forces de l'ordre - Soumettez une plainte au Centre de plaintes pour crimes sur Internet du FBI (ic3.gov) et à votre unité nationale de cybercriminalité.
- Notifiez tout exchange où les fonds volés sont arrivés - Utilisez un explorateur blockchain pour tracer où les fonds sont allés. Si un exchange centralisé est impliqué, contactez immédiatement son équipe fraude.
- Préservez tous les appareils - ne les effacez pas encore - Effectuez des sauvegardes vers un disque externe chiffré et mettez-les de côté.
Ce qu'il ne faut PAS faire
Évitez ces erreurs - elles sont courantes et aggravent les choses.
- Ne cherchez pas "services de récupération de crypto" en ligne. La grande majorité sont des arnaques secondaires.
- N'effacez pas votre appareil immédiatement. Vous détruiriez des preuves médico-légales.
- Ne réinstallez pas la même extension depuis un autre lien. Les attaquants listent plusieurs clones.
- Ne réutilisez pas l'adresse du portefeuille compromis.
- Ne payez pas de frais à l'avance à quiconque promettant une récupération. Aucun frais n'inverse une transaction blockchain.
- Ne partagez jamais votre phrase de récupération ou clé privée. Aucun enquêteur légitime n'en a besoin.
À quoi ressemble la récupération réelle
Les transactions blockchain sont immuables. Il n'existe pas de bouton annuler. Mais la récupération existe sur un spectre.
Si les fonds ont atteint un exchange centralisé - le chemin de plus haute probabilité - cet exchange détient des données KYC sur le compte destinataire. Une demande de gel des forces de l'ordre, appuyée par une trace blockchain professionnelle, peut entraîner le blocage des actifs avant le retrait.
Si les fonds sont passés par un DEX ou un pont, la récupération est plus difficile mais pas impossible. Des enquêteurs professionnels avec accès aux plateformes d'analyse commerciales (Chainalysis Reactor, TRM Forensics, Elliptic Navigator) peuvent tracer des flux invisibles pour les explorateurs blockchain gratuits.
Si les fonds sont passés par un mixeur ou un protocole de confidentialité, la probabilité de récupération chute significativement.
Security Week a documenté 494 millions de dollars de vols par drainers sur 332 000 victimes en 2024. La récupération totale de tous les actifs n'est pas la norme.
Quand faire appel à un enquêteur professionnel
Dans de nombreux cas de vol par extension de navigateur, faire appel à un enquêteur blockchain professionnel dans les 48 premières heures est la différence entre une piste traçable et des fonds ayant transité par des mixeurs.
- Le montant volé est significatif pour vous. Le travail de trace professionnelle produit la documentation dont les forces de l'ordre ont besoin pour agir.
- Les fonds ont traversé plusieurs chaînes ou protocoles.
- Vous avez besoin de preuves formelles pour un exchange ou un tribunal.
- L'extension provenait d'un magasin officiel. Les attaques de la chaîne d'approvisionnement peuvent créer une responsabilité.
Un enquêteur légitime commence par une trace blockchain - cartographiant les fonds volés à travers chaque adresse intermédiaire, étiquetant les entités connues, identifiant les points potentiels de sortie. Recoveris est spécialisé dans ce processus pour les cas de vol de crypto à travers les juridictions.
Signaux d'alerte des arnaques de récupération
La deuxième arnaque est souvent plus importante que la première.
Les victimes de vol de crypto sont ciblées spécifiquement parce qu'elles sont connues pour détenir des crypto et sont dans un état désespéré et émotionnellement vulnérable.
Le rapport IC3 du FBI 2025 a mis en évidence la fraude à la récupération comme l'une des sous-catégories à la croissance la plus rapide de la cybercriminalité crypto.
Signaux d'alerte à surveiller immédiatement
- Contacts non sollicités après votre perte. Si quelqu'un vous contacte via Telegram, Discord ou email en se présentant comme spécialiste de récupération peu après un vol, traitez-le comme une arnaque.
- Promesses de récupération garantie. Aucun professionnel honnête ne garantit des résultats.
- Frais initiaux présentés comme des "frais de libération". Aucun frais n'inverse une transaction blockchain.
- Demandes d'installation de logiciels d'accès à distance. Tout service demandant TeamViewer ou AnyDesk veut accéder à ce qui reste.
- Usurpation d'identité gouvernementale. Les vraies agences ne facturent pas de frais de récupération.
- Demandes de phrase de récupération ou de clé privée. Aucun enquêteur légitime n'en a jamais besoin.
Comment vérifier une entreprise légitime
Demandez les détails d'enregistrement de l'entreprise et vérifiez-les auprès du registre national. Recherchez les principaux indépendamment. Des entreprises comme Recoveris publient leur méthodologie et peuvent être vérifiées via les registres commerciaux publics en Suisse.
