Selon le
rapport annuel de la société de cybersécurité CertiK, les cyber arnaques
semblent gagner en ampleur ces dernières années. En 2025, plus de 3,3 milliards
de dollars ont été détournés via des piratages et escroqueries.
En France, l’Autorité des marchés financiers observe également une progression des fraudes :
fin
2024, 3,2 % des Français déclaraient avoir été victimes d’une escroquerie liée
à un investissement financier - une proportion qui a presque triplé en trois ans,
les fraudes touchant les crypto-actifs représentant une part significative des
cas signalés.
Si certaines attaques
ciblent les infrastructures, une large part des pertes résulte de manipulations
fondées sur l’ingénierie sociale, l’usurpation d’identité et l’exploitation des
comportements humains.
Dans ce contexte,
Coinhouse, plateforme crypto française enregistrée auprès de l’AMF depuis 2020,
analyse les principaux mécanismes de fraude observés et partage cinq points de
vigilance essentiels.
Saisir pleinement les
mécanismes des arnaques pour neutraliser l’ingénierie sociale
Face à la montée des
cyber-arnaques, la sécurité ne peut plus être envisagée comme une simple
question technologique. Elle repose d’abord sur une compréhension précise des
mécanismes de manipulation utilisés par les fraudeurs et sur l’adoption de
réflexes adaptés.
Contrairement à une
idée répandue, la plupart des escroqueries ne reposent pas principalement sur
des techniques informatiques sophistiquées, mais sur l’exploitation des
comportements humains. Les fraudeurs s’appuient sur des ressorts psychologiques
puissants : la confiance progressivement instaurée, le sentiment
d’urgence, la peur de perdre une opportunité ou, dans certains cas,
l’attachement émotionnel développé au fil des échanges.
Les arnaques dites de
love scam illustrent particulièrement bien cette stratégie. Les escrocs
prennent le temps d’établir une relation avec leur cible, souvent via les
réseaux sociaux ou les applications de rencontre, afin de gagner sa confiance.
Une fois ce lien établi, ils introduisent progressivement une demande
financière ou une opportunité d’investissement présentée comme fiable mais qui
s’avère en réalité être fausse et frauduleuse.
Dans ce cas, l’objectif
n’est pas de contourner directement la technologie, mais d’amener la victime à
agir d’elle-même : effectuer un transfert, partager des informations
sensibles ou suivre des instructions présentées comme légitimes. La
manipulation repose avant tout sur une réaction émotionnelle qui va amener la
victime à naturellement réduire sa vigilance.
Protéger rigoureusement
ses données d’accès : confidentialité absolue
Dans l’univers des
crypto-actifs, la maîtrise des clés d’accès constitue un principe fondamental.
Les interactions avec les wallets et les plateformes reposent sur des
informations qui confèrent un accès direct, permanent et, le plus souvent,
irréversible aux fonds détenus.
Certaines données ne
doivent ainsi jamais être communiquées à un tiers telles que :
• la seed phrase (phrase de récupération) d’un
portefeuille ;
• les mots de passe ;
• les codes générés par l’authentification
forte (2FA) ;
• l’accès à distance à un appareil.
Aucun intermédiaire
légitime ne sollicitera ces éléments pour “réparer”, “vérifier” ou “sécuriser”
un compte. Dès lors qu’une seed phrase ou des données d’authentification sont
divulguées, les actifs peuvent être transférés sans possibilité de récupération.
Il est également
indispensable de vérifier systématiquement les liens et interfaces de connexion :
saisir directement l’adresse d’un site dans son navigateur et éviter les liens
transmis par email ou messagerie constitue un réflexe de base pour se prémunir
contre le phishing.
Vérifier l’authenticité
des interlocuteurs et des plateformes avant toute action
Les fraudeurs recourent
fréquemment à l’usurpation d’identité d’entreprises ou de plateformes reconnues
afin de contourner la vigilance des investisseurs. Ils peuvent se présenter
comme des “conseillers” via les réseaux sociaux ou des messageries privées,
inviter à des groupes prétendument exclusifs diffusant des recommandations
d’investissement, ou encore proposer des placements à rendement garanti
assortis de bonus attractifs.
Il est dès lors
impératif de s’assurer systématiquement de l’authenticité de toute
communication en passant exclusivement par des canaux officiels indiqués sur le
site institutionnel de l’entreprise et de ne jamais utiliser des contacts
trouvés dans un message non sollicité. Parmi les signaux qui doivent alerter :
• une adresse d’expéditeur incohérente ;
• des promesses de rendement irréalistes ;
• des demandes répétées de communication de
données personnelles ;
• des sollicitations via des canaux non
officiels tels que WhatsApp, LinkedIn ou SMS.
La vérification
préalable constitue souvent le premier rempart contre l’usurpation d’identité.
Organiser ses systèmes
numériques pour réduire l’exposition aux risques
Au-delà de la vigilance
individuelle, structurer son environnement numérique constitue un levier de
protection. Structurer ses usages permet de limiter les conséquences d’un
incident isolé et de réduire son exposition globale aux risques.
Parmi les mesures
concrètes qu’il est possible de mettre en place :
• ne pas se connecter à ses comptes crypto via
des réseaux Wi-Fi publics non sécurisés ;
• privilégier l’authentification à double
facteur (2FA) via application dédiée plutôt que par SMS, plus vulnérable ;
• installer des protections anti-malware sur
ses appareils ;
• segmenter ses usages : conserver un
portefeuille principal en cold storage pour les actifs de long terme et
utiliser un portefeuille distinct pour les opérations fréquentes ou
expérimentales.
• privilégier des plateformes proposant par
exemple des systèmes de blocage des retraits de ses cryptos afin de se prémunir
contre des attaques de social engineering.
Se former et recouper
les informations avant toute décision financière
Les arnaques prospèrent
dans un contexte de désinformation ou de méconnaissance des mécanismes
technologiques. Il est essentiel que toute personne investissant dans ce
domaine comprenne les fondamentaux des crypto-actifs - modes de conservation,
fonctionnement des wallets, irréversibilité des transactions - et dispose d’un
cadre fiable de vérification des informations. Avant tout engagement :
• il est indispensable de consulter les
informations publiées par les autorités compétentes, notamment la liste blanche
des prestataires enregistrés par l’AMF ;
• toute promesse de rendement doit être
examinée à l’aune des réalités du marché ;
• il convient de privilégier des sources
pédagogiques reconnues plutôt que de s’en remettre à une communication isolée
ou à un message non sollicité.
Dans un écosystème où
les transactions sont définitives et où la responsabilité individuelle est
centrale, le recoupement systématique des informations constitue souvent la
frontière entre une décision d’investissement éclairée et une perte
irréversible.
Le renforcement du cadre réglementaire européen, notamment avec MiCA, participe à structurer l’écosystème et à élever les standards de transparence et de sécurité. Pour autant, aucune réglementation ne peut se substituer à la vigilance individuelle face à des fraudes toujours plus sophistiquées. La sécurité dans l’univers crypto repose sur un triptyque : la compréhension des risques, l’adoption de pratiques rigoureuses et l’usage d’outils adaptés. À mesure que le marché mûrit, ces principes s’imposent comme des conditions indispensables à un investissement serein et résilient.