Sécurité, enquêtes, récupération de fonds et protection des actifs

Interview exclusive pour le portail iTrusty.io

Alexander Mercer, rédacteur en chef d'iTrusty.io × Robert Stanley, responsable de la cybersécurité

Avant-propos de la rédaction

En 2025, l'industrie des cryptomonnaies a été confrontée à une vague de vols sans précédent : selon Chainalysis et TRM Labs, plus de 3,4 milliards de dollars ont été dérobés au cours de l'année. Le seul piratage de la bourse dubaïote Bybit en février 2025 a rapporté aux hackers du groupe nord-coréen Lazarus environ 1,5 milliard de dollars en Ethereum — le plus grand vol de l'histoire de l'industrie crypto et l'un des plus grands vols financiers de l'histoire de l'humanité.

Par ailleurs, le nombre d'incidents liés à la compromission de portefeuilles personnels a atteint 158 000 cas, touchant plus de 80 000 victimes uniques. Les hackers nord-coréens ont au total dérobé 2,02 milliards de dollars rien qu'en 2025 — soit 51 % de plus que l'année précédente — portant le montant cumulatif estimé des sommes volées par Pyongyang à 6,75 milliards de dollars.

Nous vivons à une époque où des actifs numériques valant des centaines de milliards de dollars sont protégés par une série de 12 mots griffonnés sur un bout de papier, tandis que des hackers d'État chevronnés s'attaquent aux bourses de cryptomonnaies avec la même méthodologie que des forces spéciales prenant d'assaut des installations militaires.

Afin de comprendre l'anatomie de la cybercriminalité dans l'univers crypto, les techniques d'investigation et les moyens concrets de se protéger, nous avons organisé une rencontre entre deux experts.

Alexander Mercer est rédacteur en chef du portail iTrusty.io, animateur de la rubrique « AI × Crypto: Data-Driven Insights » et spécialiste de l'intersection entre technologie et marchés financiers. Ses analyses hebdomadaires sont lues par plus de 200 000 abonnés.

Robert Stanley est responsable de la cybersécurité dans l'une des plus grandes banques mondiales. Il a auparavant dirigé le département des enquêtes sur la criminalité high-tech au sein de la police d'un pays européen. Au cours d'une carrière de plus de 15 ans, il a participé à l'enquête sur des dizaines de grandes affaires de cybercriminalité liées aux cryptomonnaies, y compris des dossiers impliquant des groupes de hackers soutenus par des États. Pour des raisons de sécurité et de politique interne, le nom de la banque et du pays ne sont pas divulgués.

Format de la rencontre : entretien approfondi avec deux experts. Alexander Mercer pose les questions en tant que journaliste et analyste, Robert Stanley répond en tant que praticien — un homme qui a personnellement enquêté sur les piratages les plus importants et qui a mis en place des systèmes de protection pour des acteurs institutionnels. La conversation a duré plus de quatre heures et a couvert un large spectre de sujets : de l'anatomie technique des piratages à la psychologie des victimes, de la blockchain forensics aux recommandations pratiques pour la conservation des cryptoactifs. Vous trouverez ci-dessous la transcription intégrale.

Partie I. L'ampleur du problème : combien vole-t-on dans la crypto et pourquoi les chiffres augmentent

Alexander Mercer: Robert, commençons par l'ampleur du phénomène. Quand une personne lambda entend « un milliard et demi volé sur une bourse », elle a l'impression que c'est tiré d'un film. Dans quelle mesure le problème des vols dans l'industrie crypto est-il réel et systémique ?

Robert Stanley: Ce n'est pas un film — c'est la réalité, et l'ampleur du phénomène nous stupéfie, nous les professionnels. Regardons les chiffres de ces dernières années, car la tendance parle d'elle-même.

En 2022, le précédent record avait été établi avec 3,8 milliards de dollars volés. En 2023, le volume des vols a chuté à 1,7 milliard — une baisse de 54 %. On aurait pu croire que l'industrie tirait des leçons. Mais en 2024, la tendance s'est inversée : 2,2 milliards de dollars, soit une hausse de 21 % en glissement annuel, avec 303 incidents distincts. Et 2025 a battu tous les records : 3,4 milliards de dollars, sachant qu'au seul premier semestre, 2,17 milliards avaient déjà été dérobés — davantage que sur l'ensemble de l'année 2024.

Alexander Mercer: Autrement dit, l'industrie se développe — et les vols augmentent avec elle ?

Robert Stanley: Exactement. Mais il est important de contextualiser : le volume total des vols représente moins de 1 % du volume global des transactions crypto. Le problème est bien réel, mais il ne définit pas l'industrie. Ce qui la définit, c'est sa capacité à réagir, à mener des enquêtes et à récupérer les fonds.

Ce qui m'inquiète en tant que professionnel, c'est le glissement dans la nature des menaces. Auparavant, les protocoles DeFi dotés d'un code non audité constituaient la cible principale ; en 2024-2025, le focus s'est déplacé vers les services centralisés et la compromission des clés privées. Selon TRM Labs, les attaques contre l'infrastructure — principalement le vol de clés privées et de seed phrases — ont représenté près de 70 % du volume total des sommes dérobées en 2024. Cela signifie que le problème a migré du domaine du « mauvais code » vers celui des « mauvaises pratiques de sécurité ».

Alexander Mercer: Et la Corée du Nord — ce n'est pas un mythe ? Un État s'adonne réellement au vol de cryptomonnaies ?

Robert Stanley: Ce n'est pas un mythe, et ce n'est pas une exagération. La Corée du Nord est le seul État au monde qui vole systématiquement, au niveau étatique, des cryptomonnaies pour financer ses programmes militaires. En 2025, les hackers nord-coréens ont dérobé 2,02 milliards de dollars — soit 76 % de l'ensemble des vols perpétrés contre des services. Le montant cumulatif depuis le début de leurs opérations s'élève à au moins 6,75 milliards de dollars.

Le groupe Lazarus, qui est à l'origine de la plupart de ces attaques, emploie des méthodes d'une sophistication remarquable. L'un des vecteurs clés consiste à infiltrer des entreprises occidentales en y plaçant des informaticiens nord-coréens déguisés en freelances. Ces individus obtiennent un accès légitime aux systèmes et le transmettent à leurs collègues hackers. Ce n'est pas « le hacker à capuche dans son sous-sol » — c'est une opération organisée, bien dotée en ressources et pilotée par un État.

Le FBI a déclaré publiquement que le piratage de Bybit avait été orchestré par la Corée du Nord. Et les outils de sanctions traditionnels ne sont malheureusement d'aucun secours — la Corée du Nord est déjà sous les sanctions les plus sévères qui soient. Pour eux, le vol de cryptomonnaies n'est pas un crime, c'est une stratégie économique.

Partie II. Anatomie de la cybercriminalité crypto : toutes les méthodes de piratage et de vol

Alexander Mercer: Entrons dans le détail. Quelles sont exactement les méthodes utilisées par les criminels pour voler des cryptomonnaies ? Je voudrais que nos lecteurs comprennent chaque vecteur d'attaque.

Robert Stanley: C'est la bonne approche, car sans compréhension des menaces, pas de protection possible. Je vais structurer l'ensemble des principaux vecteurs — il y en a sept grandes catégories, chacune avec ses sous-catégories.

Catégorie 1. Exploitation des smart contracts

Robert Stanley: Les smart contracts sont du code logiciel qui gère des milliards de dollars. Une erreur dans une seule ligne peut coûter des centaines de millions.

Attaques par réentrance

Un vecteur classique, rendu célèbre dès 2016 avec l'attaque contre The DAO, qui avait permis de dérober 3,6 millions d'ETH (60 millions de dollars au cours de l'époque). Le principe : l'attaquant appelle la fonction de retrait de fonds, et avant que le contrat n'ait mis à jour le solde, il rappelle la même fonction de manière récursive. Le contrat « croit » que le solde n'a pas changé et distribue à nouveau les fonds. On pourrait penser que tout le monde est au courant. Pourtant, en 2023, Curve Finance a perdu environ 70 millions de dollars à cause d'une vulnérabilité similaire. Les développeurs connaissent la théorie, mais dans des systèmes complexes impliquant des dizaines de contrats interdépendants, les bugs de réentrance se dissimulent dans des endroits non évidents.

