{"id":53,"date":"2026-06-25T22:28:19","date_gmt":"2026-06-25T22:28:19","guid":{"rendered":"https:\/\/hoge.gg\/fr\/phishing-crypto-2026-campagnes-portefeuilles\/"},"modified":"2026-06-26T00:03:03","modified_gmt":"2026-06-26T00:03:03","slug":"phishing-crypto-2026-campagnes-portefeuilles","status":"publish","type":"post","link":"https:\/\/hoge.gg\/fr\/phishing-crypto-2026-campagnes-portefeuilles\/","title":{"rendered":"Phishing crypto 2026 : ces campagnes qui vident les portefeuilles"},"content":{"rendered":"

Le phishing reste, en 2026, la fa\u00e7on la plus directe de vider un portefeuille crypto sans jamais toucher \u00e0 une faille de smart contract. Pourquoi forcer une serrure quand on peut convaincre la victime de signer elle-m\u00eame l’ordre de transfert ? Les donn\u00e9es du premier semestre dessinent une tendance \u00e0 double d\u00e9tente : le volume global des pertes recule, mais chaque campagne qui aboutit fait beaucoup plus mal. Tour d’horizon des attaques qui visent les d\u00e9tenteurs francophones de Bitcoin, d’Ethereum et d’actifs de jeu, et des r\u00e9flexes qui permettent encore d’y \u00e9chapper.<\/p>

Le paradoxe de 2026 : moins de victimes, des pertes plus lourdes<\/h2>

Bonne nouvelle d’abord : selon les relev\u00e9s de Scam Sniffer, les pertes li\u00e9es aux wallet drainers ont chut\u00e9 d’environ 83 % sur un an en 2025, pour tomber \u00e0 pr\u00e8s de 74 millions EUR, contre environ 434 millions EUR en 2024, avec un nombre de victimes ramen\u00e9 \u00e0 106 000. Le march\u00e9 baissier y est pour beaucoup, tout comme les alertes d\u00e9sormais int\u00e9gr\u00e9es aux portefeuilles. Au moment o\u00f9 ces lignes sont \u00e9crites, le Bitcoin est d’ailleurs repass\u00e9 sous les 53 000 EUR et l’Ether se traite autour de 1 370 EUR, d’apr\u00e8s CoinGecko<\/a>.<\/p>

Mauvaise nouvelle ensuite : la baisse cache une concentration. En janvier 2026, les pertes par signature ont bondi de 207 % par rapport \u00e0 d\u00e9cembre, \u00e0 environ 5,5 millions EUR pour 4 741 victimes, soit 11 % de victimes en moins, rapporte BeInCrypto<\/a>. D\u00e9tail r\u00e9v\u00e9lateur : deux victimes seulement ont repr\u00e9sent\u00e9 65 % des montants d\u00e9rob\u00e9s sur le mois. Le phishing ne ratisse plus large, il vise juste.<\/p>

Du spray and pray au whale hunting<\/h2>

Ce changement d’\u00e9chelle porte un nom dans le milieu : le whale hunting, la chasse aux gros porteurs. Les op\u00e9rateurs d\u00e9laissent les campagnes de masse au profit de cibles moins nombreuses mais bien plus fortun\u00e9es. Le paiement moyen d’une arnaque crypto est ainsi pass\u00e9 \u00e0 environ 2 430 EUR en 2025, contre environ 690 EUR un an plus t\u00f4t, soit une hausse de 253 % document\u00e9e par Chainalysis<\/a>.<\/p>

