Les attaques ciblées sur l'humain sont désormais la menace la plus dangereuse du Web3, selon un rapport.

Source : CryptoNewsNet Titre original : Les attaques ciblant les humains sont désormais la menace la plus dangereuse du Web3, selon un rapport. Lien original : Un rapport récent de Kerberus, une entreprise de sécurité Web3, suggère que le comportement humain est désormais le principal risque dans Web3. Le PDG de l'entreprise, Alex Katz, et le CTO, Danor Cohen, ont partagé des informations sur les raisons pour lesquelles les utilisateurs continuent de tomber victimes d'attaques et ce qu'ils peuvent faire pour mieux se protéger.

L'erreur humaine entraîne des pertes majeures dans le Web3

Dans son dernier rapport intitulé “Le facteur humain – La protection en temps réel est la couche méconnue de la cybersécurité Web3 (2025)”, Kerberus a révélé que les attaques ciblant l'humain étaient le vecteur structurellement le plus dangereux dans Web3.

Le rapport cite des données montrant qu'une part significative des pertes de l'industrie provient d'erreurs des utilisateurs. Environ 44 % des vols de cryptomonnaies en 2024 résultent de la mauvaise gestion des clés privées. Une autre recherche indique que l'erreur humaine est impliquée dans environ 60 % des violations de sécurité.

Avec 820 millions de portefeuilles actifs en 2025, le paysage des menaces s'élargit rapidement, et tout le monde reste à risque. Katz a noté que les acteurs malveillants ciblent à la fois les nouveaux venus et les utilisateurs expérimentés, mais pour des raisons très différentes.

“Les nouveaux utilisateurs sont attrayants parce qu'ils ne comprennent pas encore à quoi ressemble le comportement 'normal' du Web3,” a-t-il dit.

Il est intéressant de noter que les utilisateurs de longue date deviennent des cibles de plus en plus précieuses par rapport aux nouveaux venus. Selon lui :

“Les utilisateurs vétérans interagissent avec beaucoup plus d'applications décentralisées, signent plus de transactions et déplacent des montants plus importants. Cela signifie qu'un seul moment de complaisance peut causer bien plus de dégâts. Donc, le groupe le plus à risque aujourd'hui est quiconque suppose qu'il n'est pas à risque.”

Cohen a ajouté que l'une des plus grandes idées reçues dans le Web3 est la croyance selon laquelle les échecs de sécurité proviennent du fait que les utilisateurs ne comprennent pas la technologie. Son analyse pointe dans la direction opposée. Les gens se font pirater parce que le système impose un fardeau irréaliste sur eux.

“Les utilisateurs pensent : 'Je suis trop intelligent pour me faire avoir, je sais comment fonctionnent les portefeuilles – je suis en sécurité.' Mais le paysage des menaces évolue plus rapidement que les utilisateurs. Les attaquants n'essaient pas de surpasser votre portefeuille ; ils essaient de vous surpasser. Et ils y réussissent extrêmement bien. Ce que les gens ne comprennent pas, c'est que le Web3 impose un énorme fardeau cognitif à l'individu. Les utilisateurs ne devraient pas avoir à déchiffrer des signaux techniques pour rester en sécurité – la sécurité doit fonctionner pour eux automatiquement.”

Pourquoi les utilisateurs avertis de Web3 continuent d'être drainés

Ces risques liés aux humains persistent malgré des dépenses records en matière de sécurité en 2025. Le rapport de Kerberus a indiqué que les services liés aux cryptomonnaies et les investisseurs ont perdu plus de 3,1 milliards de dollars à cause de piratages et d'escroqueries au cours du premier semestre de l'année. C'est déjà plus que le total pour toute l'année 2024.

Ce chiffre inclut une violation historique dans un échange majeur. En excluant cela, les attaques ciblant les humains telles que le phishing et l'ingénierie sociale ont tout de même représenté $600 millions, représentant 37 % des 1,64 milliard de dollars restants en pertes.

Le rapport a noté que ces attaques évoluent avec l'adoption croissante et contournent complètement les défenses techniques. Cela rend difficile pour les modèles de sécurité traditionnels de les prévenir.

