Guide . Sécurité

Comment repérer une arnaque liée aux cryptomonnaies et se protéger

La plupart des cryptomonnaies sont perdues à cause de mots de passe oubliés, mais beaucoup sont tout simplement volées. Voici les arnaques les plus courantes et les bonnes habitudes à adopter pour les éviter.

Mis à jour en juillet 2026 · KeychainX — Récupération de portefeuilles depuis 2017

En tant que société spécialisée dans la récupération de fonds, nous rencontrons des personnes qui vivent le pire jour de leur vie dans le monde des cryptomonnaies, et une part douloureuse de ces cas n’est pas due à des mots de passe oubliés, mais à des vols qui auraient pu être évités. Ce guide passe en revue les arnaques qui fonctionnent réellement et les mesures simples permettant de les contrer.

Hameçonnage et sites clones

The classic attack is a fake site that looks like the real one. Scammers register domains with swapped or accented characters — a Cyrillic letter that looks like a Latin one, or an extra character you won’t notice in a hurry — so binance.com reads as “binance.com” at a glance. Rules that defeat it: never click links in emails, DMs or ads to reach a crypto site; type the address yourself or use a saved bookmark; and check the full URL and the SSL certificate before entering anything, any that looks strange just leave the page immediately.

Services de récupération de données frauduleux

C’est un sujet qui me tient à cœur, car des escrocs se font passer pour des entreprises comme la nôtre. Les signes révélateurs sont toujours les mêmes : ils vous contactent en premier (sur Telegram, X, Facebook, Quora, Instagram), ils garantissent la récupération de vos fonds, ils exigent des frais d’avance ou vous demandent de saisir votre phrase de récupération ou votre clé privée sur un site ou dans un formulaire. Un véritable service de récupération ne fait jamais rien de tout cela. Nous n’envoyons jamais de message en premier, ne demandons jamais de paiement à l’avance, ne vous demandons jamais votre phrase de récupération complète et ne vendons jamais de « logiciel de récupération ». Si quelqu’un utilisant notre nom le fait, c’est un imposteur — et son objectif est de vider le portefeuille que vous essayez de sauver.

Les usurpations de carte SIM et le mythe de l'authentification à deux facteurs

L'authentification à deux facteurs par SMS semble sûre, mais elle ne l'est pas. Les pirates clonent votre carte SIM ou l'obtiennent par ingénierie sociale — parfois en trompant votre opérateur pour qu'il vous en délivre une nouvelle — puis interceptent les codes envoyés par SMS à « votre » numéro. Pendant les périodes de forte affluence liées aux conférences, cette technique a été utilisée pour cibler directement des détenteurs connus. Protégez-vous : activez un code PIN ou un mot de passe de portabilité auprès de votre opérateur mobile, et utilisez une application d'authentification ou une clé de sécurité matérielle à la place des SMS dès qu'un service le permet.

Réutilisation des mots de passe et fuites d'identifiants

Lorsqu'un site que vous utilisez est piraté — et cela arrive —, la première chose que font les pirates est d'essayer ces mêmes identifiants partout ailleurs. Si vos identifiants pour Exchange correspondent à ceux de votre messagerie ou d'un compte de réseau social, une seule fuite suffit à compromettre tous ces comptes. Ne réutilisez jamais les mêmes identifiants et mot de passe pour des services critiques ; attribuez à votre compte Exchange, à la messagerie qui y est associée et à vos comptes de réseaux sociaux un mot de passe unique et fort, idéalement généré par un gestionnaire de mots de passe.

Attaques DNS et réseau

Même une adresse saisie correctement n’est pas toujours sûre. Lors d’un incident très médiatisé survenu en 2018, des pirates ont utilisé un détournement BGP/DNS pour rediriger le trafic d’un site de portefeuille très populaire vers leurs propres serveurs ; les utilisateurs qui ont ignoré un avertissement de certificat et se sont connectés ont envoyé leurs clés directement aux voleurs, perdant ainsi une somme considérable. La mesure de protection est banale mais décisive : ne négligez jamais un avertissement de certificat SSL/TLS sur un site de cryptomonnaie. Si votre navigateur vous indique que le certificat n’est pas valide ou provient d’une autorité inconnue, arrêtez-vous : cet avertissement signifie que le système fait son travail.

Avant d'envoyer, vérifiez tout

Une grande partie des pertes est due à des logiciels malveillants qui modifient les adresses et à la simple précipitation. Vérifiez toujours l'intégralité de l'adresse de destination, et pas seulement les premiers et derniers caractères, car les pirates du presse-papiers peuvent la remplacer par une adresse similaire. Envoyez d'abord un petit montant à titre d'essai lorsque vous utilisez une nouvelle adresse ou un nouveau réseau. Et assurez-vous d'être sur la bonne chaîne avant d'effectuer l'envoi, car une même adresse peut exister sur plusieurs réseaux.

