CryptoRoad.it
IT Italiano EN English FR Français DE Deutsch

Guides

Révoquer autorisations crypto : guide anti-drainer et allowances

Révoquer autorisations crypto : guide anti-drainer et allowances

Mis à jour le 9 juin 2026.

Révoquer autorisations crypto est l’une des habitudes les plus sous-estimées pour sécuriser un wallet. Beaucoup d’utilisateurs surveillent seed phrase, hardware wallet et phishing, mais laissent pendant des mois des approvals accordées à des DEX, bridges, mints, airdrops ou protocoles DeFi qu’ils n’utilisent plus.

Le problème est simple : lorsque vous signez une approval de token, vous n’autorisez souvent pas qu’une seule opération. Dans de nombreux cas, vous indiquez à un contrat intelligent qu’il pourra déplacer une certaine quantité de vos tokens à l’avenir. Si ce contrat est compromis, si l’interface était malveillante ou si vous avez autorisé une limite trop élevée, le wallet peut rester exposé même après la fermeture du site.

Ce guide explique ce que sont les allowances et les approvals, quand il est préférable de les révoquer, quelles erreurs éviter et comment établir une routine pratique. Elle ne remplace pas une bonne gestion de wallet, mais la complète : pour ceux qui utilisent DeFi, NFT, bridge ou airdrop, c’est une maintenance ordinaire.

Révoquer autorisations crypto : ce que cela signifie vraiment

Dans de nombreuses blockchains compatibles Ethereum, les tokens ne sont pas toujours transférés directement de votre wallet vers le protocole. Le cas typique est différent : vous autorisez d’abord un contrat intelligent à dépenser un token en votre nom, puis le protocole exécute l’opération. Cette autorisation est souvent appelée approval ou allowance.

Si vous utilisez un DEX, vous pouvez autoriser le routeur à dépenser de l’USDC. Si vous déposez dans un protocole de prêt, vous souhaiterez peut-être autoriser le contrat à prendre un token avant de déposer. Si vous interagissez avec un bridge, vous pouvez autoriser le contrat de bridge à utiliser l’actif à transférer. Ce sont des démarches normales, mais elles deviennent risquées lorsque le permis reste ouvert plus longtemps que nécessaire.

La révocation ne récupère pas les fonds déjà volés et n’annule pas une transaction déjà exécutée. Cela sert à réduire les risques futurs : cela empêche un contrat spécifique de dépenser à nouveau ce token depuis votre wallet. En pratique, c’est comme fermer une délégation que l’on ne veut plus laisser active.

À cause de ça révoquer les autorisations crypto il ne faut pas y voir une panique post-accidentelle. C’est une routine similaire à la mise à jour des mots de passe, du 2FA et des appareils autorisés. Ceux qui utilisent souvent des protocoles en chaîne devraient le faire régulièrement.

Approbation, acceptation et signature : trois choses à ne pas confondre

La première erreur consiste à mettre toutes les signatures du wallet dans le même conteneur. Ce ne sont pas les mêmes. Une signature peut être utilisée pour confirmer une transaction en chaîne, signer un message hors chaîne, approuver un token ou accepter une session avec une dApp. Le risque dépend de ce que vous signez et de l’autorisation restante après la signature.

Une approval de token classique fixe le montant qu’un contrat peut dépenser. Il peut être limité, par exemple 250 USDC, ou très large. Certaines interfaces proposent des approvals illimitées pour rendre l’expérience utilisateur plus pratique : vous signez une fois et vous n’avez pas besoin d’approuver chaque opération. D’un point de vue opérationnel, c’est pratique ; du point de vue des risques, il s’agit d’une délégation plus large.

Un message signé peut être inoffensif, mais ce n’est pas toujours le cas. Standard comme permis et les signatures structurées peuvent autoriser des actions sans transaction d’approval distincte. Le wallet affiche plus d’informations que par le passé, mais l’utilisateur doit toujours lire le domaine, le contrat, le token, l’expiration et le montant. Une signature faite sur le mauvais site peut suffire à exposer des fonds.

