Guide des adresses de portefeuilles crypto : Trouvez l’adresse de votre portefeuille en toute sécurité
Une adresse de portefeuille est ce qui se rapproche le plus d'un numéro de rue dans le monde des cryptomonnaies. Elle indique au réseau où déposer vos cryptomonnaies et c'est la seule information que vous devez fournir à chaque fois que quelqu'un souhaite vous payer. En théorie, c'est simple, mais en pratique, c'est dangereux. Une seule erreur de frappe, une mauvaise utilisation du presse-papiers ou la saisie d'une adresse copiée par un logiciel malveillant, et l'argent disparaît. Les transactions en cryptomonnaies sont irréversibles. Votre banque ne peut pas contacter l'autre partie pour demander un remboursement. Une adresse de portefeuille erronée est presque toujours irréversible ; c'est pourquoi un guide des adresses de portefeuille devrait figurer dans la liste de lecture de tout nouvel utilisateur.
Ce guide s'adresse à celles et ceux qui souhaitent envoyer et recevoir des cryptomonnaies sans risquer de perdre l'équivalent d'un mois de salaire à cause d'une erreur évitable. Il explique comment une adresse de portefeuille est un identifiant unique sur la blockchain, quels formats existent, comment retrouver son adresse de portefeuille dans les applications les plus courantes et les bonnes pratiques de sécurité à adopter pour protéger ses fonds en 2026. Chaque règle présentée ici est née de l'expérience : des personnes ont perdu de l'argent en les ignorant. Chainalysis estime que la part de la valeur des cryptomonnaies volées provenant de piratages de portefeuilles individuels atteindra 44 % en 2024, contre seulement 7,3 % en 2022. Les pirates ciblent désormais bien plus les portefeuilles personnels que les plateformes d'échange, et les erreurs d'adresse de portefeuille constituent leur principale porte d'entrée.
Qu’est-ce qu’une adresse de portefeuille et comment fonctionne-t-elle ?
Oubliez le jargon. Une adresse de portefeuille de cryptomonnaies est une suite unique de lettres et de chiffres, un ensemble de caractères qui signifie simplement : « Déposez vos cryptomonnaies ici ». Un historique long indique simplement que vous recevez des fonds depuis un certain temps. N'importe qui sur le réseau blockchain peut y envoyer des fonds. Seul celui qui possède la clé privée peut retirer ces cryptomonnaies ; cette personne a accès à votre solde privé, et personne d'autre. L'adresse elle-même est une suite unique, différente de toutes les autres adresses jamais générées, et c'est cette unicité qui permet au réseau d'acheminer correctement les paiements.
Imaginez un compte bancaire. Votre numéro de compte est la partie publique, et l'adresse de votre portefeuille fonctionne comme un numéro de compte bancaire à tous les égards. Vous la communiquez librement : sur les factures, les chèques, pour tous les paiements. Aucun problème. Pensez maintenant à votre code PIN. Vous ne le diriez jamais à personne. C'est le même principe que pour les clés publique et privée, mais avec des calculs plus complexes. L'adresse publique est comme le numéro de compte. La clé privée est comme le code PIN. Partagez la première. Protégez la seconde comme si c'était votre épargne, car c'est le cas. Communiquez l'adresse de votre portefeuille lorsqu'on vous paie ; ne partagez jamais vos clés privées avec qui que ce soit, pour aucune raison, jamais.
Petit détour par les mathématiques, car cela permet de mieux comprendre la suite. Votre clé privée est simplement un très grand nombre aléatoire de 256 bits ; si vous deviez le saisir, vous y passeriez l'après-midi. Multipliez-le par une courbe elliptique (secp256k1 pour Bitcoin, Ed25519 pour Solana, détails non essentiels) et vous obtenez une clé publique. Hachez cette clé publique, tronquez-la, ajoutez une somme de contrôle et un préfixe, et vous obtenez l'adresse de votre portefeuille. La chaîne est unidirectionnelle. Il est absolument impossible de retrouver la clé privée à partir de l'adresse. C'est aussi simple que cela.
