Chapitre 9
Le monde des cryptomonnaies est un espace de liberté et d'opportunités, mais il est aussi plein de dangers et d'arnaques. Apprenez à les reconnaître pour les éviter !
20 minutes|Alexander de Reuter|Publié le 07.09.2024
Si vous avez lu les chapitres précédents de notre série éducative, vous savez que l'une des raisons d'être des cryptomonnaies est la self-custody, et que la self-custody consiste essentiellement à détenir soi-même et à sécuriser une phrase secrète.
Nous commencerons donc cet article par un petit rappel sur ce qu'elles sont (vous trouverez un article détaillé sur ce que sont les phrases secrètes ici) et sur les bonnes pratiques pour les manipuler en toute sécurité.
Une phrase secrète (aussi appelée seed phrase) consiste en une série de 12 ou 24 mots aléatoires qui constitue la clé d'accès à votre wallet, et donc à vos crypto-actifs.
Vous pouvez la voir comme le mot de passe de votre compte bancaire ou de votre carte de crédit, considérant qu'elle donne accès à vos fonds. Mais bien plus qu'un mot de passe, une phrase secrète est aussi le seul moyen de restaurer votre wallet à tout moment et sur n'importe quelle application décentralisée.
Vous recevez une phrase secrète lorsque vous créez un nouveau wallet avec une appli comme Bridge Wallet ou tout autre wallet self-custodial.
Par exemple, si vous utilisez Bridge Wallet sur votre téléphone et que vous le perdez par mégarde, vous pourrez facilement restaurer votre wallet en réinstallant l'app sur un autre téléphone et en y entrant votre phrase secrète. Sans elle, le wallet et tous les fonds qu'il contient seraient irrémédiablement perdus.
En résumé
La manipulation sûre d'une phrase secrète est aussi simple qu'elle est importante. Il est donc capital que vous preniez le temps de lire et d'assimiler les quelques règles suivantes :
Maintenant que vous connaissez les bases de sécurité pour une phrase secrète, l'étape suivante est de la sauvegarder de façon sécurisée.
La façon qui vient en général en premier à l'esprit est de la noter sur un papier qu'on mettra dans un coffre ou dans un tiroir. Le problème est que le papier est un support fragile, il brûle, il est sensible à l'humidité, etc. Aussi, l'encre n'est pas éternelle et elle disparaîtra progressivement avec le temps.
Une alternative commune et plus sûre est d'inscrire votre phrase secrète sur un support en métal. C'est moins compliqué que ça en a l'air et de nombreux produits prêts à l'emploi existent sur le marché.
Les plaques en métal sont ainsi de bonnes solutions pour stocker des wallets importants sur le long terme. En acheter une est donc un bon investissement qui protégera votre phrase secrète du feu, de l'eau et de la plupart des autres dégâts possibles. Elles sont aussi facilement stockables dans un coffre ou tout autre endroit sécurisé.
Il y a de nombreuses variantes disponibles sur le marché, proposées par différents fabricants. Certaines nécessitent d'estampiller les mots d'une phrase secrète dans une plaque en métal, en fournissant tous les outils pour ce faire:
Plaque en métal de kryptostahl.de
D'autres proposent des boîtes en métal qui contiennent des petites plaquettes avec des lettres qui vous permettront de former les mots de votre phrase secrète et de les verrouiller dans le bon ordre à l'intérieur de la boîte :
Plaque en métal de Cryptosteel.com
Vous trouverez un test approfondi de plusieurs solutions de stockage en métal dans cet article.
Les dangers qui courent sur les réseaux sociaux sont légions. Comme la plupart des gens les utilisent au quotidien, cela en fait une cible de choix pour les arnaqueurs et les pirates en tous genres. Les sections ci-dessous vous présentent les sources de danger les plus courantes.
La plupart des projets et des communautés crypto ont des groupes de discussion publics ou privés sur Telegram, ce qui en fait une cible privilégiée, surtout considérant l'absence flagrante de fonctionnalités permettant de combattre les arnaques les plus communes.