Une connexion WalletConnect ou wallet de navigateur ne signifie cependant pas automatiquement que le site peut vider le wallet. Mais une session ouverte permet de vous présenter plus facilement des demandes de signature ou de transaction. Pour cette raison, il est logique de déconnecter les dApps inutilisées, mais la déconnexion ne remplace pas la révocation des approvals déjà enregistrées sur la chaîne.

Parce que les approvals infinies sont pratiques mais dangereuses

Des approvals infinies naissent d’un compromis : réduire les coûts et les frictions. Si vous n’approuvez que le montant exact à chaque fois, vous payez plus de transactions et devez signer plus souvent. Si vous approuvez un montant très élevé, l’utilisation du protocole devient plus rapide. Le problème est que la commodité demeure même lorsque vous n’utilisez plus ce protocole.

Le risque n’est pas identique pour tous les contrats. Un protocole historique, audité, avec une gouvernance transparente et une utilisation massive n’a pas le même profil de risque qu’un hôtel anonyme ouvert il y a quelques heures. Mais le principe demeure : chaque permis permanent est une surface d’attaque supplémentaire. Même si le protocole est légitime, une vulnérabilité, une mise à niveau mal gérée ou une clé administrative compromise peut transformer une autorisation oubliée en problème.

Ceux qui opèrent sur DeFi devraient relier ce sujet à une gestion plus large du wallet. Le guide sur wallet crypto en 2026 explique la différence entre les wallets chauds, les wallets froids et le multisig ; les approvals concernent principalement les wallets opérationnels, c’est-à-dire ceux qui signent fréquemment. Un wallet froid utilisé uniquement à des fins de sécurité ne doit pas accumuler d’autorisations pour les dApps expérimentales.

La règle d’or est claire : sur les wallets dotés d’un capital important, évitez les approvals illimitées pour les contrats non essentiels. Sur les wallets de test, gardez le solde bas. Sur les wallets à long terme, interagissez le moins possible avec les dApps externes.

Quand est-il préférable de révoquer les autorisations crypto

Il n’est pas nécessaire de tout révoquer chaque jour. La révocation d’une approval coûte de l’essence et, si vous utilisez souvent le même protocole, vous devrez peut-être l’accorder à nouveau. L’objectif est de réduire les risques inutiles et non de rendre le wallet ingérable.

Il est logique de vérifier et de révoquer après des périodes d’activité intense : farm, réclamation d’un parachutage, bridge, mint NFT, testnet avec un vrai wallet, trading sur des DEX peu connus, utilisation d’agrégateurs ou de nouveaux outils. Dans ces cas, vous signez de nombreuses autorisations en peu de temps et la probabilité d’oublier les permis augmente.

Il est logique de révoquer immédiatement si un protocole signale un exploit, si vous avez interagi avec un site suspect, si un domaine change de propriétaire, si vous avez signé une transaction sans la comprendre ou si un vérificateur d’approval de token affiche des contrats que vous ne reconnaissez pas. Dans ces cas, la révocation est une mesure urgente, mais pas toujours suffisante : si vous pensez que la phrase de départ ou l’appareil est compromis, vous devez transférer les fonds vers un nouveau wallet sécurisé.

Il est également judicieux de procéder à un examen périodique : pour un utilisateur DeFi actif, une fois par mois est raisonnable. Pour un utilisateur occasionnel, après chaque session importante, cela peut suffire. Pour ceux qui gèrent un capital important, l’examen des approvals doit figurer dans la même liste de contrôle que la sauvegarde, le wallet matériel et le contrôle des adresses.

Comment vérifier les approvals en toute sécurité

La méthode la plus directe consiste à utiliser des outils bien connus qui lisent les approvals en chaîne. Revoke.cash publie un guide sur comment révoquer les tokens d’approval et les autorisations et prend en charge de nombreux réseaux. MetaMask documente également la gestion de approval symbolique avec plafond de dépenses.

