Checklist anti-arnaque crypto : les réflexes qui protègent ton capital (2026)

Chaque arnaque crypto finit par le même résultat : quelqu'un a fait confiance trop vite, trop vite cliqué, ou trop vite signé. Le phishing, le rug pull, le pig butchering, les faux airdrops — les mécanismes varient, mais ils exploitent tous le même point faible : toi, dans un moment d'inattention ou de précipitation.

Cet article est l'article-méthode du parcours sécurité de Cryptoreflex. Il ne te raconte pas une arnaque en particulier. Il te donne les réflexes transversaux qui fonctionnent contre toutes les arnaques — les 5 règles non négociables, trois checklists prêtes à l'emploi et un plan d'action si tu as un doute. Garde-le en favori. Consulte-le avant chaque décision.

Le principe commun à toutes les arnaques crypto

Avant les listes, un constat utile : tu n'as pas besoin de reconnaître chaque type de fraude dans le détail si tu repères son mécanisme d'entrée. Toute arnaque crypto exploite au moins l'un de ces cinq leviers :

1. Promesse de rendement garanti ou anormalement élevé. Aucun investissement légitime ne garantit un rendement fixe. Jamais. Si quelqu'un t'annonce "5 % par semaine, sans risque", c'est un mensonge — ou un schéma de Ponzi (système où les gains des anciens participants sont financés par les fonds des nouveaux entrants).

2. Urgence et FOMO. Le FOMO (Fear Of Missing Out — peur de rater une opportunité) est la principale arme des arnaques. "Offre valable 2 heures", "dernier call avant listing", "la liste se ferme ce soir". L'urgence fabriquée empêche la réflexion. C'est fait exprès.

3. Contact non sollicité. Personne de légitime ne t'envoie un DM pour te proposer un investissement, t'aider à "doubler tes BTC" ou te signaler que ton wallet est compromis. Jamais.

4. Confiance fabriquée. Faux témoignages, faux screenshots de gains, faux profils de célébrités, faux sites qui ressemblent à Binance ou à l'AMF à un caractère près. La crédibilité est mise en scène.

5. Payer pour recevoir ou débloquer. Tu dois payer des "frais de déblocage", "taxes de retrait", "frais de vérification" pour récupérer des fonds ? C'est systématiquement une arnaque. Les fonds n'existent pas.

Si tu identifies l'un de ces cinq leviers dans une situation : stop. Aucune exception.

Les 5 réflexes universels

Ces cinq règles s'appliquent à 100 % des situations. Pas de contexte où l'une d'elles ne s'applique pas.

Réflexe 1 — Ta seed phrase et ta clé privée ne quittent jamais ton environnement sécurisé

Ta seed phrase (phrase de récupération mnémotechnique — généralement 12 ou 24 mots — qui donne un accès total à ton wallet) et ta clé privée (code cryptographique qui prouve que tu possèdes un wallet) ne se partagent avec personne, dans aucune circonstance.

Pas avec le "support" de ton exchange. Pas avec un "expert" qui t'aide à récupérer des fonds perdus. Pas sur un formulaire en ligne, même sur un site qui ressemble exactement à Ledger ou MetaMask. Pas dans un screenshare. Nulle part.

Personne de légitime ne te les demandera jamais. Si quelqu'un les demande, c'est une arnaque. Point.

Réflexe 2 — 2FA par application ou clé physique, jamais par SMS

Le 2FA (authentification à deux facteurs — second niveau de vérification à la connexion) par SMS est vulnérable au SIM swap (arnaque par laquelle un fraudeur convainc ton opérateur téléphonique de transférer ton numéro sur sa carte SIM, capturant ainsi tous tes SMS). Pour tes comptes exchange et crypto :

• Application TOTP (Time-based One-Time Password) : Authy, Google Authenticator, ou équivalent.
• Clé physique (FIDO/YubiKey) : le niveau de sécurité le plus élevé pour les volumes importants.

SMS = acceptable pour un abonnement Netflix, pas pour un compte qui détient du capital.

Réflexe 3 — Le gros du capital sur hardware wallet

Un hardware wallet (portefeuille matériel — dispositif physique qui stocke tes clés privées hors ligne, type Ledger ou Trezor) est la seule solution viable pour conserver un capital crypto significatif à long terme. Tant que les clés privées restent sur un appareil non connecté, elles ne peuvent pas être volées à distance.

Règle simple : ce que tu n'es pas prêt à perdre du jour au lendemain ne doit pas rester sur un exchange ou un hot wallet (wallet connecté à internet en permanence).

