Sécurité dans le Web3
Le Web3 est une occasion unique de changer la façon dont les citoyens du monde interagissent, effectuent des transactions et se divertissent. Comme pour toute nouvelle aventure, participer à ce mouvement comporte des risques.
Certaines personnes essaieront de vous piéger, un peu comme les escrocs qui s'en prennent aux touristes crédules. Le vol et les escroqueries ne sont pas nouveaux, ils existent depuis des siècles et s'infiltrent dans les industries de différentes manières. Malgré cela, le point rassurant est que dans le Web3, vous êtes aux commandes et vous pouvez apprendre à évoluer en toute sécurité dans ce nouveau monde grâce à des bonnes pratiques. Dans ce cours, nous allons discuter des principes clés à connaître avant de vous lancer dans votre odyssée du Web3.
Les vecteurs d'attaque et comment les éviter
Vous souvenez-vous de nos cours sur la détention en propre ? Eh bien, il y a une raison pour laquelle nous en avons parlé dès le début. La transition d'un modèle mental Web2 (vous avez un nom d'utilisateur et un mot de passe, et vous confiez leur sécurité à une plateforme) à un modèle Web3 de détention en propre, est l'une des plus fréquentes sources d'exploitation des utilisateurs dans le Web3. La détention en propre, aussi responsabilisante soit-elle, n'est pas sans risque.
Si vous avez perdu votre mot de passe dans votre application bancaire en ligne, votre banque, en tant que dépositaire de votre compte et de votre argent, peut le réinitialiser en votre nom, tant que vous pouvez prouver votre identité. Toutefois, avec la détention en propre, vous détenez le seul moyen de prouver votre identité : votre phrase secrète de récupération (phrase secrète). Personne d'autre ne peut réinitialiser votre compte à votre place.
Vous devez être la seule et unique personne à détenir votre phrase secrète de récupération (SRP).
Ne la partagez jamais. On n'insistera jamais assez sur ce point.
L'un des moyens les plus lucratifs utilisés par les escrocs consiste à inciter les utilisateurs de Web3 à remettre ou à divulguer leur SRP. Méfiez-vous toujours de toute personne qui vous la demande. MetaMask ne le fera certainement pas.
Ce n'est pas un hasard si l'autre principal vecteur d'attaque consiste également à exploiter les risques liés à la détention en propre. Cela dépend de la façon dont vous utilisez votre portefeuille MetaMask pour donner des autorisations aux applications décentralisées (dapps) avec lesquelles vous interagissez.
Comme nous l'avons vu dans le cours Qu'est-ce qu'un portefeuille crypto ? , votre portefeuille est fondamentalement un outil de gestion de votre identité et de vos autorisations. Une fois que vous avez utilisé votre portefeuille pour signer des autorisations à un tiers, il a votre accord immuable pour faire tout ce qu'il a demandé. C'est pourquoi vous devez faire preuve d'une grande, très grande prudence lorsque vous donnez des autorisations.
L'une des autorisations les plus courantes que vous signerez dans MetaMask est l'approbation de jeton. Ces transactions se présentent sous de nombreuses formes, mais donnent généralement à la dapp à l'origine de la demande l'autorisation d'accéder à un certain nombre de jetons ou de NFT. C'est bien connu, les longs nombres et codes hexadécimaux ne sont pas particulièrement lisibles par l'homme, ce qui permet aux escrocs de se frayer un chemin : il est plus facile de vous obliger à approuver une transaction malveillante si vous n'en comprenez pas les tenants et les aboutissants. Une autre tactique courante consiste à demander un accès illimité à un jeton, de sorte qu'une fois approuvé, la dapp peut retirer autant qu'elle le souhaite de votre compte puisque, techniquement, elle a été autorisé de le faire. Si la dapp est malveillante, votre compte est vidé.
Les approbations et les autorisations sont un sujet complexe qui ne cesse d'évoluer. Cependant, s'il y a bien une chose à retenir, c'est qu'il ne faut jamais approuver une transaction proposée par une dapp suspecte, et si vous n'êtes pas sûr(e) de vous, ne lui donnez pas un accès illimité à un jeton.