Avant de connecter un wallet, vérifiez l’URL. Les sites de révocation sont des cibles idéales pour le phishing : un utilisateur qui arrive déjà inquiet est plus facile à pousser à se connecter de manière incorrecte. Tapez l’adresse manuellement, utilisez des signets vérifiés et ne cliquez pas sur des liens sponsorisés si vous avez besoin de gérer des fonds réels.

Une fois l’outil ouvert, sélectionnez la bonne chaîne. Les approvals sont spécifiques au réseau : Ethereum, Arbitrum, Base, Polygon, BNB Chain et d’autres chaînes ont des autorisations distinctes. Un wallet peut être propre sur Ethereum mais avoir d’anciennes approvals sur un L2 utilisé il y a des mois.

Si vous préférez ne pas connecter le wallet tout de suite, commencez par rechercher l’adresse publique. De nombreux outils vous permettent d’inspecter les approvals sans rien signer ; la signature n’est nécessaire que lorsque vous décidez de révoquer. Cette étape soulage la pression et permet de réfléchir avant d’autoriser une nouvelle opération de révocation.

Examinez trois éléments : le token, le dépensier et le montant. Le token est l’actif qui peut être dépensé. Le dépensier est le contrat autorisé. Le montant indique combien vous pouvez dépenser. Si vous voyez un montant illimité pour un contrat que vous ne reconnaissez pas, c’est un bon candidat à la révocation.

Ne révoquez pas aveuglément si vous avez des positions actives. Certains protocoles peuvent nécessiter une approval pour gérer les dépôts, les stratégies ou les remboursements. La révocation ne clôture généralement pas une position, mais elle peut empêcher de futures transactions jusqu’à ce que vous l’approuviez à nouveau. Si vous n’êtes pas sûr, identifiez d’abord le protocole et comprenez pourquoi cette autorisation existe.

Déroulement pratique : révision en 20 minutes

La meilleure procédure est simple et reproductible. Préparez d’abord votre wallet : fermez les onglets inutiles, déconnectez les sites inutiles, vérifiez que vous êtes sur le bon réseau et vérifiez que l’appareil ne présente pas de comportement étrange. Si vous utilisez un wallet matériel, vérifiez toujours les détails sur l’appareil, pas seulement sur le navigateur.

    wp: élément de liste
  1. Ouvrez un outil d’approval de token fiable à l’aide d’un signet vérifié.
  2. Connectez uniquement le wallet que vous souhaitez vérifier, pas le wallet de stockage froid si ce n’est pas nécessaire.
  3. Sélectionnez une chaîne à la fois et triez les approvals par valeur ou montant autorisé.
  4. Révoquez d’abord les approvals illimitées pour les contrats que vous n’utilisez plus.
  5. Révoquer les approvals liées aux mints, réclamations, parachutages, bridges et protocoles temporaires déjà conclus.
  6. Ne laissez actives que les approvals nécessaires pour les protocoles que vous utilisez et comprenez réellement.
  7. Répétez l’opération sur les principales chaînes que vous avez utilisées au cours des derniers mois.
    8. /wp:élément-liste

Cette révision ne doit pas virer à la paranoïa. Le but est de créer une hygiène opérationnelle. Si un permis n’est pas nécessaire, fermez-le. Si nécessaire, réduisez-le lorsque cela est possible. Si vous ne comprenez pas pourquoi cela existe, considérez-le comme un risque à enquêter avant d’augmenter l’exposition du wallet.

Draineur : parce que la révocation ne suffit pas toujours

Les égouttoirs de wallet modernes ne dépendent pas uniquement des approvals classiques. Ils peuvent combiner phishing, signatures trompeuses, permis, transactions par lots, domaines clonés et urgence psychologique. La révocation réduit une partie du risque, mais ne remplace pas une discipline plus large.

