Le paysage des menaces
Comprendre ce que vous protégez vous aide à établir les priorités :
Compromission de compte : Un attaquant accède à votre compte de plateforme d’échange via des mots de passe volés, du phishing ou un détournement de session. Il retire vos fonds.
Attaque par échange de SIM : Un attaquant persuade votre opérateur mobile de transférer votre numéro de téléphone vers sa carte SIM. Il peut alors réinitialiser vos mots de passe de compte et désactiver l’authentification à deux facteurs par SMS.
Phishing : Des e-mails, sites web ou messages contrefaits vous incitent à saisir vos identifiants sur un site frauduleux, ou à approuver une transaction malveillante.
Logiciel malveillant : Les enregistreurs de frappe, les détourneurs de presse-papiers ou les extensions de navigateur volent les identifiants ou remplacent les adresses de portefeuille copiées par des adresses d’attaquant.
Ingénierie sociale : Les attaquants se font passer pour le personnel d’assistance de l’exchange, des projets de cryptomonnaie ou d’autres parties de confiance pour vous manipuler et vous faire révéler des informations ou envoyer des fonds.
Le vecteur d’attaque le plus courant n’est pas du piratage technique sophistiqué, mais l’exploitation du comportement de l’utilisateur : mots de passe faibles, authentification à deux facteurs par SMS, liens de phishing ou identifiants réutilisés à partir de sites compromis.
Étape 1 : Activez l’authentification à deux facteurs (du bon type)
L’authentification à deux facteurs (2FA) ajoute une deuxième couche de vérification au-delà de votre mot de passe. Mais tous les 2FA ne sont pas égaux.
Applications TOTP (recommandé)
Time-based One-Time Password (TOTP) génère des codes à 6 chiffres qui changent toutes les 30 secondes. Ces codes sont générés localement sur votre appareil et ne sont jamais transmis sur le réseau, ce qui les rend résistants à l’interception.
Applications recommandées :
Comment l’activer sur la plupart des exchanges :
- Allez dans Compte > Sécurité > Authentification à deux facteurs
- Sélectionnez « Application Authenticator » (pas SMS)
- Scannez le code QR avec votre application authenticator
- Entrez le code à 6 chiffres pour vérifier la configuration
La clé de sauvegarde est cruciale. Si vous perdez votre téléphone, la clé de sauvegarde vous permet de restaurer vos codes 2FA. Sans elle, la récupération de l’accès à votre compte nécessite une vérification d’identité auprès de l’équipe d’assistance de l’exchange — un processus lent et frustrant.
SMS 2FA (non recommandé)
SMS 2FA envoie un code à votre téléphone par SMS. Cela semble sécurisé, mais c’est vulnérable aux attaques par échange de SIM où un attaquant porte votre numéro.
Les attaques par échange de SIM sont étonnamment faciles. Les attaquants appellent les opérateurs mobiles avec des informations personnelles basiques (souvent achetées auprès de courtiers de données ou obtenues via les réseaux sociaux) et réussissent à porter des numéros de téléphone avec une fréquence alarmante. Une fois qu’ils ont votre numéro, ils peuvent réinitialiser les mots de passe et contourner le 2FA par SMS.
Si un exchange n’offre que le 2FA par SMS, acceptez-le comme mieux que rien. Mais si vous avez le choix, utilisez toujours une application authenticator.
Clés de sécurité matérielles (avancé)
Les clés de sécurité physiques (YubiKey, Google Titan Key) offrent le 2FA le plus sûr disponible. Le branchement de la clé et l’appui dessus complètent l’authentification — pas de codes à intercepter. Supporté sur Coinbase, Gemini et certains autres exchanges. Fortement recommandé pour les grands portefeuilles.
Étape 2 : Utilisez un mot de passe fort et unique
Votre mot de passe d’exchange doit être :
Chaque année, des milliards de combinaisons identifiant/mot de passe provenant de sites compromis sont échangées en ligne. Si votre mot de passe d’exchange est le même que celui de votre e-mail, service de streaming ou tout autre compte, et que l’un de ces comptes est compromis, votre compte d’exchange est automatiquement compromis via « credential stuffing ».
Utilisez un gestionnaire de mots de passe
Un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) génère et stocke des mots de passe aléatoires uniques pour chaque site. Vous mémorisez un mot de passe maître ; le gestionnaire gère tout le reste.
Bitwarden est open-source, gratuit pour un usage personnel, et a été audité de manière indépendante. C’est un excellent point de départ.
