Un dirigeant transfère régulièrement des fonds entre le portefeuille corporate et celui de son fournisseur habituel. Par réflexe, il copie-colle la dernière adresse utilisée depuis son historique de transactions. Quelques heures plus tard, il constate que 200 000 euros en USDC ont disparu. L'adresse était la bonne, du moins en apparence : les six premiers et les quatre derniers caractères correspondaient parfaitement.
Cette technique d'attaque, appelée empoisonnement d'adresse, exploite une vulnérabilité comportementale plutôt que technique. Les pirates créent des adresses quasi-identiques à celles que vous utilisez habituellement, puis les insèrent dans votre historique de transactions en vous envoyant de minuscules montants. L'objectif : vous inciter à copier la mauvaise adresse lors de votre prochain transfert.
Le phénomène s'industrialise. Selon les données de la plateforme Chainalysis, les attaques par empoisonnement d'adresse Ethereum ont généré plus de 58 millions de dollars de pertes en 2023, avec une accélération notable au second semestre. Pour les entreprises qui gèrent une partie de leur trésorerie en crypto-actifs, cette menace de cybersécurité crypto mérite une attention particulière, au même titre que les attaques sophistiquées menées par des acteurs étatiques.
Comment fonctionne réellement l'empoisonnement d'adresse
Le mécanisme repose sur trois éléments : la longueur des adresses Ethereum (42 caractères hexadécimaux), les habitudes de vérification partielle des utilisateurs, et la puissance de calcul désormais accessible pour générer des adresses similaires.

Une adresse Ethereum standard ressemble à ceci : 0x742d35Cc6634C0532925a3b844Bc9e7595f0bEb4. En pratique, personne ne vérifie l'intégralité de cette chaîne caractère par caractère. On contrôle généralement les six premiers et les quatre ou cinq derniers. Les attaquants le savent et exploitent ce comportement.
Grâce à des algorithmes de génération d'adresses (appelés vanity address generators), ils créent des millions d'adresses jusqu'à obtenir une correspondance sur ces segments visibles. Une opération qui nécessitait plusieurs jours de calcul il y a quelques années peut désormais s'effectuer en quelques heures avec du matériel standard.
Une fois l'adresse malveillante générée, l'attaquant envoie une transaction de quelques centimes (parfois même zéro ether avec des tokens sans valeur) vers votre portefeuille. Cette transaction apparaît dans votre historique. Lorsque vous consultez vos derniers transferts pour retrouver l'adresse d'un destinataire habituel, vous voyez cette fausse adresse qui ressemble trait pour trait à la bonne.
Le piège se referme au moment du copier-coller. Vous sélectionnez ce qui vous semble être la bonne adresse, vous initiez le transfert, et les fonds partent définitivement vers le portefeuille du pirate. Sur la blockchain Ethereum, les transactions sont irréversibles. Aucun recours n'est possible une fois la validation effectuée.
Pourquoi cette menace de cybersécurité crypto concerne particulièrement les trésoriers d'entreprise
Les attaques par empoisonnement d'adresse ciblent en priorité les portefeuilles actifs qui effectuent des transactions régulières et des montants significatifs. Autrement dit, exactement le profil d'une entreprise qui gère une partie de sa trésorerie en stablecoins ou qui règle des fournisseurs en crypto-actifs.
Prenons un cas concret. Une PME du secteur tech dispose de 500 000 euros équivalent en USDC sur un portefeuille multi-signatures. Elle effectue des virements mensuels vers trois prestataires internationaux, avec des montants allant de 15 000 à 80 000 euros. Le DAF ou le responsable administratif qui gère ces opérations utilise naturellement l'historique des transactions pour retrouver rapidement les adresses des bénéficiaires habituels.
Cette routine, parfaitement logique d'un point de vue opérationnel, devient une vulnérabilité. Un attaquant qui observe la blockchain (toutes les transactions Ethereum sont publiques) identifie ce portefeuille actif, repère les adresses destinataires fréquentes, et génère des adresses empoisonnées correspondantes. Il lui suffit ensuite d'envoyer quelques transactions factices pour polluer l'historique.