Manipulations d'oracles

Les smart contracts n'ont pas accès directement aux données externes. Ils obtiennent les prix des actifs, les taux de change et d'autres informations via des oracles — des services intermédiaires externes. Si un attaquant peut manipuler temporairement le prix d'un actif sur une plateforme (via un flash loan, par exemple), il peut « tromper » l'oracle et effectuer une transaction avantageuse à un prix artificiel. C'est comme si quelqu'un modifiait temporairement le taux de change affiché dans un bureau de change pendant que vous échangez votre argent.

Erreurs logiques dans les systèmes de collatéral et de liquidité

Les protocoles de prêt et de liquidité DeFi utilisent des formules mathématiques complexes pour calculer les garanties, les taux d'intérêt et les positions. Une erreur dans une formule, un cas limite non pris en compte, un arrondi incorrect — et un attaquant peut retirer plus que ce qui lui est dû, ou créer une position qui ne peut « structurellement » pas être liquidée.

Exploitation des ponts inter-chaînes (bridge exploits)

Les ponts sont l'infrastructure permettant de transférer des actifs entre blockchains. En substance, ce sont des « banques » qui conservent des garanties dans un réseau et émettent des tokens équivalents dans un autre. Les ponts sont devenus la cible la plus « coûteuse » : Ronin Network a perdu 624 millions, Wormhole 320 millions, Nomad 190 millions. La raison : les ponts combinent la complexité des interactions inter-chaînes avec des volumes massifs de fonds bloqués.

Attaques par flash loan

Un flash loan est un crédit instantané sans garantie, qui doit être remboursé dans le cadre d'une seule transaction. C'est un outil légitime que les attaquants utilisent à des fins de manipulation : emprunter une somme colossale, manipuler un prix, en tirer profit, rembourser le crédit — le tout en une seule transaction. L'attaquant n'a besoin d'aucun capital propre.

Catégorie 2. Compromission des clés privées et des seed phrases

Alexander Mercer: Vous avez dit que c'est désormais le vecteur principal — 70 % de tous les vols. Pouvez-vous développer ?

Robert Stanley: C'est la méthode à la fois la plus « simple » et la plus dangereuse. La clé privée est la seule chose nécessaire pour contrôler totalement un portefeuille. La seed phrase en est la représentation mnémotechnique, généralement 12 ou 24 mots. Celui qui détient la clé détient les actifs. Sans exception, sans recours possible.

Phishing — classique et avancé

La méthode la plus répandue. La victime reçoit un email, un message sur Telegram, Discord ou Twitter imitant un service légitime : une bourse, un portefeuille, un protocole DeFi. Le lien mène vers un site de phishing visuellement identique à l'original. La victime saisit sa seed phrase ou signe une transaction malveillante.

En 2025, le phishing avancé utilise l'IA pour générer des messages personnalisés, cloner des voix lors d'appels téléphoniques et créer des deepfakes pour des vidéoconférences. Nous avons eu connaissance de cas où des « collègues » lors d'un appel vidéo demandaient de signer une transaction — et tous les visages à l'écran étaient des deepfakes.

Logiciels malveillants (malware)

Les clippers sont des programmes qui substituent l'adresse de portefeuille copiée par celle de l'attaquant. Vous copiez l'adresse d'un ami, vous la collez dans le champ d'envoi — mais c'est l'adresse du hacker qui s'y insère. Les keyloggers enregistrent toutes les frappes au clavier, y compris la saisie du mot de passe et de la seed phrase. Les stealers sont des logiciels spécialisés qui recherchent sur l'ordinateur les fichiers de portefeuilles, les configurations, les cookies et les sessions. Les trojans de type InfoStealer — RedLine, Raccoon, Vidar — représentent une menace de masse. Ils se propagent via des logiciels piratés, des programmes « crackés » ou de fausses mises à jour.

Bibliothèques infectées et pipelines CI/CD compromis

Ce vecteur cible les développeurs. L'attaquant publie un paquet malveillant sur npm, PyPI ou un autre dépôt, sous un nom ressemblant à une bibliothèque populaire (typosquatting). Le développeur l'installe, et le code malveillant accède aux clés privées, aux variables d'environnement et aux secrets du pipeline CI/CD. C'est ainsi que les clés de plusieurs grands projets ont été compromises.

Fuite de seed phrase par facteur humain

Une photo de la seed phrase stockée dans le cloud (Google Photos, iCloud), une note dans une application mobile, un fichier « passwords.txt » sur le bureau, une seed phrase dans le gestionnaire de mots de passe compromis (comme LastPass en 2022). Des erreurs qui semblent évidentes — et qui demeurent pourtant l'un des principaux canaux de fuite.

« Signature involontaire » — approbation malveillante

L'utilisateur connecte son portefeuille à un site et signe une transaction sans en comprendre le contenu. Au lieu de « autoriser ce contrat à utiliser 100 USDT », il signe « autoriser ce contrat à utiliser un nombre illimité de tous mes tokens ». Ou il signe un permit qui donne à l'attaquant le droit de retirer des fonds sans validation supplémentaire. C'est le fléau des utilisateurs DeFi.

C'est précisément ainsi que Bybit a été piraté : les signataires du portefeuille multisig ont approuvé une transaction sans vérifier ce qu'ils signaient exactement sur l'écran du portefeuille matériel. S'ils avaient vérifié les données de la transaction, 1,5 milliard de dollars seraient restés en sécurité.

Catégorie 3. Attaques contre l'infrastructure

Robert Stanley: Il s'agit ici d'attaques hackers plus « traditionnelles », adaptées à l'univers crypto.

DNS hijack — détournement de domaine

L'attaquant prend le contrôle des enregistrements DNS d'un domaine de projet. Lorsque l'utilisateur accède à un site familier via son adresse habituelle, il est redirigé vers une copie de phishing. Le domaine est identique, le certificat SSL peut avoir été réémis. La victime ne voit aucune différence. Plusieurs grands projets DeFi ont ainsi été attaqués.

Substitution du frontend

Le cybercriminel compromet le CDN (réseau de diffusion de contenu) ou le pipeline CI/CD d'un projet et modifie le frontend — l'interface utilisateur. Le smart contract reste sécurisé, mais l'interface insère une adresse malveillante dans les transactions. L'utilisateur croit interagir avec un contrat légitime, alors qu'il envoie en réalité ses fonds au hacker.

Compromission des clés API de bourses

Si un utilisateur crée une clé API sur une bourse pour un bot ou un service tiers, et que cette clé fuite (via un service compromis, un dépôt GitHub, des logs), l'attaquant accède au compte de trading. Il peut effectuer des transactions, retirer des fonds (si la clé dispose de ces autorisations).

Attaques par SIM swap

Le cybercriminel convainc l'opérateur mobile de réémettre la carte SIM de la victime à son nom. Il accède ainsi aux codes SMS de double authentification, puis à l'email, à la bourse ou au portefeuille. Cette attaque est particulièrement efficace dans les pays où la vérification d'identité chez les opérateurs est insuffisante. Nous avons recensé des dizaines de cas où un SIM swap a entraîné la perte de centaines de milliers de dollars.

Attaques contre les serveurs et stockages cloud

Si des clés privées ou des seed phrases sont stockées sur un serveur cloud, un VPS ou un réseau d'entreprise, la compromission de cette infrastructure entraîne automatiquement celle des portefeuilles. Une fuite depuis AWS S3, un compte administrateur compromis, des droits d'accès mal configurés — ce sont des vecteurs bien réels.

Catégorie 4. Ingénierie sociale et menaces internes

Alexander Mercer: C'est probablement le vecteur le plus « humain » ?

Robert Stanley: Oui, et souvent le plus dévastateur. Ici, le problème ne réside pas dans la technologie, mais dans la confiance, la manipulation et les faiblesses humaines.

« Pig butchering » — arnaques crypto romantiques

Un schéma qui est devenu une véritable épidémie. La victime fait la connaissance d'une personne « séduisante » sur les réseaux sociaux ou un site de rencontres. Une relation se noue — parfois sur plusieurs semaines ou mois. Puis le « partenaire » évoque une « opportunité d'investissement incroyable » dans la crypto. La victime s'inscrit sur une plateforme factice, dépose de l'argent, voit des « gains » s'afficher à l'écran. Elle investit de plus en plus. Lorsqu'elle tente de retirer ses fonds — ils ont disparu.

