Passer au contenu principal

Aider à mettre à jour cette page

🌏

Il existe une nouvelle version de cette page, mais seulement en anglais pour le moment. Aidez-nous à traduire la dernière version.

Traduire la page
Voir l'anglais

Aucun bogue ici !🐛

Cette page n'est pas traduite. Nous laissons volontairement cette page en anglais pour le moment.

Dernière mise à jour de la page: 29 septembre 2022

Sécurité d'Ethereum et prévention des arnaques

Face à l'intérêt grandissant pour les cryptomonnaies, il est essentiel d'apprendre les bonnes pratiques lors de leur utilisation. Les cryptomonnaies peuvent être excitantes, mais elles impliquent aussi des risques importants. Si vous effectuez ces petits efforts en amont, vous pouvez diminuer ces risques.

Le b.a.-ba de la sécurité sur le Web

Utilisez des mots de passe forts

Plus de 80 % des piratages de comptes sont le résultat de mots de passe faibles ou volés. Pour sécuriser vos comptes, privilégiez une longue suite de caractères, de chiffres et de signes de ponctuation.

Une erreur fréquente consiste à utiliser une combinaison de mots communs du dictionnaire, parfois proches. Les mots de passe de ce type sont peu sécurisés, car ils sont vulnérables à une technique de piratage relativement simple connue sous le nom d'attaque par dictionnaire.

Exemple de mot de passe faible : CuteFluffyKittens!

Exemple de mot de passe fort : ymv\*azu.EAC8eyp8umf

Une autre erreur courante est d'utiliser des mots de passe qui peuvent être facilement devinés par le biais de l'ingénierie sociale. Par exemple, le fait d'inclure le nom de jeune fille de votre mère, le nom de vos enfants ou de votre animal de compagnie, ou encore des dates d'anniversaire dans votre mot de passe n'est pas sécurisé et augmente le risque que votre mot de passe soit compromis.

Bonnes pratiques pour des mots de passe forts :

  • Rendre les mots de passe aussi long que autorisé par votre générateur de mot de passe ou par le formulaire que vous remplissez
  • Utiliser un mélange de majuscules, minuscules, chiffres et symboles
  • Ne pas inclure d'informations personnelles, telles que les noms de famille, dans votre mot de passe
  • Éviter les mots courants du dictionnaire

Plus d'informations sur la création de mots de passe forts

Utiliser un mot de passe unique pour chaque compte

Un mot de passe fort ne fournit pas autant de protection si le mot de passe est révélé dans une violation de données. Le site web Ai-je été Pwned vous permet de vérifier si vos comptes ont été impliqués dans des violations de données stockées dans leur base de données. Si c'est le cas, vous devriez changer immédiatement les mots de passe pwned. L'utilisation de mots de passe uniques pour chaque compte réduit le risque que les pirates informatiques aient accès à tous vos comptes lorsque l'un de vos mots de passe est compromis.

Utiliser un gestionnaire de mots de passe

💡
Un gestionnaire de mots de passe prend soin de créer des mots de passe forts et uniques et de les retenir ! Nous recommandons fortement d'en utiliser un, et la plupart d'entre eux sont gratuits !

Se souvenir de mots de passe forts et uniques pour chaque compte que vous avez n'est pas idéal. Un gestionnaire de mots de passe offre un stockage sécurisé et chiffré pour tous vos mots de passe auxquels vous pouvez accéder par un seul mot de passe maître fort. Ils suggèrent également des mots de passe forts lors de l'inscription à un nouveau service, de sorte que vous n'ayez pas à créer le vôtre. De nombreux gestionnaires de mots de passe vous diront également si vous avez été impliqué dans une violation de données, vous permettant de modifier les mots de passe avant toute attaque malveillante.