La plupart du temps, les arnaques se déroulent par message privé. Si quelqu'un que vous ne connaissez pas vous contacte en message privé sur Telegram, c'est une arnaque garantie ! Donc lorsque vous recevez un message privé, une alarme devrait immédiatement sonner dans votre tête et vous devriez appliquer les règles suivantes :
Règles de sécurité sur Telegram
Il est important de signaler les arnaqueurs à Telegram, car la plateforme les empêchera automatiquement d'envoyer des messages privés à d'autres utilisateurs. En signalant un escroc, vous épargnerez peut-être quelqu'un d'autre.
Il arrive régulièrement qu'on vous rajoute soudainement dans un groupe sans qu'on vous ne l'ayez choisi. Malheureusement, les réglages par défaut de Telegram permettent à n'importe qui de vous ajouter dans n'importe quel groupe. Pour l'empêcher, voici comment modifier vos paramètres Telegram :
Pour empêcher les arnaqueurs de vous déranger en message privé, vous pouvez modifier vos paramètres comme suit (seulement disponible avec Telegram Premium):
Lorsque vous allez sur le serveur Discord d'un projet crypto, le danger le plus fréquent est de se faire contacter par des personnes qui prétendent faire partie du support du projet.
Lorsque vous posez une question sur un canal de discussion, des arnaqueurs vous inviteront immédiatement à ouvrir un ticket de support en cliquant sur un lien qui vous emmènera sur un site web ou sur un autre serveur Discord contrôlé par les arnaqueurs.
Leur but est de vous faire connecter votre wallet à leur site web pour soit-disant vous aider à résoudre votre problème, mais si vous le faites leur interface drainera tous vos fonds.
Il va sans dire qu'il ne faut jamais cliquer sur ce genre de lien et toujours suivre les consignes officielles d'un projet pour obtenir du support.
Même si ce ne sont plus les escroqueries les plus populaires, les faux concours existent toujours. On les retrouve sur tous les réseaux sociaux sous différents formats.
Par exemple, sur YouTube on trouve des live streams de vraies conversations entre personnalités crypto, qui sont republiées par des escrocs pour promouvoir des "concours" qui montrent par exemple un code-QR que les utilisateurs devront scanner pour envoyer des cryptos afin d'en recevoir le double en retour.
C'est bien entendu complètement absurde et une arnaque évidente. Il ne faut donc envoyer sous aucun prétexte des fonds à ces adresses.
Le spam et les faux commentaires pullulent en réponse sous les posts officiels de la plupart des grandes entreprises crypto sur tous les réseaux sociaux.
Les escrocs génèrent de faux commentaires avec de faux profils pour faire circuler tout type d'arnaques, comme des tokens suspects, des programmes d'investissement mirobolants ou encore des services de conseil en investissement. Des adresses e-mail ou des numéros de téléphone sont souvent inclus dans ces commentaires. Les escrocs répondent en général à leurs propres commentaires avec d'autres faux profils pour simuler de l'engagement :
La pub sur les réseaux sociaux est une situation un peu paradoxale. D'un côté, la plupart des plateformes interdisent explicitement aux entreprises crypto légitimes de promouvoir leurs services, tandis qu'il est étonnamment simple de publier une pub pour une arnaque crypto, y compris dans les résultats de recherche sur Google. Il est donc important d'apprendre à reconnaître les fraudes les plus fréquentes pour les éviter.
La plus commune est probablement les pubs publiées par des faux comptes qui copient de vraies entreprises. La tactique est de se faire passer pour une marque connue et de publier une annonce alléchante, en espérant que vous cliquerez dessus avant d'avoir le temps de réfléchir. La plupart du temps, ces pubs annoncent de faux airdrops et vous invitent à collecter des tokens gratuits.