Après avoir mis en place un gestionnaire de mots de passe :
- Générez un nouveau mot de passe aléatoire pour votre compte d’exchange
- Mettez à jour le mot de passe d’exchange
- Assurez-vous que votre compte e-mail a également un mot de passe fort et unique — c’est la clé de récupération de tout le reste
Étape 3 : Sécurisez votre compte e-mail
Votre compte e-mail est la clé maître de tous vos comptes d’exchange. La réinitialisation du mot de passe, les confirmations de retrait et les alertes de sécurité passent tous par e-mail. Si un attaquant a accès à votre e-mail, il peut accéder à votre exchange.
Sécurisez votre e-mail avec :
- Un mot de passe fort et unique (via gestionnaire de mots de passe)
- Une application authenticator pour le 2FA (pas SMS)
- Des options de récupération qui ne pointent pas vers des comptes vulnérables ou des numéros de téléphone
Utilisez une adresse e-mail dédiée pour les comptes de cryptomonnaie — séparée de votre e-mail quotidien. Cela réduit l’exposition au phishing (vous savez que tout e-mail lié à la cryptomonnaie adressé à votre adresse principale est suspect) et isole votre activité de cryptomonnaie.
Étape 4 : Activez la mise en liste blanche des adresses de retrait
La plupart des principaux exchanges offrent une fonctionnalité de mise en liste blanche des adresses de retrait. Lorsqu’elle est activée, votre compte ne peut envoyer de cryptomonnaie que vers des adresses que vous avez pré-approuvées. L’ajout d’une nouvelle adresse nécessite :
- Une confirmation via e-mail
- Un délai d’attente obligatoire (généralement 24-48 heures)
C’est une couche de sécurité extrêmement puissante. Même si un attaquant compromet complètement votre compte, il ne peut pas retirer de fonds jusqu’à ce qu’il accède également à votre e-mail et attende le délai de refroidissement — ce qui vous donne le temps de détecter la violation et de le bloquer.
Activez sur Binance : Compte > Sécurité > Gestion des adresses de retrait > Activer la liste blanche
Activez sur Coinbase : Paramètres > Sécurité > Adresses autorisées
Activez sur Kraken : Compte > Sécurité > Verrouillage des paramètres mondiaux (offre une protection similaire)
Étape 5 : Définissez un code anti-phishing (Binance)
Binance offre une fonctionnalité de code anti-phishing unique à cette plateforme. Vous définissez une courte phrase personnalisée, et chaque e-mail Binance légitime l’inclut. Si vous recevez un e-mail de marque Binance sans votre code, c’est une tentative de phishing.
Définissez-le à : Compte > Sécurité > Sécurité avancée > Code anti-phishing
Pour les autres exchanges sans cette fonctionnalité, vérifiez mentalement chaque e-mail en vérifiant : Attendais-je cet e-mail ? L’adresse d’envoi correspond-elle exactement au domaine officiel de l’exchange ? Le lien va-t-il au domaine officiel ?
Étape 6 : Gérez les limites de retrait et les clés API
Limites de retrait
Certains exchanges vous permettent de définir des limites de retrait quotidiennes personnelles inférieures aux limites par défaut de l’exchange. Cela limite les dégâts d’un compte compromis. Définissez cela à un niveau approprié pour votre activité habituelle.
Sécurité des clés API
Si vous utilisez des robots de trading, des traceurs de portefeuille ou d’autres outils tiers qui se connectent via API :
- Créez des clés API séparées pour chaque application
- Ne accordez jamais les permissions de retrait aux clés API utilisées par les services tiers — les permissions de lecture seule et de trading uniquement suffisent pour la plupart des cas d’usage
- Examinez et supprimez régulièrement les clés API inutilisées
- Ne partagez jamais les clés API dans un ticket d’assistance, un message Discord ou un formulaire
Les clés API avec permissions de retrait sont aussi dangereuses que les identifiants de compte. Un attaquant ayant une clé API avec permission de retrait peut vider votre compte sans avoir besoin de votre mot de passe ou de votre 2FA.
Étape 7 : Ne laissez pas les fonds sur les exchanges à long terme
Les exchanges sont des cibles. Tous les principaux exchanges ont connu une certaine forme d’incident de sécurité — piratage, vol interne, pannes techniques ou saisie réglementaire. L’histoire de la cryptomonnaie est parsemée d’échecs d’exchanges : Mt. Gox (850 000 BTC, 2014), FTX (8 milliards de dollars, 2022), piratage de Bitfinex (2016, partiellement récupéré), Cryptopia, QuadrigaCX.
