Sans KYC ≠ sans responsabilité : les vérités de sécurité à connaître en self-custody

6 mai 2026

« Sans KYC » est souvent associé à la liberté dans la crypto : pas de pièce d’identité à envoyer, pas de reconnaissance faciale, moins de dépendance à une plateforme centralisée. Mais il y a une confusion importante à corriger : sans KYC ne veut pas dire sans responsabilité. C’est même l’inverse : en self-custody, tu prends en charge beaucoup plus de responsabilités qu’en passant par une plateforme centralisée.

Cet article revient sur les vérités de sécurité que beaucoup d’utilisateurs découvrent trop tard, souvent après une erreur ou un incident.

La self-custody transfère la responsabilité : tu es ta propre banque, mais aussi ta propre sécurité

Sur une plateforme centralisée, ou CEX, les responsabilités sont partagées : la plateforme conserve les clés privées, propose l’authentification à deux facteurs, surveille les connexions suspectes et peut parfois geler un compte pour protéger les fonds. En contrepartie, tu acceptes le KYC, le partage de données et le risque de garde par un tiers.

Avec la self-custody, toutes ces fonctions de sécurité passent de la plateforme à toi. Selon le standard ERC-20 d’Ethereum, une fois qu’un transfert de tokens est confirmé sur la blockchain, il est irréversible. Il n’existe pas de support client capable d’annuler une transaction envoyée à la mauvaise adresse, ni de procédure de réclamation pour récupérer des fonds volés.

Le but n’est pas de te faire renoncer à la self-custody, mais de t’aider à l’utiliser avec les bons réflexes.

Cinq vérités de sécurité à connaître

Vérité n°1 : phrase de récupération exposée = fonds perdus, sans exception

La phrase de récupération, ou seed phrase, donne le contrôle complet de tous les actifs d’un wallet. Toute personne qui connaît ta seed phrase contrôle ton portefeuille. Ce n’est pas une possibilité théorique : au niveau du protocole blockchain, il n’existe pas de mécanisme permettant d’identifier des « fonds volés » et de les bloquer.

La documentation officielle de MetaMask rappelle que la seed phrase doit être traitée comme le mot de passe ultime. Toute demande qui te pousse à la saisir ou à la partager est une arnaque, sans exception.

Scénarios fréquents de fuite de seed phrase :

  • capture d’écran enregistrée sur un appareil connecté, puis synchronisée dans le cloud ;
  • saisie sur un faux site de « récupération de wallet » ;
  • faux support client sur les réseaux sociaux ;
  • stockage sur un appareil infecté par un malware.

Vérité n°2 : les autorisations de smart contracts sont une surface d’attaque sous-estimée

Quand tu trades sur un DEX, la première interaction avec un token nécessite souvent une autorisation, ou Approve. Cette action donne à une adresse de contrat le droit de déplacer un certain montant de ce token depuis ton wallet.

Le problème : beaucoup d’utilisateurs accordent une autorisation illimitée (unlimited approval) puis oublient de la révoquer lorsqu’ils n’utilisent plus le protocole. Si le protocole est compromis, ou si tu as interagi avec un contrat malveillant, cette autorisation peut devenir une porte d’entrée vers tes fonds.

Les ressources pédagogiques de Revoke.cash expliquent ce risque en détail et proposent des outils pour gérer et révoquer les anciennes autorisations. Après avoir utilisé des plateformes comme Hyperliquid, dYdX ou d’autres protocoles DeFi, vérifier régulièrement tes approvals fait partie de l’hygiène de sécurité de base.

Vérité n°3 : signer une transaction ne veut pas dire faire une petite action sans risque

Le standard EIP-712 permet aux DApps de demander la signature de données structurées complexes, pas seulement de simples transferts. Les attaquants exploitent largement ce mécanisme : ils imitent une demande d’autorisation normale, alors que la signature peut en réalité autoriser le transfert de tous tes actifs.

Les recherches de Chainalysis sur les attaques de type drainer montrent que de nombreuses victimes ne réalisent qu’après coup que « l’autorisation » signée était en fait une instruction de transfert. Se fier uniquement au texte affiché dans l’interface de signature ne suffit pas toujours à distinguer une action légitime d’une action malveillante.

La bonne approche : utiliser un wallet capable d’analyser le contenu des signatures et de simuler les transactions. OneKey Wallet affiche et interprète les informations clés avant signature afin de t’aider à repérer les demandes anormales.

Vérité n°4 : la confidentialité on-chain est plus faible que tu ne le penses

Sans KYC ne veut pas dire anonyme. Une blockchain est un registre public : tes transactions, tes variations de solde et les flux de fonds peuvent être consultés. Avec des techniques de regroupement d’adresses, les sociétés d’analyse on-chain peuvent construire des profils comportementaux très détaillés.

Les règles européennes sur les transferts de fonds, comme le Transfer of Funds Regulation, illustrent aussi l’attention croissante portée au suivi des informations liées aux bénéficiaires de transactions crypto.

L’idée selon laquelle « j’utilise un DEX, donc je suis totalement anonyme » est donc incorrecte. Si tu retires des fonds depuis une plateforme KYC vers une adresse, puis que tu utilises cette adresse sur un DEX, ce chemin peut être techniquement traçable.

Vérité n°5 : la responsabilité légale ne disparaît pas avec la décentralisation

Les orientations réglementaires de FinCEN et le règlement européen MiCA s’intéressent aux activités, pas seulement aux plateformes. Même si le service que tu utilises ne demande pas de KYC, tu restes responsable de tes propres obligations, notamment fiscales et de conformité selon ta juridiction.