L’intelligence artificielle acc\u00e9l\u00e8re le mouvement. Elle abaisse le co\u00fbt de production des leurres et augmente leur cr\u00e9dibilit\u00e9 : faux sites clon\u00e9s au pixel pr\u00e8s, voix synth\u00e9tiques, vid\u00e9os truqu\u00e9es de dirigeants connus. Chainalysis estime que les revenus totaux des arnaques crypto ont atteint un record de pr\u00e8s de 15 milliards EUR en 2025, et que les escroqueries s’appuyant sur des images deepfake de responsables publics ont progress\u00e9 de plus de 1 400 % sur l’ann\u00e9e. Pour un lecteur fran\u00e7ais, le risque est concret : faux conseillers et fausses plateformes relay\u00e9s par des publicit\u00e9s cibl\u00e9es restent le point d’entr\u00e9e le plus courant, avant m\u00eame l’\u00e9tape de la signature pi\u00e9g\u00e9e.<\/p>

Signatures empoisonn\u00e9es : Permit, Permit2 et la validation qui para\u00eet anodine<\/h2>

La technique vedette de 2026 ne r\u00e9clame aucune transaction visible. L’attaquant pousse la victime \u00e0 signer un message hors cha\u00eene, souvent un Permit ou un Permit2 (le standard d’autorisation popularis\u00e9 par Uniswap). Aucun gaz \u00e0 payer, aucune alerte de transfert : la fen\u00eatre ressemble \u00e0 une simple connexion. En r\u00e9alit\u00e9, la signature accorde une autorisation de d\u00e9pense que l’escroc exerce plus tard, au moment de son choix.<\/p>

Les montants n’ont rien de symbolique. En mars 2026, un d\u00e9tenteur a sign\u00e9 un Permit malveillant d’apparence routini\u00e8re et perdu environ 1,55 million EUR en USDC. D’autres cas r\u00e9cents ont vis\u00e9 des tokens adoss\u00e9s \u00e0 l’or ou des d\u00e9riv\u00e9s de Bitcoin, via de faux ordres increaseAllowance. Un point souvent mal compris : un hardware wallet ne prot\u00e8ge pas contre ce pi\u00e8ge. L’appareil signe fid\u00e8lement ce que vous approuvez ; si vous validez une autorisation malveillante, le mat\u00e9riel l’ex\u00e9cute sans broncher.<\/p>

EIP-7702 : quand une mise \u00e0 niveau d’Ethereum se retourne<\/h2>

Le hard fork Pectra, d\u00e9ploy\u00e9 en 2025, a introduit l’EIP-7702 et sa logique de d\u00e9l\u00e9gation : un compte classique (EOA) peut d\u00e9l\u00e9guer son ex\u00e9cution \u00e0 du code de contrat. L’id\u00e9e servait l’exp\u00e9rience utilisateur ; les drainers en ont fait une arme. Il suffit d\u00e9sormais d’amener la victime \u00e0 signer une seule autorisation de d\u00e9l\u00e9gation, pr\u00e9sent\u00e9e comme une \u00ab mise \u00e0 niveau de s\u00e9curit\u00e9 du wallet \u00bb ou un \u00ab assistant IA \u00bb pour ses actifs.<\/p>

Une signature, et le portefeuille devient un contrat programmable pilot\u00e9 par l’attaquant, de fa\u00e7on persistante. Un utilisateur a ainsi perdu environ 1,35 million EUR en une seule op\u00e9ration, d\u00e9taille Cryptopolitan<\/a>, tandis que des analystes de Wintermute estimaient que plus de 90 % des d\u00e9l\u00e9gations EIP-7702 observ\u00e9es pointaient vers des contrats malveillants. Inferno Drainer et Pink Drainer figurent parmi les kits qui ont rapidement int\u00e9gr\u00e9 la m\u00e9thode.<\/p>

L’address poisoning, ou l’art de copier la mauvaise adresse<\/h2>

Cette attaque ne pirate rien : elle exploite nos habitudes de copier-coller. L’escroc surveille vos transactions, g\u00e9n\u00e8re une adresse vanity qui ressemble \u00e0 s’y m\u00e9prendre \u00e0 l’une de vos contreparties habituelles (m\u00eames premiers et derniers caract\u00e8res), puis vous envoie un minuscule transfert de poussi\u00e8re. L’adresse falsifi\u00e9e s’inscrit alors dans votre historique. Le jour o\u00f9 vous copiez une adresse depuis ce m\u00eame historique, vous risquez d’envoyer vos fonds droit \u00e0 l’attaquant.<\/p>

