GUIDE · SÉCURITÉ & ARNAQUES
Phishing et arnaques crypto : comment les reconnaître et s'en protéger
Dans la crypto, le maillon le plus attaqué n'est pas la cryptographie — c'est l'humain. Les escrocs ne cassent pas votre wallet : ils vous manipulent pour que vous leur donniez les clés vous-même. Comprendre leurs techniques est la meilleure protection.
Réponse courte
Le phishing crypto et les arnaques crypto reposent presque toujours sur le même ressort : vous faire révéler un secret (votre seed, un code) ou vous faire signer une transaction piégée, en se faisant passer pour un acteur de confiance. Trois réflexes suffisent à neutraliser la grande majorité des attaques : ne jamais saisir sa phrase de récupération ailleurs que sur son propre wallet, vérifier soi-même chaque URL au lieu de cliquer un lien reçu, et se méfier de toute promesse de gain ou de tout contact non sollicité. Aucun support légitime ne demande votre seed. Aucune offre sérieuse ne « double » vos fonds.
Phishing ou arnaque : quelle différence ?
Le phishing (hameçonnage) désigne la technique : imiter un site, un email, un support ou une application légitimes pour vous soutirer un secret ou une signature. L'arnaque désigne l'objectif : vous dépouiller de vos fonds. Le phishing est l'outil le plus courant des arnaques crypto, mais d'autres ressorts existent — fausse relation, faux investissement, faux conseiller. Le point commun est toujours la manipulation de la confiance, pas une faille technique.
Cette page complète notre guide général comment sécuriser ses cryptoactifs : la sécurité technique (self-custody, wallet hardware) protège vos clés, mais elle ne sert à rien si vous donnez vous-même le secret à un escroc.
Les principaux types d'arnaques crypto
Les scénarios évoluent, mais ils se ramènent à un petit nombre de familles. Savoir les nommer, c'est déjà les repérer.
Faux sites et fausses applications
Des copies quasi parfaites de sites ou de wallets connus, à l'URL presque identique (une lettre changée, un tiret ajouté, une extension différente). Des applications mobiles imitant un wallet réputé apparaissent parfois jusque dans les stores officiels. Objectif : vous faire saisir votre seed ou connecter votre wallet pour vider vos fonds.
Faux supports techniques
Un prétendu « support » vous contacte par email, SMS, Telegram, Discord ou en réponse à un message public, et propose de « débloquer » ou « sécuriser » votre compte. Aucun support légitime n'initie ce contact, et aucun ne demande jamais votre phrase de récupération.
Faux airdrops et « doublez vos fonds »
On vous promet des jetons gratuits ou un envoi multiplié. Pour « réclamer », on vous fait connecter votre wallet et signer une transaction qui autorise en réalité l'attaquant à transférer vos actifs. Toute promesse de gain en échange d'une connexion, d'une signature ou d'un envoi est une arnaque.
Ponzi, HYIP et faux placements
Des plateformes ou « robots de trading » affichant des rendements fixes et élevés (« 2 % par jour », « capital garanti »). Ce sont des schémas de Ponzi : les premiers retraits sont payés avec l'argent des nouveaux entrants, jusqu'à l'effondrement. Aucun investissement réel ne garantit un rendement régulier.
Romance scam et faux conseillers
Une relation se noue sur une application de rencontre ou un réseau social, puis la personne vous oriente vers un « placement » exceptionnel (technique dite du pig butchering). De même, de faux « conseillers » ou « influenceurs » promettent de gérer vos fonds. La confiance se construit sur des semaines pour mieux vous dépouiller.
SIM swap
L'attaquant convainc votre opérateur de transférer votre numéro sur sa carte SIM, puis intercepte les codes 2FA envoyés par SMS pour prendre le contrôle de vos comptes. C'est l'une des raisons d'éviter la 2FA par SMS au profit d'une application d'authentification ou d'une clé physique.
Comment reconnaître le phishing
Le phishing joue sur l'émotion et l'urgence pour court-circuiter votre vigilance. Quelques signaux reviennent presque toujours :
- Urgence artificielle : « votre compte sera bloqué », « offre valable 10 minutes ».
- Contact non sollicité : message, email ou appel que vous n'avez pas demandé.
- Demande de secret : on vous réclame votre seed, un mot de passe ou un code 2FA.
- Lien à cliquer : un bouton « connectez-vous ici » menant vers un site copié.
- Promesse trop belle : gain garanti, cadeau, remboursement, fonds « doublés ».
- Pression au secret : « ne le dites à personne », « n'appelez pas votre banque ».
Le piège central : la seed phrase qu'on vous demande
C'est le cœur de presque toutes les attaques. Votre phrase de récupération (seed) est l'unique clé de votre wallet : quiconque la connaît peut reconstruire votre portefeuille et vider vos fonds, depuis n'importe où. Elle ne sert qu'à restaurer un wallet sur un appareil que vous contrôlez physiquement.
Donc : aucune saisie de seed en ligne, jamais — ni sur un site, ni dans une fenêtre surgissante, ni dans une application, ni « pour vérifier », ni « pour synchroniser », ni « pour débloquer ». Tout ce qui réclame votre seed est hostile, quelle que soit la qualité de l'imitation. Pour les pièges les plus fréquents autour de la phrase de récupération, lisez notre guide dédié seed phrase : les erreurs à éviter.
Vérifier les URL, les extensions et les applications
Le faux site est l'arme favorite du phishing. Quelques règles simples le désamorcent :
- Ne cliquez jamais un lien reçu par email, SMS ou message. Tapez l'adresse vous-même ou utilisez un favori que vous avez enregistré.
