Qu'est-ce qu'une "demande de signature" dans Metamask et quand dois-je le signer?

Les demandes de signature Metamask vérifient l'identité sans frais de gaz, mais ne signez jamais si le message accorde des autorisations ou semble suspecte.

Aug 09, 2025 at 12:00 pm

Comprendre les demandes de signature dans Metamask

Une demande de signature dans Metamask est une fonctionnalité de sécurité qui incite les utilisateurs à signer numériquement un message en utilisant leur clé privée. Ce processus n'implique pas d'envoyer directement la crypto-monnaie ou d'interagir avec un contrat intelligent. Au lieu de cela, il vérifie votre identité ou approuve des actions hors chaîne spécifiques. Lorsqu'une application décentralisée (DAPP) vous demande de signer un message, Metamask affiche une fenêtre contextuelle montrant le contenu du message et demande de confirmation.

L'objectif principal d'une demande de signature est d'authentifier que vous contrôlez une adresse Ethereum spécifique. Contrairement aux demandes de transaction qui nécessitent du gaz et modifient l'état de la blockchain, les demandes de signature sont gratuites et n'entraînent pas d'activité sur chaîne. La signature elle-même est une preuve cryptographique générée à partir de votre clé privée, confirmant votre identité sans exposer la clé.

Il est crucial de comprendre que toutes les demandes de signature ne sont pas sûres . Les DAPP malveillants peuvent tenter de inciter les utilisateurs à signer des messages nuisibles, tels que ceux qui accordent l'accès aux actifs numériques ou l'autorisation d'actions involontaires. Inspectez toujours le contenu du message avant de confirmer.

Types de messages qu'on peut vous demander de signer

Metamask prend en charge la signature de différents types de messages, chacun servant un objectif différent:

• Messages texte brusques : ce sont des chaînes de texte simples, telles que «bienvenue à Dapp xyz». La signature prouve que vous possédez l'adresse mais comporte un risque minimal si le contenu est bénin.
• Données structurées (EIP-712) : Ce format organise les données en champs typés (par exemple, nom, portefeuille, nonce), ce qui facilite la lecture et la réduction des risques de phishing. Les signatures EIP-712 sont couramment utilisées pour les transactions hors chaîne, les systèmes de connexion ou les mécanismes de vote.
• Signe personnel (Eth_Sign) : Cette méthode signe des données brutes préfixées avec '\ x19ethereum Signed Message: \ n' + longueur. Il est plus âgé et moins sûr, car il peut être exploité s'il est mal utilisé.
• Données typées (ETH_SIGNTYEDEDDATA) : Il s'agit de la méthode recommandée pour signer des données structurées. Metamask affiche clairement les champs, vous permettant de vérifier chaque valeur avant la signature.

Lorsqu'un DAPP utilise EIP-712 , la fenêtre de demande de signature dans Metamask affichera des champs étiquetés au lieu du code hexadécimal. Cette transparence aide les utilisateurs à comprendre exactement ce qu'ils approuvent.

Quand devriez-vous signer un message?

Vous devez signer un message uniquement lorsque vous faites confiance au DAPP demandeur et comprendre le but. Les scénarios légitimes communs comprennent:

• Connexion à un DAPP : certaines plates-formes utilisent une authentification basée sur la signature au lieu de mots de passe. En signant un défi unique, vous prouvez la propriété de votre portefeuille sans révéler des informations sensibles.
• Réclamer des parachts aériens ou des NFT : les projets peuvent nécessiter une signature pour vérifier l'admissibilité et empêcher les réclamations BOT.
• Participer à une gouvernance décentralisée : la signature d'un vote sur la chaîne réduit les coûts de gaz tout en enregistrant votre intention.
• Autoriser les actions hors chaîne : les marchés comme OpenSea utilisent des demandes de signature pour répertorier les NFT sans transactions de blockchain immédiates.

Avant de procéder, assurez-vous que le domaine du DAPP est correct et que le contenu du message correspond aux attentes. Si la demande demande des autorisations au-delà de l'authentification, telles que des allocations de dépenses ou l'accès aux fonds - ne signez pas .

