Qu`est-ce qu`un portefeuille EVM ? Guide des meilleurs portefeuilles EVM et de sécurité
Ouvrez MetaMask en mai 2020 et vous vous trouverez face à un choix inédit. La même extension de navigateur peut fonctionner comme un compte externe classique, un portefeuille intelligent entièrement programmable basé sur la norme ERC-4337, ou un portefeuille hybride « EOA intelligent » activé par l'EIP-7702 depuis la mise à jour Pectra de mai 2025. L'apparence du portefeuille reste identique. En revanche, son modèle de sécurité et de récupération est désormais différent.
Voici la véritable histoire d'un portefeuille EVM en 2026, et non pas « MetaMask est le plus populaire ». Ce guide explique ce qu'est réellement un portefeuille EVM, présente les six portefeuilles à considérer pour un utilisateur web3 sérieux, décrit le paysage des menaces un an après l'application de l'EIP-7702 et explique comment configurer son premier portefeuille pour éviter de le perdre en moins d'un mois. Le portefeuille EVM que vous choisissez est la clé d'accès à tous les services décentralisés de l'écosystème ; faire le mauvais choix peut donc s'avérer coûteux.
Qu'est-ce qu'un portefeuille EVM et en quoi diffère-t-il ?
Ignorez l'icône de l'application. Quel que soit le logo affiché sur votre téléphone, le portefeuille EVM effectue une tâche des plus banales : protéger un nombre de 256 bits. À partir de ce nombre, le portefeuille génère une adresse publique de 42 caractères, commençant par « 0x », grâce à l'algorithme ECDSA sur la courbe secp256k1 et un hachage Keccak-256. Cette adresse est omniprésente. Le nombre de 256 bits, quant à lui, ne peut jamais quitter l'appareil.
Voici ce qui déconcerte presque tout le monde la première semaine : le portefeuille ne stocke ni ETH ni USDC. Il sert à signer des messages. Ce sont les chaînes qui gèrent les soldes. Votre adresse « 0x » apparaît sur le réseau principal Ethereum, Polygon, BNB Chain, Arbitrum, Optimism, Base, Avalanche, Linea, Scroll, zkSync et des dizaines de chaînes mineures dont personne ne parle jusqu’à ce qu’un incident survienne. Chaque réseau tient son propre registre des dettes envers cette adresse. Une seule clé. Plus de soixante registres. Le tout est interconnecté par une spécification de bytecode partagée appelée la machine virtuelle Ethereum.
Perdre la clé, c'est tout perdre. Pas seulement sur une chaîne, mais sur toutes, simultanément. C'est pourquoi la première heure avec un portefeuille EVM est plus importante que les deux années suivantes à choisir celui qui possède le mode sombre le plus agréable.
Fonctionnement des portefeuilles EVM : la couche de machine virtuelle Ethereum
La machine virtuelle Ethereum (EVM) est une machine à états basée sur une pile. Elle exécute le bytecode des contrats intelligents. Chaque chaîne EVM (Polygon, BNB Chain, Base, Arbitrum, etc.) exécute des opcodes identiques selon une convention d'espace d'adressage identique. Un seul portefeuille décentralisé communique avec toutes ces chaînes car, de son point de vue, chaque chaîne correspond à la même machine exécutée dans un environnement différent.
Appuyez sur « Envoyer » et quatre actions se produisent, dans cet ordre. Le portefeuille crée une ébauche de transaction : destinataire, montant, prix du gaz et nonce. Il signe cette ébauche localement ; votre clé ne quitte jamais l’appareil. Les octets signés sont envoyés à un nœud RPC, généralement Infura, Alchemy ou un point de terminaison public mis à disposition gratuitement. Les validateurs la récupèrent, l’intègrent au bloc suivant et la machine virtuelle Ethereum (EVM) met à jour l’état de la chaîne. Quelques secondes sur Base. Douze secondes sur Ethereum. Parfois plus longtemps en cas de pénurie de gaz.
Une connexion à une application décentralisée (dApp) suit le même principe, lancé depuis un site web. L'application voit votre adresse IP, et rien d'autre. Lorsqu'elle souhaite effectuer un échange de jetons, la création d'un NFT, un vote, ou toute autre action, elle demande à votre portefeuille de signer. Vous devez lire l'invite et signer ou non. Ignorer l'invite peut entraîner des erreurs coûteuses. Tous les portefeuilles du marché (MetaMask, Rabby, Trust, Phantom, Coinbase, OKX) fonctionnent selon ce même principe. Les différences résident dans l'interface, la couverture de la blockchain, les alertes de sécurité et la gestion de la récupération. Un portefeuille EVM convivial est celui qui rend l'invite de signature lisible et non cryptique.