Utiliser un DEX n’est pas un bouton magique qui te sort du cadre légal.

Une architecture de sécurité en quatre couches pour la self-custody

La sécurité en self-custody ne repose pas sur un seul outil. Elle doit combiner plusieurs couches :

  1. Protection des clés privées : utilise un hardware wallet, garde ta seed phrase hors ligne et ne la saisis jamais sur un site web.
  2. Vérification des transactions : lis les détails avant de signer, vérifie les adresses de contrats et méfie-toi des demandes inhabituelles.
  3. Gestion des autorisations : limite les approvals, évite les autorisations illimitées quand ce n’est pas nécessaire et révoque les accès inutiles.
  4. Discipline opérationnelle : vérifie les domaines, évite les liens reçus par message privé, sépare tes wallets selon les usages et garde une trace de tes opérations.

OneKey Wallet couvre ces niveaux avec des fonctions de sécurité adaptées à la self-custody, et son code est open source. Les dépôts GitHub de OneKey permettent à chacun de vérifier l’implémentation de sécurité.

Erreurs fréquentes chez les nouveaux utilisateurs self-custody

Erreur n°1 : « Tant que je ne donne ma seed phrase à personne, je suis en sécurité. »

En réalité, une seed phrase peut fuiter sans partage volontaire : capture d’écran, sauvegarde cloud, malware, extension compromise ou faux site peuvent suffire.

Erreur n°2 : « J’utilise un DEX connu, donc le contrat est sûr. »

Même si le protocole officiel est solide, un site de phishing peut copier son interface à l’identique et te faire interagir avec un contrat malveillant. Vérifie toujours le domaine et les liens officiels.

Erreur n°3 : « Pour de petits montants, pas besoin de hardware wallet. »

Les attaquants ne s’arrêtent pas parce que ton solde actuel est faible. Si ton adresse conserve des autorisations actives, elle peut devenir vulnérable plus tard, notamment après un nouveau dépôt.

FAQ

Q1 : La self-custody rend-elle mes actifs plus sûrs ?

La self-custody supprime certains risques liés aux plateformes, comme la faillite, le gel arbitraire ou le piratage d’un dépositaire. Mais elle introduit d’autres risques, surtout liés aux erreurs utilisateur. Le niveau de sécurité dépend de tes pratiques, pas uniquement du fait d’être en self-custody.

Q2 : Si je perds mon wallet OneKey, mes actifs disparaissent-ils ?

Non. Tant que tu as conservé ta phrase de récupération, tu peux restaurer ton wallet sur un nouvel appareil compatible. OneKey Wallet prend en charge les phrases de récupération BIP-39, un standard largement utilisé dans l’industrie.

Q3 : Comment savoir si une demande de signature est sûre ?

Vérifie que l’adresse du contrat correspond bien au protocole officiel que tu utilises, contrôle l’étendue des permissions demandées et refuse toute signature si quelque chose semble excessif ou incohérent. En cas de doute, passe par les canaux officiels du projet. Les fonctions de simulation de transaction de OneKey Wallet peuvent aussi t’aider à prévisualiser le résultat avant de signer.

Q4 : Révoquer une autorisation de contrat affecte-t-il mes positions ou mes tokens ?

Non. Révoquer une autorisation déjà utilisée ne modifie pas tes soldes ni tes positions existantes. Cela empêche simplement le contrat concerné de déplacer à nouveau ces tokens depuis ton wallet à l’avenir. Révoquer les approvals inutiles après utilisation est une bonne pratique standard.

Q5 : Les obligations fiscales sont-elles différentes sur DEX et CEX ?

Elles dépendent de ta juridiction, pas seulement du type de plateforme utilisée. Dans de nombreux pays réglementés, les plus-values réalisées via un DEX doivent aussi être déclarées. Ce texte ne constitue pas un conseil fiscal ; consulte un professionnel qualifié si nécessaire.

Conclusion : liberté et responsabilité vont ensemble

Choisir la self-custody, c’est gagner une forme de liberté : tes actifs ne dépendent pas directement d’une plateforme, et tu n’as pas nécessairement à fournir ton identité pour chaque interaction. Mais cette liberté implique une responsabilité de sécurité complète.

Télécharge OneKey Wallet pour construire une base de sécurité open source avec un hardware wallet, puis utilise OneKey Perps comme workflow pratique pour trader des contrats perpétuels dans un environnement sans KYC. L’objectif n’est pas de promettre une sécurité absolue, mais de t’aider à réduire les risques avec de meilleurs outils et de meilleures habitudes.

Avertissement sur les risques : cet article est fourni à titre éducatif uniquement. Il ne constitue ni un conseil en investissement, ni une garantie de sécurité. Les pertes liées à la self-custody, y compris en cas d’erreur de manipulation, de fuite de clé privée ou de faille de smart contract, sont généralement irréversibles. Le trading de cryptomonnaies comporte des risques de marché élevés, et l’effet de levier peut entraîner des pertes supérieures au capital initial. Assure-toi de comprendre les risques avant toute décision.

Sécurisez votre parcours crypto avec OneKey

View details for Boutique OneKeyBoutique OneKey

Boutique OneKey

Le portefeuille matériel le plus avancé au monde.

View details for Télécharger l'applicationTélécharger l'application

Télécharger l'application

Alertes contre les arnaques. Toutes les pièces supportées.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clarté Crypto—À un appel de distance.