Si vous avez signé quelque chose de suspect et que les fonds sont toujours dans le wallet, la priorité n’est pas de discuter de la révocation ou non : il s’agit de sécuriser le capital. Dans certains cas, il est judicieux de déplacer les actifs vers un nouveau wallet, créé à partir d’un appareil propre, avant qu’un attaquant n’effectue d’autres transactions. Le guide sur Sécurité cryptographique contre le phishing et les draineurs entre précisément dans cette logique opérationnelle.

La révocation est plus efficace lorsque le risque est une ancienne allowance envers un dépensier qui n’est plus nécessaire. Il est moins efficace lorsque le problème vient de la phrase de départ compromise, d’un logiciel malveillant sur votre ordinateur, d’une fausse extension de navigateur ou d’un site qui vous convainc de signer une nouvelle transaction malveillante. Dans ces cas, vous devez modifier l’environnement d’exploitation, pas seulement fermer les autorisations.

ERC-20, NFT et permis : différentes autorisations, différents risques

Les approvals les plus connues concernent les tokens fongibles, comme les stablecoins ou les tokens DeFi. Mais le problème ne se limite pas aux ERC-20. Les NFT et les collections peuvent également avoir des opérateurs autorisés. Dans ce cas, le risque change : vous n’autorisez pas un dépensier à prendre un montant d’USDC, mais un opérateur à transférer des NFT spécifiques ou, dans certains cas, une collection entière.

Pour cette raison, ceux qui possèdent des NFT précieux devraient également vérifier les approvals liées aux marchés, à la monnaie et aux outils de gestion des collections. Une ancienne autorisation accordée pour lister ou transférer des actifs peut rester active plus longtemps que nécessaire. Si vous n’utilisez plus ce marché ou si la collection a été déplacée vers un entrepôt frigorifique, le permis doit être révisé.

Un autre point est le modèle permis. Certains tokens vous permettent d’autoriser des dépenses par signature, sans approval immédiate de la transaction en chaîne. Cela réduit la friction et les gaz, mais rend la lecture de la signature encore plus importante. Si le wallet affiche un domaine, un dépensier, un montant et une expiration, ne le traitez pas comme une simple connexion. Il pourrait s’agir d’une autorisation économique.

La distinction opérationnelle est la suivante : les approvals en chaîne sont vues et révoquées avec les outils de contrôle autorisés ; les signatures malveillantes nouvellement accordées peuvent nécessiter des actions plus rapides, telles que le déplacement de fonds ou la révocation immédiate du dépensier généré. Si vous ne savez pas quel cas vous avez devant vous, arrêtez et reconstruisez la transaction avant de signer quoi que ce soit d’autre.

Tableau : quelles autorisations vérifier en premier

PermisRisque typiqueAction pratique
Approbation illimitée sur les stablecoinsExposition élevée si le dépensier est compromisRévoquer ou réduire le plafond de dépenses
Approbation pour la mint ou le largage terminéPermis oublié sans utilisation futureRévocation après réclamation
Approbation pour bridge utilisé une seule foisRisque cross-chain et contrats complexesRévoquer si vous n’en avez plus besoin
Approbation au DEX principalRisque variable, souvent lié au montantEnvisagez un plafond limité au lieu d’un plafond infini
Ouvrir des sessions dAppDe nouvelles demandes de signature plus faciles à soumettreDéconnectez-vous, mais vérifiez également les approvals en chaîne

Allocation et DEX : le point pour ceux qui tradent

Ceux qui utilisent DEX et les agrégateurs signent plus d’approvals que la moyenne. Les routeurs, pools, agrégateurs, bridges et contrats de règlement évoluent au fil du temps. Le guide sur Agrégateurs DEX, glissements et allowances explique pourquoi le chemin d’exécution peut être plus complexe qu’il n’y paraît sur l’interface.