De toute évidence, il ne faut jamais cliquer sur ces pubs. Si vous le faites, vous ouvrirez un site de phishing qui vous demandera de connecter votre wallet afin de drainer son contenu.
Un autre type de pub frauduleuse sont les annonces pour des conseillers financiers dont les programmes d'investissement ont d'incroyables performances. 100% sont des arnaques. Pourquoi ? Tout simplement parce que les vrais conseillers capables d'obtenir d'excellentes performances n'ont pas besoin de faire de la publicité pour avoir des clients.
Enfin, la tactique la plus courante est d'acheter une pub sur Google afin de vous montrer un lien de phishing avant un résultat officiel. Par exemple, si vous cherchez sur Google un site crypto, le premier résultat peut être une pub pour une arnaque qui vous emmènera sur un site web conçu pour vous faire connecter votre wallet et dérober vos fonds, tandis que le second résultat sera le bon :
Pour éviter les fausses pubs, suivez ces quelques règles :
Le monde de la finance décentralisée est un écosystème riche et florissant, et la majorité de ses utilisateurs vont sur des applications web comme Aave ou Uniswap.
Pour utiliser ce genre de site web, il faut y connecter son wallet au travers de différentes options possibles :
Par exemple, connecter un wallet mobile comme Bridge Wallet se fait avec WalletConnect.
Les étapes pour connecter et utiliser un wallet sur un site web se déroulent toujours comme ceci :
Les étapes 1 et 2 ne sont que de simples échanges de données, elles doivent donc êtres complètement gratuites et sans frais de transaction. Seule l'étape 3 peut vous montrer un frais de transaction lorsque vous recevez la requête, parce que c'est le seul moment où des fonds vont être déplacés.
Lorsque vous utilisez un site web, si vous prévisualisez des frais de transaction pour les étapes 1 et 2, attention : la requête est probablement encodée de façon à vous tromper et à vous faire donner l'autorisation au site web de retirer vos fonds et de les envoyer sur l'adresse des escrocs.
Les e-mails de phishing (hameçonnage) sont actuellement très répandus et donc très dangereux. Le but du phishing est de vous induire en erreur et de vous faire révéler des informations sensibles qui permettront à un escroc de vous voler quelque chose de valeur (de l'argent, des données d'identification, etc.).
Ces e-mails sont conçus pour imiter les e-mails de plateformes ou de prestataires authentiques et réputés, et en général leur apparence est à s'y méprendre.
Heureusement, il est relativement facile de reconnaître un e-mail de phishing si l'on sait où regarder.
Tout d'abord, vous devez toujours vérifier l'adresse de l'expéditeur de l'e-mail. A-t-elle l'air correct ou est-elle bizarre ? Elle doit être exacte, parce qu'une adresse quasi identique (avec une seule lettre qui change par exemple) peut être créée très facilement. Par exemple, un e-mail envoyé d'une adresse qui finit par @amazon.com est légitime, tandis que @amazon-service.com est un faux.
En ce qui nous concerne, vous recevrez toujours des e-mails de notre part venant d'adresses finissant par @mtpelerin.com. Voici un exemple d'arnaqueurs qui ont envoyé des e-mails de phishing à notre nom en copiant le format de nos e-mails :
La première chose que vous pouvez remarquer ici est l'adresse de l'expéditeur, qui ne finit pas par @mtpelerin.com. Il faut donc bloquer l'expéditeur et supprimer l'e-mail.
La chose suivante à observer est le texte de l'e-mail. Les escrocs viennent souvent d'autres continents et utilisent des outils de traduction pour écrire dans votre langue. Le résultat contient donc souvent des formulations bizarres, des tournures étranges et des fautes d'orthographe, ce qui se remarque assez vite.
Le contenu de l'e-mail montre aussi clairement comment les arnaqueurs comptent s'y prendre pour accéder à vos fonds. Par exemple, ils diront que votre wallet est soit-disant bloqué et que pour le débloquer vous devez payer un frais. Si vous savez comme fonctionne un wallet, vous saurez immédiatement que c'est bien entendu complètement absurde.
