Détection et interruption des phishing par approbation : guides de conformité et d'enquête
Les escroqueries on-chain ont rapporté au moins 14 milliards de dollars en 2025, le phishing par approbation étant au cœur de nombreuses opérations frauduleuses d'investissement. Le mécanisme est d'une simplicité trompeuse : une victime clique sur « approuver » en pensant initier une transaction de routine, mais l'autorisation donne à un acteur malveillant le contrôle total de son portefeuille. Ce qui rend cette typologie particulièrement dangereuse pour les équipes conformité, c'est que les fraudeurs réutilisent systématiquement les portefeuilles, les contrats de dépense et les routes de sortie de fonds sur plusieurs victimes ; un seul cas identifié est donc presque toujours le point d'entrée vers un réseau bien plus vaste.
Les enquêteurs de Chainalysis, Seth DuBois et Renato Bastos, ont récemment présenté un cas de phishing par approbation en direct lors de la série de webinaires Chain of Thought de la société, couvrant les indicateurs d'ingénierie sociale, les mécanismes on-chain et le guide d'interruption derrière deux grandes opérations des forces de l'ordre. Ce qui suit s'appuie sur cette session pour offrir aux responsables conformité, auditeurs et équipes comptables d'actifs numériques une vision structurée de la menace et une réponse reproductible.
Les chiffres derrière la typologie
Échelle et rentabilité en 2025
Les données de Chainalysis montrent que les escroqueries on-chain ont généré au moins 14 milliards de dollars en 2025, ce chiffre pouvant atteindre 17 milliards de dollars à mesure que d'autres adresses illicites sont attribuées. Deux points se démarquent pour l'évaluation des risques. Le paiement moyen à une seule adresse frauduleuse a augmenté de 253 % sur un an, indiquant que les fraudeurs deviennent plus sélectifs et plus patients avec leurs cibles. Les escroqueries assistées par IA étaient 4,5 fois plus rentables que celles menées sans, un écart qui réduit considérablement le coût de l'ingénierie sociale.
Les escroqueries d'investissement sont restées la catégorie dominante, et le phishing par approbation est la couche d'exécution on-chain pour nombre d'entre elles. Les entreprises qui utilisent un logiciel de comptabilité crypto pour surveiller les flux clients ou contreparties doivent comprendre que la transaction d'approbation elle-même peut sembler tout à fait ordinaire jusqu'à l'événement de vidage.
Comment fonctionne le phishing par approbation
Le montage d'ingénierie sociale
L'exploit technique est généralement précédé d'une campagne d'ingénierie sociale soutenue. Les enquêteurs de Chainalysis notent que les signaux humains sont cohérents d'un cas à l'autre, et chacun est un point où un professionnel de la conformité, une équipe de prévention de la fraude ou une plateforme réglementée peut intervenir avant que l'attaque on-chain ne se produise.
Quatre schémas se répètent fréquemment :
- Les victimes répètent des phrases génériques apprises par cœur sur une « utilisation personnelle » ou un « stockage de valeur », mais ne peuvent pas expliquer l'investissement sous-jacent en détail.
- Les victimes sont dirigées hors des plateformes réglementées vers des portefeuilles en auto-conservation, le compte sur la plateforme n'étant utilisé que comme un passage pour les fonds.
- Un prétendu conseiller contrôle chaque étape, exigeant des captures d'écran en temps réel et poussant à une exécution rapide pour maintenir une pression psychologique.
- Des virements importants et soudains arrivent de clients sans activité préalable en actifs numériques.
Chacun de ces signaux justifie une vigilance renforcée. Les quatre ensemble constituent un indicateur quasi certain de victimisation active.
Les mécanismes on-chain
Une fois que la victime a cliqué sur « approuver », le fraudeur détient une autorisation permanente de vider le portefeuille à tout moment. Il peut agir immédiatement ou attendre que la victime dépose de nouveaux fonds depuis une plateforme. Lorsqu'il agit, les cryptos volées sont rapidement acheminées via une série de portefeuilles, à travers des ponts, et vers des adresses de dépôt sur les plateformes pour conversion en monnaie fiduciaire ou en actifs moins traçables.
Les transactions sont irréversibles. Ce n'est cependant pas la fin de l'histoire. Parce que les fraudeurs acheminent les fonds via les mêmes portefeuilles de consolidation, réutilisent les mêmes contrats de dépense et retirent les fonds aux mêmes adresses de dépôt sur plusieurs victimes, chaque cas génère des renseignements immédiatement exploitables pour le suivant. Comme l'a dit Renato Bastos : « Parce que les criminels réutilisent l'infrastructure, la typologie devient une requête que vous pouvez automatiser. »
Pour les équipes utilisant un logiciel de comptabilité d'actifs numériques pour rapprocher l'activité on-chain, le signal à surveiller est simple : l'adresse qui dépense les fonds n'est pas celle qui les possède. Ce décalage, croisé avec les portefeuilles de destination connus pour les vidages, est le déclencheur opérationnel d'une intervention.