Et la blockchain ? Franchement, elle se fiche complètement de qui vous êtes. Pas de champ nom. Pas d'adresse e-mail. Pas de numéro de passeport. Chaque transfert est enregistré sur la blockchain comme un simple mouvement entre deux adresses, avec un montant et un horodatage. Votre adresse est pseudonyme, ce qui est différent d'une adresse anonyme, car chaque mouvement est permanent et public, mais n'est pas non plus associé à votre véritable nom. D'où vient généralement le lien entre « cette suite de zéros » et « vous, la personne » ? De deux sources : le formulaire KYC que vous avez rempli sur Coinbase ou Binance, ou cette fois où vous avez tweeté votre adresse à un abonné et que vous l'avez oubliée. La blockchain, elle, ne l'a jamais révélée à personne. Pour utiliser une adresse blockchain en toute sécurité, il faut d'abord comprendre que c'est ainsi que fonctionnent les adresses de portefeuille : publiques par nature, privées uniquement si vous restez vigilant.
Comprendre les adresses de portefeuilles sur différentes blockchains
Chaque chaîne écrit les adresses à sa manière. Et les différents formats d'adresses de portefeuille ne sont pas compatibles. Absolument pas. Une adresse de portefeuille Ethereum refusera les Bitcoins. Une adresse Solana ignorera les USDT envoyés sur Tron. Envoyer des fonds à un autre portefeuille sur la mauvaise chaîne est généralement synonyme de perte. Il n'existe pas de bouton « Annuler ». Votre meilleur allié dans ce labyrinthe est le préfixe. Un coup d'œil aux premiers caractères vous permettra de savoir sur quelle chaîne se trouve l'adresse : `bc1`, `0x`, `T`, `r`, `L`. Apprenez ces cinq préfixes et vous éviterez la plupart des erreurs d'adresse. Les adresses Bitcoin couvrent la famille 1/3/bc1. Les adresses Ethereum couvrent toutes les chaînes EVM. Les autres chaînes fonctionnent chacune de leur côté.
Alors pourquoi un tel désordre ? Réponse simple : personne ne se coordonnait. Chaque blockchain a choisi ses propres règles d'encodage quand bon lui semblait. Bitcoin a commencé avec Base58Check, puis a ajouté Bech32, puis Bech32m pour Taproot. Ethereum a opté pour l'hexadécimal pur avec une somme de contrôle en casse mixte ajoutée a posteriori. Solana a utilisé Base58, mais a omis l'octet de contrôle que Bitcoin ajoute à la fin. Au fond, la cryptographie semble assez similaire partout. Courbes elliptiques, fonctions de hachage, les mêmes blocs de base assez basiques. Mais c'est dans l'encapsulation de ces blocs que chaque chaîne a décidé de faire les choses à sa manière. Les logiciels de portefeuille tentent de vous masquer tout cela. La plupart du temps, ça fonctionne. Jusqu'à ce que ça ne fonctionne plus.
Voici un fait surprenant : une seule phrase de récupération peut gérer simultanément des dizaines de portefeuilles sur des dizaines de blockchains. Les portefeuilles crypto modernes génèrent une adresse unique pour chaque cryptomonnaie détenue, toutes basées sur les mêmes 12 ou 24 mots saisis lors de la configuration. Ouvrez un portefeuille multichaîne compatible avec BTC, ETH et SOL, et vous verrez trois chaînes de caractères totalement différentes, chacune sur son propre registre. Déplacer des cryptomonnaies sur l'une n'affecte en rien les autres. Comment est-ce possible ? Grâce à quelques normes : BIP32, BIP39 et BIP44. Parmi celles-ci, BIP44 définit le chemin de dérivation, permettant ainsi à une seule phrase de récupération de se transformer en une adresse Bitcoin, une adresse Ethereum, une adresse Solana, etc. Pratique, certes, mais aussi extrêmement vulnérable. Si vous perdez la phrase de récupération, tout disparaît.