Nos articles sur sécuriser tes cryptos avec un wallet et le 2FA et le comparatif cold wallet vs hot wallet détaillent la mise en place étape par étape.

Réflexe 4 — Vérifie l'URL caractère par caractère, n'utilise jamais les liens reçus en DM

Le phishing (hameçonnage — technique qui consiste à te rediriger vers un faux site pour voler tes identifiants ou ta seed phrase) passe en priorité par des URLs quasi-identiques à l'original : bìnance.com (i accentué), metamask-security.io, ledger-support-wallet.com.

Règle opérationnelle :

• Tape toi-même l'URL dans la barre d'adresse ou utilise un favori vérifié.
• N'utilise jamais un lien reçu par DM, email, SMS ou pub Google/réseaux sociaux pour accéder à un exchange ou un wallet.
• Vérifie le certificat HTTPS et l'URL complète avant de saisir quoi que ce soit.

Réflexe 5 — Ne signe jamais ce que tu ne comprends pas, révoque régulièrement

Chaque fois que tu interagis avec un protocole DeFi, tu accordes des token approvals (autorisations données à un smart contract de déplacer tes tokens à ta place). Un contrat malveillant peut utiliser une approbation excessive pour vider ton wallet en une seule transaction.

Si une transaction ou un message de signature te demande d'approuver un montant illimité sur un token, ou si tu ne comprends pas ce que tu signes : tu refuses.

Régulièrement — tous les mois si tu utilises la DeFi — connecte ton wallet sur revoke.cash et révoque les autorisations que tu n'utilises plus. L'outil est gratuit et supporte plus de 100 réseaux.

La checklist avant d'investir dans un token

Applique ces vérifications avant d'investir dans n'importe quel token inconnu, surtout en DeFi. Chaque case non cochée est un red flag.

Pour les arnaques spécifiques aux tokens DeFi, nos articles sur les rug pulls et les faux airdrops et wallet drainers détaillent les mécanismes techniques et les outils de détection.

La checklist avant de connecter ou de signer avec ton wallet

Chaque interaction wallet est une décision de sécurité. Avant de connecter ou de signer :

• L'URL du site est-elle exactement correcte, caractère par caractère ? Pas de tiret en trop, pas de lettre similaire (I/l, 0/O), pas de TLD bizarre (.io vs .com).
• Le site est-il dans ta liste de favoris vérifiés ? Si non, es-tu arrivé via un lien externe ? Si oui : stop.
• Que fait exactement la transaction que tu vas signer ? Lis le détail dans ton wallet. Un "Approve" avec un montant illimité sur un token que tu ne reconnais pas : refuse.
• Le contrat avec lequel tu interagis est-il le bon contrat officiel ? Vérifie l'adresse du contrat sur le site officiel du protocole (pas sur un site tiers).
• As-tu reçu une invitation à cette action de manière non sollicitée ? DM Discord, Twitter, email : ne suit jamais un lien reçu de cette façon pour une action wallet.

La checklist avant de faire confiance à une plateforme ou une personne

Pour une plateforme d'échange ou d'investissement

1. Statut réglementaire en France. Depuis le 1er juillet 2026, seules les plateformes disposant d'un agrément CASP (Crypto-Asset Service Provider — prestataire de services sur crypto-actifs agréé sous le règlement européen MiCA, Règlement UE 2023/1114) peuvent légalement accepter de nouveaux clients en France. L'ancien statut PSAN (Prestataire de Services sur Actifs Numériques — enregistrement auprès de l'AMF, régime transitoire français antérieur à MiCA) reste valide pour les plateformes déjà enregistrées pendant la période de transition.

Vérifie le statut sur le registre des PSAN de l'AMF ou sur la liste blanche officielle. Si la plateforme n'y figure pas : abstiens-toi.

2. Présence sur la liste noire AMF. L'AMF publie une liste des sites et entités signalés pour activité illégale. Consulte-la avant de déposer quoi que ce soit. Un retrait bloqué avec exigence de payer des "frais de déblocage", "taxes réglementaires" ou "garanties" avant de recevoir tes fonds : arnaque certaine. Ces frais n'existent pas. Les fonds non plus, dans 100 % des cas.

3. Un retrait testé avant un dépôt important. Avant d'engager un capital significatif sur une plateforme, teste un retrait de faible montant. Si le retrait fonctionne normalement, la plateforme est au moins opérationnelle. Ce n'est pas une garantie de légitimité totale, mais c'est un filtre de base.

Notre article sur le statut PSAN vs CASP et MiCA détaille les différences et comment vérifier le statut d'une plateforme.

Pour une personne qui te propose un investissement