Selon le Département de Justice américain, les Américains ont perdu environ 10 milliards de dollars rien qu'en 2024 dans des arnaques crypto à l'investissement. En octobre 2025, le DOJ a saisi plus de 15 milliards de dollars dans le cadre de l'une des plus grandes opérations menées contre un réseau de pig butchering. L'ampleur de ces schémas est industrielle, faisant souvent appel au travail forcé dans des centres d'appel d'Asie du Sud-Est.

Fausses plateformes d'investissement

De fausses bourses dotées d'un design professionnel, de graphiques bidons et d'un « service client ». La victime transfère ses fonds — et ne les revoit jamais. Ces plateformes sont souvent promues via YouTube, des canaux Telegram, des spams, et désormais via des « experts financiers » générés par IA dans des vidéos.

Attaques internes (insider threats)

La catégorie la plus délicate. Un employé de bourse, un développeur de projet, un partenaire ou un prestataire ayant accès aux systèmes en abuse pour voler, ou transmet cet accès à un attaquant externe. Les vols internes sont particulièrement difficiles à enquêter, car « l'attaquant » se comporte comme un utilisateur légitime.

La Corée du Nord exploite activement ce vecteur : ses informaticiens se font embaucher frauduleusement à distance dans des entreprises occidentales, obtiennent un accès aux systèmes internes et ouvrent la porte au groupe de hackers.

Faux airdrops et concours

« Elon Musk distribue des bitcoins — envoyez 0,1 BTC et recevez 1 BTC en retour ». Cela semble absurde. Pourtant, les gens continuent de tomber dans le panneau. Version plus sophistiquée : de faux airdrops demandant de « confirmer » sa participation en connectant son portefeuille à un contrat malveillant.

Catégorie 5. Rug pull — « tirer le tapis »

Robert Stanley: Une catégorie à part, qui mérite attention. Un rug pull désigne la situation où les créateurs d'un projet créent délibérément un token ou un protocole dans le but d'attirer des investissements, puis s'emparent de tous les fonds avant de disparaître.

Le fonctionnement : l'équipe crée un token, génère du buzz via les réseaux sociaux et des influenceurs, attire des liquidités d'investisseurs, puis retire en une seule opération l'intégralité des fonds du pool de liquidité. Le prix du token s'effondre à zéro. Les investisseurs se retrouvent avec des tokens sans valeur.

Variantes : le « soft rug » — l'équipe ne disparaît pas instantanément, mais perd progressivement tout intérêt, abandonne le développement et vend ses tokens. Le « hard rug » — retrait immédiat de toute la liquidité. Le « honeypot » — un token qu'on peut acheter, mais qu'il est techniquement impossible de revendre en raison d'un code caché dans le contrat.

Catégorie 6. Attaques contre la sécurité physique

Alexander Mercer: Nous parlons depuis le début d'attaques numériques. Qu'en est-il des menaces physiques ?

Robert Stanley: C'est malheureusement une tendance en hausse. À mesure que la valeur des cryptoactifs augmente, les agressions physiques contre leurs détenteurs se multiplient.

La « wrench attack » — littéralement « l'attaque à la clé de serrage » — est un terme de la communauté crypto désignant la situation où un cybercriminel menace physiquement le propriétaire d'un portefeuille pour en obtenir l'accès. Cela peut prendre la forme d'un enlèvement, d'un vol à main armée ou d'un chantage. Les registres publics de tels incidents recensent des dizaines de cas à travers le monde, dont certains avec issue fatale.

En 2024-2025, une recrudescence d'agressions ciblées contre des investisseurs et entrepreneurs en cryptomonnaies a été observée. Les cybercriminels identifient leurs victimes grâce aux données publiques de la blockchain, à leur activité sur les réseaux sociaux et à leur participation à des conférences.

Catégorie 7. Menaces étatiques et systémiques

Robert Stanley: Il convient de mentionner séparément les risques liés non pas aux hackers, mais aux États et aux défaillances institutionnelles.

Confiscation : les autorités étatiques peuvent geler ou saisir des cryptoactifs sur des plateformes régulées. Effondrements de bourses : FTX, Mt. Gox, QuadrigaCX — des histoires où les fonds des utilisateurs sont devenus inaccessibles non pas à cause d'un piratage externe, mais en raison de fraudes ou d'incompétence de la direction de la bourse. Changements réglementaires : des interdictions soudaines, des blocages ou de nouvelles exigences peuvent restreindre l'accès aux fonds.

Partie III. Chain forensics : comment les vols sur la blockchain sont enquêtés

Alexander Mercer : Passons maintenant aux enquêtes. Quand on dit « dans la crypto, tout est anonyme » — est-ce vrai ?

Robert Stanley : C'est l'un des mythes les plus tenaces. La blockchain n'est pas un système anonyme. C'est un système pseudonyme. Et la différence est énorme.

L'anonymat signifierait que les transactions sont invisibles. Mais la blockchain est littéralement un registre public. Chaque transaction y est inscrite pour toujours, accessible à tous, immuable. Certes, une adresse de portefeuille n'est qu'une suite de caractères, pas un nom et un prénom. Mais relier une adresse à une identité, c'est précisément ce que fait la chain forensics.

Qu'est-ce que la chain forensics en tant qu'industrie ?

Robert Stanley : La chain forensics est une industrie à la croisée de plusieurs disciplines. Ce n'est pas « un seul bouton » ni un outil magique. C'est un écosystème composé de cinq composantes clés.

La première composante, ce sont les données. Il s'agit des nœuds de blockchains, des indexeurs, des archives de transactions. Pour mener une enquête, il faut accéder à l'historique complet de chaque adresse, de chaque contrat, de chaque mouvement de fonds sur toutes les réseaux.

La deuxième, c'est l'analyse. Clustering d'adresses, construction de graphes de transactions, détection de patterns. C'est un travail algorithmique où l'IA et le machine learning jouent un rôle croissant.

La troisième, c'est le travail opérationnel. Contacts avec les exchanges, les desks OTC, les bridges, les fournisseurs de portefeuilles. Une fois que vous avez déterminé que des fonds ont atterri sur un exchange précis, il faut rapidement contacter leur service de conformité pour procéder au gel.

La quatrième, c'est la conformité et la dimension juridique. Listes de sanctions, procédures AML, constitution d'un dossier de preuves pour le tribunal, coopération avec les autorités répressives.

La cinquième, c'est la réponse aux incidents (incident response). C'est ce qu'il faut faire dans les premières minutes et heures qui suivent un piratage.

Les acteurs clés de l'industrie chain forensics

Comment fonctionne le clustering d'adresses ?

Alexander Mercer : Il y a des milliards d'adresses sur la blockchain. Les criminels fragmentent les fonds sur des centaines de portefeuilles. Comment les reliez-vous en un seul « cluster » ?

Robert Stanley : Le clustering n'est pas une question de devinette. C'est l'accumulation systématique de signaux, dont chacun renforce la confiance dans le lien entre les adresses.

Les patterns comportementaux : des intervalles de temps identiques entre les transactions, des montants identiques (ou liés mathématiquement), des enchaînements d'étapes similaires. Si deux adresses effectuent des transactions avec un intervalle de 3 minutes et 47 secondes cinq fois de suite — ce n'est pas une coïncidence.

Les liens techniques : sur les blockchains UTXO (Bitcoin), des entrées communes dans les transactions, ce qui indique généralement un contrôle par une seule clé. Sur les blockchains account-based (Ethereum), des interactions via des contrats intermédiaires communs, des patterns de gas.

Les empreintes d'infrastructure : l'utilisation des mêmes bridges, mixeurs, contrats d'échange. Des itinéraires de déplacement de fonds identiques.

Les recoupements avec des entités connues : adresses de dépôt d'exchanges centralisés, hot wallets connus de services, adresses sanctionnées par l'OFAC. Si des fonds arrivent sur une adresse que nous avons déjà reliée à un exchange précis — la boucle est bouclée.

Principe important : les enquêtes sérieuses comportent des niveaux de confiance gradués. Nous ne disons pas « c'est forcément lui » sans fondement. Nous travaillons avec des catégories : high confidence, medium confidence, low confidence — et nous indiquons toujours sur quelles données repose chaque affirmation.