Le risque s'aggrave dans un contexte d'entreprise pour deux raisons. D'abord, la pression opérationnelle : un DAF qui gère simultanément la trésorerie traditionnelle et crypto, les reportings, et les échéances fournisseurs a moins de temps pour vérifier minutieusement chaque caractère d'une adresse. Ensuite, la délégation : lorsque plusieurs personnes peuvent initier des transactions (comptable, DAF, dirigeant), les pratiques de sécurité Ethereum se diluent.
La dimension réglementaire et comptable
Une perte liée à une attaque par empoisonnement d'adresse soulève des questions comptables et de gouvernance délicates. Contrairement à un hack de plateforme centralisée où la responsabilité incombe à l'opérateur, ici la transaction a été initiée depuis le portefeuille de l'entreprise avec les clés privées autorisées.
D'un point de vue comptable, il s'agit d'une perte d'actif. La comptabilisation dépendra du traitement fiscal des crypto-actifs dans votre juridiction, mais en France, pour une société à l'IS, cela constitue une charge non déductible si l'administration fiscale considère qu'il y a eu négligence dans la gestion du risque.
Sur le plan de la gouvernance, le commissaire aux comptes ou l'expert-comptable pourra légitimement interroger les procédures de contrôle interne. Comment l'entreprise documente-t-elle ses processus de validation des transactions crypto ? Existe-t-il une double vérification ? Un registre des adresses approuvées ? L'absence de réponses claires peut fragiliser la situation en cas de contrôle.
Les mesures de prévention efficaces pour une trésorerie d'entreprise
La protection contre l'empoisonnement d'adresse repose sur trois piliers : la vérification systématique, l'organisation des processus, et l'utilisation d'outils adaptés.
Première règle absolue : ne jamais faire confiance à l'historique de transactions pour copier une adresse. Ce réflexe, parfaitement légitime dans le système bancaire traditionnel où les coordonnées sont vérifiées par les établissements, devient dangereux sur blockchain. L'historique peut être pollué, et aucune institution ne valide les adresses pour vous.
Mettez en place un carnet d'adresses maîtrisé. Il s'agit concrètement d'un document (tableur sécurisé, logiciel de gestion de portefeuille professionnel, ou ENS – Ethereum Name Service) où vous enregistrez une seule fois les adresses de vos destinataires habituels, après vérification complète. Pour chaque nouvelle adresse à ajouter, imposez un processus : vérification caractère par caractère, validation par une deuxième personne, test avec un montant minime (5 ou 10 euros équivalent), puis seulement après confirmation de réception, transfert du montant principal.
Cette approche transforme le risque. Au lieu de vérifier une longue chaîne hexadécimale à chaque transaction, vous le faites une seule fois lors de l'ajout au carnet d'adresses. Ensuite, vous copiez systématiquement depuis cette source de confiance, jamais depuis l'historique blockchain.
Les outils techniques de protection
Plusieurs solutions techniques renforcent la sécurité Ethereum. Les portefeuilles multi-signatures (comme Gnosis Safe, devenu Safe) intègrent nativement une fonctionnalité de carnet d'adresses avec possibilité d'ajouter des labels. Chaque adresse peut être nommée ("Fournisseur X", "Prestataire Y"), ce qui limite le recours au copier-coller depuis l'historique.
L'Ethereum Name Service (ENS) constitue une autre couche de protection contre le phishing adresse blockchain. Un nom ENS (par exemple entreprise.eth) remplace l'adresse hexadécimale par un nom lisible. Si votre fournisseur dispose d'un nom ENS, vous transférez vers ce nom plutôt que vers l'adresse brute. L'empoisonnement devient alors inefficace : un attaquant ne peut pas créer un nom ENS identique, car chaque nom est unique sur le registre.
Pour les entreprises gérant des volumes importants, certains portefeuilles institutionnels (Fireblocks, Copper, BitGo) proposent des mécanismes de whitelist obligatoire. Toute nouvelle adresse destinataire doit être approuvée par plusieurs signataires et respecter un délai de sécurité (timelock) avant activation. Cette contrainte opérationnelle peut sembler lourde, mais elle élimine le risque d'erreur humaine sous pression.
La formation et la documentation des procédures
La technologie ne suffit pas. L'empoisonnement d'adresse exploite avant tout le facteur humain. Dans une organisation, cela implique de documenter précisément les procédures et de former les personnes autorisées à effectuer des transactions.