Alors que les entreprises investissent massivement dans les audits, la surveillance et les revues de code, les attaquants exploitent de plus en plus les utilisateurs directement au niveau des transactions. Mais qu'est-ce qui rend les humains si vulnérables à ces attaques ?

< “Les humains sont vulnérables parce que chaque escroquerie est conçue pour exploiter des raccourcis psychologiques naturels — l'urgence, l'autorité, la familiarité, la peur de manquer quelque chose, ou le confort avec la routine. Ce ne sont pas des défauts; ce sont les mêmes instincts qui nous permettent de fonctionner dans la vie quotidienne. La technologie seule ne peut pas changer la psychologie humaine, mais elle peut saisir le moment où la psychologie est utilisée comme une arme,” a détaillé Cohen.

Il a souligné que la forme de protection la plus forte n'est pas de compter uniquement sur les utilisateurs pour éviter les erreurs grâce à l'éducation, mais plutôt d'arrêter les actions nuisibles en temps réel avant que des dommages ne se produisent.

“C'est pourquoi la détection en temps réel est si importante. Si vous pouvez avertir un utilisateur au moment exact où sa confiance est manipulée, vous pouvez empêcher la plupart des pertes avant qu'elles ne se produisent.”

L'exécutif a noté qu'il est irréaliste de s'attendre à ce qu'un utilisateur lambda puisse distinguer entre un dApp malveillant, un airdrop ou une page de mint. Les plateformes frauduleuses modernes imitent souvent de près celles légitimes, les rendant presque indiscernables.

Les utilisateurs peuvent cliquer sur des liens de phishing à plusieurs reprises non pas par négligence, mais parce que les attaques sont intentionnellement conçues pour tromper. Même les avertissements en temps réel peuvent parfois apparaître comme de faux positifs, soulignant la nature avancée de ces arnaques.

“Les utilisateurs ne devraient pas être censés effectuer des vérifications d'analyse. Le fardeau doit être transféré aux outils qui analysent l'intention et le comportement en temps réel,” a suggéré Cohen.

Le rapport indique également que ces attaques exploitent des moments où les utilisateurs sont les moins capables d'évaluer les menaces. Cela peut se produire lorsque quelqu'un vérifie son portefeuille tout en étant distrait au travail, réagit à un message urgent affirmant que son compte sera gelé, ou approuve une transaction à la fin d'une longue journée lorsqu'il est épuisé.

Selon les résultats, la réponse de l'industrie a principalement été d'ajouter davantage d'avertissements et d'étapes de vérification. Mais cette approche se retourne souvent contre elle en raison de la “fatigue de la sécurité”. À mesure que les utilisateurs s'habituent à des alertes constantes—dont beaucoup sont de fausses alarmes qui les ralentissent simplement—leur capacité à prendre des décisions réfléchies diminue sous la pression cognitive continue.

3 actions que les utilisateurs peuvent entreprendre pour rester en sécurité

Pour réduire les pertes dans le monde réel, Katz a révélé trois pratiques que les utilisateurs peuvent adopter :

• Pause avant de signer : La plupart des compromis se produisent en moins de dix secondes. Prendre même un bref moment pour lire l'invite ou confirmer si la demande correspond à l'action prévue peut prévenir une grande part des attaques réussies.
• Séparer les actifs de grande valeur de l'activité quotidienne : Utiliser plusieurs portefeuilles reste l'une des mesures de protection les plus efficaces. Les utilisateurs devraient conserver leurs avoirs à long terme dans un portefeuille froid ou à faible contact et utiliser un portefeuille séparé pour l'exploration, les mints et les dApps. Cette compartimentation limite les dommages potentiels.
• Comptez sur une protection des transactions en temps réel : Comme de nombreuses menaces impliquent l'ingénierie sociale plutôt que des exploits techniques, les utilisateurs bénéficient d'outils qui interprètent les actions sur la chaîne avant qu'elles ne soient finalisées. Cette seule couche de défense bloque bon nombre des escroqueries plus avancées.

Il a souligné que l'intention n'est pas de transformer les utilisateurs en experts en sécurité, mais de construire des garde-fous qui empêchent les erreurs de se transformer en pertes financières.