Comment gérer en toute sécurité une demande de signature dans Metamask

Lorsque Metamask affiche une demande de signature, suivez ces étapes pour assurer la sécurité:

• Consultez l'URL du DAPP : confirmez que vous êtes sur le site officiel. Les sites de phishing imitent souvent les plateformes légitimes.
• Passez en revue les détails du message : recherchez le contenu lisible au format EIP-712. Si vous ne voyez que du code hexadécimal, faites preuve de prudence.
• Vérifiez le domaine de demande : Metamask montre l'origine (par exemple, app.uniswap.org). Assurez-vous qu'il correspond au DAPP que vous avez l'intention d'utiliser.
• Évaluer le risque : si le message comprend des termes tels que «approuver» des «dépenses» ou référence à des jetons, il peut s'agir d'une autorisation déguisée.
• Utilisez un portefeuille secondaire pour les tests : s'il est incertain, connectez un portefeuille avec un minimum de fonds pour évaluer la demande.

Pour inspecter un message codé en hexadées, vous pouvez le décoder à l'aide d'outils tels que le décodeur ABI d'Etherscan ou les convertisseurs hexa-tampons en ligne. Cependant, ne saisissez jamais les données sensibles dans les sites Web non fiables.

Différences entre la signature et l'approbation des transactions

Il est essentiel de faire la distinction entre les demandes de signature et les approbations de transactions :

• Les demandes de signature ne coûtent pas du gaz, ne se produisent pas de la chaîne et ne prouvent que l'identité.
• Les approbations de transactions (par exemple, ERC-20 approuvent) sont en chaîne, exigent du gaz et accordent la permission des contrats intelligents pour dépenser vos jetons.

Une arnaque commune consiste à présenter une demande de signature qui imite une approbation des transactions. Par exemple, un message peut prétendre: «En signature, vous approuvez 100 DAI pour uniswap», mais comme aucune fonction d'approbation réelle n'est appelée, le danger réside dans une utilisation abusive potentielle des données signées. N'oubliez pas: une signature ne peut pas transférer des fonds directement , mais il peut être utilisé pour autoriser les actions si le backend DAPP est compromis.

Une autre différence clé est la réversibilité. Les approbations en chaîne peuvent être révoquées via des transactions blockchain, tandis que les signatures ne peuvent pas être annulées. Une fois signé, la preuve cryptographique existe et pourrait être utilisée en fonction de la logique du DAPP.

Questions fréquemment posées

Que se passe-t-il si je signe un message malveillant?

La signature d'un message nuisible peut permettre aux attaquants de vous usurrer sur certaines plates-formes ou d'exécuter des actions non autorisées si le DAPP s'appuie sur des signatures pour les autorisations. Par exemple, un message signé accordant des droits de négociation sur une bourse décentralisée pourrait être rejoué pour exécuter des métiers. Débranchez immédiatement votre portefeuille et surveillez les DAPP connectés si vous soupçonnez un compromis.

Une demande de signature peut-elle vider mon portefeuille?

Une demande de signature ne peut pas égoutter directement les fonds car il n'exécute pas de transaction. Cependant, si le message signé autorise un DAPP à agir en votre nom - comme dans une tentative de phishing qui imite une fonction de permis - cela pourrait indirectement entraîner une perte si le contrat du DAPP est malveillant. Vérifiez toujours le contexte.

Comment révoquer une signature après la signature?

Vous ne pouvez pas révoquer une signature numérique une fois qu'elle est créée. La preuve cryptographique reste valide. Votre meilleure action consiste à déconnecter le DAPP de votre portefeuille via les paramètres de sites connectés de Metamask et à éviter de réutiliser les signatures sur des plates-formes non fiables.

Pourquoi Metamask montre-t-il Hex au lieu d'un texte lisible?

Metamask affiche Hex lorsque le DAPP utilise RAW eth_sign au lieu d' eth_signTypedData structuré. Cela rend la vérification plus difficile. Préférez les DAPP qui implémentent EIP-712 pour une meilleure transparence. Si vous voyez Hex, envisagez de diminuer à moins que vous ne fassiez pleinement confiance à la source et que vous comprenez la charge utile.