À quoi ressemble une interruption coordonnée
Opération Spincaster
En 2024, Chainalysis a lancé l'opération Spincaster, rassemblant les forces de l'ordre et des participants du secteur privé de six pays. En plusieurs sprints, plus de 7 000 pistes ont été traitées, aidant les enquêteurs à interrompre des pertes estimées à 162 millions de dollars. Un élément crucial : une victime potentielle a été avertie avant l'événement de vidage, permettant aux forces de l'ordre de révoquer l'approbation du fraudeur avant que six chiffres en cryptos ne soient perdus. Une action de suivi à Delta, au Canada, une ville d'environ 100 000 habitants, a conduit au gel, à la confiscation et à la restitution des fonds des victimes.
Opération Atlantic
L'opération Atlantic, menée par la National Crime Agency du Royaume-Uni aux côtés du Secret Service américain, de la Police provinciale de l'Ontario et de la Commission des valeurs mobilières de l'Ontario, avec Chainalysis fournissant le renseignement on-chain, a identifié plus de 20 000 victimes au Royaume-Uni, au Canada et aux États-Unis. L'opération a gelé plus de 12 millions de dollars de produits criminels présumés et tracé 45 millions de dollars supplémentaires vers des systèmes connexes. Les enquêteurs ont utilisé les données on-chain pour identifier les portefeuilles à risque et interrompre la chaîne d'ingénierie sociale avant que l'exploit technique ne puisse aboutir.
Les deux opérations illustrent le même principe : parce que l'infrastructure criminelle est réutilisée, la cartographier une fois crée une capacité de détection permanente qui s'étend à travers les victimes, les juridictions et le temps.
Cette dynamique de réutilisation de l'infrastructure est directement pertinente pour la qualité des données d'analyse blockchain et la due diligence : la valeur probante de l'attribution on-chain dépend de la fiabilité avec laquelle une plateforme mappe les adresses aux clusters et aux entités. Il convient également de situer le phishing par approbation dans l'écosystème illicite plus large ; pour le contexte sur le fonctionnement de l'infrastructure de fraude à grande échelle, consultez notre couverture du risque AML du groupe Huione et du marché illicite.
Une réponse conformité en quatre points
Intégrer la détection dans les opérations courantes
La session Chainalysis a distillé la réponse opérationnelle en quatre étapes qui se traduisent directement dans la conception du programme de conformité.
1. Intégrer la typologie dans la surveillance automatisée. Le phishing par approbation ne devrait pas être détecté uniquement lorsqu'une victime dépose un signalement. Le décalage « dépenseur != propriétaire » est détectable par machine. L'intégrer dans les règles de surveillance des transactions signifie que l'exposition est signalée quasi en temps réel plutôt que des semaines après l'événement de vidage.
2. Cartographier l'ensemble du cluster de phishing, pas seulement l'adresse signalée. Lorsqu'une adresse signalée est identifiée, la réponse doit immédiatement se tourner vers les portefeuilles de consolidation et les contrats de dépense qu'elle partage avec d'autres cas. Ce changement d'échelle fait passer du périmètre d'une victime à un réseau et permet d'alerter proactivement d'autres clients ou contreparties à risque.
3. Se connecter aux canaux de coordination crypto-banque. L'étape de sortie de fonds est le point le plus interruptible. Aux États-Unis, les règles de partage d'informations Section 314(b) permettent aux banques et aux plateformes d'échange de partager des renseignements et de coordonner les gels avant que les fonds n'atteignent la monnaie fiduciaire. Les équipes conformité doivent avoir des relations actives Section 314(b) et savoir quels contacts appeler sur les plateformes. Des cadres de coordination similaires existent au Royaume-Uni et au Canada via les canaux des cellules de renseignement financier existantes.
4. Développer l'expertise interne via des guides documentés. La détection devient reproductible lorsque les enquêteurs documentent ce qu'ils ont trouvé, comment ils l'ont trouvé et à quoi ressemblaient les signatures on-chain. Chaque cas enrichit la connaissance institutionnelle. Former le personnel de prévention de la fraude et de conformité sur la typologie, et actualiser cette formation à mesure que les tactiques évoluent, transforme une capacité réactive en une capacité proactive.
Signaux d'alerte pour les équipes en contact avec les clients
Quand intervenir auprès d'un client particulier ou institutionnel
Seth DuBois a présenté une liste de contrôle pratique pour le personnel en contact avec les clients. Chacun des éléments suivants devrait déclencher une pause et une conversation sur le bien-être avant de traiter une transaction :
- Le client ne peut pas expliquer en termes simples l'investissement qu'il finance.
- Une autre personne est présente lors de l'appel ou dirige les actions du client en temps réel.
- Il y a de l'urgence : le client dit qu'il doit envoyer les fonds immédiatement ou manquer une opportunité.