Types de portefeuilles EVM : portefeuilles en ligne, matériels et intelligents
Trois vraies catégories dans 2026, plus une catégorie hybride apparue avec Pectra.
| Taper | Exemples | Avantages | Cons | Idéal pour |
|---|---|---|---|---|
| Chaud (navigateur/mobile) | MetaMask, Rabby, Fantôme, Trust, Coinbase, OKX | Gratuit, rapide, natif des dapps | Clé privée dans le logiciel, risque de drainage | DeFi quotidienne, petits soldes |
| Matériel | Ledger Stax, Trezor Safe 7, CoolWallet | Clé dans la puce, immunisée contre les logiciels malveillants | Coût, signature plus lente, risque lié à la chaîne d'approvisionnement | Soldes supérieurs à 10 000 $ |
| Portefeuille intelligent (ERC-4337) | Coffre-fort, portefeuille intelligent Coinbase, Argent | Connexion multi-signatures, mot de passe, récupération sociale | Déploiement de gaz, risque contractuel | Nouveaux utilisateurs, trésoreries |
| EOA intelligent (EIP-7702) | MetaMask, Ambire | Conservez votre adresse, profitez de fonctionnalités intelligentes | Nouvelle surface d'attaque | Utilisateurs avancés après Pectra |
Commençons par les chiffres. MetaMask oscille autour de 30 millions d'utilisateurs actifs mensuels (MAU) selon les prévisions de Blockworks pour 2024 et n'a pas vraiment connu de croissance ces deux dernières années. Trust Wallet revendique environ 220 millions d'installations, mais une partie d'entre elles sont manifestement inactives. Phantom se situe entre 15 et 17 millions de MAU après le déploiement de la prise en charge de l'EVM, OKX affiche environ 50 millions de téléchargements sur plus de 100 chaînes, et Rabby (racheté par DeBank pour son approche basée sur la simulation) comptabilisait 4,2 millions d'installations l'année dernière. Leur point commun est intéressant : aucune de ces entreprises ne peut transférer vos fonds. Elles fournissent l'interface ; vous conservez la clé.
Qu'en est-il des solutions de chiffrement quantique ? Ledger a renouvelé sa gamme en octobre 2025 avec un Nano Gen5 à 179 $, un Flex à 249 $ et un Stax tactile à 399 $, réalisant ainsi un chiffre d'affaires de 181,5 millions de dollars en 2025, soit une hausse de 31 % par rapport à l'année précédente. Trezor a lancé le Safe 7 le même mois, présenté comme compatible avec l'informatique quantique et certifié IP67. Quel que soit le modèle choisi, le compromis reste le même : la signature est plus lente, l'appareil est plus cher et il nécessite une connexion secteur. En contrepartie, votre clé privée reste stockée dans une puce qui n'a jamais été exposée à Internet, ce qui constitue la seule protection durable contre les logiciels malveillants.
La catégorie des portefeuilles intelligents est celle qui évolue le plus rapidement des trois. Le nombre cumulé de comptes ERC-4337 a dépassé les 40 millions début 2019, et Safe, à lui seul, a sécurisé 35,25 milliards de dollars répartis sur 61,11 millions de comptes au premier trimestre 2019, soit environ un tiers de la valeur totale bloquée dans la DeFi sur EVM. Coinbase Smart Wallet a atteint le million d'utilisateurs en août 2025 en supprimant complètement la phrase de récupération et en utilisant une clé d'accès sur l'appareil iOS et Android. À mon avis, ce choix de conception est plus important que tout le reste de la feuille de route des portefeuilles intelligents réunie, car on perd facilement du papier plié. On ne perd généralement pas Face ID.
Meilleurs portefeuilles EVM en 2026 par catégorie et cas d'utilisation
| Portefeuille | Taper | Caractéristique remarquable | Support matériel |
|---|---|---|---|
| MetaMask | Hot + Smart EOA | Snaps + Compte intelligent EIP-7702 | Oui |
| Rabby | Chaud | Simulation pré-transfert, alertes de risque | Oui |
| Portefeuille Coinbase | Portefeuille intelligent | Connexion par mot de passe, sans phrase de récupération | Oui |
| Portefeuille OKX | Multichaîne chaude | Plus de 100 chaînes, agrégateur de swaps | Oui |
| Fantôme | Multichaîne chaude | Solana + EVM + Bitcoin | Oui |
| Taxe de registre | Matériel | Écran tactile à encre électronique, 399 $ | n / A |
| Sûr | Portefeuille intelligent | Multi-signatures pour les bons du Trésor | Oui |
MetaMask est le point de départ par défaut pour une bonne raison : toutes les dApps l’exigent, l’écosystème Snaps l’étend aux chaînes non-EVM, et le déploiement des comptes intelligents en mai 2025 permettra aux utilisateurs de mettre à niveau une adresse existante vers les transactions par lots EIP-7702 en un seul clic. L’inconvénient est tout aussi prévisible : c’est la surface d’attaque la plus ciblée par le phishing dans le monde des cryptomonnaies.