L’ampleur surprend. Scam Sniffer a chiffr\u00e9 ces vols par empoisonnement d’adresse \u00e0 environ 54 millions EUR sur seulement deux mois sur Ethereum, rel\u00e8ve crypto.news<\/a>. Un investisseur a perdu environ 10,8 millions EUR en janvier en copiant la mauvaise adresse, apr\u00e8s un cas \u00e0 environ 44 millions EUR en d\u00e9cembre, selon le m\u00eame mode op\u00e9ratoire.<\/p>

Drainers as a service : Inferno, Pink et l’industrialisation<\/h2>

Derri\u00e8re la plupart de ces campagnes se cache une \u00e9conomie de sous-traitance. Les kits de drainer sont lou\u00e9s \u00e0 des affili\u00e9s contre une commission sur le butin, en g\u00e9n\u00e9ral de 20 \u00e0 30 %. Inferno Drainer, actif de novembre 2022 \u00e0 novembre 2023, a siphonn\u00e9 plus de 61 millions EUR avant d’annoncer sa fermeture, retrace Group-IB<\/a>. Le service est pourtant r\u00e9apparu, drainant au moins 7,9 millions EUR de plus de 30 000 portefeuilles en six mois.<\/p>

La barri\u00e8re \u00e0 l’entr\u00e9e s’effondre : un escroc d\u00e9butant loue l’infrastructure, clone un site DeFi connu et lance sa propre op\u00e9ration en quelques heures. D\u00e9but 2026, Safe Labs a signal\u00e9 une campagne coordonn\u00e9e s’appuyant sur pr\u00e8s de 5 000 adresses malveillantes li\u00e9es \u00e0 ces outils. Les op\u00e9rations de police, comme les saisies de domaines, ralentissent les acteurs sans les \u00e9liminer : un kit ferm\u00e9 est vite remplac\u00e9 par un concurrent.<\/p>

Le gaming dans le viseur : ces jeux Steam qui vident les wallets<\/h2>

Le public de HOGE Wire est aussi un public de joueurs, et c’est devenu un terrain de chasse. Le FBI a identifi\u00e9 sept jeux publi\u00e9s sur Steam et truff\u00e9s de malwares entre mai 2024 et janvier 2026 : BlockBlasters, Chemia, Dashverse, Lampy, Lunara, PirateFi et Tokenova. Tous embarquaient un info-stealer capable de r\u00e9cup\u00e9rer donn\u00e9es de navigateur, identifiants et cl\u00e9s de portefeuille, rapporte Bitdefender<\/a>.<\/p>

Le cas BlockBlasters est instructif : le jeu a d’abord pass\u00e9 les contr\u00f4les de Valve en build propre, avant qu’un correctif d’ao\u00fbt n’y glisse un cryptodrainer. Bilan, plus de 130 000 EUR d\u00e9rob\u00e9s, dont environ 28 000 EUR \u00e0 un streamer qui collectait des dons pour un traitement contre le cancer, son portefeuille vid\u00e9 en direct. La le\u00e7on est simple : on ne conserve pas un portefeuille actif sur la machine qui installe des builds non v\u00e9rifi\u00e9s, et une invitation \u00e0 \u00ab tester mon jeu \u00bb re\u00e7ue en message priv\u00e9 doit \u00e9veiller les soup\u00e7ons.<\/p>