Types de formats d'adresses de portefeuilles crypto en 2026
Voici les principaux formats d'adresses de portefeuille que vous rencontrerez. Apprenez à reconnaître le préfixe en un coup d'œil et vous éviterez bien des erreurs.
| Chaîne | Format | Préfixe | Longueur | Notes |
|---|---|---|---|---|
| Bitcoin | Legacy P2PKH | `1` | 26–34 | Format le plus ancien, toujours valide |
| Bitcoin | P2SH | `3` | 34 | Hachage du script, souvent multisignature |
| Bitcoin | SegWit Bech32 | `bc1q` | 42 | Frais réduits, en minuscules uniquement |
| Bitcoin | Racine pivotante | `bc1p` | 62 | Format le plus récent, confidentialité renforcée |
| Ethereum | EVM hexaédrique | `0x` | 42 | Même format sur Polygon, Arbitrum, Base |
| Solana | Base58 | `(sans préfixe)` | 32–44 | Sensible aux majuscules et minuscules |
| Tron | Vérification Base58 | `T` | 34 | Utilisé pour TRC20 USDT |
| Litecoin | Héritage / Bech32 | `L`, `M`, `ltc1` | 26–62 | Similaire au Bitcoin |
| XRP (Ripple) | Base58 | `r` | 25–35 | Nécessite une étiquette de destination sur les plateformes d'échange |
| Dogecoin | Héritage | `D` | 34 | héritage de fork Bitcoin |
Bitcoin est un système complexe. Il existe quatre types d'adresses de portefeuilles Bitcoin, car le réseau a constamment ajouté de nouveaux formats sans modifier les anciens. Les adresses « legacy » commençant par 1 correspondent au format original de paiement par hachage de clé publique (pay-to-public-key-hash) de 2009. Elles sont toujours valides et fonctionnelles, mais restent les plus lentes et les plus coûteuses à utiliser. Les adresses commençant par 3 utilisent le format de paiement par hachage de script (pay-to-script-hash), introduit en 2012 pour prendre en charge les signatures multiples et autres techniques complexes. Les adresses SegWit Bech32 commençant par bc1q ont été introduites en 2017 via le BIP 173. Les adresses Taproot Bech32m commençant par bc1p ont suivi en 2021 avec le BIP 350. Pourquoi le BIP 350 a-t-il été nécessaire ? Parce que le format Bech32 présentait une particularité : la présence de caractères « p » à la fin permettait aux attaquants d'insérer ou de supprimer des caractères « q » sans être détectés. Un bug à éviter absolument dans le format d'adresse d'une cryptomonnaie. Les quatre types sont toujours valides aujourd'hui, ils appliquent des tarifs différents, et certains services anciens ne peuvent toujours pas envoyer de messages vers les plus récents. Ce qui représente un risque en soi.
Ethereum a opté pour la simplicité. Un seul format : 0x suivi de 40 caractères hexadécimaux. C'est tout. Cette même chaîne 0x fonctionne sur Ethereum, Polygon, Arbitrum, Base, Optimism, bref, sur toutes les blockchains utilisant l'EVM. De plus, Ethereum utilise une somme de contrôle en casse mixte, définie dans l'EIP-55, qui met en majuscules certaines lettres en fonction du hachage keccak-256 de l'adresse en minuscules. Une faute de frappe ? La somme de contrôle la détecte généralement. La spécification l'estime à environ 99,9753 % pour les fautes de frappe aléatoires d'un seul caractère, un chiffre impressionnant (et oui, j'ai dû le vérifier). Mais attention ! Puisque la même adresse 0x est valide sur toutes les chaînes EVM, il est très facile d'envoyer des USDC sur le réseau principal Ethereum à cette adresse et de s'attendre à ce qu'ils apparaissent sur Polygon. Ce ne sera pas le cas. Chaque chaîne possède son propre registre. Chacune a sa propre copie du contrat USDC. Elles ne communiquent pas entre elles. Cette confusion entre BEP20 et ERC20 est l'un des scénarios de perte les plus fréquents dans les tickets d'assistance des plateformes d'échange. Point final.
Comment trouver l'adresse de mon portefeuille dans n'importe quelle application de portefeuille ?
Ça paraît plus compliqué que ça ne l'est. Vraiment. Le nom du bouton varie d'une application à l'autre, mais la procédure pour obtenir une adresse de portefeuille crypto reste la même partout en 2026, avec ses quatre étapes.
1. Ouvrez votre portefeuille. Choisissez la cryptomonnaie, quel que soit l'actif crypto dans lequel vous souhaitez recevoir des cryptomonnaies : BTC, ETH, SOL, peu importe.
2. Trouvez le bouton Recevoir. Certaines applications l'appellent Demande. D'autres l'appellent Dépôt. C'est la même chose.