Mixeurs, tumblers et monnaies privées : peut-on « effacer » la trace ?

Alexander Mercer : Qu'en est-il des mixeurs comme Tornado Cash ? N'effacent-ils pas les traces ?

Robert Stanley : Les mixeurs compliquent la tâche, mais ne la rendent pas impossible. Tornado Cash, ChipMixer, Sinbad — tous ces services « mélangent » les fonds de différents utilisateurs pour rompre le lien entre l'expéditeur et le destinataire.

Mais la forensics dispose de contre-mesures. L'analyse du timing : quand les fonds entrent dans le mixeur et quand ils en sortent, corrélation par le temps et les montants. L'analyse de la « poussière » : les petits reliquats qui ne peuvent pas être parfaitement « mélangés ». La désanonymisation des adresses de dépôt du mixeur via des données externes. L'analyse du réseau : si le même utilisateur utilise un mixeur à plusieurs reprises, son pattern devient reconnaissable.

De plus, les grands mixeurs font l'objet de sanctions. Tornado Cash a été inscrit sur la liste des sanctions de l'OFAC en 2022. Cela signifie que les fonds ayant transité par Tornado Cash sont automatiquement « marqués » dans les systèmes de conformité de tous les exchanges régulés.

Concernant les monnaies privées (Monero, Zcash) — elles compliquent effectivement l'enquête de manière significative. Monero utilise des signatures en anneau, des adresses furtives et des transactions confidentielles. Mais même là, des points de vulnérabilité existent : le moment d'entrée (achat de Monero contre une autre crypto) et de sortie (échange en sens inverse). Et une entreprise russe aurait même développé des outils permettant une désanonymisation partielle de Monero.

Partie IV. La première heure après un vol : protocole d'action étape par étape

Alexander Mercer : Imaginons que notre lecteur découvre que ses fonds ont été volés. Ou qu'un dirigeant de projet crypto apprend qu'il a été piraté. Que faire ? Donnez-nous une marche à suivre détaillée.

Robert Stanley : La première heure, c'est comme une réanimation. Chaque minute compte. Je vais donner deux protocoles : l'un pour les utilisateurs individuels, l'autre pour les projets et les entreprises.

Protocole pour l'utilisateur individuel : que faire si votre cryptomonnaie a été volée

Étape 1. Stopper l'hémorragie (5 premières minutes)

Transférez immédiatement tous les fonds restants du portefeuille compromis vers une nouvelle adresse sécurisée. S'il s'agit d'un compte d'exchange — gelez le compte via le support, révoquez toutes les clés API. Si la seed phrase est compromise — considérez que TOUS les portefeuilles créés à partir de cette phrase sont en danger. Créez un nouveau portefeuille avec une NOUVELLE seed phrase sur un APPAREIL SAIN.

Étape 2. Consigner les preuves (5 à 30 minutes)

Notez : l'heure exacte de la découverte, les hashes des transactions par lesquelles les fonds ont été retirés, les adresses de l'expéditeur (la vôtre) et du destinataire (le pirate), les montants et types de tokens, des captures d'écran, des échanges de messages, des liens suspects. Ne tentez rien pour « corriger » quoi que ce soit à ce stade — contentez-vous de tout documenter. Ces données seront nécessaires pour l'enquête et une éventuelle procédure judiciaire.

Étape 3. Contacter les exchanges (30 minutes à 2 heures)

Si les fonds ont été transférés vers un exchange — contactez immédiatement le support de cet exchange. Tous les grands exchanges (Binance, Coinbase, Kraken, OKX, Bybit) disposent de procédures de gel d'urgence sur présentation de preuves de vol. Plus vite vous agissez — plus les chances sont grandes que les fonds soient gelés avant que le pirate ne les retire.

Ce qu'il faut joindre à votre demande : les hashes des transactions, la description de l'incident, votre adresse (expéditeur), l'adresse du destinataire, la preuve de votre propriété (historique des transactions, données KYC).

Étape 4. Faire appel à des spécialistes en forensics (2 à 24 heures)

Si la somme est significative — contactez une entreprise spécialisée dans les enquêtes blockchain (Chainalysis, TRM Labs, SlowMist, Crystal Blockchain, ou des experts indépendants). Ils peuvent : retracer le chemin des fonds, préparer un rapport pour les autorités répressives, notifier les exchanges via leurs propres canaux (souvent plus rapidement que via le support public).

Étape 5. Déposer une plainte auprès de la police (24 à 72 heures)

Même si cela semble inutile, déposer plainte est indispensable. Premièrement, c'est le fondement juridique permettant de demander des données aux exchanges. Deuxièmement, dans certaines juridictions, il est impossible d'initier une procédure de récupération sans dépôt de plainte. Troisièmement, si l'affaire est instruite au niveau international (Interpol, Europol, FBI), votre plainte fera partie du dossier de preuves.

Étape 6. Réaliser un audit de sécurité (1 à 7 jours)

Déterminez COMMENT le vol s'est produit. Analysez votre ordinateur pour détecter des logiciels malveillants, changez les mots de passe sur tous les services, activez ou renforcez la 2FA, passez en revue toutes les sessions actives et connexions. Si la cause n'est pas établie — faites appel à un spécialiste en sécurité informatique.

Protocole pour un projet ou une entreprise : la première heure après la découverte d'un piratage

Robert Stanley : Pour les projets, la procédure est plus complexe et nécessite une coordination d'équipe.

Partie V. Est-il possible de récupérer des cryptomonnaies volées ?

Alexander Mercer : La question que nos lecteurs posent le plus souvent : y a-t-il une réelle chance de récupérer ce qui a été volé ?

Robert Stanley : La réponse honnête : parfois, oui. Mais cela dépend de nombreux facteurs.

De quoi dépend la chance de récupération ?

La rapidité de réaction — c'est le facteur le plus critique. Si les fonds ont atterri sur un CEX avant que vous n'ayez notifié l'exchange — ils peuvent être gelés. Si le pirate a eu le temps de les retirer — les chances chutent drastiquement.

Le parcours des fonds. Si l'argent est allé vers un exchange régulé — les chances de gel sont élevées. S'il est passé par un mixeur puis converti en Monero — les chances sont minimes. S'il a transité par un bridge décentralisé vers un autre réseau — cela dépend de la complexité de l'enquête.

La juridiction. Si le pirate se trouve dans un pays doté d'un système juridique développé — un tribunal peut ordonner la restitution des fonds. Si c'est la Corée du Nord — il n'y a aucune chance.

Le montant. Paradoxalement, les grands vols font l'objet d'enquêtes plus actives. Le 1,5 milliard de Bybit a mobilisé toute l'industrie. 5 000 $ volés sur un portefeuille personnel — ne recevront malheureusement qu'une attention minimale.

La qualité du dossier de preuves. Plus la documentation est solide — plus l'enquête est aisée et plus elle est convaincante pour un tribunal.

Cas réels de récupération de fonds

Comme vous pouvez le constater, le spectre est large. Du remboursement intégral en quelques jours aux procédures judiciaires s'étalant sur des décennies. Mais même lorsqu'un remboursement complet est impossible, la forensics apporte une aide précieuse : identifier et corriger la vulnérabilité, restaurer la confiance des utilisateurs, fournir un rapport transparent, réduire le risque de récidive, et aider les autorités répressives dans leur enquête.

Partie VI. Où et comment stocker ses cryptomonnaies : guide complet de sécurité

Alexander Mercer : Passons à la pratique. Comment un utilisateur ordinaire peut-il protéger ses cryptoactifs ?

Robert Stanley : Commençons par un principe fondamental : il n'existe pas de méthode de stockage 100 % sécurisée. Mais il existe un spectre — allant de « très dangereux » à « protection maximale ». Et votre objectif est de choisir le niveau de sécurité adapté à votre capital et à vos besoins.

Types de portefeuilles : du plus risqué au plus sécurisé

Portefeuilles matériels 2026 : que choisir ?