Une extension de navigateur a vidé votre portefeuille ?
Nos enquêteurs tracent les cryptos volés à travers les chaînes, préparent des dossiers pour les autorités et coordonnent les demandes de gel auprès des exchanges. Obtenez une évaluation gratuite de votre cas.
Obtenir de l'aide pour votre casVous ne savez pas si vous avez été ciblé ?
Passez notre évaluation de sécurité crypto de 2 minutes pour identifier les risques dans votre configuration actuelle avant qu'ils ne deviennent un problème.
Faire l'évaluation gratuiteRéférences
- 1.Federal Bureau of Investigation / IC3 - Rapport sur la criminalité sur Internet 2024. ic3.gov
- 2.Federal Bureau of Investigation / IC3 - Rapport sur la criminalité sur Internet 2025. ic3.gov
- 3.Chainalysis - Rapport sur les draineurs de crypto. chainalysis.com
- 4.TRM Labs - Drainware : Malheureusement bientôt dans un portefeuille de cryptomonnaie près de chez vous. trmlabs.com
- 5.Europol - IOCTA 2025 : Voler, dealer, recommencer. europol.europa.eu
- 6.FATF - Sixième mise à jour ciblée sur les actifs virtuels et les VASP (2025). fatf-gafi.org
- 7.Mozilla - Arnaques aux portefeuilles crypto : déjouer une nouvelle menace (mai 2025). blog.mozilla.org
- 8.The Hacker News - Piratage de l'extension Chrome Trust Wallet (décembre 2025). thehackernews.com
- 9.SlowMist - Comment une extension malveillante a volé un million de dollars (juin 2024). slowmist.medium.com
- 10.TRM Labs Blog - Une année record pour la cybercriminalité. trmlabs.com
- 11.Security Week - Un logiciel malveillant de draineur de portefeuille utilisé pour voler 500 millions de dollars. securityweek.com
- 12.Bleeping Computer - Des dizaines de fausses extensions de portefeuille dans le magasin Firefox (juillet 2025). bleepingcomputer.com
Questions fréquentes
Une extension de navigateur malveillante peut-elle voler des cryptos sans que je clique sur quoi que ce soit ?
Oui. Une fois installée, une extension malveillante s'exécute avec des privilèges d'arrière-plan persistants. Elle peut silencieusement remplacer les adresses de portefeuille dans le presse-papiers, intercepter les invites de signature, lire les cookies de session actifs pour les exchanges auxquels vous êtes connecté, et injecter du code dans les pages visitées - le tout sans aucune interaction visible. L'investigation SlowMist sur l'extension AGGR a révélé que le module de détournement de cookies fonctionnait entièrement en arrière-plan, permettant un vol de 1 million de dollars sans que la victime approuve une transaction suspecte.
L'extension provenait du Chrome Web Store : est-ce vraiment possible ?
Oui, et cela s'est produit à plusieurs reprises. En décembre 2025, une extension Chrome légitime de Trust Wallet a été compromise via son infrastructure de distribution. La mise à jour qui a volé 8,5 millions de dollars à 2 520 portefeuilles est passée par le mécanisme officiel de mise à jour. Mozilla a également supprimé plus de 40 extensions malveillantes en 2025. L'installation depuis un magasin officiel n'est pas une garantie de sécurité.
Je n'ai jamais entré ma phrase de récupération dans le navigateur : une extension peut-elle quand même vider mon portefeuille ?
Oui. Le vol de cookies de session permet à un attaquant de vous usurper sur des exchanges auxquels vous êtes déjà connecté. Le détournement du presse-papiers redirige les transactions sortantes. L'injection de transactions modifie les adresses de destination dans les invites de signature. Le fait que votre phrase de récupération ne soit pas dans le navigateur ne vous protège pas si une extension malveillante est installée.
Combien de temps ai-je pour agir avant que les fonds deviennent irrécupérables ?
La fenêtre réaliste pour une intervention au niveau de l'exchange est de quelques heures, pas de jours. Les opérations de draineur professionnelles acheminent et bridgent généralement les fonds en 15 à 30 minutes. Même ainsi, certains comptes destinataires restent dormants pendant des jours avant que l'attaquant ne retire des fiat. Déposer un signalement formel immédiatement crée un dossier pouvant déclencher un gel même des jours plus tard.
Existe-t-il un moyen de récupérer des cryptos volés par une extension de navigateur ?
Une récupération partielle ou totale est possible dans des circonstances spécifiques. Le meilleur cas est des fonds ayant été transférés vers une adresse de dépôt d'exchange centralisé - les forces de l'ordre ou un enquêteur professionnel avec des relations d'exchange peuvent demander un gel avant le retrait. Pour les fonds ayant transité par des protocoles décentralisés ou des mixeurs, la probabilité de récupération diminue, mais la blockchain forensics peut établir un dossier documenté.