- La destination est un portefeuille en auto-conservation que le client a récemment créé sur instruction d'un conseiller.
- La transaction est importante par rapport au profil historique du client.
Il ne s'agit pas de comportements spécifiques aux cryptos. Ce sont les mêmes signaux de coercition et de pression que les équipes de lutte contre la criminalité financière sont formées à repérer dans les fraudes par virement et les escroqueries par paiement autorisé push. Le canal est différent ; le schéma humain ne l'est pas. Pour les entreprises utilisant un logiciel de comptabilité crypto pour suivre les flux clients, une transaction inhabituelle correspondant au profil ci-dessus justifie un appel avant qu'elle ne soit réglée, et non un examen après.
Les implications pour le programme de conformité
Le phishing par approbation n'est pas une menace de niche ou exotique. À 14 milliards de dollars et en hausse, il représente une exposition matérielle pour toute entreprise qui touche aux flux d'actifs numériques : plateformes d'échange, dépositaires, banques avec clients actifs en cryptos, et les cabinets comptables et d'audit qui les servent. La bonne nouvelle est que la même réutilisation de l'infrastructure qui rend l'escroquerie évolutive la rend également systématiquement détectable.
Pour les programmes de conformité, les actions prioritaires sont claires : automatiser la détection de la typologie, intégrer la cartographie des clusters dans les workflows d'enquête, activer les canaux de partage d'informations avant qu'un événement de vidage ne soit achevé, et s'assurer que le personnel de première ligne peut reconnaître les précurseurs d'ingénierie sociale. Ces étapes, prises ensemble, font passer la réponse de réactive à véritablement disruptive.
Pour une vue d'ensemble de l'intégration du renseignement on-chain dans le rapport de conformité crypto, la section pilier couvre l'architecture de données et les obligations de déclaration qui sous-tendent ce type de capacité permanente.
Source : Chainalysis
FAQ
Dans un piratage de portefeuille standard, un attaquant accède à la clé privée de la victime. Dans le phishing par approbation, la clé de la victime n'est jamais volée. Au lieu de cela, la victime est amenée à signer une transaction qui accorde à un contrat malveillant le droit de dépenser des fonds de son portefeuille. Le fraudeur peut alors vider le portefeuille à tout moment sans avoir besoin d'une interaction supplémentaire de la victime. L'exploit utilise une fonctionnalité légitime de la blockchain, le mécanisme d'approbation de token, de manière frauduleuse.
Le signal principal est un décalage entre l'adresse qui possède les fonds et l'adresse qui initie les dépenses. Lorsqu'une adresse qui n'a pas reçu directement de fonds commence à déplacer des tokens depuis une autre adresse, c'est le mécanisme d'approbation qui est utilisé. Le croisement de cette adresse de dépense avec des portefeuilles de destination de vidage connus ou des clusters de phishing déjà signalés indique immédiatement si l'activité est suspecte. La surveillance automatisée doit également signaler les sorties importantes ou soudaines de portefeuilles ayant récemment reçu une transaction de type approbation.
L'article 314(b) de l'USA PATRIOT Act permet aux banques et autres institutions financières de partager entre elles des informations sur un soupçon de blanchiment d'argent ou de financement du terrorisme, avec une protection contre les poursuites. Dans le contexte du phishing par approbation, cela signifie qu'une plateforme d'échange de cryptos qui identifie un portefeuille de vidage suspect peut partager ces renseignements avec une banque réceptrice avant que le retrait de fonds ne soit finalisé, permettant à la banque de geler les fonds. Les relations actives 314(b) entre plateformes d'échange et banques constituent l'un des mécanismes d'interruption les plus efficaces disponibles aux États-Unis.
L'audit ou la revue de due diligence doit demander si la plateforme dispose d'une détection automatisée pour le décalage dépenseur-propriétaire, si elle maintient des cartographies de clusters liant l'infrastructure de phishing connue, si elle a des accords actifs de partage d'informations en vertu des règles applicables (314(b) aux États-Unis, canaux équivalents au Royaume-Uni et au Canada), et si le personnel de première ligne est formé pour reconnaître les précurseurs d'ingénierie sociale. Une plateforme qui n'identifie le phishing qu'à partir des signalements de victimes manque de capacité proactive et représente un risque résiduel plus élevé dans une évaluation de conformité crypto.
Non. Une fois qu'une transaction de vidage est confirmée sur la blockchain, elle ne peut pas être inversée au niveau du protocole. Cependant, les fonds peuvent potentiellement être gelés ou saisis si les forces de l'ordre agissent assez rapidement au point de sortie, généralement une adresse de dépôt sur une plateforme d'échange. Les opérations Spincaster et Atlantic démontrent que la coordination entre les fournisseurs de renseignement on-chain, les plateformes d'échange et les forces de l'ordre peut geler le produit du crime même après l'événement de vidage. La fenêtre est courte, c'est pourquoi une détection proactive avant le vidage est un résultat nettement meilleur qu'une enquête après le vidage.
