Guide de sécurité des actifs pour la fête du Printemps : comment protéger vos tokens pendant que vous rendez visite à votre famille et à vos amis ?
TechFlow SélectionTechFlow Sélection
Guide de sécurité des actifs pour la fête du Printemps : comment protéger vos tokens pendant que vous rendez visite à votre famille et à vos amis ?
Le Nouvel An lunaire est un moment où le rythme ralentit, et constitue la fenêtre temporelle la plus propice de l’année pour réorganiser sa structure de risques.
Dédié à des analyses Web3 approfondiesRédaction : imToken
À l’approche du Nouvel An lunaire, période de renouveau où l’on dit adieu à l’ancien pour accueillir le nouveau, il est également temps de faire un bilan :
Au cours de la dernière année, avez-vous été victime d’un « rug pull » ? Avez-vous acheté des actifs sur les conseils d’un KOL influent, pour aussitôt vous retrouver « en poste de garde » (c’est-à-dire avec une position perdante) ? Ou encore, avez-vous subi des attaques de phishing de plus en plus sophistiquées, entraînant des pertes dues à un clic involontaire sur un lien malveillant ou à une signature non vérifiée d’un contrat ?
Objectivement parlant, le Nouvel An lunaire ne crée pas de risques en soi, mais il peut très bien les amplifier — lorsque la fréquence des mouvements de fonds augmente, que l’attention est distraite par les festivités, et que le rythme des transactions s’accélère, la moindre erreur devient plus susceptible de se transformer en perte concrète.
Si vous envisagez d’ajuster vos positions ou de réorganiser vos fonds pendant la période des vacances, prenez donc le temps de réaliser un « bilan de sécurité pré-festif » pour votre portefeuille. Cet article aborde plusieurs scénarios de risque réels et fréquents, afin de vous indiquer concrètement ce que les utilisateurs ordinaires peuvent faire.
I. Méfiez-vous des escroqueries impliquant le « deepfake vidéo » et la synthèse vocale
Le récent engouement généralisé autour de SeeDance 2.0 nous rappelle une vérité incontournable : dans une ère où l’intelligence générale artificielle (AGI) s’immisce de plus en plus profondément dans notre quotidien, le principe selon lequel « ce que l’on voit est vrai, ce que l’on entend est fiable » n’est plus valable.
En effet, dès 2025, les technologies d’escroquerie vidéo et vocale basées sur l’IA sont devenues nettement plus matures : clonage vocal, substitution faciale (deepfake), imitation en temps réel des expressions faciales et simulation du ton de la voix ont tous atteint un stade « industriel », caractérisé par une faible barrière à l’entrée et une capacité de reproduction à grande échelle.
Il est désormais possible, grâce à l’IA, de reproduire avec une précision remarquable la voix, le débit, les habitudes de pause, voire les micro-expressions d’une personne. Ce phénomène rend le risque particulièrement élevé durant le Nouvel An lunaire.
Imaginez que, pendant votre voyage de retour au pays ou lors d’une pause entre deux rassemblements familiaux, une notification apparaît sur votre téléphone : un « ami » de votre carnet d’adresses vous envoie, via Telegram ou WeChat, un message vocal ou vidéo, avec une urgence manifeste — il affirme que son compte est bloqué, qu’il a besoin d’un petit montant pour envoyer un « paquet rouge » (enveloppe contenant de l’argent), ou qu’il doit avancer temporairement une petite somme en jetons, et vous demande de transférer immédiatement des fonds.
La voix semble parfaitement naturelle ; la vidéo même montre « une personne réelle ». Dans ces conditions, où votre attention est déjà dispersée par les festivités, comment allez-vous procéder pour vérifier l’identité de l’interlocuteur ?
Au cours des années précédentes, la vérification vidéo était presque la méthode la plus fiable. Aujourd’hui toutefois, même si la personne vous parle en direct via sa caméra, cela ne garantit plus à 100 % son authenticité.
Dans ce contexte, se fier uniquement à une vidéo ou à un message vocal ne suffit plus pour authentifier une personne. Une approche plus sûre consiste à établir, avec vos proches (famille, associés, partenaires de longue date), un mécanisme de vérification indépendant des canaux numériques — par exemple, un mot de passe hors ligne connu uniquement des deux parties, ou des questions reposant sur des détails impossibles à déduire à partir d’informations publiques.
Par ailleurs, il convient aussi de reconsidérer un type de risque courant : celui lié au partage de liens par des personnes de confiance. En effet, durant le Nouvel An lunaire, les termes « enveloppes rouges sur la blockchain » ou « avantages liés à des airdrops » deviennent facilement des vecteurs de diffusion virale dans l’écosystème Web3. Beaucoup ne sont pas trompés par des inconnus, mais cliquent sur des pages d’autorisation soigneusement falsifiées simplement parce qu’elles leur ont été envoyées par des personnes qu’ils connaissent et en qui ils ont confiance.