Robert Stanley : Le portefeuille matériel est l'étalon-or du stockage. Vos clés privées ne quittent jamais le dispositif physique, même lorsqu'il est connecté à un ordinateur. Voici les principaux modèles :

La règle de répartition des actifs : « Ne mettez pas tous vos œufs dans le même panier »

Alexander Mercer : Comment répartir correctement ses cryptoactifs entre différents modes de stockage ?

Robert Stanley : Je recommande la règle 5/25/70 pour la plupart des utilisateurs.

5 % — sur un exchange. Uniquement les fonds que vous tradez activement en ce moment. Du cash chaud pour les transactions.

25 % — dans un portefeuille chaud (MetaMask, Trust Wallet, Phantom). Pour le DeFi, le staking, les transactions du quotidien. Des montants dont vous pourrez supporter la perte.

70 % — sur un portefeuille matériel ou en multisig. Pour l'épargne à long terme. Ce que vous ne prévoyez pas de toucher pendant des mois, voire des années.

Pour les grandes sommes (plus de 100 000 $), je recommande une configuration multisig : 2-sur-3 ou 3-sur-5 clés, réparties entre différents appareils et emplacements physiques. Cela protège même en cas de vol d'un seul appareil.

Top 20 des règles de sécurité : la checklist ultime

Partie VII. Comment évaluer la sécurité d'un projet crypto : checklist pour l'investisseur

Alexander Mercer : Comment un utilisateur ordinaire peut-il savoir s'il peut faire confiance à un projet ou à un exchange pour y placer ses fonds ?

Robert Stanley : Excellente question. J'ai développé un système d'évaluation que j'utilise moi-même et que je recommande à mes clients.

Audit des smart contracts

Un audit a-t-il été réalisé ? Par qui ? (CertiK, Trail of Bits, OpenZeppelin, Halborn — des auditeurs reconnus.) Combien d'audits ? Un seul audit est le minimum. Deux ou trois par des auditeurs différents, c'est bien. Des vulnérabilités critiques ont-elles été détectées ? Comment ont-elles été corrigées ? Le rapport est-il public ? Si l'audit a été « passé » mais que le rapport est confidentiel — c'est un signal d'alarme.

Programme de bug bounty

Le projet dispose-t-il d'un programme de récompenses pour les vulnérabilités découvertes ? Les plateformes Immunefi, HackerOne, Code4rena sont les canaux standards. L'adéquation des récompenses : si un projet gère des centaines de millions et que la bounty maximale est de 10 000 $ — ce n'est pas sérieux. Les meilleurs projets proposent des bounties pouvant atteindre 10 % du préjudice maximal possible.

Gestion des clés

Multisig : combien de signatures sont requises ? 3-sur-5 est la norme. 1-sur-1 est un signal d'alarme. Timelock : y a-t-il un délai lors de la modification de paramètres critiques du contrat ? Cela donne aux utilisateurs le temps de réagir face à des actions suspectes. Une équipe anonyme disposant d'un contrôle total sur les fonds — c'est le signal d'alarme maximum.

Proof of Reserves

Pour les exchanges : publient-ils régulièrement des rapports Proof of Reserves ? Utilisent-ils un Merkle Tree pour la preuve ? L'auditeur est-il indépendant ? Depuis l'effondrement de FTX, c'est devenu un standard obligatoire.

Transparence de la communication

Comment le projet a-t-il réagi lors d'incidents passés ? Y a-t-il eu un post-mortem public ? Les victimes ont-elles été indemnisées ? La transparence est le meilleur indicateur du sérieux avec lequel la sécurité est traitée.

Partie VIII. L'avenir de la sécurité crypto : ce qui changera entre 2026 et 2030

Alexander Mercer : Vers où se dirige l'industrie ? Deviendra-t-elle plus sûre ?

Robert Stanley : Je perçois plusieurs tendances majeures.

L'IA dans la cybersécurité et la forensics

L'IA est déjà utilisée des deux côtés. Les attaquants l'emploient pour générer des messages de phishing, créer des deepfakes, automatiser la recherche de vulnérabilités. Les défenseurs — pour analyser les patterns de transactions, effectuer un monitoring prédictif, classifier automatiquement les menaces. Chainalysis a acquis Hexagate — une entreprise qui utilise l'IA pour détecter et prévenir les attaques en temps réel. C'est l'avenir : une IA capable de stopper une attaque avant qu'elle ne se produise.

L'account abstraction et la fin des seed phrases

La technologie d'account abstraction (EIP-4337) permet de créer des « smart accounts » dotés d'une logique de sécurité flexible : récupération sociale (des contacts approuvent l'accès), limites sur les transactions, authentification multifactorielle directement au niveau de la blockchain. Tangem propose déjà des portefeuilles sans seed phrase. ZenGo utilise le MPC. L'objectif — éliminer le point de défaillance unique (une phrase qui peut être volée).

Réglementation et conformité

MiCA en Europe, cadres réglementaires aux Émirats arabes unis, à Singapour, au Japon. Les exchanges sont tenus de mettre en œuvre des procédures AML/KYC de plus en plus strictes. Cela complique la vie des criminels au moment du retrait. La Russie prépare ses propres règles pour juillet 2026. La tendance est claire : toujours plus de « points de sortie » sont sous contrôle.

La menace quantique — ce qui nous attend

Les ordinateurs quantiques pourraient théoriquement casser la cryptographie sur laquelle reposent Bitcoin et Ethereum. Mais en pratique, cette menace se situe à un horizon de 10 à 15 ans. Trezor Safe 7 est déjà positionné comme « quantum-ready ». L'industrie se prépare ; la transition vers la cryptographie post-quantique est une question de temps, mais pas d'urgence.

La décentralisation des clés

MPC (Multi-Party Computation), SSS (Shamir Secret Sharing), distributed key generation. Ces technologies répartissent le contrôle d'une clé entre plusieurs participants ou appareils, éliminant ainsi tout point de compromission unique. Cypherock X1 utilise déjà Shamir pour distribuer la clé sur des cartes physiques. Cette direction est appelée à se développer.

Partie IX. La psychologie de la criminalité crypto : pourquoi les gens se font piéger

Alexander Mercer : Le dernier sujet que je voulais aborder, c'est le facteur humain. Pourquoi même des personnes expérimentées deviennent-elles des victimes ?

Robert Stanley : Parce que les criminels n'exploitent pas des failles techniques, mais des failles psychologiques. Et ils le font de manière professionnelle.

Le FOMO (la peur de rater une opportunité)

« Ce token a augmenté de 1 000 %, et tu n'as pas encore acheté ? » — c'est le moteur le plus puissant des décisions impulsives dans la crypto. Le FOMO pousse les gens à investir dans des projets non vérifiés, à interagir avec des contrats douteux, à ignorer les signaux d'alerte. Les criminels créent délibérément un FOMO artificiel : « il ne reste que 5 places », « le prix va monter dans une heure », « accès exclusif uniquement via ce lien ».

La confiance envers les autorités

« Elon Musk l'a recommandé », « cet influenceur a gagné un million » — de fausses autorités et des recommandations fabriquées. Les deepfakes rendent cela encore plus convaincant. Nous avons vu des vidéos où « Vitalik Buterin » recommandait un token précis. La vidéo était entièrement générée par une IA.

La surcharge cognitive

Les interfaces DeFi sont complexes. Les transactions ressemblent à une suite de caractères hexadécimaux. On demande aux gens de signer quelque chose qu'ils ne peuvent pas lire, et ils n'ont pas le temps de s'y attarder. Les criminels exploitent cette surcharge : plus il y a d'étapes, plus le processus est complexe, plus la victime est susceptible de cliquer sur « confirmer » sans regarder.

Le revers de la décentralisation : « pas de bouton d'annulation »

Dans la finance traditionnelle, une banque peut annuler une transaction frauduleuse. Dans la crypto, c'est impossible. C'est une liberté, mais aussi une responsabilité. Beaucoup de gens entrent dans la crypto avec un état d'esprit bancaire : « si ça tourne mal, on annulera ». On n'annulera pas. Et c'est quelque chose qu'il faut comprendre dès le départ.

Partie X. Analyse des plus grands piratages : des leçons qui valent des milliards

Alexander Mercer : Robert, examinons des cas concrets — les piratages les plus importants et les plus révélateurs de ces dernières années. Quelles leçons l'industrie en tire-t-elle ?