La règle : Ne conservez sur un exchange que ce dont vous avez besoin activement pour le trading. Les économies à long terme doivent être en auto-garde.
L’auto-garde signifie détenir de la cryptomonnaie dans un portefeuille où vous contrôlez les clés privées :
« Pas vos clés, pas vos pièces » est le principe fondateur de Bitcoin et reste pertinent pour toute détention importante de cryptomonnaie.
Étape 8 : Reconnaître et éviter le phishing
Le phishing est le moyen le plus courant de compromettre les comptes d’exchange. Les attaquants créent des e-mails et des sites web contrefaits convaincants pour voler les identifiants.
Signaux d’alerte dans les e-mails
- Urgence ou peur : « Votre compte sera suspendu dans 24 heures »
- Salutations génériques : « Cher client » au lieu de votre nom
- Adresse d’envoi suspecte : binance-security@gmail.com au lieu de @binance.com
- Des liens qui ne vont pas au domaine officiel
- Demandes de votre phrase secrète, mot de passe ou code 2FA (les exchanges ne demandent jamais cela)
Habitudes de navigation sûre
- Vérifiez l’URL dans la barre d’adresse du navigateur avant d’entrer vos identifiants
- Activez la protection contre le phishing de votre navigateur
- Utilisez une clé de sécurité matérielle si disponible — les sites de phishing ne peuvent pas l’utiliser même si vous vous connectez accidentellement
Stratégie de stockage à froid pour les grandes quantités
Pour les avoirs importants (tout ce que vous seriez dévasté de perdre), la recommandation standard est :
Liste de contrôle rapide de la sécurité
- [ ] Authentification 2FA via application authenticator activée (pas SMS)
- [ ] Mot de passe fort et unique (via gestionnaire de mots de passe)
- [ ] Adresse e-mail dédiée pour la cryptomonnaie
- [ ] Mise en liste blanche des adresses de retrait activée
- [ ] Code anti-phishing défini (utilisateurs de Binance)
- [ ] Clés API auditées — permissions de retrait révoquées de toutes les applications tierces
- [ ] Exchange mis en marque-page — jamais d’utilisation de liens e-mail
- [ ] Avoirs à long terme déplacés vers portefeuille matériel
Questions fréquemment posées
Quelle méthode 2FA est la plus sécurisée ?
Les clés de sécurité matérielles (YubiKey) sont les plus sécurisées, suivies par les applications authenticator TOTP (Google Authenticator, Authy). Le 2FA par SMS est mieux que rien mais vulnérable aux attaques par échange de SIM. Utilisez au minimum une application authenticator.
Que faire si mon compte est compromis ?
Agissez immédiatement : contactez l’équipe d’assistance de l’exchange pour geler votre compte. Changez votre mot de passe e-mail. Examinez les appareils connectés et révoquez les sessions que vous ne reconnaissez pas. Déposez un rapport auprès des autorités locales si des fonds ont été volés. Plus vite vous agissez, meilleures sont les chances de limiter les pertes ou d’attraper l’attaquant.
Est-il sûr d’utiliser le même exchange pendant des années ?
L’utilisation d’exchanges réputés et réglementés (Coinbase, Kraken, Gemini) pendant des années est courante. Le risque n’est généralement pas la longévité de l’exchange — c’est la sécurité personnelle de votre compte. Maintenez une solide pratique de sécurité indéfiniment.
Comment stocker en toute sécurité ma phrase secrète ?
Écrivez-la sur papier avec un stylo (pas un crayon, qui s’efface). Stockez-la dans plusieurs endroits physiques — un coffre-fort à domicile et un coffre-fort, par exemple. Ne la photographiez jamais. Ne la stockez jamais dans le stockage cloud, l’e-mail ou tout appareil connecté à Internet. Les plaques de sauvegarde en métal (comme Cryptosteel) offrent une protection contre le feu et les dégâts des eaux.
Les exchanges peuvent-ils geler mes fonds ?
Oui. Les exchanges réglementés peuvent geler les comptes pour un examen de conformité, une fraude soupçonnée ou des ordonnances judiciaires. C’est un risque d’utilisation des exchanges de garde et une raison pour laquelle les détenteurs à long terme préfèrent l’auto-garde pour les montants importants.
Guides connexes :