Il faut donc garder à l’esprit un principe simple, mais extrêmement important : ne cliquez jamais directement sur un lien provenant d’une plateforme sociale, quelle qu’elle soit, et surtout n’accordez aucune autorisation — même si ce lien vous est envoyé par une « connaissance ».
Toutes les opérations sur la blockchain devraient idéalement être effectuées depuis des canaux officiels, des URL favorites ou des entrées fiables, et non depuis une fenêtre de discussion.
II. Procédez à un « grand ménage annuel » de votre portefeuille
Si la première catégorie de risques provient de la falsification technologique de la confiance, la deuxième découle des vulnérabilités cachées que nous accumulons progressivement nous-mêmes.
Comme chacun le sait, l’autorisation (« approval ») constitue l’un des mécanismes les plus fondamentaux — et pourtant les plus souvent négligés — du monde DeFi. Lorsque vous interagissez avec une application décentralisée (DApp), vous accordez en réalité à un contrat intelligent le droit de gérer certains de vos jetons. Cette autorisation peut être ponctuelle ou illimitée, temporaire ou permanente — elle peut même rester active bien après que vous l’ayez complètement oubliée.
En soi, elle ne constitue pas forcément un risque immédiat, mais elle représente une exposition continue aux menaces. Beaucoup d’utilisateurs pensent à tort que tant que leurs actifs ne sont pas détenus directement par un contrat, ils ne courent aucun risque. Or, durant les cycles haussiers, on expérimente fréquemment de nouveaux protocoles, on participe à des airdrops, à des stakings, à des activités de minage ou à diverses interactions sur la blockchain, accumulant ainsi un nombre croissant d’autorisations. Lorsque l’engouement retombe, beaucoup de ces protocoles cessent d’être utilisés — sans que les autorisations correspondantes soient révoquées.
Avec le temps, ces autorisations historiques superflues deviennent autant de clés abandonnées, dont personne ne se soucie plus. Si l’un des protocoles concernés, que vous avez depuis longtemps oublié, présente une faille dans son code, vos actifs peuvent alors être exposés à des pertes importantes.
Or, le Nouvel An lunaire constitue un moment naturel pour procéder à ce genre de réorganisation. Profitez de cette période relativement calme juste avant les festivités pour examiner systématiquement vos autorisations enregistrées — une démarche hautement recommandée :
Concrètement, vous pouvez révoquer toutes les autorisations liées à des protocoles que vous n’utilisez plus, en particulier celles accordant un accès illimité ; limiter les autorisations accordées à vos principaux actifs détenus couramment, plutôt que d’octroyer systématiquement un accès complet à l’ensemble de votre solde ; et séparer strictement la gestion des actifs destinés à une conservation à long terme de celle des actifs mobilisés régulièrement, en instaurant une architecture claire entre portefeuille chaud (hot wallet) et portefeuille froid (cold wallet).
Autrefois, de nombreux utilisateurs devaient recourir à des outils externes (par exemple le site revoke.cash) pour effectuer ce type de vérification. Aujourd’hui, la plupart des portefeuilles Web3 populaires intègrent nativement des fonctions de détection et de révocation des autorisations, permettant de consulter et gérer directement depuis l’interface du portefeuille l’ensemble de vos autorisations historiques.
En définitive, la sécurité d’un portefeuille ne repose pas sur le fait de ne jamais accorder d’autorisations, mais sur le principe du « moindre privilège » : accorder uniquement les permissions strictement nécessaires à l’instant T, et les retirer dès qu’elles ne sont plus utiles.
III. Ne relâchez pas votre vigilance lors de vos déplacements, dans vos échanges sociaux ou lors de vos opérations quotidiennes
Si les deux premières catégories de risques découlent respectivement de l’évolution technologique et de l’accumulation d’autorisations, la troisième provient quant à elle des changements environnementaux.
Les déplacements liés au Nouvel An lunaire (retour au pays, voyages, visites familiales) impliquent souvent des changements fréquents d’appareils, des environnements réseau complexes et des interactions sociales intensives. Dans de telles conditions, la fragilité liée à la gestion des clés privées et aux opérations quotidiennes est fortement amplifiée.
La gestion des mnémoniques (« seed phrase ») en fournit un exemple emblématique. Prendre une capture d’écran de sa phrase mnémonique pour la stocker dans la galerie photo de son smartphone ou dans un espace de stockage en nuage (cloud), ou encore l’envoyer via un service de messagerie instantanée à soi-même, répond souvent à un souci de commodité — or, dans un contexte mobile, cette facilité devient précisément la source du plus grand danger.