Exemple d'utilisation d'un gestionnaire de mots de passe

Essayez un gestionnaire de mots de passe :

Utiliser l'authentification à deux facteurs

Pour prouver que vous etes réellement vous , il existe différentes preuves uniques qui peuvent être utilisées pour l'authentification. Ces preuves ou facteurs sont de trois sortes :

  • Quelque chose que vous connaissez (comme un mot de passe ou une question de sécurité)
  • Quelque chose que vous êtes (comme une empreinte digitale ou un scanner iris/facial)
  • Quelque chose que vous possédez (une clé de sécurité ou une application d'authentification sur votre téléphone)

L'utilisation de l'authentification à deux facteurs (2FA) fournit un facteur de sécurité supplémentaire pour vos comptes en ligne, afin que la connaissance de votre mot de passe seul (quelque chose que vous savez) ne soit pas suffisante pour accéder à un compte. Le plus souvent, le second facteur est un code temporaire aléatoire à 6 chiffres, appelé mot de passe à usage unique basé sur le temps (TOTP ou time-based one-time password), auquel vous accédez par une application d'authentification comme Google Authentifactor ou Authy. Cette méthode est un facteur « Que vous possédez », car la clé racine qui génére les code temporaires est stocké sur votre appareil.

🔒
Note : Utiliser l'envoi d'un code SMS comme 2FA n'est pas une méthode sûre à cause des possibilités de piratage de la SIM . Pour une sécurité maximale, utilisez un service comme Google Authentificator ou Authy.

Clés de sécurité

Pour ceux qui veulent une 2FA encore plus securisée, pensez à utiliser une clé de sécurité. Les clés de sécurité sont des systèmes d'authentification matériels, qui fonctionnent de la même manière que les solutions d'authentification logicielles. Utiliser une clé de sécurité est la solution 2FA la plus sécurisée. Beaucoup de ces clés utilisent la norme universelle d'authentification à deux facteurs (U2F), FIDO. A propos de FIDO U2F.

En savoir plus sur la 2FA :

Désinstaller les extensions du navigateur

Les extensions de navigateur comme les extensions Chrome ou les modules complémentaires pour Firefox peuvent agrémenter les fonctionnalités et l'expérience utilisateur, mais elles comportent des risques. Par défaut, la plupart des extensions des navigateurs demandent un accès avec des droits de « lecture et écriture », leur permettant de faire presque tout de vos données. Les extensions Chrome se mettent à jours automatiquement, ainsi les mises à jours peuvent introduire un code malicieux sur une extension auparavant sûre. La plupart des extensions des navigateurs ne cherchent pas à voler vos données, mais c'est un risque à prendre en compte.

Bonnes pratiques :

  • N'installer que des extensions d'éditeurs de confiance
  • Désinstaller les extensions de navigateur non-utilisées
  • Installez les extensions Chrome localement pour arrêter la mise à jour automatique (Avancé)

En savoir plus sur les risques liés aux extensions des navigateurs

Le b.a.-ba de la sécurité de votre cryptomonnaie

Approfondir vos connaissances

L'une des principales raisons pour lesquelles les gens se font arnaquer dans l'univers des cryptomonnaies est souvent le manque de compréhension. Par exemple, si vous ne comprenez pas que le réseau Ethereum est décentralisé et n'appartient à personne, il est facile de devenir la cible de quelqu'un qui prétend faire partie de l'équipe de support et qui vous promet de vous rendre vos ETH perdus en échange de vos clés privées. S'informer sur le fonctionnement d'Ethereum est un investissement qui en vaut la peine.

Sécurité du portefeuille

Ne divulguez pas vos clés privées

Ne partagez jamais vos clés privées, pour quelque raison que ce soit !

La clé privée de votre portefeuille fait office de mot de passe pour votre portefeuille Ethereum. Il s'agit de la seule chose qui empêche quelqu'un qui connaît l'adresse de votre portefeuille de vider votre compte de ses actifs !