3. Un écran apparaît avec votre adresse écrite sous forme de suite de lettres et de chiffres, ainsi qu'un code QR en dessous.
4. Copiez la chaîne de caractères ou présentez simplement le code QR à la personne qui vous paie. Voilà ! Vous savez maintenant comment trouver l’adresse de votre portefeuille et recevoir des fonds sur n’importe quel portefeuille électronique moderne.
La plupart des applications de portefeuille en 2026 suivent ces mêmes quatre étapes, que vous soyez sur un téléphone, un ordinateur de bureau ou une extension de navigateur.
Les portefeuilles matériels fonctionnent légèrement différemment, et c'est là que réside la véritable sécurité de l'auto-gestion. Vous utilisez un Ledger ou un Trezor ? La procédure est la même dans Ledger Live ou Trezor Suite sur votre ordinateur, mais l'appareil lui-même affiche également l'adresse de réception sur son petit écran. Consultez toujours cet écran. Toujours. Comparez-le à ce qui est affiché sur votre ordinateur. S'il y a la moindre différence, même d'un seul caractère, arrêtez immédiatement. Votre ordinateur est infecté par un logiciel malveillant. Je n'exagère pas : cette différence est typique d'un pirate de presse-papiers, et vous ne l'avez détecté que parce que l'affichage du portefeuille matériel se trouve sur une puce dédiée, inaccessible à votre navigateur infecté.
Pour les portefeuilles logiciels comme MetaMask, Trust Wallet ou Phantom, l'adresse se trouve en haut de l'écran principal ou accessible en un clic sous « Recevoir ». Copiez-collez, c'est très simple. Pour les plateformes d'échange comme Coinbase, Binance et Kraken, vous trouverez l'adresse dans le menu « Dépôt ». La plupart des plateformes offrent un avantage appréciable : elles vous attribuent une adresse unique à chaque demande. Laissez cette option activée. C'est un petit plus pour votre confidentialité, sans le moindre effort, et cela protège vos actifs numériques en compliquant l'analyse de la blockchain.
Comment utiliser les portefeuilles crypto et envoyer une transaction
L'utilisation des portefeuilles crypto pour envoyer des cryptomonnaies est quasi universelle. Il suffit d'appuyer sur « Envoyer », de coller ou de scanner l'adresse du destinataire, de choisir le montant, de vérifier les frais et de confirmer. La blockchain diffuse alors la transaction, les mineurs ou validateurs l'intègrent à un bloc, et le destinataire reçoit les fonds en quelques minutes ou quelques heures. Envoyer et recevoir des cryptomonnaies est techniquement simple. Le risque réside entièrement dans les étapes intermédiaires, et toute perte due à l'envoi de cryptomonnaies à une mauvaise adresse est imputable à la précipitation d'un opérateur.
Trois points sont essentiels avant de confirmer. Premièrement, assurez-vous que l'adresse du portefeuille correspond exactement à celle que le destinataire vous a communiquée. Deuxièmement, vérifiez que la blockchain est la même. Envoyer des USDT d'Ethereum vers une adresse USDT de Tron est une erreur classique qui peut entraîner des pertes, et les plateformes d'échange utilisent souvent des formats d'adresse différents pour un même jeton selon les réseaux. Troisièmement, vérifiez les frais. Payer trop cher est inutile ; payer trop peu peut bloquer une transaction pendant plusieurs jours.
Pour les transferts importants, il est conseillé d'effectuer une transaction test. Envoyez d'abord une petite somme, attendez sa réception, puis envoyez le montant total. Les quelques centimes de frais de réseau constituent une assurance peu coûteuse et représentent la meilleure protection contre les fautes de frappe, les erreurs de copier-coller et les attaques par empoisonnement d'adresse décrites plus loin dans ce guide.
Partager l'adresse de votre portefeuille en toute sécurité et sans risque
L'adresse est publique. Totalement et sans ambiguïté publique. Vous pouvez la partager sans risque avec quiconque doit vous payer, la publier sur votre site web, l'imprimer sur vos factures. Une adresse de portefeuille ne peut pas servir à voler vos fonds ; seule la clé privée le permet. Le principe même de la cryptographie asymétrique est que l'une des clés est censée être divulguée publiquement, tandis que l'autre est censée rester secrète jusqu'à la fin de vos jours.