Bridge Wallet et tous les autres wallets self-custodial sont complètement décentralisés, ce qui veut dire que personne d'autre que vous n'y a accès. Il est strictement impossible de bloquer un wallet (c'est tout le but de la crypto), et c'est donc encore plus impossible de le "débloquer".
Règles de sécurité :
Un grand nombre de nouveaux coins, de nouveaux projets et de nouvelles ICOs apparaît sur le marché pratiquement chaque jour.
Bien que certains soient sérieux, beaucoup sont tout simplement des arnaques dont le seul but est de vous exciter à investir de l'argent et à acquérir des tokens qui s'apprêtent soit-disant à exploser.
Une fois l'argent reçu, les personnes (anonymes) à la tête de ces projets disparaîtront tout simplement avec l'argent. Certaines de ces arnaques sont mêmes promues par de vraies célébrités ou des influenceurs sans vergogne, il peut donc être parfois difficile de faire le tri.
Comme pour tout autre investissement hors des cryptos, vous ne devriez investir que ce que vous pouvez vous permettre de perdre. Ensuite, vous devriez toujours faire vos propres recherches lorsque vous considérez investir dans un nouveau token ou NFT.
Règles de base pour analyser un projet :
Les fausses opportunités d'investissement sont un autre outil d'attaque favori des escrocs, qui tenteront de vous en parler par différents canaux comme ceux mentionnés dans les sections précédentes. Une fois encore, le plus important est de faire preuve de bon sens.
Les investissements promettant d'énormes profits sont toujours hautement suspects et très probablement des arnaques. Les offres se vantant de pouvoir multiplier vos fonds en peu de temps sont irréalistes et donc des escroqueries.
Toutes les offres d'investissement faites par téléphone, par WhatsApp / Telegram et sur les réseaux sociaux sont systématiquement des arnaques ! Une plateforme de trading ou un service financier ne vous contactera jamais directement en privé. Ceux qui le font sont des escrocs, bloquez-les et n'engagez pas de conversation avec.
Règles de sécurité :
Les faux tokens sont aujourd'hui un type d'arnaque très répandu dans la crypto, et ils vont souvent de pair avec d'autres méthodes d'arnaque.
De nombreux débutants ne réalisent pas que n'importe quel token - à part Bitcoin - peut être imité.
En effet, n'importe qui peut librement créer un token sur une blockchain et lui donner n'importe quel nom, y compris le nom d'un token existant. Seule l'adresse d'un token est unique.
Les utilisateurs inexpérimentés ne remarquent souvent pas la différence entre un vrai et un faux token, ou alors trop tard au moment d'essayer de le vendre et de réaliser qu'il ne vaut rien du tout.
Les faux tokens sont généralement payés en guise de soit-disant profits provenant de faux programmes d'investissement afin de faire croire à la victime qu'elle a vraiment reçu quelque chose en retour. Le token le plus falsifié est le stablecoin USDT, qui existe sur plusieurs blockchains.
Voici comment vous pouvez reconnaître par vous-même un faux token. Pour ce faire, il suffit de se rendre sur un block explorer et de rechercher son wallet pour voir son contenu. Pour cet exemple nous utilisons Etherscan.
Pour vous donner une illustration concrète, nous allons détailler ici une escroquerie classique qui implique une fausse plateforme d'investissement et de faux tokens. Le schéma ci-dessous vous donne un aperçu du principe :
Tout d'abord, la victime est contactée d'une façon ou d'une autre par un soit-disant trader / courtier / conseiller en investissement, que ce soit par e-mail, sur les réseaux sociaux, via des pubs en ligne ou au téléphone (les escrocs achètent parfois des bases de données piratées). Ces méthodes de contact à elles seules devraient immédiatement vous alerter. Malheureusement, de nombreuses personnes crédules se font piéger alors qu'elles cherchent à faire fructifier leur argent et sont enclines à lancer une conversation sur le sujet.