Ne faites pas de captures d'écran de vos phrases secrètes/clés privées

En faisant une une capture d'écran de vos phrases secrètes ou de vos clés privées, vous risquez de les synchroniser sur le cloud et donc de les rendre potentiellement accessibles aux pirates informatiques. Récupérer les clés privées du cloud est un vecteur d'attaque prisé des pirates.

Utiliser un portefeuille matériel

Les portefeuilles matériels permettent le stockage hors-ligne de vos clés privées. Ils sont considérés comme l'option de portefeuille la plus sûre pour stocker vos clés privées.

Garder vos clés privées hors-ligne réduit significativement le risque qu'elles soient compromises, même si un pirate venait à prendre le contrôle de votre ordinateur.

Essayez un portefeuille matériel :

Vérifier deux fois vos transactions avant l'envoi

Envoyer de la cryptomonnaie par accident à la mauvaise adresse de portefeuille est une erreur courante. Une transaction envoyée sur Ethereum est irréversible. À moins que vous ne connaissiez le propriétaire de l'adresse bénéficiaire et que vous puissiez la convaincre de vous renvoyer votre argent, il n'y aura aucun moyen pour vous de récupérer vos fonds.

Assurez-vous toujours que l'adresse spécifiée correspond exactement à l'adresse destinataire souhaitée avant d'envoyer une transaction. Il est également recommandé lorsque vous interagissez avec un contrat intelligent de lire le message de transaction avant de signer.

Fixer des limites de dépenses pour les contrats intelligents

Lorsque vous interagissez avec des contrats intelligents, n'autorisez pas des plafonds de dépenses illimités. Une autorisation de dépenses illimitées peut permettre au contrat intelligent de vider votre portefeuille. Au lieu de cela, fixez plutôt des limites de dépenses correspondant uniquement au montant nécessaire à la transaction.

De nombreux portefeuilles Ethereum offrent des limites de sécurité pour éviter que vos comptes ne soient vidés.

Explorer les portefeuilles proposant des limites de sécurité

Arnaques courantes

Les escrocs chercheront toujours des moyens de vous soutirer de l'argent. Il est impossible de les stopper complètement leurs activités, mais nous pouvons les rendre moins efficaces en étant conscients de la plupart des techniques utilisées. Il existe de nombreuses variantes de ces arnaques, mais elles suivent généralement les mêmes schémas de base. Quoi qu'il en soit, souvenez-vous :

  • soyez toujours sur vos gardes
  • personne ne vous offrira des ETH gratuits ou en "promotion"
  • personne n'a besoin d'accéder à vos clés privées ni à vos informations personnelles

Arnaques à la distribution de cadeaux

Une des arnaques les plus courantes dans les cryptomonnaies est l'anarque à la distribution de cadeaux. Cette arnaque peut prendre de nombreuses formes, mais le principe général est que si vous envoyez des ETH à l'adresse fournie, vous recevez le double de vos ETH envoyés en retour. Pour cette raison, cette arnaque est aussi connue sous le nom d'anarque du 2 pour 1.

En général, ces arnaques imposent une durée limitée pour recevoir les cadeaux afin de favoriser la précipitation et de créer un faux sentiment d'urgence.

Piratage sur les réseaux sociaux

Une telle situation s'est produite en juillet 2020, lorsque les comptes Twitter de célébrités et d'importantes sociétés ont été piratés. Le pirate a simultanément posté un évènement de distribution de Bitcoin sur les comptes piratés. Bien que les tweets trompeurs aient été rapidement signalés et supprimés, les pirates ont quand-même réussi à disparaître avec 11 bitcoins (soit 500 000 $ en septembre 2021).

Une arnaque sur Twitter

Distribution de cadeaux par une célébrité

La distribution de cadeaux par une célébrité est une variante courante de l'arnaque à la distribution de cadeaux. Les escrocs récupèrent une interview vidéo ou une conférence donnée par une célébrité et la diffusent en direct sur YouTube - en faisant croire que la célébrité en question donnait une interview vidéo en direct pour faire la promotion d'un évènement de distribution de cryptomonnaies.