Pour en savoir plus sur les approbations de jetons, reportez-vous aux ressources sous la rubrique Approfondissez vos connaissances.
Ne mordez pas à l'hameçon
Vous pouvez améliorer considérablement votre sécurité sur le Web3 en apprenant à reconnaître les signes révélateurs d'une activité malveillante. Les escrocs se font remarquer de plusieurs façons, à la fois délibérément et par inadvertance. En voici quelques-unes :
Demandes urgentes : utiliser la pression du temps pour créer l'urgence avec des échéances ou des dates butoirs
FOMO : promettre des rendements irréalistes, des airdrops ou des listes d'autorisation
Usurpation d'identité : imiter des protocoles, des projets et des personnes célèbres
Un aspect approximatif : généralement des fautes de grammaire, un design de site Web médiocre ou une image de marque peu professionnelle
Messages inattendus : demandes d'argent, enthousiasme excessif et désir désespéré que vous participiez
N'oubliez jamais : si quelque chose semble trop beau pour être vrai, c'est probablement le cas.
Portefeuilles matériels : une couche de sécurité supplémentaire
La détention en propre signifie que vous devez mettre en œuvre votre propre sécurité. Personne d'autre ne peut le faire à votre place. Personne ne peut sauvegarder votre compte si vous y perdez l'accès, ni récupérer vos fonds si vos jetons sont volés. Seuls vous et toute autre personne ayant accès à votre phrase secrète de récupération (SRP) pouvez le faire. C'est une grande responsabilité, mais vous avez l'honneur de la découvrir et d'en faire l'expérience au fur et à mesure que le Web3 se développe dans le monde entier.
MetaMask donne la priorité à la sécurité de l'utilisateur avant tout : vous pouvez le voir dans l'utilisation du portefeuille lui-même, où des avertissements sont fournis lorsque vous êtes sur le point de faire quelque chose de dangereux, dans le développement d'outils comme LavaMoat, assurant la sécurité du code lui-même, et dans les efforts de sensibilisation comme celui-ci. Il existe également d'autres options qui ajoutent une couche de sécurité supplémentaire entre vous et les malfaiteurs.
C'est le cas des portefeuilles physiques, des dispositifs situés en dehors de votre ordinateur qui sécurisent les clés privées de vos comptes. Ils sont déconnectés des autres activités en ligne que vous effectuez habituellement sur votre téléphone et votre ordinateur portable, comme consulter vos e-mails, télécharger des applications et rechercher des vidéos amusantes de chats sur Internet.
Vous pouvez connecter ces portefeuilles matériels à MetaMask pour gagner en flexibilité lorsque vous effectuez des activités sur le Web3. Parcourez les dapps avec MetaMask et signez les transactions sur votre portefeuille physique.
En associant des portefeuilles physiques à MetaMask (un portefeuille logiciel), vous renforcez votre sécurité tout en assumant une plus grande responsabilité dans votre expérience de la détention en propre.
Sécurité dans le Web3
2:00
restant pour bénéficier de cette offre à durée limitée
Essayons de staker votre ETH, choisissez votre fournisseur de staking préféré
Récompenses les plus élevées
Mega Staked ETH
mgETH
69.63% récompenses
Récompenses les plus élevées
Lido Staked ETH
stETH
3% récompenses
Récompenses les plus élevées
Rocket Pool Staked ETH
rETH
3% récompenses
- 01
La détention en propre, aussi responsabilisante soit-elle, comporte des risques et nécessite des mesures de sécurité appropriées de ma part
- 02
Les deux attaques Web3 les plus courantes auxquelles je pourrais être confronté sont celles d'acteurs malveillants qui essaient d'obtenir ma phrase secrète de récupération et d'obtenir de moi des approbations de jetons non désirées
- 03
Un portefeuille physique est un bon premier pas vers le renforcement de ma sécurité sur le Web3.
Prêt(e) à passer à l'étape suivante ?
Découvrir MetaMask