Ensuite, l'escroc va présenter son incroyable programme d'investissement avec lequel la victime peut gagner beaucoup d'argent facilement, en déposant simplement des fonds que le conseiller gérera pour elle.
Ils vous emmèneront sur leur site web, qui a souvent une allure suffisamment professionnelle pour sembler crédible. Vous devrez vous y enregistrer et créer un profil utilisateur. Cette étape permet souvent aux escrocs de récolter vos précieuses informations personnelles qu'ils utiliseront ensuite pour créer un compte à votre nom sur une vraie plateforme d'échange crypto.
L'étape suivante est de déposer des fonds pour créditer votre compte sur la fausse plateforme. Pour ce faire, les escrocs vont tout simplement vous donner les informations de paiement d'une vraie plateforme crypto, en espérant que vous ne réagissiez pas au nom du bénéficiaire. Un faux conseiller accompagne parfois la victime au téléphone ou en visioconférence pour s'assurer qu'elle effectue bien le paiement. La plupart du temps, seul un petit montant est d'abord requis pour commencer, afin de ne pas créer de soupçons.
Une fois que les escrocs ont les fonds, ils font croire à la victime que son argent se multiplie rapidement en lui montrant un faux dashboard de trading et divers documents ayant l'air officiels. Les vrais fonds ne bougent évidemment jamais.
Naturellement, la victime va vouloir retirer ses gains à un moment donné. Lorsque cela se produit, les escrocs demandent de payer une commission pour leur travail, payable à l'avance. Cette commission est souvent un pourcentage du gain fictif, et vu les montants importants la victime accepte en général de bonne foi de payer une commission salée aux escrocs, pensant qu'elle a gagné bien plus. Bien sûr, ce n'est pas le cas mais la commission est payée avec du vrai argent et les fonds sont ensuite perdus à jamais.
Afin de gagner du temps pendant qu'ils disparaissent, les escrocs paient parfois à la victime ses énormes gains en crypto sur son wallet, en lui envoyant de faux tokens sans valeur. La victime verra par exemple 200'000 faux USDT sur son wallet et tournera en rond en essayant de comprendre comment les retirer en fiat. Lorsqu'elle comprend enfin qu'elle s'est fait avoir, les escrocs ont disparu depuis longtemps et cessent de répondre aux messages de la victime.
Encore pire, les escrocs recontacteront la victime sous un autre nom pour lui offrir un service d'investigation et de recouvrement de fonds. Avec ces faux services, la victime doit payer une avance pour engager la procédure, qui est souvent calculée en pourcentage des fonds volés.
Il va sans dire que vous ne devez jamais payer un service en avance dans l'espoir de récupérer des fonds volés, ou vous vous ferez voler une deuxième fois. La seule chose à faire en cas de vol est de porter plainte auprès de la police.
Les bases de sécurité dans la crypto doivent être apprises attentivement par quiconque souhaite utiliser des cryptos sérieusement. Si vous les comprenez et les respectez, vous éviterez la plupart des pièges et des arnaques.
En règle générale, vous devez toujours :
Et bien entendu, continuez de vous éduquer et d'en apprendre plus. Il y a beaucoup de contenu éducatif sur les cryptomonnaies gratuit et de qualité en ligne, donc profitez-en et prenez le temps de lire.
Si vous ne savez pas où commencer, nous avons un guide du débutant qui vous donnera toutes les bases dont vous aurez besoin.
Soyez prudents !
À propos de l'auteur
Alex est un membre de l'équipe de support client de Mt Pelerin, il est donc expert dans le conseil et l'assistance aux utilisateurs qui font leurs premiers pas dans la crypto. Il a débuté son propre voyage lorsqu'il a découvert Bitcoin en 2018.
Les questions les plus fréquentes que nos clients nous posent sont toutes répondues sur notre FAQ, jetez un œil !