Vitalik Buterin est le plus souvent utilisé dans cette arnaque, mais de nombreuses autres personnalités impliquées dans l'univers des cryptomonnaies le sont aussi (ex : Elon Musk et Charles Hoskinson). Le fait de montrer une personne connue donne à la diffusion en direct un semblant de légitimité (c'est un peu louche, mais Vitalik est de la partie, alors ça doit être bon !).

Les distributions de cadeaux sont toujours des arnaques. Si vous envoyez de l'argent sur ces comptes, vous les perdrez pour toujours.

Une arnaque sur YouTube

Arnaques à la fausse assistance

Les cryptomonnaies sont une technologie relativement jeune et mal comprise. Une arnaque fréquente qui en profite est l'arnaque à la fausse assistance, dans laquelle les escrocs vont se faire passer pour un agent d'assistance de portefeuilles, de plateformes d'échange ou de blockchains.

La majorité des discussions autour d'Ethereum ont lieu sur Discord. Les escrocs à la fausse assistance trouveront généralement leur cible en cherchant des demandes d'assistance dans les salons Discord publics, pour ensuite envoyer une proposition d'assistance à leur proie par message privé. En instaurant un climat de confiance, les escrocs vont tenter de vous pousser à divulguer vos clés privées ou à envoyer votre argent vers leurs portefeuilles.

Une arnaque à la fausse assistance sur Discord

En principe, l'équipe d'Ethereum ne communiquera jamais avec vous par le biais de canaux privés non officiels. Quelques choses simples à garder en tête lorsque vous obtenez de l'aide :

  • Ne partagez jamais vos clés privées, vos phrases secrètes ou vos mots de passe
  • Ne donnez à personne un accès à distance à votre ordinateur
  • Ne communiquez jamais en dehors des canaux prévus par l'organisation
🔒
Attention : Bien que les arnaques à la fausse assistance se produisent généralement sur Discord, elles peuvent aussi vous arriver sur toutes les plateformes où des discussions autour de la cryptomonnaie ont lieu, y compris par e-mail.

Arnaques par hameçonnage

Les arnaques par hameçonnage représentent un autre vecteur d'attaque fréquent que les escrocs utilisent pour essayer de vider votre portefeuille.

Certains e-mails d'hameçonnage demandent aux utilisateurs de cliquer sur des liens qui les redirigeront vers des sites web factices, leur demandant de saisir leur phrase secrète, de réinitialiser leur mot de passe ou encore d'envoyer des ETH. D'autres peuvent vous demander d'installer un logiciel malveillant à votre insu, qui infectera votre ordinateur et donnera accès aux escrocs à vos fichiers.

Si vous recevez un e-mail de la part d'un expéditeur inconnu, rappelez-vous :

  • N'ouvrez jamais un lien ou une pièce jointe venant d'une adresse e-mail que vous ne connaissez pas
  • Ne partagez vos informations personnelles ou vos mots de passe à personne
  • Supprimez les e-mails qui viennent d'expéditeurs inconnus

En savoir plus sur comment éviter les arnaques par hameçonnage

Arnaques au faux courtier en cryptomonnaie

Les faux courtiers d'échange de cryptomonnaie prétendent être des courtiers spécialisés en cryptomonnaie et vous proposeront de prendre la vôtre en charge pour l'investir en votre nom. Des garanties de rendements irréalistes accompagnent généralement leur offre. Une fois que l'escroc aura reçu vos fonds, il pourra vous inciter à en envoyer d'autres, afin que vous ne manquiez pas d'autres gains d'investissement, ou il pourra disparaître complètement.

Ces courtiers frauduleux trouvent leur cible en utilisant de faux comptes sur YouTube afin d'engager une discussion d'apparence normale sur le courtier. Ces discussions reçoivent souvent un nombre important de votes positifs pour en accroître la légitimité, mais ces votes proviennent tous de robots.

