Qu'est-ce qu'une attaque par poisoning d'adresse — et pourquoi elle trompe même les utilisateurs avertis de crypto
Imaginez que vous envoyez un message à un ami pour qu’il vous envoie de l’argent, mais quelqu’un crée un contact fictif qui ressemble presque exactement au vôtre : mêmes premières lettres, mêmes dernières lettres. Vous jetez un coup d’œil rapide, supposez que c’est la bonne personne, et cliquez sur envoyer. C’est là le scénario réel derrière ce qui se passe actuellement dans le monde de la cryptomonnaie avec une technique appelée « attaque par poisoning d’adresse ».
Ces attaques ne pénètrent pas les systèmes ni ne volent les mots de passe. Elles exploitent simplement la façon dont fonctionne notre cerveau : on survole, on suppose, on fait confiance aux schémas visuels. Sur une blockchain, où chaque transaction est définitive, une petite erreur peut coûter cher.
Comment fonctionne réellement l’attaque par poisoning d’adresse
Sur des blockchains comme Solana (où s’est produite la récente affaire Squads), votre adresse de portefeuille est publique — tout le monde peut la voir. Les attaquants malveillants profitent de cette transparence en créant des adresses de portefeuille falsifiées qui ressemblent presque à la vôtre ou à celle de votre équipe.
Par exemple :
- Adresse réelle :
ABCD...XYZ - Adresse fausse :
ABCF...XYA
Si vous ne vérifiez que les premiers et derniers caractères — comme le font beaucoup de gens — vous risquez de ne pas remarquer le léger changement au milieu. C’est comme confondre « Jean Dupont » avec « Jéan Dupoit » dans une boîte de messagerie surchargée.
Dans les portefeuilles multisignatures (des comptes nécessitant plusieurs personnes pour valider une transaction, comme un coffre-fort numérique avec plusieurs clés), les attaquants vont encore plus loin. Ils créent un nouveau compte multisignature faux et ajoutent votre clé publique à celui-ci. Comme le système affiche tous les comptes liés à votre adresse, ce faux compte apparaît dans votre liste — juste à côté de vos comptes réels.
L’objectif n’est pas de pirater — c’est d’exploiter l’erreur humaine
Ce qui est crucial, c’est que ces attaques n’exploitent pas de failles logicielles. La blockchain elle-même reste sécurisée. Les attaquants misent simplement sur le fait que vous pourriez :
- Envoyer des fonds à une adresse fausse par mégarde
- Approuver une transaction en pensant qu’elle vient de votre équipe
- Confondre un compte frauduleux avec un compte légitime
Aucun code n’est cassé. Aucune clé privée n’est volée. La faille est purement humaine : la précipitation, les habitudes, et la similarité visuelle.
Ce qui est fait pour aider les utilisateurs
Les développeurs derrière des outils comme Squads mettent en place des mises à jour pour rendre la manipulation plus difficile :
- Corrections immédiates : des bannières d’alerte apparaissent à côté des comptes inconnus, et les nouveaux comptes multisignatures sont signalés s’ils n’ont jamais été utilisés auparavant.
- À venir : les nouveaux comptes ne s’afficheront plus automatiquement. Vous devrez les approuver manuellement (« ajouter à la liste blanche »), comme quand vous confirmez un nouvel appareil qui tente d’accéder à votre messagerie.
Ces mises à jour visent à ralentir légèrement votre action pour vous donner le temps de vérifier avant d’agir.
Comment vous protéger dès maintenant
Vous n’avez pas besoin d’être un expert technique pour rester en sécurité. Il suffit d’adopter quelques habitudes conscientes :
- Ne faites jamais confiance à une adresse partielle — vérifiez toujours la chaîne complète si possible.
- Fixez les comptes fiables en haut de votre portefeuille, afin qu’ils soient faciles à trouver et difficiles à confondre.
- Parlez à votre équipe avant d’approuver toute transaction inhabituelle — même si elle « semble correcte ».
- Traitez chaque nouveau compte comme suspect jusqu’à sa confirmation via un canal séparé (appel téléphonique, chat sécurisé).
Rappelez-vous : les transactions sur blockchain sont irréversibles. Un simple clic mal placé est définitif.
Que signifie cela pour les particuliers ?
Même si vous n’utilisez pas encore des outils avancés comme les portefeuilles multisignatures, cela vous concerne. Alors que la cryptomonnaie devient plus courante — utilisée pour les paiements, l’épargne ou les projets communautaires — les escrocs continueront à perfectionner leurs techniques pour exploiter la manière dont nous voyons et agissons. Apprendre à hésiter, à vérifier, et à remettre en question les détails « presque justes » vous protège bien davantage qu’une mise à jour d’application.
Être en sécurité, ce n’est pas être paranoïaque — c’est instaurer des habitudes simples et constantes dans un monde où les erreurs ne peuvent pas être annulées.
Points clés
- Le poisoning d’adresse trompe les utilisateurs en créant des adresses de portefeuille fausses qui ressemblent presque à celles réelles.
- Ces attaques réussissent grâce à l’erreur humaine, pas aux failles logicielles — aucune clé privée n’est volée.
- Vérifiez toujours l’adresse complète et confirmez toute activité inhabituelle avec votre équipe avant d’agir.
- Les futures modifications de l’interface aideront à signaler les comptes suspects, mais la vigilance personnelle reste essentielle.
- Les transactions sur blockchain sont irréversibles, donc la prévention est la seule véritable défense.
— Editorial Team