En janvier 2026, les attaques de phishing crypto ont coûté plus de 300 millions de dollars aux victimes dans le monde. Les attaques par signature ("signature phishing") ont bondi de 207% sur le même mois, vidant 4 700 wallets pour 6,27 millions de dollars. Le phishing n'est pas un vieux problème résolu. C'est le premier vecteur de vol en crypto, et il s'adapte plus vite que les protections.
J'ai vu passer des dizaines de cas ces derniers mois. Des gens qui connaissent la crypto depuis des années, qui se sont fait piéger par un faux mail MetaMask ou un lien sponsorisé Google. Ce n'est pas une question d'intelligence. C'est une question de vigilance, et personne n'est vigilant 100% du temps.
Le phishing par email : la base qui fonctionne encore
Le scénario classique : vous recevez un email de "Binance", "Coinbase" ou "MetaMask" qui vous alerte d'une activité suspecte sur votre compte. Le mail est bien formaté, avec le bon logo, le bon ton. Le lien vous mène vers un site clone. Vous entrez vos identifiants. L'attaquant les récupère en temps réel.
En janvier 2026, MetaMask a signalé une campagne de phishing qui se faisait passer pour une "mise à jour 2FA". Les victimes atterrissaient sur une interface clonée qui leur demandait de ressaisir leur phrase de récupération pour "valider la mise à niveau de sécurité". Rappel : aucun service légitime ne vous demandera jamais votre seed phrase en ligne.
Les outils de l'attaquant ont progressé. Les kits de phishing crypto se vendent sur Telegram pour quelques centaines de dollars. Certains intègrent des proxys inverses qui relaient vos identifiants en temps réel vers le vrai site, contournant même le 2FA classique par SMS. C'est pourquoi le 2FA par application (Google Authenticator, Authy) est nettement préférable au SMS.
Le phishing par signature : le piège invisible
Celui-là est plus vicieux parce qu'il ne vous demande pas vos identifiants. Il vous demande de signer un message avec votre wallet. Ça a l'air inoffensif. "Signez pour vous connecter", "Signez pour vérifier votre identité". Sauf que derrière cette signature anodine, l'attaquant obtient une approbation qui lui permet de transférer vos tokens.
Le problème : la plupart des wallets affichent les signatures sous forme de données hexadécimales illisibles. Vous ne savez pas ce que vous signez. Des outils comme Wallet Guard (intégré à MetaMask) ou Pocket Universe essaient de rendre ces signatures lisibles, mais la protection n'est pas parfaite.
Mon réflexe : si un site me demande de signer quelque chose et que je ne comprends pas pourquoi, je refuse. Et si j'ai un doute sur une approbation passée, je vérifie sur revoke.cash quelles autorisations j'ai données et je révoque ce qui me semble suspect.
L'address poisoning : l'arnaque paresseuse mais efficace
L'attaquant envoie une micro-transaction (0,001 USDT par exemple) depuis une adresse qui ressemble à la vôtre ou à celle d'un contact habituel. Les premiers et derniers caractères sont identiques. L'adresse apparaît dans votre historique de transactions.
La prochaine fois que vous voulez envoyer des fonds, vous copiez l'adresse depuis l'historique au lieu de la re-vérifier. Vous envoyez vos cryptos à l'attaquant. C'est bête, et ça marche justement parce que c'est bête. On ne vérifie pas 42 caractères hexadécimaux à chaque transaction.
La parade : ne copiez jamais une adresse depuis votre historique de transactions. Utilisez un carnet d'adresses (la plupart des exchanges en proposent un) et vérifiez au minimum les 8 premiers et 8 derniers caractères. Sur MetaMask, les contacts enregistrés aident à réduire ce risque.
Le faux Google Ads : le plus sournois
Vous tapez "MetaMask" ou "Uniswap" dans Google. Le premier résultat est une publicité. Le lien ressemble au vrai. Vous cliquez, vous arrivez sur un site clone, vous connectez votre wallet. Vos fonds disparaissent.
Google a renforcé ses politiques sur les pubs crypto, mais des publicités malveillantes passent encore entre les mailles du filet. En novembre 2025, plusieurs utilisateurs ont perdu des fonds via une fausse pub "Lido Staking" sur Google.
La solution la plus simple : enregistrez les sites que vous utilisez régulièrement en favoris. Ne passez jamais par un moteur de recherche pour accéder à votre exchange ou votre wallet.
Les signaux d'alerte à connaître
Certains signes doivent déclencher un réflexe de méfiance immédiat. Un email qui crée un sentiment d'urgence ("votre compte sera bloqué dans 24h"). Un lien avec un nom de domaine légèrement différent (binance-secure.com au lieu de binance.com). Un airdrop non sollicité de tokens inconnus dans votre wallet. Un DM sur Discord ou Telegram d'un "modérateur" qui vous demande de vérifier votre wallet.
Et le plus traître : un ami dont le compte a été compromis et qui vous envoie un lien "regarde ce projet". C'est arrivé à quelqu'un que je connais. Le lien vidait le wallet au clic sur "connect".
Comment se protéger concrètement
Quelques mesures qui réduisent le risque de manière significative. Utilisez un hardware wallet pour vos fonds à long terme. Les Ledger et Trezor demandent une confirmation physique pour chaque transaction, ce qui bloque la plupart des attaques de signature automatiques.
Séparez vos wallets. Un wallet "chaud" avec peu de fonds pour interagir avec la DeFi, et un wallet froid pour le stockage. Si le wallet chaud est compromis, vous perdez peu.
Installez une extension de détection de phishing comme Wallet Guard ou Pocket Universe. Elles analysent les transactions avant signature et vous alertent si quelque chose semble anormal. Ce n'est pas infaillible, mais ça attrape les attaques les plus courantes.
Et stockez votre seed phrase hors ligne. Gravée sur métal si vous êtes sérieux. Jamais dans un fichier texte, jamais dans un email, jamais en photo sur votre téléphone. Si quelqu'un obtient votre seed, il a accès à tout.
Que faire si vous vous êtes fait piéger
Agissez vite. Si vos identifiants d'exchange ont été volés : changez votre mot de passe immédiatement, révoquez les sessions actives, contactez le support. Si votre wallet a été compromis par une signature malveillante : révoquez les approbations sur revoke.cash et transférez vos fonds restants vers un nouveau wallet propre.
Si des fonds ont été volés : déposez plainte sur la plateforme THESEE en France, conservez toutes les preuves (adresses, transactions, captures d'écran). Et ne faites pas confiance aux "services de récupération" qui vous contacteront ensuite. Ce sont presque toujours des escrocs qui ciblent les victimes une deuxième fois.
Pour une protection plus large de vos actifs, notre guide de sécurité crypto complet couvre toutes les bonnes pratiques.