Faux recruteurs et entretiens pi\u00e9g\u00e9s : la signature de Lazarus<\/h2>

Une partie des campagnes les plus co\u00fbteuses ne vise pas les utilisateurs, mais les d\u00e9veloppeurs. Le groupe nord-cor\u00e9en Lazarus, et sa cellule BlueNoroff, se font passer pour des recruteurs sur LinkedIn et proposent de faux tests techniques. Les exercices de code, une fois ex\u00e9cut\u00e9s, installent des chevaux de Troie via des paquets pi\u00e9g\u00e9s sur npm, PyPI et GitHub, documente The Hacker News<\/a>.<\/p>

En 2026, le sch\u00e9ma s’est affin\u00e9 : un faux contact juridique d’une fintech, une invitation Calendly, puis un lien Zoom factice qui ouvre l’acc\u00e8s aux donn\u00e9es du navigateur et aux extensions de portefeuille. L’enjeu est colossal, puisque les pirates li\u00e9s \u00e0 la Cor\u00e9e du Nord ont d\u00e9rob\u00e9 environ 1,8 milliard EUR en crypto sur la seule ann\u00e9e 2025, selon CoinDesk<\/a>. Le salari\u00e9 et le d\u00e9veloppeur sont devenus le nouveau p\u00e9rim\u00e8tre \u00e0 d\u00e9fendre.<\/p>

C\u00f4t\u00e9 France : ce que dit l’AMF<\/h2>

Pour le lecteur francophone, le premier r\u00e9flexe reste r\u00e9glementaire. L’Autorit\u00e9 des march\u00e9s financiers (AMF) tient une liste noire qui recense plus de 3 300 entit\u00e9s non autoris\u00e9es, tous secteurs confondus, dont 23 noms ajout\u00e9s depuis janvier 2026 rien que pour les cryptoactifs. L’institution met aussi \u00e0 disposition le service I-SCAN, qui agr\u00e8ge les alertes de plus de 150 r\u00e9gulateurs, et la plateforme \u00c9pargne Info Service pour signaler une fraude pr\u00e9sum\u00e9e, via son espace \u00e9pargnants<\/a>.<\/p>

L’AMF le mart\u00e8le : une publicit\u00e9 d’apparence s\u00e9rieuse, un ton journalistique ou le relais par un influenceur ne conf\u00e8rent aucune fiabilit\u00e9. Et l’absence d’un nom de la liste noire ne vaut jamais certificat de l\u00e9gitimit\u00e9, la liste n’\u00e9tant pas exhaustive. Avant tout d\u00e9p\u00f4t, la v\u00e9rification de l’agr\u00e9ment est le strict minimum.<\/p>

La riposte s’organise : Operation Atlantic et Clear Signing<\/h2>

Les autorit\u00e9s contre-attaquent. En mars 2026, les \u00c9tats-Unis, le Royaume-Uni et le Canada ont lanc\u00e9 l’op\u00e9ration Atlantic, d\u00e9di\u00e9e \u00e0 la d\u00e9sorganisation des arnaques par approbation (approval phishing), rapporte CoinDesk<\/a>. C\u00f4t\u00e9 technique, l’Ethereum Foundation et plusieurs \u00e9diteurs de portefeuilles ont d\u00e9voil\u00e9 le standard Clear Signing (ERC-7730), qui remplace le code illisible des signatures par des descriptions compr\u00e9hensibles, v\u00e9rifi\u00e9es dans un registre public, pr\u00e9cise CoinDesk<\/a>.<\/p>

En attendant que ces garde-fous se g\u00e9n\u00e9ralisent, voici comment les principales familles d’attaques se reconnaissent.<\/p>