Alors, où est le piège ? Le problème, c’est la protection de la vie privée et le phishing, pas la perte de fonds. Publier publiquement son adresse ETH, c’est permettre à quiconque possédant un explorateur de blocs de consulter son solde, l’historique complet de ses transactions, tous les NFT utilisés, et même tous les protocoles DeFi douteux testés et regrettés. Partager cette adresse dans un groupe Telegram, c’est la rendre visible à tous les participants. En 2026, l’analyse on-chain est un secteur mature, doté d’outils performants et d’experts. Pour un portefeuille avec un long historique, réutiliser une adresse revient à publier un journal intime de ses finances, avec son nom en couverture.
Et puis il y a la règle d'or, qui reste d'une importance capitale même lorsqu'on la répète : ne partagez jamais vos clés privées, votre phrase de récupération ni vos mots de récupération. Ni avec un agent du support. Ni avec un bot de distribution gratuite. Ni avec un soi-disant représentant de Ledger qui vous a contacté par e-mail au sujet d'une mise à jour du firmware. Ni même avec votre meilleur ami. Personne de légitime n'en a besoin. J'ai vu des gens perdre des sommes considérables parce qu'un message privé du « service client » semblait officiel et utile. Il ne l'était pas. Il ne l'est jamais. Ne partagez jamais vos clés privées avec qui que ce soit, pour aucune raison.
Le problème de l'adresse de portefeuille erronée : comment éviter la perte de fonds
Envoyez des cryptomonnaies à une mauvaise adresse de portefeuille et, presque à chaque fois, l'argent disparaît. Il n'existe pas de service client pour une blockchain. Pas de remboursement, pas de protection contre la fraude, aucun interlocuteur aimable pour annuler la transaction. Le registre exécute vos instructions, même s'il s'agit d'une faute de frappe.
Les méthodes utilisées pour perdre de l'argent sont étonnamment banales. Saisir manuellement une adresse était autrefois la principale cause de ces pertes, mais plus personne de sensé ne tape 42 caractères hexadécimaux de nos jours, donc ce genre de problème est devenu extrêmement rare en 2026. En revanche, le détournement du presse-papiers est fréquent. Toute une famille de chevaux de Troie Windows, appelés « clippers », dont Laplas Clipper est le plus connu, est vendue comme un service de logiciel malveillant (MaaS) pour environ 549 $ par an. Ces logiciels espionnent discrètement votre presse-papiers et remplacent toute adresse cryptographique que vous copiez par une adresse similaire appartenant à un attaquant. Vous collez, vous cliquez sur Envoyer, et tout semble parfaitement normal. Microsoft a inventé le terme « cryware » pour désigner cette catégorie de logiciels malveillants, et l'entreprise recense des centaines de milliers d'infections chaque année.
Il y a ensuite l'empoisonnement d'adresse, une technique plus récente et particulièrement cruelle. L'attaquant génère une adresse personnalisée reprenant les quatre premiers et les quatre derniers caractères d'une adresse avec laquelle vous effectuez fréquemment des transactions. Il vous envoie ensuite une transaction vide (ou d'une valeur nulle) afin que sa fausse adresse apparaisse dans l'historique de votre portefeuille. La prochaine fois que vous aurez besoin de cette adresse, vous la copierez par inadvertance depuis l'historique et récupérerez ainsi la version de l'attaquant. Une étude du CyLab de Carnegie Mellon, publiée début 2025, a recensé environ 270 millions de tentatives d'empoisonnement sur la blockchain, touchant 17 millions de victimes entre juillet 2022 et juin 2024, pour un préjudice confirmé d'au moins 83,8 millions de dollars. Il ne s'agit plus d'une menace marginale, mais d'un phishing à grande échelle.