Pour un trader actif, tout révoquer après chaque échange peut s’avérer inefficace. Un choix plus réaliste consiste à séparer les wallets : un pour les opérations fréquentes avec un solde limité, un pour le capital principal, un pour les tests ou le largage. Sur le wallet opérationnel, vous pouvez accepter plus de frictions et plus de maintenance ; sur le wallet principal, vous devez réduire les interactions au minimum.

Il en va de même pour les NFT et la mint. Une monnaie légitime peut nécessiter des approvals spécifiques ; un mint malveillant peut utiliser l’urgence, la liste blanche et la rareté pour pousser des signatures à risque. Une fois la campagne terminée, la vérification des autorisations prend quelques minutes et réduit l’exposition résiduelle.

Comment définir une politique personnelle

La sécurité cryptographique fonctionne mieux lorsqu’elle devient une procédure. Une politique personnelle évite les décisions soudaines au pire moment. Cela peut être simple : jamais d’approval infinie sur les stablecoins depuis le wallet principal ; révocation mensuelle des wallets DeFi ; wallet séparé pour le largage ; pas de mint dans un wallet froid ; plafond de dépenses limité lorsqu’il est disponible.

La politique doit également définir quand s’arrêter. Si une dApp demande une autorisation que vous ne comprenez pas, ne vous inscrivez pas pour « essayer ». Si un vérificateur d’approval de token montre un dépensier inconnu avec un montant élevé, n’augmentez pas le solde de ce wallet avant de clarifier. Si un protocole nécessite une approval illimitée sans explication, évaluez les alternatives.

Pour les montants importants, il est préférable de documenter vos règles. Vous n’avez pas besoin d’un document complexe : tout ce dont vous avez besoin sont des wallets utilisés, des chaînes principales, des outils autorisés, une fréquence de révision et une procédure d’urgence. Cela devient encore plus important lorsque le capital n’est pas géré par une seule personne ou lorsqu’il y a des héritiers, des sociétés ou des équipes.

Procédure d’urgence si vous avez signé quelque chose de suspect

Lorsque vous soupçonnez une signature malveillante, la séquence compte. La première chose est de ne pas continuer à interagir avec le site. Fermez la page, ne signez pas d’autres demandes et ne suivez pas les instructions du support présumé. De nombreuses pertes sont aggravées par le fait que l’utilisateur, dans une tentative de « défaire », signe un deuxième message, encore plus malveillant.

Deuxième étape : identifiez ce que vous avez signé. S’il s’agissait d’une approval sur un token spécifique, la révocation peut suffire à clôturer cette autorisation. S’il s’agit d’une transaction qui a déjà transféré des fonds, vous ne pouvez pas l’annuler. S’il s’agit d’une signature structurée qui autorise un dépensier, vous devez déterminer s’il existe une autorisation en chaîne à révoquer ou si l’attaquant peut toujours utiliser cette signature.

Troisième étape : évaluer le wallet dans son ensemble. Si l’appareil est propre et que vous n’avez signé qu’une seule approval, vous pouvez le révoquer et le surveiller. Cependant, si vous avez saisi la phrase de départ sur un site, installé une extension suspecte ou signé de nombreuses demandes déroutantes, considérez que le wallet est compromis. Dans ce cas, la bonne solution consiste à créer un nouveau wallet à partir d’un environnement sécurisé et à déplacer les actifs restants.

Quatrième étape : Documentez l’incident. Enregistrez le hachage de transaction, les adresses impliquées, le domaine du site et les tokens impliqués. Il ne sert pas à récupérer les fonds comme par magie, mais il permet de comprendre l’erreur, d’éviter de la répéter et, si nécessaire, de la signaler à la communauté du wallet, de l’explorateur ou du protocole.

Équipe, multisig et fonctionnement professionnel

Lorsque le wallet n’est pas personnel mais opérationnel, la gestion des approvals doit être encore plus disciplinée. Une équipe utilisant un wallet multisig, de trésorerie ou d’entreprise ne doit pas accorder d’autorisations illimitées sans enregistrer la raison, le protocole, le montant et la durée prévue. La commodité d’une approval infinie peut devenir un risque partagé.