Ne faites pas confiance à des inconnus sur Internet pour investir en votre nom. Vous allez perdre votre argent.

Une arnaque au faux courtier sur YouTube

Arnaques au groupe de minage

Les arnaques au liées groupe de minage impliquent que des personnes vous contactent sans que vous les ayez sollicitées et vous disent que vous pouvez gagner beaucoup d'argent en faisant partie d'un groupe de minage Ethereum. L'escroc vous fera des promesses et restera en contact avec vous le temps qu'il faudra. Concrètement, l'escroc va essayer de vous faire croire qu'en rejoignant un groupe de minage Ethereum, votre cryptomonnaie sera utilisée pour créer de l'ETH et que vous recevrez des dividendes sous la forme d'ETH. Ce qui finira par se produire, c'est que vous remarquerez que votre cryptomonnaie génère de petits profits. Il s'agit simplement d'un piège pour vous inciter à investir davantage. Au bout du compte, tous vos fonds investis seront envoyés à une adresse inconnue et l'escroc disparaîtra ou, dans certains cas, restera en contact avec vous, comme cela s'est produit dans une affaire récente.

Pour résumer, méfiez-vous des personnes qui vous contactent sur les réseaux sociaux pour vous proposer de rejoindre un groupe de minage. Une fois que vous avez perdu votre cryptomonnaie, il est trop tard.

Quelques points à retenir :

  • Méfiez-vous de toute personne qui vous contacte pour vous proposer des moyens de gagner de l'argent avec votre cryptomonnaie
  • Faites des recherches sur la mise en jeu, les pools de liquidités et autres moyens d'investir votre cryptomonnaie
  • De telles démarches sont rarement, voire jamais légitimes. Si elles l'étaient, elles seraient probablement grand public et vous en auriez entendu parler.

Un individu perd 200 000 dollars dans une arnaque au groupe de minage

Arnaque au jeton « Eth2 »

Avec l'approche de la fusion, qui se produira en 2022, les escrocs ont profité de la confusion autour du terme « Eth2 » pour essayer de faire en sorte que les utilisateurs échangent leur ETH contre un jeton « ETH2 ». Il n'y a pas de jeton « ETH2 » ni d'autre jeton introduit par la fusion. L'ETH que vous possédez à l'heure actuelle va rester le même ETH après la fusion, et il n'est pas nécessaire de faire un quelconque échange avec votre ETH d'ici la fusion.

Les escrocs peuvent apparaître sous la forme d'une « assistance » vous indiquant que si vous déposez votre ETH, vous recevrez en retour « ETH2 ». Il n'y a pas de support Ethereum officiel, et il n'y a pas de nouveau jeton. Ne partagez jamais la phrase de départ de votre portefeuille avec qui que ce soit.

Remarque : il existe des jetons/téléscripteurs dérivés qui peuvent représenter une mise ETH (ex. rETH de Rocket Pool, stETH de Lido, ETH2 de Coinbase), mais ce ne sont pas des éléments vers lesquels vous devriez « migrer ».

Arnaques par Airdrop

Les arnaques aux jetons airdrop consistent en un projet factice qui distribue un airdrop d'actif (NFT, jeton) dans votre portefeuille (wallet) et vous renvoie vers un faux site pour réclamer l'actif que vous avez récupéré. Vous serez invité à vous connecter avec votre portefeuille Ethereum et à « autoriser » une transaction lors d'une tentative de réclamation. Cette transaction compromet votre compte en envoyant vos clés publiques et privées à l'escroc. Une forme alternative de cette arnaque peut consister à vous demander de confirmer une transaction qui envoie des fonds sur le compte de l'escroc.

En savoir plus sur les arnaques par Airdrop

Complément d'information

Sécurité sur le Web

Sécurité des cryptomonnaies

Prévention des arnaques

Cet article vous a été utile ?