Technique<\/th>Fonctionnement<\/th>Signal d’alerte<\/th>Parade<\/th><\/tr><\/thead>
Signature phishing (Permit, Permit2)<\/td>Une signature hors cha\u00eene accorde une autorisation de d\u00e9pense<\/td>On vous demande de \u00ab signer \u00bb sans transfert visible<\/td>Lire le message, refuser s’il est illisible<\/td><\/tr>
D\u00e9l\u00e9gation EIP-7702<\/td>Une autorisation donne un contr\u00f4le persistant du compte<\/td>\u00ab Mise \u00e0 niveau de s\u00e9curit\u00e9 \u00bb ou \u00ab assistant IA \u00bb<\/td>Ne jamais d\u00e9l\u00e9guer \u00e0 un contrat inconnu<\/td><\/tr>
Address poisoning<\/td>Fausse adresse gliss\u00e9e dans l’historique via un transfert de poussi\u00e8re<\/td>Adresse ressemblante re\u00e7ue sans raison<\/td>Copier depuis un carnet, v\u00e9rifier en entier<\/td><\/tr>
Wallet drainer (faux site DeFi)<\/td>Site clon\u00e9 qui pousse \u00e0 connecter et \u00e0 signer<\/td>Lien sponsoris\u00e9, URL l\u00e9g\u00e8rement modifi\u00e9e<\/td>Marque-pages officiels, contr\u00f4ler le domaine<\/td><\/tr>
Jeu ou logiciel v\u00e9rol\u00e9<\/td>Info-stealer qui aspire navigateur et cl\u00e9s<\/td>Build non v\u00e9rifi\u00e9, invitation en message priv\u00e9<\/td>Machine d\u00e9di\u00e9e, pas de wallet sur le PC de jeu<\/td><\/tr><\/tbody><\/table><\/figure>

Et quelques r\u00e9flexes qui r\u00e9duisent fortement la surface d’attaque :<\/p>

  • Stocker l’\u00e9pargne sur un hardware wallet (Ledger, Trezor) et garder les cl\u00e9s hors ligne.<\/li>
  • S\u00e9parer un wallet \u00ab chaud \u00bb de faible montant, pour les interactions, et un wallet \u00ab froid \u00bb pour le reste.<\/li>
  • R\u00e9voquer r\u00e9guli\u00e8rement les approbations via des outils comme revoke.cash ou la page Token Approvals d’un explorateur.<\/li>
  • Ne jamais signer un message que l’on ne comprend pas, et se m\u00e9fier de toute \u00ab mise \u00e0 niveau \u00bb pr\u00e9sent\u00e9e comme urgente.<\/li>
  • Copier les adresses depuis une source fiable, jamais depuis l’historique, et contr\u00f4ler le d\u00e9but et la fin.<\/li>
  • V\u00e9rifier l’URL exacte, fuir les liens sponsoris\u00e9s et les messages priv\u00e9s non sollicit\u00e9s.<\/li>
  • Contr\u00f4ler toute plateforme sur l’AMF (service I-SCAN) avant d’y d\u00e9poser le moindre euro.<\/li><\/ul>

    Aucune de ces mesures n’est infaillible prise isol\u00e9ment, mais leur cumul transforme une cible facile en proie co\u00fbteuse. C’est pr\u00e9cis\u00e9ment ce que les op\u00e9rateurs de phishing, devenus de v\u00e9ritables gestionnaires de rendement, cherchent \u00e0 \u00e9viter.<\/p>

    Par la r\u00e9daction de HOGE Wire, p\u00f4le s\u00e9curit\u00e9 et exploits. Information \u00e0 but \u00e9ducatif, ceci ne constitue pas un conseil en investissement.<\/em><\/p>","protected":false},"excerpt":{"rendered":"

    Les pertes du phishing crypto reculent, mais les campagnes se font chirurgicales. Signatures pi\u00e9g\u00e9es, address poisoning et jeux Steam v\u00e9rol\u00e9s : le point sur les attaques qui frappent en 2026.<\/p>\n","protected":false},"author":4,"featured_media":54,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"class_list":["post-53","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-exploits"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/53","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/comments?post=53"}],"version-history":[{"count":1,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/53\/revisions"}],"predecessor-version":[{"id":58,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/53\/revisions\/58"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media\/54"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media?parent=53"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/categories?post=53"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/tags?post=53"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}