Votre procédure devrait inclure au minimum : l'interdiction formelle de copier une adresse depuis l'historique, l'obligation d'utiliser le carnet d'adresses validé, la règle du double contrôle (une personne prépare la transaction, une autre vérifie l'adresse avant signature), et le test systématique avec un montant minime pour toute nouvelle adresse.
Cette documentation présente un double avantage. D'abord, elle protège effectivement contre le risque. Ensuite, elle constitue une preuve de diligence en cas de contrôle externe (audit, commissaire aux comptes, vérification réglementaire). Vous démontrez que l'entreprise a mis en place des garde-fous adaptés à la nature des actifs gérés.
L'approche pragmatique pour une PME
Mettre en place ces dispositifs ne nécessite pas un budget pharaonique ni une refonte complète de l'organisation. Une PME peut démarrer avec quelques mesures simples mais rigoureusement appliquées.
Commencez par créer un tableur sécurisé (stocké dans un gestionnaire de mots de passe ou un drive chiffré de l'entreprise) recensant toutes les adresses Ethereum avec lesquelles vous interagissez régulièrement. Pour chaque adresse, indiquez le nom du bénéficiaire, la date d'ajout, le nom de la personne qui a vérifié l'adresse, et éventuellement un lien vers la première transaction test.
Imposez une règle de vérification en trois temps : comparaison des dix premiers caractères, comparaison des dix derniers caractères, comparaison d'au moins cinq caractères au milieu de l'adresse (par exemple entre le 20e et le 25e caractère). Cette méthode force à parcourir l'ensemble de l'adresse sans pour autant vérifier les 42 caractères un par un, ce qui resterait trop chronophage.
Si votre volume de transactions le justifie (au-delà d'une dizaine de transferts par mois), investissez dans un portefeuille multi-signatures professionnel. Le coût annuel (quelques milliers d'euros selon les solutions) se justifie largement au regard du risque. Ces outils intègrent nativement les fonctionnalités de carnet d'adresses, de workflows de validation, et de journalisation des opérations.
Enfin, intégrez systématiquement une étape de test. Avant tout transfert significatif (définissez un seuil, par exemple 5 000 euros), effectuez un premier envoi symbolique (10 ou 20 euros équivalent). Attendez la confirmation de réception par le destinataire (par email, téléphone, ou autre canal indépendant de la blockchain), puis procédez au transfert principal. Ce délai de quelques minutes peut paraître contraignant, mais il évite les erreurs irréversibles.
Ce que cela signifie pour la gestion de trésorerie crypto
L'industrialisation des attaques par empoisonnement d'adresse révèle une réalité : gérer des crypto-actifs en entreprise nécessite des compétences et des processus spécifiques. On ne peut pas transposer directement les pratiques bancaires traditionnelles.
Pour un DAF ou un dirigeant qui envisage d'allouer une partie de la trésorerie en stablecoins ou en crypto-actifs, cette dimension opérationnelle doit être anticipée. Avant même de réfléchir au rendement potentiel ou à la diversification du risque, posez-vous la question des processus : qui dans l'entreprise sera habilité à effectuer des transactions ? Comment organisez-vous la double vérification ? Quel portefeuille utilisez-vous et quelles fonctionnalités de sécurité propose-t-il ?
Ces questions ne relèvent pas du détail technique, mais bien de la gestion du risque opérationnel. Une perte liée à une attaque par empoisonnement d'adresse n'est pas couverte par une assurance classique (les polices crypto restent rares et coûteuses), elle impacte directement le résultat de l'entreprise et peut fragiliser la confiance des parties prenantes. Comme pour toute exposition de clés ou d'informations sensibles, la prévention reste la meilleure stratégie.
La bonne nouvelle : les solutions existent et ne demandent pas une expertise cryptographique pointue. Elles demandent de la rigueur, de la documentation, et une formation minimale des personnes concernées. Exactement comme vous l'avez fait lorsque votre entreprise a adopté les virements SEPA ou la signature électronique de documents.
L'erreur serait de considérer ces mesures comme superflues ou excessivement prudentes. Les chiffres parlent d'eux-mêmes : 58 millions de dollars perdus en 2023, avec une progression continue. Les pirates professionnalisent leurs méthodes, automatisent la génération d'adresses malveillantes, et ciblent méthodiquement les portefeuilles actifs. Votre entreprise peut se protéger efficacement, à condition d'intégrer cette dimension dès le départ dans votre stratégie crypto.



