La Règle du Signet : Comment Naviguer sur le Web3 Sans se Faire Hameçonner

Résumé : 90 % des hacks crypto se produisent parce qu'un utilisateur clique sur le mauvais lien. Les hackers achètent des publicités Google et se font passer pour le support. Ce guide vous apprendra la « Règle du Signet » et comment vérifier les domaines légitimes.

---

Prompts Midjourney

1. /imagine prompt: A search engine results page, the top result is a trap door disguised as a legitimate link, "Google Ad Scam" --ar 16:9
2. /imagine prompt: A browser address bar magnifying glass focusing on a tiny difference (e.g., 'binance' vs 'binance-secure'), "Typosquatting" --ar 16:9
3. /imagine prompt: A lighthouse shining a beam on a safe path through a stormy digital ocean, "The Bookmark Route" --ar 16:9

---

1. Le Piège des Publicités Google (Google Ad Trap)

Vous tapez « Metamask » ou « Ledger Live » sur Google.

Le premier résultat semble correct. Vous cliquez dessus.

C'est une arnaque.

Les hackers achètent des Google Ads pour placer leurs faux sites au-dessus des vrais. Si vous téléchargez un portefeuille depuis le faux site, il demandera votre phrase secrète ou installera un malware.

Le remède : Ne cliquez JAMAIS sur les résultats marqués « Annonce » ou « Sponsorisé ». Cherchez toujours les résultats organiques en dessous.

2. La « Règle du Signet » (The Bookmark Rule)

En crypto, ne tapez jamais une URL manuellement et n'utilisez jamais Google pour des sites sensibles (Échanges, Protocoles DeFi).

1. Trouvez-le une fois : Allez sur la page Twitter/X officielle du projet (par ex. @Uniswap).
2. Cliquez sur le lien en bio : La plupart des projets légitimes y mettent leur lien officiel.
3. Mettez-le en favori : Créez un dossier « Crypto Safe » dans votre navigateur.
4. Utilisez uniquement le signet : La prochaine fois que vous tradez, cliquez sur le signet. Ne le cherchez pas sur Google. Ne le tapez pas.

3. Le Silence est la Sécurité (Discord/Telegram)

Si vous rejoignez le serveur Discord d'un projet crypto, vous recevrez probablement un message privé (DM).

« Bonjour, je suis le support. Vous devez valider votre portefeuille pour résoudre votre problème. »

Règle d'or :

• Les Admins ne vous enverront jamais de DM en premier.
• Le Support ne vous demandera jamais votre phrase secrète.
• Le Support ne vous demandera jamais de cliquer sur un lien pour « synchroniser » votre portefeuille.

Allez dans vos paramètres de confidentialité Discord et désactivez « Autoriser les messages privés des membres du serveur ». Cela coupe 99 % des vecteurs d'attaque par ingénierie sociale.

4. Vérifier l'URL (Typosquatting)

Les hackers utilisent des « Homoglyphes » — des caractères qui ressemblent à des lettres anglaises mais qui ne le sont pas.

• Vrai : coinbase.com
• Faux : cọinbase.com (Notez le point sous le 'o').

Vérifiez toujours la barre d'URL. Si votre navigateur indique « Non sécurisé » ou si le domaine semble légèrement incorrect, fermez l'onglet.

Conclusion

Internet est un champ de mines. Vos signets de navigateur sont votre carte. Tenez-vous en aux chemins que vous avez vérifiés et ignorez les raccourcis envoyés dans vos DM.

En savoir plus : Les signets ne vous sauveront pas si vous vous connectez à un CFO Deepfake ou si vous vous faites avoir par une Arnaque Romantique. Vérifiez toujours l'humain aussi bien que l'URL.