Robert Stanley : Chaque grande attaque est un manuel de cybersécurité. Passons en revue six cas clés.

Cas 1 : Bybit — 1,5 milliard de dollars (février 2025)

Le plus grand vol de l'histoire de l'industrie crypto. La plateforme d'échange de Dubaï Bybit a perdu environ 1,5 milliard de dollars en Ethereum. Le FBI et plusieurs sociétés d'analyse blockchain ont attribué l'attaque au groupe nord-coréen Lazarus.

Vecteur d'attaque : compromission du processus de signature des transactions multisig. Les signataires du portefeuille multisig de Bybit ont approuvé une transaction sans vérifier son contenu sur les écrans de leurs portefeuilles matériels. En réalité, ils ont signé une transaction malveillante en croyant signer un virement ordinaire.

Ce qui a mal tourné : une vérification insuffisante. Si chaque signataire avait contrôlé ce qu'il signait exactement — l'adresse du destinataire, le montant, les calldata — l'attaque aurait pu être évitée. Le problème, c'est que de nombreux portefeuilles matériels affichent les transactions sous forme brute — une série de caractères hexadécimaux qu'un humain ne peut pas interpréter.

Leçon : le multisig est une condition nécessaire, mais pas suffisante, pour assurer la sécurité. Sans une culture de vérification de chaque transaction, il devient une simple formalité. Après Bybit, l'industrie débat activement de normes de vérification des transactions « lisibles par l'humain » et de l'amélioration des interfaces des portefeuilles matériels.

Réaction : Bybit a lancé un programme de récompenses pour toute information sur les mouvements des fonds volés. Une partie des fonds a pu être tracée et gelée sur diverses plateformes. Mais la majeure partie a été rapidement dispersée via des ponts et des mixeurs, selon des schémas complexes caractéristiques de la tactique nord-coréenne.

Cas 2 : DMM Bitcoin — 305 millions de dollars (mai 2024)

La plateforme d'échange japonaise a perdu 4 502 BTC. L'attaque est également attribuée au groupe Lazarus.

Vecteur : compromission de clés privées. Selon toute vraisemblance, les attaquants ont obtenu l'accès via de l'ingénierie sociale — un employé a été compromis. Des informaticiens nord-coréens ont utilisé de faux profils LinkedIn pour établir le contact.

Les conséquences ont été catastrophiques : DMM Bitcoin n'a pas réussi à se remettre du coup et a décidé de fermer la plateforme en décembre 2024. Les actifs et les comptes des clients ont été transférés à SBI VC Trade, une filiale du conglomérat financier japonais SBI Group.

Leçon : même une plateforme réglementée dans un pays doté de l'une des réglementations crypto les plus strictes au monde (le Japon) peut être victime d'ingénierie sociale. Les protections techniques sont impuissantes si un employé devient le maillon faible.

Cas 3 : WazirX — 234,9 millions de dollars (juillet 2024)

La plus grande plateforme d'échange indienne a perdu ses fonds après que des hackers ont trompé les signataires autorisés pour les amener à approuver une transaction malveillante. L'attaque a contourné le système de sécurité multicouche, car elle visait des personnes et non du code.

La particularité de ce cas : les attaquants ont longuement étudié les procédures de signature de la plateforme, identifié les points faibles du maillon humain, et ont frappé au moment où la vigilance était réduite. Cela illustre le niveau de préparation des groupes de hackers étatiques — ils étudient leur cible pendant des mois avant de frapper.

Cas 4 : Ronin Network — 624 millions de dollars (mars 2022)

Le pont Ronin Network, qui desservait le jeu Axie Infinity, a perdu 173 600 ETH et 25,5 millions de USDC. L'attaque n'a été découverte que six jours après sa commission.

Vecteur : compromission de 5 des 9 validateurs via de l'ingénierie sociale. Quatre clés ont été obtenues par le biais d'un employé de Sky Mavis compromis. La cinquième provenait d'une organisation tierce, Axie DAO, qui disposait encore d'une autorisation de signature bien qu'elle ne participât plus au processus.

Leçon clé : l'hygiène des accès. Les autorisations obsolètes sont le tueur silencieux de la sécurité. Si une organisation ne participe plus à la signature, sa clé doit être immédiatement révoquée. De plus, 5 sur 9 constitue un seuil bien trop bas pour 624 millions de dollars. Et une détection après six jours représente un échec total de la surveillance.

Cas 5 : FTX — 8,7 milliards de dollars (novembre 2022)

À proprement parler, FTX n'est pas un « piratage ». C'est une fraude — la plus grande de l'histoire de la crypto. Le fondateur Sam Bankman-Fried a utilisé les fonds des clients pour trader via le fonds affilié Alameda Research. Quand cela a été révélé, la plateforme s'est effondrée en quelques jours.

Mais au-delà de la fraude, un vol a eu lieu au moment de la faillite : environ 477 millions de dollars ont été retirés des portefeuilles FTX par des inconnus. L'enquête est toujours en cours.

Les leçons de FTX : ne conservez pas tous vos fonds sur une seule plateforme. La Proof of Reserves est une norme obligatoire. La réglementation et la transparence ne sont pas des ennemis de l'innovation, mais des conditions de survie. Un leader charismatique et de beaux bureaux ne sont pas des gages de fiabilité.

Cas 6 : Poly Network — 611 millions de dollars (août 2021)

Un cas unique : un hacker a exploité une faille dans la logique de vérification cross-chain et a soutirer 611 millions de dollars. Mais ensuite... il a presque tout restitué. Il a déclaré que l'attaque était menée « pour le fun » et pour démontrer une vulnérabilité. Poly Network lui a proposé un poste de « conseiller principal en sécurité ».

Ce cas a donné naissance au concept de « white hat hacking » dans la crypto et à la pratique des négociations de bounty. Aujourd'hui, de nombreux projets intègrent dans leurs contrats un « safe harbor » — un cadre juridique permettant aux hackers de restituer les fonds en échange d'une récompense et d'une immunité contre les poursuites.

Partie XI. La sécurité en DeFi : comment utiliser la finance décentralisée sans tout perdre

Alexander Mercer : Le DeFi est l'une des parties les plus innovantes et en même temps les plus dangereuses de la crypto. Comment l'utiliser en toute sécurité ?

Robert Stanley : Le DeFi offre des possibilités incroyables — prêts décentralisés, échanges, staking, yield farming. Mais c'est précisément dans le DeFi que l'utilisateur est le plus vulnérable, car il n'y a ni « service d'assistance » ni « bouton d'annulation ». Passons en revue des règles concrètes.

Règle 1 : Vérifiez toujours ce que vous signez

Chaque interaction avec un protocole DeFi implique la signature d'une transaction de smart contract. Avant de signer, vous devez comprendre : avec quel contrat vous interagissez (l'adresse est-elle connue et vérifiée ?), quelle fonction vous appelez, et quelles autorisations (approvals) vous accordez.

Utilisez des outils qui « traduisent » les transactions en langage humain : Fire Extension, Pocket Universe, Blowfish. Ces extensions de navigateur vous montrent ce qui se passera réellement si vous signez une transaction — avant même que vous n'ayez cliqué sur « Confirm ».

Règle 2 : Vérifiez et révoquez régulièrement vos approvals

Lorsque vous utilisez un DEX (Uniswap, PancakeSwap), vous accordez au contrat une autorisation (approval) de dépenser vos tokens. Il s'agit souvent d'un « unlimited approval » — une autorisation illimitée. Si le contrat est compromis après votre approbation, le hacker aura accès à tous les tokens approuvés.

Solution : utilisez le service revoke.cash pour consulter et révoquer régulièrement les approvals inutiles. Faites-le au moins une fois par mois. Et mieux encore — à chaque approval, indiquez un montant précis plutôt qu'un accès illimité.

Règle 3 : Ne courez pas après des rendements anormaux

Si un protocole promet un APY de 100 % alors que le marché moyen offre 5–15 %, posez-vous la question : d'où vient l'argent ? Dans 90 % des cas, la réponse est : des poches des nouveaux investisseurs (Ponzi) ou de risques que vous ne voyez pas (impermanent loss, smart contract risk, rug pull).

Règle : si un rendement semble trop beau pour être vrai, c'est qu'il l'est. Un rendement durable en DeFi en 2026, c'est 3–15 % annuels pour les stablecoins et 5–20 % pour les actifs volatils.