- Lisez l'URL caractère par caractère. Une lettre ajoutée, un tiret, un point mal placé ou une extension différente trahissent une copie.
- Méfiez-vous des résultats sponsorisés dans les moteurs de recherche : des escrocs y achètent de fausses annonces pointant vers des sites copiés.
- N'installez extensions et applications que depuis la source officielle indiquée par l'éditeur lui-même, et vérifiez l'éditeur avant d'accorder la moindre autorisation.
Avant tout achat de matériel, rappelez-vous qu'un wallet hardware ne s'achète que sur le site du fabricant : voir notre comparatif des meilleurs wallets hardware et l'ensemble de nos analyses sur le hub des wallets.
Tableau : signal d'alerte → réflexe
Pour transformer la théorie en habitudes, voici les signaux les plus courants et la bonne réaction associée.
| Signal d'alerte | Le bon réflexe |
|---|---|
| On vous demande votre phrase de récupération | Refusez : c'est forcément une arnaque, sans exception |
| Un « support » vous contacte spontanément | Ignorez et passez par le canal officiel que vous trouvez vous-même |
| Un lien reçu par email, SMS ou message | Ne cliquez pas : tapez l'adresse ou ouvrez votre favori |
| Promesse de gain garanti, cadeau, fonds « doublés » | Quittez : aucun rendement n'est garanti en crypto |
| Urgence ou pression (« agissez maintenant ») | Ralentissez : prenez le temps de vérifier, l'urgence est un piège |
| URL presque identique à l'officielle | Relisez caractère par caractère avant toute action |
| Demande de connecter le wallet ou de signer | Ne signez rien d'incompris ; déconnectez-vous du site |
| Codes 2FA par SMS, numéro soudain hors service | Suspectez un SIM swap : préférez une 2FA par application ou clé |
Que faire si vous êtes victime
Si vous pensez avoir été piégé, agissez vite et avec méthode :
- Mettez vos fonds à l'abri. Si votre seed n'a pas fuité, transférez sans attendre vos crypto-actifs vers un nouveau wallet dont la phrase est neuve et n'a jamais été exposée.
- Révoquez les autorisations que vous auriez accordées à des sites ou applications, et déconnectez votre wallet partout.
- Sécurisez vos comptes. Changez les mots de passe concernés, activez une 2FA robuste (application ou clé physique), et vérifiez votre email maître.
- Conservez les preuves : URL, messages, identifiants de transaction, captures d'écran. Elles seront utiles pour un signalement.
- Signalez l'incident aux autorités compétentes et, le cas échéant, à la plateforme concernée.
Attention à la seconde arnaque : après une perte, de faux « récupérateurs de fonds » vous promettront de récupérer votre argent contre un paiement. C'est presque toujours une nouvelle escroquerie. Une transaction crypto confirmée est, par nature, irréversible.
Questions fréquentes
Comment reconnaître une arnaque crypto ?
Une arnaque crypto se reconnaît à quelques signaux constants : une promesse de gain garanti ou « doublé », un contact non sollicité, une urgence artificielle (« agissez maintenant »), une demande de connecter votre wallet ou de saisir votre phrase de récupération, et un site dont l'URL est presque — mais pas exactement — identique à l'officiel. Dès qu'un de ces signaux apparaît, arrêtez tout et vérifiez par vous-même.
Qu'est-ce que le phishing crypto exactement ?
Le phishing crypto consiste à vous faire révéler un secret (seed, mot de passe, code 2FA) ou à vous faire signer une transaction piégée, en imitant un acteur de confiance : faux site, faux email, faux support, fausse application. L'attaque ne casse pas la cryptographie, elle vous manipule pour que vous lui donniez les clés vous-même.
Un support ou un wallet peut-il me demander ma seed phrase ?
Jamais. Aucun support légitime, aucune plateforme, aucun wallet ne vous demandera votre phrase de récupération. La seed sert uniquement à restaurer un wallet sur un appareil que vous contrôlez physiquement. Toute personne, tout site ou toute application qui réclame votre seed cherche à voler vos fonds, sans exception.
Comment vérifier qu'un site crypto est authentique ?
Tapez l'adresse vous-même ou utilisez un favori enregistré, ne cliquez jamais un lien reçu par message. Vérifiez l'URL caractère par caractère (une lettre ajoutée, un tiret, une extension différente trahissent une copie), confirmez la présence du cadenas HTTPS, et n'installez d'extensions ou d'applications que depuis la source indiquée par l'éditeur officiel lui-même.
Qu'est-ce qu'un faux airdrop et pourquoi est-ce dangereux ?
Un faux airdrop promet des jetons « gratuits » pour vous attirer sur un site piégé. On vous demande ensuite de connecter votre wallet et de signer une transaction qui, en réalité, autorise l'attaquant à vider vos fonds. La règle : ne connectez jamais votre wallet à un site inconnu et ne signez jamais une transaction que vous ne comprenez pas.
Que faire si je suis victime d'une arnaque ou d'un phishing ?
Agissez vite : si votre seed n'a pas fuité, transférez immédiatement vos fonds vers un nouveau wallet dont la phrase est neuve et inconnue. Révoquez les autorisations accordées, changez vos mots de passe, activez une 2FA robuste, et conservez toutes les preuves (URL, messages, transactions). Signalez l'incident aux autorités compétentes. Méfiez-vous des faux « récupérateurs de fonds » : c'est une seconde arnaque.
Cet article est une information générale à visée pédagogique. Il ne constitue ni un conseil juridique, ni une recommandation d'investissement. Pour tout cas concret, consultez un professionnel qualifié.