Soyez particulièrement vigilant lors de vos déplacements et lors d'événements

Les conférences sur les cryptomonnaies et les lieux publics sont des terrains de chasse. Des détenteurs connus ont fait l’objet d’une surveillance physique et ont été victimes d’attaques d’ingénierie sociale lors d’événements, et il est très facile d’espionner les réseaux Wi-Fi publics. Considérez tout appareil que vous utilisez pour la crypto comme une cible lorsque vous êtes à l’extérieur : évitez de vous connecter à des plateformes d’échange ou à des portefeuilles sur des réseaux publics, ne discutez pas de vos avoirs avec des inconnus qui semblent manifestement intéressés, et méfiez-vous des nouveaux contacts « serviables » qui orientent rapidement la conversation vers vos portefeuilles. La personne la plus sympathique au bar est parfois la plus dangereuse.

Votre liste de contrôle rapide en matière de sécurité

En résumé, adoptez les habitudes que vous respectez réellement : accédez aux sites de cryptomonnaies uniquement en saisissant l’adresse ou en utilisant un signet, jamais via un lien ; utilisez une application d’authentification ou une clé matérielle, jamais de SMS, et définissez un code PIN de transfert de numéro ; utilisez un mot de passe unique et fort pour votre plateforme d’échange, son adresse e-mail et vos réseaux sociaux ; ne négligez jamais un avertissement de certificat ; vérifiez l’adresse de réception dans son intégralité et envoyez d’abord un montant test ; et ne saisissez jamais, en aucune circonstance, votre phrase de récupération sur un site web ni ne la communiquez à quelqu’un qui vous a contacté en premier. Respectez ces consignes, et vous aurez mis un terme à la grande majorité des vols de cryptomonnaies.

Foire aux questions

Les portefeuilles matériels sont-ils à l'abri de ces escroqueries ?

C'est beaucoup plus sûr, car les clés ne quittent jamais l'appareil — mais vous pouvez tout de même être victime d'une tentative d'hameçonnage visant à vous faire approuver une transaction malveillante ou à vous faire révéler votre phrase de récupération. N'achetez que auprès de sources officielles et ne saisissez jamais votre phrase de récupération nulle part.

Comment savoir si un service de récupération de données est une arnaque ?

Signes d'alerte : ils vous contactent en premier, garantissent la récupération de vos fonds, exigent un paiement d'avance ou vous demandent votre phrase de récupération ou votre clé privée. Les services légitimes ne procèdent jamais ainsi : ils ne facturent qu'en cas de réussite et n'ont jamais besoin de votre phrase de récupération complète.

La double authentification par SMS est-elle sûre pour les cryptomonnaies ?

Pas vraiment. Le « SIM swap » permet aux pirates d'intercepter les codes envoyés par SMS. Utilisez une application d'authentification ou une clé de sécurité matérielle, et configurez un code PIN de transfert de numéro auprès de votre opérateur mobile.

Quelqu'un sur Telegram prétend travailler chez KeychainX — est-ce vrai ?

Non. Nous ne contactons jamais les gens de notre propre initiative sur Telegram, X, Facebook ou toute autre plateforme, et nous ne demandons jamais d'identifiants ni de paiement à l'avance. Toute personne qui agit ainsi se fait passer pour nous.

Quelle est la meilleure habitude à adopter pour éviter les arnaques ?

Ne cliquez jamais sur des liens pour accéder à un site dédié aux cryptomonnaies — saisissez l'adresse manuellement ou utilisez un signet — et ne saisissez jamais votre phrase de récupération sur un site web ou dans un formulaire.

J'ai ignoré un avertissement concernant un certificat et j'ai perdu de l'argent. Pouvez-vous m'aider ?

Si vos clés ont été piratées, les fonds sont généralement perdus dès qu’ils ont été transférés. Les services de récupération vous aident à retrouver l’accès à votre propre portefeuille, mais ne concernent pas les fonds qui ont déjà échappé à votre contrôle.

Vous ne savez pas si vous êtes victime d'une arnaque ?

Si vous avez perdu l'accès à votre propre portefeuille (et non à cause d'un escroc), c'est ce que nous récupérons — nous ne facturons qu'en cas de succès, sans frais initiaux. Contactez-nous et nous vous répondrons en toute honnêteté.

Contacter KeychainX →