Règle 4 : Utilisez des transactions test

Avant d'envoyer une grosse somme, envoyez toujours d'abord une « transaction test » minimale. Cela coûte quelques centimes en frais, mais peut vous éviter de perdre des milliers de dollars. Assurez-vous que les fonds sont bien arrivés à la bonne adresse et que le contrat fonctionne comme prévu.

Règle 5 : Séparez vos portefeuilles DeFi « chaud » et « froid »

N'utilisez pas le même portefeuille pour stocker vos actifs et pour interagir avec le DeFi. Créez un portefeuille « de travail » distinct, sur lequel vous ne transférez que le montant que vous êtes prêt à utiliser en DeFi. Si ce portefeuille est compromis via un contrat malveillant, vos fonds principaux resteront en sécurité.

Règle 6 : Vérifiez le contrat avant d'interagir avec lui

Vérifications minimales : le contrat est-il vérifié sur Etherscan/BSCScan ? Y a-t-il un audit ? Quand le contrat a-t-il été déployé (les nouveaux contrats présentent un risque plus élevé) ? Quel est le TVL (Total Value Locked) ? Un TVL faible signifie un risque élevé. Qui est derrière le projet — une équipe publique ou des anonymes ?

Utilisez les services DeFi Safety, DefiLlama, DappRadar pour vérifier les protocoles avant d'investir. Token Sniffer et GoPlusLabs — pour vérifier si les tokens sont des honeypots ou comportent des fonctions cachées.

Règle 7 : Soyez prudent avec les ponts

Les ponts cross-chain constituent l'une des catégories d'infrastructure les plus vulnérables. Parmi les cinq plus grandes attaques de l'histoire de la crypto, trois visaient des ponts (Ronin, Wormhole, Nomad). Si vous devez transférer des fonds entre des réseaux, utilisez des ponts éprouvés ayant une bonne réputation et des audits solides. Fractionnez les gros transferts en plusieurs parties. Et n'oubliez pas : chaque pont ajoute un risque de contrat supplémentaire.

Partie XII. Le paysage réglementaire : comment la législation aide et entrave la lutte contre la criminalité crypto

Alexander Mercer : Comment la réglementation influence-t-elle la lutte contre la criminalité crypto ? Est-ce une aide ou un obstacle ?

Robert Stanley : C'est une question complexe, car la réponse est « les deux à la fois », selon la juridiction et la mesure réglementaire concernée.

Comment la réglementation aide

Le KYC/AML sur les plateformes d'échange est un outil essentiel. Lorsque des fonds volés arrivent sur une plateforme avec un KYC obligatoire, ils peuvent être gelés et l'identité du destinataire établie. C'est précisément pourquoi les criminels font tout pour contourner les plateformes réglementées.

Les listes de sanctions (OFAC) — l'ajout de mixeurs comme Tornado Cash aux listes de sanctions crée une barrière juridique à leur utilisation. Les fonds ayant transité par des adresses sanctionnées sont automatiquement « signalés » par les systèmes de conformité des plateformes.

La coopération internationale — Europol, Interpol et le FBI collaborent de plus en plus activement dans les enquêtes sur les crimes crypto. En 2025, le DOJ a saisi plus de 15 milliards de dollars lors de la plus grande opération jamais menée contre un réseau de pig butchering.

Les normes de sécurité obligatoires — les plateformes sous licence doivent mettre en place la Proof of Reserves, des fonds d'assurance pour les utilisateurs et des procédures de réponse aux incidents.

Comment la réglementation nuit

La fragmentation des juridictions — un criminel vole dans un pays, blanchit dans un autre, encaisse dans un troisième. La coordination entre les autorités répressives de différents pays prend des semaines, voire des mois, alors que l'argent se déplace en quelques secondes.

Une réglementation excessive pousse les utilisateurs vers la « zone grise ». Si les plateformes légitimes deviennent trop compliquées à utiliser, les gens migrent vers des plateformes non réglementées où leur protection est minimale.

L'incapacité du système juridique traditionnel à opérer à la vitesse de la crypto. Obtenir une ordonnance de gel peut prendre des jours. Pendant ce temps, les fonds auront transité par dix ponts et trois mixeurs.

Principales initiatives réglementaires 2025–2026

Partie XIII. L'héritage crypto et l'accès d'urgence : que deviendra votre crypto s'il vous arrive quelque chose

Alexander Mercer : Un sujet auquel presque personne ne pense : que se passera-t-il avec vos actifs crypto si vous êtes soudainement dans l'incapacité de les gérer ?

Robert Stanley : C'est l'un des problèmes de sécurité les plus sous-estimés. Selon diverses estimations, entre 3 et 4 millions de bitcoins sont perdus à jamais en raison de clés égarées. Cela représente environ 20 % de l'offre totale de BTC. Et une part significative de ces pertes concerne des cas où le propriétaire est décédé ou est devenu incapable, et où les héritiers ne savaient pas comment accéder aux fonds.

Le problème de l'héritage crypto

Dans la finance traditionnelle, un compte bancaire est transmis aux héritiers via un notaire. La crypto fonctionne différemment : il n'existe pas d'autorité centralisée pour « basculer » l'accès. Si votre seed phrase n'est conservée que dans votre mémoire (ou dans un coffre dont personne ne connaît l'existence), vos actifs seront perdus à jamais.

Les solutions

Première solution. Documentez. Créez un guide détaillé : quels portefeuilles vous possédez, sur quelles plateformes vous avez des comptes, où sont stockées vos seed phrases. Conservez ce guide dans une enveloppe scellée chez un notaire, dans un coffre-fort bancaire ou auprès d'une personne de confiance.

Deuxième solution. Le Shamir Secret Sharing. Divisez votre seed phrase en plusieurs parties (par exemple, 3 sur 5) et remettez chaque partie à des personnes de confiance différentes. Aucune d'elles ne dispose d'un accès complet, mais n'importe quels 3 parmi les 5 peuvent ensemble restaurer le portefeuille. Le Cypherock X1 implémente cette fonctionnalité au niveau matériel.

Troisième solution. Utilisez des services avec un mécanisme d'héritage. Casa Wallet propose une fonctionnalité d'« accès successoral » — si vous ne vous connectez pas à votre portefeuille pendant une certaine période, une procédure de transfert d'accès est activée au profit de l'héritier désigné, via plusieurs étapes de vérification.

Quatrième solution. La récupération sociale via smart contract. Certaines solutions de wallet permettent de désigner des « guardians » — des personnes de confiance qui peuvent collectivement restaurer l'accès à votre compte. Cette fonctionnalité est implémentée dans plusieurs portefeuilles basés sur l'account abstraction.

Cinquième solution. Le multisig avec accès distribué. Créez un multisig 2 sur 3, avec une clé chez vous, une chez votre conjoint/partenaire, et une chez votre avocat. Vous gérez le portefeuille avec les deux premières clés, et en cas d'urgence, votre conjoint et votre avocat peuvent y accéder ensemble.

Partie XIV. Foire aux questions : réponses d'experts aux principales questions des lecteurs

Peut-on voler des bitcoins en piratant la blockchain ?

Robert Stanley : Non. La blockchain Bitcoin n'a jamais été piratée en plus de 16 ans d'existence. Tous les vols de Bitcoin sont des vols de clés, pas des attaques contre le protocole. La blockchain est une forteresse imprenable. Les clés, elles, sont comme le verrou de votre porte d'entrée — on peut les crocheter, les voler, ou vous tromper pour que vous les remettiez vous-même.

Qu'est-ce qui est plus sûr — Ledger ou Trezor ?

Robert Stanley : Les deux sont d'excellentes options, et tous deux sont nettement plus sécurisés que le stockage sur une plateforme d'échange ou dans un portefeuille chaud. La différence clé : Trezor est open-source (le code est ouvert à la vérification indépendante). Ledger est closed-source (le code est fermé), mais utilise des puces de sécurité certifiées. Pour la plupart des utilisateurs, les deux options sont largement suffisantes. Choisissez selon la commodité, le prix et la prise en charge des monnaies dont vous avez besoin.

Est-il vrai que Monero est impossible à tracer ?