Le cas le plus notoire s'est produit le 3 mai 2024. Un gros détenteur a perdu 1 155 WBTC, soit environ 68 millions de dollars à l'époque, à cause d'une arnaque consistant à copier l'historique des transactions. L'attaquant a restitué la majeure partie des fonds une semaine plus tard, pour des raisons encore débattues au sein de la communauté. Même des utilisateurs avertis, qui auraient dû être vigilants, se sont laissés prendre au piège. En décembre 2024, un autre trader a été piégé de la même manière et a perdu près de 50 millions de dollars en USDT. Des personnes différentes, des blockchains différentes, mais une même erreur : se fier à l'historique des transactions pour trouver les adresses.
| Erreur | Comment cela se produit-il ? | Comment l'éviter |
|---|---|---|
| Faute de frappe | Saisie manuelle d'une longue adresse | Copiez-collez ou scannez toujours le code QR. |
| Logiciel malveillant du presse-papiers | Un logiciel malveillant remplace l'adresse copiée | Vérifier sur l'écran du portefeuille matériel |
| Traitement de l'empoisonnement | Adresse similaire dans l'histoire | Copie à partir de contacts ou d'une source récente |
| Mauvaise chaîne | USDT envoyé sur ERC20 vs TRC20 | Vérifiez que la chaîne correspond exactement avant l'envoi |
| usurpation de QR | Faux code QR en public | Vérifiez les 6 premiers et les 6 derniers caractères |
Chacune de ces erreurs peut être évitée grâce à une même habitude fondamentale : toujours vérifier l’adresse avant d’envoyer de l’argent, et la contrôler sur un appareil inaccessible aux logiciels malveillants. Copiez-la, collez-la, puis comparez-la caractère par caractère, au moins les six premiers et les six derniers, avec l’adresse source originale. Une fois la signature diffusée, il est impossible de récupérer une adresse incorrecte à laquelle l’application de portefeuille appropriée aurait envoyé de l’argent. Pour les transactions importantes, un portefeuille matériel est la solution idéale, car son écran est isolé de l’ordinateur et ne peut être altéré par logiciel.
Bitcoin et Ethereum protègent tous deux contre les fautes de frappe simples grâce à des sommes de contrôle intégrées. Bitcoin utilise Base58Check ; ainsi, une seule erreur de frappe dans une adresse héritée entraîne généralement l'échec du calcul de la somme de contrôle et le refus d'envoi. Ethereum ajoute des sommes de contrôle EIP-55 prenant en compte la casse mixte pour détecter ce type d'erreur dans les adresses contenant 0x. Ces sommes de contrôle sont inefficaces contre les échanges malveillants, car l'adresse de l'attaquant est également une adresse valide. Elles ne protègent que contre les fautes de frappe involontaires.
Gestion des adresses de portefeuille et confidentialité sur la blockchain
Gérer les adresses de portefeuille est simple d'un point de vue technique, mais complexe pour préserver sa confidentialité. Sur une blockchain comme Bitcoin, il est recommandé de générer une nouvelle adresse pour chaque paiement entrant. Cela rompt le lien entre les paiements et complique la tâche d'un observateur extérieur qui souhaiterait connaître la quantité de cryptomonnaies que vous possédez. Réutiliser la même adresse de manière répétée associe chaque paiement à la même identité sur la blockchain et offre à toute personne disposant d'un explorateur de blocs une vue complète de votre activité.
Ethereum est différent. Chaque adresse Ethereum étant un compte doté d'un nonce et d'un solde, la plupart des utilisateurs et des applications utilisent une seule adresse pour tout. C'est pratique, mais c'est aussi ce qui rend l'analyse de la chaîne si efficace sur Ethereum. Pour préserver votre confidentialité, il est indispensable d'utiliser une adresse distincte pour chaque projet. Les mixeurs et les outils de confidentialité offrent une protection supplémentaire, mais peuvent entraîner des problèmes de conformité sur de nombreuses plateformes d'échange.
L'ajout d'adresses sur liste blanche est un autre levier important. La plupart des plateformes d'échange et de nombreux portefeuilles matériels permettent d'ajouter des adresses de confiance à une liste blanche afin que les fonds ne puissent être envoyés qu'à une destination préalablement approuvée. Combiné à un délai d'attente pour les nouvelles adresses, l'ajout d'adresses sur liste blanche est l'un des moyens les plus efficaces de bloquer les logiciels malveillants de type « presse-papiers » et les prises de contrôle de compte, car l'attaquant ne peut pas simplement remplacer l'adresse par une autre.