Rabby est le portefeuille que je recommande désormais à tous ceux qui effectuent plusieurs transactions DeFi par semaine. Son simulateur de pré-transaction affiche le fonctionnement de chaque signature, signalant les pièges liés à l'autorisation 2 et les pertes d'autorisation avant même de cliquer. L'équipe de DeBank l'a racheté, ce qui garantit un financement continu et non une simple maintenance.
Coinbase Wallet offre l'expérience de portefeuille intelligent la plus simple pour les nouveaux utilisateurs. L'inscription se fait avec une clé d'accès sur votre téléphone ; pas de phrase de récupération à perdre, pas de frais de gaz à gérer sur Base. En contrepartie, Coinbase contrôle l'infrastructure de récupération, ce qui vous fait perdre l'entière responsabilité de la conservation de vos données au profit de la simplicité d'utilisation.
OKX Wallet est un outil inter-chaînes performant. Il intègre l'agrégation des swaps sur plus de 100 chaînes, une place de marché NFT et l'une des meilleures implémentations d'abstraction de compte en dehors de la pile ERC-4337 pure.
Phantom , initialement compatible uniquement avec Solana, est devenu multichaîne en 2024 et prend désormais en charge EVM et Bitcoin. Son interface mobile reste la meilleure de sa catégorie ; les utilisateurs souhaitant un portefeuille unique pour les memecoins Solana et les cryptomonnaies EVM de premier plan se tournent généralement vers lui.
Au-delà d'un solde à cinq chiffres, le matériel est indispensable. Le Ledger Stax avec son écran e-ink et le Trezor Safe 7 sont les modèles phares actuels ; les Nano Gen5 et Trezor Safe 5, plus abordables, offrent les mêmes fonctionnalités. Utilisez-les avec un portefeuille logiciel EVM comme MetaMask ou Rabby pour vos signatures quotidiennes.
Safe est la solution idéale lorsque les soldes ou la gouvernance nécessitent plusieurs signatures. Il offre une gestion multi-signatures avec des seuils configurables, des extensions modulaires pour les limites de dépenses et l'automatisation, ainsi que la plus grande capacité d'audit de tous les portefeuilles de contrats intelligents sur Ethereum.
Sécurité du portefeuille EVM : attaques par drain et ERC-7702
C'est là que la plupart des guides sur les portefeuilles EVM passent sous silence ce point. Soyez précis.
Les arnaques à l'argent ont connu une année difficile, mais en amélioration. Scam Sniffer a enregistré 83,85 millions de dollars volés à 106 106 victimes en 2025, soit une baisse d'environ 83 % en valeur absolue et de 68 % en nombre de victimes par rapport aux 494 millions de dollars et 332 000 victimes de 2024. La plus importante perte liée au phishing a été un vol de 6,5 millions de dollars commis via une signature frauduleuse en septembre 2025 (Scam Sniffer). Bien que la baisse soit réelle, le montant absolu reste à neuf chiffres et a touché des utilisateurs ayant cliqué sur le mauvais bouton « Confirmer » dans ce qui semblait être une simple demande de signature. La plupart de ces demandes provenaient de faux tableaux de bord de finance décentralisée et de pages de réclamation de largages de cryptomonnaie.
Les mécanismes sont essentiels. La plupart des kits de vol de cryptomonnaies, comme Inferno Drainer, Pink Drainer et Angel Drainer, reposent sur trois techniques spécifiques. La première consiste à utiliser les signatures aveugles `eth_sign`, où le portefeuille affiche un hachage sans que l'utilisateur puisse lire ce qu'il signe. La deuxième repose sur les `permit` ERC-20 et `Permit2` d'Uniswap, qui permettent à un attaquant de voler des jetons sans transaction d'approbation sur la blockchain. La troisième consiste à utiliser des sites web d'applications décentralisées (dApps) malveillants imitant des sites légitimes ; le registre d'adresses de phishing d'Etherscan constitue la défense de référence.