Robert Stanley : Monero est nettement plus difficile à tracer que Bitcoin ou Ethereum, grâce aux ring signatures, aux stealth addresses et aux confidential transactions. Mais « impossible » est un mot trop fort. Les points d'entrée et de sortie (l'échange vers d'autres monnaies) créent des vulnérabilités. Des chercheurs travaillent sur des méthodes de désanonymisation statistique. En pratique, Monero est un obstacle sérieux pour les enquêtes, mais pas insurmontable — surtout en cas d'erreur de l'utilisateur.

Ai-je besoin d'un portefeuille matériel si j'ai seulement 500 $ en crypto ?

Robert Stanley : Pas obligatoirement, mais c'est utile. Le Tangem coûte 55 $ — soit 11 % de vos 500 $. Si vous prévoyez d'augmenter votre portefeuille, il est judicieux de prendre de bonnes habitudes dès le départ. Si 500 $ représente votre maximum et que vous ne comptez pas aller plus loin, vous pouvez vous en sortir avec un bon portefeuille chaud (MetaMask, Trust Wallet) avec un mot de passe solide et la 2FA.

Que faire si j'ai signé une transaction malveillante ?

Robert Stanley : Immédiatement : vérifiez les approvals que vous avez accordés via revoke.cash et révoquez-les. Transférez tous les fonds restants vers un nouveau portefeuille vierge. Si les fonds ont déjà été débités — suivez le protocole : consignez les hashes, contactez les plateformes d'échange, des experts en forensics, et la police.

Comment vérifier qu'un site de protocole DeFi est authentique et non un phishing ?

Robert Stanley : Plusieurs vérifications : utilisez des favoris pour les sites que vous visitez fréquemment (ne les cherchez pas à chaque fois sur Google — les publicités peuvent contenir des liens de phishing). Vérifiez le certificat SSL. Comparez l'URL caractère par caractère. Utilisez des extensions comme MetaMask Snaps ou Pocket Universe, qui vous alertent sur les sites suspects. En cas de doute, vérifiez le lien dans le Discord ou le Twitter officiel du projet.

Est-il possible d'assurer ses actifs crypto ?

Robert Stanley : Oui, c'est un secteur en plein développement. Les protocoles d'assurance décentralisés (Nexus Mutual, InsurAce, Unslashed) offrent une couverture contre les risques de piratage de smart contracts. Le coût est généralement de 2 à 10 % de la somme assurée par an. En termes centralisés : le fonds SAFU de Binance, les assurances de certains dépositaires. Les acteurs institutionnels ont recours à des assurances traditionnelles via Lloyd's of London et des assureurs spécialisés.

Comment reconnaître qu'un token est une arnaque (honeypot) ?

Robert Stanley : Vérifiez le contrat du token via Token Sniffer ou GoPlusLabs. Signaux d'alerte : impossibilité de vendre le token, fonctions mint cachées (création de nouveaux tokens ex nihilo), taxe de vente élevée dissimulée (hidden tax), liquidité non verrouillée (LP unlocked), équipe anonyme sans historique. Si au moins deux de ces signaux sont présents — tenez-vous à l'écart.

On me propose un « rendement garanti » en crypto. Est-ce une arnaque ?

Robert Stanley : Dans 99 % des cas — oui. Il n'existe pas de rendement « garanti » dans la crypto. Même le staking d'ETH, qui se rapproche le plus d'un « taux sans risque », comporte des risques de slashing et de volatilité de l'actif sous-jacent. Quiconque promet « 50 % garantis par mois » est un escroc. Sans exception.

Qu'est-ce qu'un « drainer » et comment s'en protéger ?

Robert Stanley : Un drainer est un smart contract malveillant qui, lors de la connexion d'un portefeuille et de la signature d'une transaction, vide automatiquement tous les tokens et NFT. Les drainers se propagent via des sites de phishing, de faux airdrops, des serveurs Discord compromis. Protection : ne connectez pas votre portefeuille à des sites inconnus, utilisez un portefeuille « vide » pour interagir avec de nouveaux services, et utilisez des extensions de protection (Pocket Universe, Wallet Guard).

Comment fonctionne le blanchiment de crypto volée ?

Robert Stanley : Le schéma typique : après le vol, les fonds sont immédiatement fractionnés en dizaines, voire centaines d'adresses. Ensuite, une partie transite par des mixeurs (Tornado Cash, ChipMixer). Une partie est convertie via des DEX en d'autres tokens. Une partie est transférée via des ponts vers d'autres blockchains. Les montants finaux arrivent sur des CEX ou des desks OTC pour être échangés en monnaie fiat. Selon les données de TRM Labs, les hackers nord-coréens utilisent principalement des services en langue chinoise pour le blanchiment, avec un cycle typique d'environ 45 jours entre le vol et l'encaissement.

Conclusion : enseignements clés et recommandations

Alexander Mercer : Robert, faisons le point. Quel est le message essentiel que notre lecteur doit retenir ?

Robert Stanley : Dix enseignements clés de notre conversation.

Premier enseignement. La crypto laisse des traces. La blockchain est un grand livre public. « Disparaître » complètement avec des fonds volés est extrêmement difficile. Le chain forensics est une véritable industrie qui permet d'attraper les criminels.

Deuxième enseignement. L'ampleur des menaces augmente. 3,4 milliards de dollars volés en 2025. Des hackers étatiques, des groupes professionnels, des arnaques industrielles — il ne s'agit plus d'un « hacker solitaire ».

Troisième enseignement. Le principal vecteur d'attaque, ce ne sont pas les codes, mais les clés. 70 % des vols sont liés à la compromission de clés privées et de seed phrases. La protection des clés est la priorité absolue.

Quatrième enseignement. Le portefeuille matériel est une nécessité, pas une option. Si vous avez plus de 1 000 $ en crypto, achetez un portefeuille matériel. C'est le meilleur investissement de 79 $ que vous ferez.

Cinquième enseignement. Ne signez pas ce que vous ne comprenez pas. Chaque transaction signée est un vecteur d'attaque potentiel. Si vous n'êtes pas sûr — ne signez pas.

Sixième enseignement. La rapidité de réaction est déterminante. En cas de vol, la première heure est critique. Préparez un plan d'action à l'avance.

Septième enseignement. Diversifiez votre stockage. La règle 5/25/70 : 5 % sur une plateforme d'échange, 25 % dans un portefeuille chaud, 70 % sur un portefeuille matériel ou en multisig.

Huitième enseignement. La seed phrase sur métal, pas dans le cloud. Ne conservez jamais une copie numérique de votre seed phrase. Gravez-la sur une plaque métallique et conservez-la dans plusieurs endroits physiques distincts.

Neuvième enseignement. Vérifiez les projets avant d'investir. Audits, bug bounty, multisig, timelock, Proof of Reserves — c'est le minimum requis pour un projet « de confiance ».

Dixième enseignement. L'éducation est la meilleure protection. Plus vous en savez sur les mécanismes d'attaque, moins vous risquez d'en être victime. C'est précisément pourquoi nous avons consacré quatre heures à cet entretien — pour que vous soyez armés du savoir.

Postface de la rédaction

Notre conversation avec Robert Stanley a duré plus de quatre heures, et chaque minute était riche en enseignements pratiques. Nous avons délibérément choisi de rendre ce contenu aussi détaillé que possible, car en matière de sécurité des crypto-actifs, la superficialité peut coûter de l'argent bien réel.

L'idée centrale qui traverse toute l'interview est la suivante : les cryptomonnaies représentent à la fois une liberté extraordinaire et une responsabilité extraordinaire. Il n'y a pas de banque ici pour « tout arranger ». Vous êtes vous-même votre propre banque, votre propre service de sécurité et votre propre auditeur. Et plus tôt vous l'accepterez, mieux vos actifs seront protégés.

Pour approfondir le sujet, nous recommandons : le rapport Chainalysis « Crypto Crime 2025/2026 », le blog de TRM Labs sur la chain forensics, la plateforme Immunefi pour découvrir les bug bounty, le site revoke.cash pour vérifier et révoquer les token-approvals, ainsi que les ressources pédagogiques de Binance Academy et Ledger Academy.

Vous pouvez suivre les analyses d'Alexander Mercer et les articles d'experts en cybersécurité des crypto-actifs sur le portail iTrusty.io.