Dans des contextes professionnels, il est judicieux de séparer les wallets d’exécution et les wallets de conservation. Le wallet d’exécution interagit avec DEX, les bridges et les protocoles ; le dépositaire conserve le capital et signe moins souvent. S’il est nécessaire de transférer des fonds vers un protocole, le processus doit être délibéré, suivi et limité dans le temps.

La revue des agréments peut devenir un élément de contrôle mensuel : liste des chaînes utilisées, des contrats autorisés, des autorisations au-dessus d’un seuil, des révocations effectuées et des autorisations maintenues avec justification. Il ne s’agit pas de bureaucratie : c’est un moyen d’éviter que d’anciens tests, des opérations ponctuelles ou des outils abandonnés ne soient liés à des capitaux importants.

Erreurs courantes à éviter

La première erreur est de penser que « déconnecter le site » équivaut à une révocation. La déconnexion d’une dApp supprime une relation côté interface ou session, mais ne supprime pas automatiquement une allowance enregistrée en chaîne. Vous devez vérifier les autorisations des tokens séparément.

La deuxième erreur consiste à révoquer uniquement sur le réseau principal Ethereum. De nombreux incidents surviennent sur les chaînes L2 et économiques précisément parce que les utilisateurs signent plus souvent et avec moins d’attention. Si vous avez utilisé Base, Arbitrum, Optimism, Polygon ou BNB Chain, vérifiez également ces réseaux.

La troisième erreur consiste à connecter le wallet à un outil trouvé via une recherche publicitaire. Les faux sites de révocation sont particulièrement insidieux car ils imitent des outils légitimes. Utilisez toujours des URL vérifiées et, si possible, des favoris enregistrés à l’avance.

La quatrième erreur consiste à utiliser le même wallet pour tout. Airdrop, mint, DeFi expérimental, chambre froide et fonds de roulement ne devraient pas coexister à la même adresse. La séparation du wallet est souvent plus importante que la révocation unique.

Liste de contrôle finale

    wp: élément de liste
  • Vérifiez l’approval de toutes les chaînes que vous avez utilisées, pas seulement Ethereum.
  • Révoquez les autorisations illimitées pour les contrats non essentiels.
  • Réduisez le plafond de dépenses lorsque le wallet ou la dApp le permet.
  • Déconnectez les dApps inutilisées, mais ne confondez pas déconnexion et révocation.
  • Utilisez des wallets distincts pour le capital de base, la DeFi active et le test/airdrop.
  • Ne signez pas d’approval ou de permis si vous ne comprenez pas.
  • En cas de suspicion de compromission des semences, créez un nouveau wallet et déplacez les fonds en toute sécurité.
    • /wp:élément-liste

Conclusion : moins d’autorisations, moins de surface d’attaque

Révoquer les autorisations crypto cela ne rend pas un wallet invulnérable, mais cela réduit une classe concrète de risques : autorisations oubliées, allowances infinies et contrats qui ne devraient plus pouvoir déplacer de tokens. C’est une petite pratique, mais qui a un réel impact pour ceux qui utilisent DeFi.

La meilleure règle est simple : accordez uniquement l’autorisation nécessaire, aussi longtemps que nécessaire, à partir du bon wallet. Si une autorisation n’est plus nécessaire, fermez-la. Si vous ne savez pas pourquoi il existe, enquêtez-le. Si le wallet contient un capital important, ne l’utilisez pas comme wallet expérimental.

La sécurité en chaîne ne dépend pas d’un seul outil. Cela dépend d’habitudes reproductibles : séparation des wallets, attention portée aux signatures, liens vérifiés, plafonds de dépenses raisonnables et examen périodique. Dans cette routine, la révocation des approvals est l’un des contrôles les plus simples à insérer.

Articoli correlati