Puis est arrivé l'EIP-7702. Pectra a été activé le 7 mai 2025 et a permis à tout EOA de déléguer l'exécution à un modèle de contrat intelligent. La bonne version : votre adresse MetaMask bénéficie d'une prise en charge des frais de gaz, d'approbations par lots et de clés de session. La mauvaise version est apparue quelques semaines plus tard. Wintermute a signalé mi-2025 que plus de 97 % des délégations EIP-7702 sur le réseau principal pointaient vers des contrats de balayage identiques que les chercheurs ont surnommés « CrimeEnjoyor » : des systèmes automatisés de détournement de fonds attendant que tout actif entrant leur soit redélégué. Une perte confirmée par hameçonnage a atteint 1,54 million de dollars à partir d'une seule adresse compromise.
Les attaques ciblant la chaîne d'approvisionnement constituent l'autre facteur d'incertitude majeur en matière de sécurité des portefeuilles numériques. L'incident du Ledger Connect Kit en décembre 2023, où environ 610 000 $ ont été dérobés après la compromission du jeton NPM d'un ancien employé, corrigée en une quarantaine de minutes, reste l'exemple type. Chainalysis estime le montant total des vols dans l'écosystème crypto à 3,4 milliards de dollars pour 2025, un chiffre dominé par le piratage de Bybit (1,5 milliard de dollars) et les 2,02 milliards attribués à des opérateurs nord-coréens. Les vols de portefeuilles personnels ont quant à eux diminué, passant de 1,5 milliard de dollars l'année précédente à 713 millions de dollars.
Une autre technique d'hameçonnage, qui s'est développée tout au long de l'année 2025, consiste à empoisonner l'adresse : un attaquant envoie une transaction sans valeur depuis une adresse similaire, reprenant les quatre premiers et les quatre derniers caractères d'une adresse que vous avez récemment utilisée, dans l'espoir que vous la copiez-collez depuis votre historique. Coinbase et MetaMask ont tous deux ajouté des alertes dans leurs portefeuilles fin 2024, mais l'attaque fonctionne toujours sur les utilisateurs qui copient l'adresse depuis l'écran d'un explorateur de blocs. Le nettoyage périodique des approbations sur Revoke.cash ou l'outil d'approbation de jetons d'Etherscan élimine une autre catégorie importante de vulnérabilités.
Trois règles permettent de limiter les risques pour tout utilisateur de portefeuille EVM. Vérifiez l'adresse du contrat avant toute validation. Utilisez un portefeuille qui simule les transactions : Rabby, les récentes mises à jour de MetaMask et la plupart des portefeuilles matériels le font désormais. Conservez vos soldes importants sur un dispositif matériel nécessitant une confirmation physique ; les portefeuilles logiciels sont destinés aux dépenses.
Comment configurer votre premier portefeuille EVM
Configurer un portefeuille EVM marque le moment où votre argent quitte le périmètre bancaire. Seul le titulaire de la clé peut ensuite effectuer des transferts de fonds. Aucune banque ne peut bloquer le compte. Le hic, c'est que vous êtes désormais à la fois la banque, le service client et l'équipe de sécurité de ce compte. Prévoyez une heure, pas cinq minutes.
Étapes à suivre. Téléchargez le portefeuille uniquement depuis le site web officiel ou sa page sur l'App Store. Ignorez la publicité en haut de la page ; le résultat sponsorisé est souvent une tentative d'hameçonnage. Notez votre phrase de récupération de 12 ou 24 mots sur un papier, puis conservez-en deux copies à deux endroits différents. Ne photographiez jamais cette phrase. Dans le portefeuille, ajoutez uniquement la chaîne que vous comptez utiliser (Base ou Arbitrum pour des frais réduits, le réseau principal Ethereum pour les transferts importants) et vérifiez son identifiant sur chainlist.org afin d'éviter d'ajouter accidentellement un réseau usurpé. Effectuez ensuite une petite transaction de test (cinq ou dix dollars) avant d'envoyer une somme significative. Lorsque vous connecterez un appareil matériel ultérieurement, définissez un code PIN et une phrase secrète. Cette dernière ouvre un second portefeuille caché qui reste fonctionnel même si la phrase de récupération papier est divulguée.
Voici mon avis. Quiconque détient plus de quelques milliers de dollars sur la blockchain 2026 devrait déjà utiliser un portefeuille matériel. Toute personne ouvrant une nouvelle adresse cette année devrait au moins essayer un portefeuille intelligent à clé d'accès avant d'opter pour MetaMask. Le modèle de la phrase de récupération date d'une époque où la crypto était un loisir ; il ne résiste pas à l'usage que font les gens de leur téléphone. La question qui déterminera la conception des portefeuilles EVM pour l'année à venir est de savoir si l'expérience utilisateur des portefeuilles intelligents peut rendre l'autogestion aussi intuitive que l'ouverture d'une application bancaire, sans pour autant sacrifier ce qui justifiait les efforts déployés.
