Comment éviter les arnaques sur MetaMask ? Comment repérer un site de phishing ?

Comprendre les principes fondamentaux de la sécurité MetaMask

1. Téléchargez toujours MetaMask exclusivement à partir du site officiel métamask.io ou des magasins d'applications vérifiés. Les liens tiers, les extensions de navigateur provenant de sources inconnues et les pièces jointes Telegram ou Discord distribuent fréquemment des versions contrefaites contenant du code malveillant.

2. Ne partagez jamais votre phrase de récupération de 12 mots avec qui que ce soit : ni les agents d'assistance, ni les amis, ni les développeurs. Les fraudeurs se font souvent passer pour le personnel de MetaMask via de faux chats d'assistance pour extraire des phrases de départ sous de faux prétextes comme « vérification de compte » ou « mise à jour de sécurité urgente ».

3. Activez la protection par mot de passe et l'authentification biométrique dans les paramètres de l'extension mobile et de bureau MetaMask. Cela ajoute une couche de défense locale même si l'accès aux appareils est compromis.

4. Désactivez les autorisations de connexion automatique pour les dApps. Approuvez manuellement chaque demande de connexion au lieu d’accorder un accès persistant. De nombreux sites de phishing exploitent les fonctionnalités de connexion automatique pour lancer silencieusement des transactions non autorisées.

5. Auditez régulièrement les comptes connectés à l'aide de la section « Sites connectés » dans les paramètres MetaMask. Supprimez immédiatement les connexions dApp inutilisées ou suspectes : certaines interfaces malveillantes conservent les jetons de session longtemps après l'interaction initiale.

Identifier les sites Web de phishing

1. Inspectez méticuleusement la barre d’URL avant de saisir des informations d’identification ou de signer des transactions. Les dApp Ethereum légitimes utilisent HTTPS, mais les escrocs répliquent les certificats SSL. Concentrez-vous sur l'orthographe du domaine : uniswap.org est valide ; uniswapp.org , uniswap-support.net ou uniswap-eth.com sont tous des domaines de phishing connus.

2. Survolez les liens et boutons de navigation sans cliquer. Les barres d'état du navigateur ou les outils de développement révèlent les valeurs href sous-jacentes. Les faux boutons « Connecter le portefeuille » redirigent souvent vers des relais malveillants au lieu d'invoquer l'interface du fournisseur natif de MetaMask.

3. Recherchez les éléments d'interface utilisateur incohérents. Les vraies dApp maintiennent une typographie, un espacement et des commentaires interactifs cohérents. Les clones de phishing présentent généralement des polices incompatibles, des logos flous, des animations manquantes ou des menus non fonctionnels qui exposent à une mauvaise qualité de réplication.

4. Vérifiez manuellement les adresses des contrats avant d'approuver les approbations de jetons. Utilisez Etherscan ou Blockscout pour confirmer la date de déploiement, l'historique des transactions et le code source vérifié. Les fraudeurs déploient des jetons d'apparence identique avec de légères variations d'adresse pour inciter les utilisateurs à approuver les transferts vers leur portefeuille.

5. Évitez complètement les URL raccourcies. Des services comme Bit.ly ou TinyURL obscurcissent les domaines de destination. Les projets légitimes s'appuient rarement sur des raccourcisseurs de liens pour les interactions principales du portefeuille ou les pages de réclamation de jetons.

Meilleures pratiques en matière de signature de transactions

1. Ne signez jamais une transaction intitulée « Approuver », « Définir l'approbation pour tous » ou « Transférer depuis », sauf si vous avez explicitement l'intention d'accorder des droits de dépense. Ces actions permettent aux contrats tiers de retirer indéfiniment les actifs de votre portefeuille.

2. Examinez chaque détail de transaction dans la fenêtre contextuelle MetaMask. Faites attention à l'adresse du destinataire, à la valeur et au nom de la fonction. Les fenêtres contextuelles malveillantes affichent parfois des étiquettes trompeuses telles que « Confirmer l'échange » lors de l'exécution d'une approbation à haut risque en coulisses.

3. Utilisez des portefeuilles matériels tels que Ledger ou Trezor lorsque vous interagissez avec des protocoles inconnus. Ces appareils nécessitent une confirmation physique pour chaque signature, bloquant ainsi les diffusions de transactions silencieuses initiées par des navigateurs compromis.

4. Définissez soigneusement les points de terminaison RPC personnalisés. De fausses configurations réseau peuvent acheminer les transactions via des nœuds contrôlés par des attaquants, permettant ainsi le masquage de transaction ou le masquage de transaction. Ajoutez uniquement les réseaux répertoriés sur Chainlist.org ou confirmés via la documentation officielle du projet.

5. Surveillez les transactions en attente via Etherscan. Si une transaction inattendue apparaît dans le flux d'activité de votre portefeuille, annulez-la immédiatement à l'aide du remplacement par frais (RBF) ou accélérez la fonctionnalité, si votre réseau et votre client le prennent en charge.

Foire aux questions

Q : Les agents d'assistance MetaMask peuvent-ils jamais me demander ma phrase secrète ? R : Non. Les employés de MetaMask ne vous demanderont jamais votre phrase de récupération de 12 mots, votre clé privée ou votre mot de passe. Toute personne prétendant être un soutien officiel et demandant ces informations est un escroc.

Q : Est-il sûr de connecter MetaMask à un site qui se charge lentement ou affiche des avertissements de certificat ? R : Non. Les erreurs de certificat SSL, les avertissements de contenu mixte ou les temps de chargement prolongés indiquent souvent une infrastructure compromise ou des tentatives d'interception de l'homme du milieu. Déconnectez-vous immédiatement et vérifiez le domaine de manière indépendante.

Q : Que dois-je faire si j'ai accidentellement signé une transaction d'approbation malveillante ? R : Révoquez l'allocation de jetons à l'aide d'un outil tel que Revoke Contract de TokenSniffer ou l'onglet « Write Contract » d'Etherscan. Transférez ensuite les actifs restants vers un nouveau portefeuille et évitez de réutiliser l'adresse compromise pour des interactions sensibles.

Q : MetaMask stocke-t-il mes clés privées sur ses serveurs ? R : Non. MetaMask est un portefeuille non dépositaire. Vos clés privées restent cryptées localement dans votre navigateur ou appareil. MetaMask n'y a pas accès et ne peut pas récupérer, réinitialiser ou modifier le contenu de votre portefeuille.