Les carnets d'adresses, les contacts et les services de noms de portefeuilles comme ENS simplifient le quotidien en remplaçant une chaîne hexadécimale de 42 caractères par une étiquette facile à retenir, telle que « alice.eth ». Ces étiquettes sont pratiques, mais vulnérables à l'hameçonnage. Les attaques par homographe Unicode enregistrent un domaine dont les glyphes sont identiques à un nom de confiance, mais utilisent des caractères ressemblant à l'alphabet cyrillique ou grec. La victime copie alors une adresse résolue à partir de ce faux nom sans s'en apercevoir. Ce type d'attaque est documenté depuis vingt ans sur Internet, et les portefeuilles crypto qui résolvent automatiquement les noms ENS, SNS ou Unstoppable Domains sont exposés au même risque. Lors de la première utilisation d'un nom ENS, effectuez toujours la résolution via une interface de confiance, vérifiez que l'adresse sous-jacente correspond bien à la personne attendue et enregistrez-la dans votre carnet d'adresses après vérification.
Les attaques par « dust » sont une technique similaire, souvent utilisée avant l'empoisonnement. Un attaquant diffuse de minuscules transactions à des milliers d'adresses. Lorsque la victime consolide ensuite ses fonds non dépensés, le « dust » se propage et révèle le groupe d'adresses appartenant au même propriétaire. La victime de l'attaque WBTC de mai 2024 a été surveillée par « dust » pendant des semaines avant que l'attaque ne soit menée à son terme. Des portefeuilles comme Wasabi, Samourai et Sparrow permettent désormais de marquer le « dust » comme « à ne pas dépenser » afin de rompre le lien.
Gestion des adresses de portefeuilles électroniques : Règles de sécurité pour 2026
Se protéger contre les trois principales menaces (logiciels malveillants ciblant le presse-papiers, empoisonnement d'adresses et transferts de fichiers hors chaîne) repose sur quelques habitudes à adopter ou non. Les voici, volontairement succinctes.
Utilisez un portefeuille matériel pour tout ce que vous ne pouvez pas vous permettre de perdre. Ce n'est ni une option, ni un luxe, ni de la paranoïa. Un Ledger ou un Trezor vous offre un petit écran physique inaccessible aux logiciels malveillants sur votre ordinateur. Vérifier l'adresse du destinataire sur cet écran avant de signer bloque la grande majorité des attaques par copie. Achetez sur la boutique officielle, pas sur eBay. En novembre 2024, Ledger Donjon a publié une alerte concernant une faille de tension affectant le microcontrôleur du Trezor Safe 3. Ce problème n'est pertinent que si quelqu'un a un accès physique à votre appareil, ce qu'un appareil d'occasion trafiqué lui offre précisément.
Activez la liste blanche d'adresses là où votre plateforme d'échange la prend en charge. Définissez les destinations de confiance une seule fois, augmentez le délai d'attente et acceptez les contretemps. La plupart des vols par prise de contrôle de compte impliquent que l'attaquant modifie l'adresse de retrait ; une liste blanche bloque efficacement cette méthode d'attaque. Un petit investissement pour un gain considérable.
Effectuez systématiquement une transaction test avant d'envoyer de l'argent vers une nouvelle destination. Quelques centimes de frais seulement comparés à la perte totale du paiement suite à une erreur de format BEP20/ERC20 : faites le calcul. Envoyez une petite somme, attendez la confirmation, vérifiez sa réception, puis effectuez le transfert principal. Cette simple précaution permet de détecter d'un coup les fautes de frappe, les logiciels malveillants de type « clipping », les erreurs de sélection de réseau et les bugs occasionnels des plateformes d'échange.
Maintenez vos applications de portefeuille et extensions de navigateur à jour. Les versions obsolètes sont souvent vulnérables aux failles de sécurité, et une fausse mise à jour de MetaMask est une méthode classique pour remplacer un portefeuille légitime par une copie compromise. Installez les correctifs dès qu'ils sont disponibles. C'est fastidieux, certes, mais cela permet d'éviter une part importante des pertes réelles.
Et je le répète, car seule la répétition permet de retenir l'information : ne divulguez pas l'adresse publique de votre portefeuille, mais ne partagez jamais vos clés privées, votre phrase de récupération ni vos mots de sécurité. Sans exception. Le jour où quelqu'un vous demandera votre phrase de récupération, vous êtes victime d'une arnaque, même poliment.