Souvenez-vous donc bien : la phrase mnémonique doit impérativement être conservée hors ligne, isolée physiquement, et ne doit jamais être stockée sur aucun support connecté à Internet. La sécurité fondamentale de votre clé privée repose sur son isolement total du réseau.
Les interactions sociales exigent également une conscience claire des limites à ne pas franchir. Afficher publiquement, lors d’un rassemblement festif, la valeur de vos actifs ou discuter ouvertement de vos positions détenues peut sembler anodin, mais cela peut créer des vulnérabilités exploitables par la suite. Il convient de se méfier encore davantage des individus qui, sous prétexte d’« échanger des expériences » ou de « dispenser un enseignement », vous incitent à télécharger une application ou une extension de portefeuille frauduleuse.
Tous les téléchargements et mises à jour de portefeuilles doivent impérativement s’effectuer via des canaux officiels, et non via un lien transmis dans une conversation sociale.
En outre, avant toute transaction, assurez-vous toujours de vérifier trois éléments essentiels : le réseau cible, l’adresse de destination et le montant transféré. Des cas nombreux et documentés montrent que des investisseurs importants (« whales ») ont perdu d’importantes sommes d’actifs en raison d’attaques basées sur des adresses présentant des similitudes aux extrémités (« address similarity attacks »). Ces attaques de phishing se sont d’ailleurs largement industrialisées ces six derniers mois :
Les pirates génèrent massivement des adresses blockchain aux combinaisons initiales et finales variées, constituant ainsi une « banque de graines » prête à l’emploi. Dès qu’une adresse issue de cette banque reçoit un transfert de fonds, les attaquants recherchent immédiatement, au sein de leur base, une autre adresse dont les caractères initiaux et finaux correspondent exactement, puis déclenchent automatiquement une transaction liée via un contrat intelligent — lançant ainsi une campagne de pêche à la ligne (« spray and pray ») en attendant leurs victimes.
Certains utilisateurs copient directement l’adresse de destination depuis l’historique de leurs transactions, en ne vérifiant que les quelques premiers et derniers caractères — ce qui les rend vulnérables. Comme l’explique Cosimo, fondateur de SlowMist : « Les attaques fondées sur la similarité des extrémités relèvent d’une stratégie de pêche à la ligne : on jette un filet large, et on espère que certaines personnes mordront à l’hameçon — c’est un jeu de probabilités. »
Étant donné le coût très faible des frais de transaction (gas), les attaquants peuvent « empoisonner » des centaines, voire des milliers d’adresses, dans l’espoir qu’un petit nombre d’utilisateurs commettent une erreur lors d’un copier-coller. Un seul succès suffit à générer un profit largement supérieur aux coûts engagés.
Ces problèmes ne tiennent pas à une complexité technique excessive, mais bien à nos habitudes quotidiennes d’utilisation :
- Vérifiez intégralement chaque caractère de l’adresse, et non seulement ses extrémités ;
- Ne copiez pas aveuglément une adresse de destination depuis l’historique des transactions sans l’avoir préalablement vérifiée ;
- Avant d’effectuer un premier transfert vers une nouvelle adresse, testez d’abord avec un montant très faible ;
- Privilégiez la fonction de « liste blanche d’adresses » (address whitelist), afin de gérer de façon fixe et sécurisée vos adresses habituelles ;
Dans l’écosystème décentralisé actuel, dominé par les comptes EOA (Externally Owned Accounts), chaque utilisateur demeure, à la fois, sa propre première responsabilité et sa dernière ligne de défense.
Conclusion
Beaucoup considèrent le monde blockchain comme trop dangereux, et jugent qu’il n’est pas adapté aux utilisateurs ordinaires.
Il est objectivement exact que Web3 ne saurait offrir un univers exempt de tout risque. Toutefois, il peut bel et bien devenir un environnement dans lequel les risques sont maîtrisables.
Le Nouvel An lunaire, moment de ralentissement du rythme, constitue aussi la période idéale de l’année pour réexaminer et réorganiser sa structure de risques. Plutôt que d’effectuer des opérations précipitées pendant les festivités, mieux vaut anticiper et réaliser à l’avance ce bilan de sécurité. Plutôt que de chercher à réparer les dégâts après coup, il est préférable d’optimiser dès maintenant vos autorisations et vos habitudes d’utilisation.
Nous vous souhaitons à tous un Nouvel An lunaire paisible et serein, ainsi qu’une année nouvelle où vos actifs blockchain resteront stables et protégés.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@imTokenOfficial
