Basic safety and security tips for MetaMask
Nouveau dans le domaine de la crypto et du Web3 ?
Rendez-vous sur MetaMask Learn pour profiter d’une expérience d’apprentissage simple conçue spécifiquement pour les nouveaux arrivants dans le domaine du Web3. Ce module d’apprentissage complètement gratuit est disponible en plusieurs langues et comprend des outils utiles tels que des simulations pour vous aider à vous familiariser avec MetaMask.
Qu'est-ce qu'une phrase secrète de récupération et comment la sauvegarder ?
L'utilisation d'une phrase secrète, ou phrase secrète de récupération, est une norme que la plupart des portefeuilles de crypto-monnaie utilisent. It's generated randomly when you create your MetaMask wallet, and provides access to all the accounts (addresses) within that wallet.
When you first create a wallet, you will be prompted to write down your Secret Recovery Phrase (SRP), or connect your Google or Apple account to MetaMask. While both options have an associated SRP, they function differently in the backend.
If you secure your SRP, and do not connect your Google or Apple account to MetaMask, then MetaMask does not control any of your personal or private data on our servers. Tout est crypté dans votre navigateur et protégé par le biais de votre mot de passe MetaMask. So, if you lose your MetaMask accounts and need to restore them, you can only do that with your SRP. In this case, your SRP is your single point of failure for access to your accounts.
If you connect your Google or Apple account to MetaMask, your SRP is encrypted and sharded across five different nodes. Only your Google or Apple account and password can access and decrypt all five shards. In this case, your Google/Apple account and password are your two points of failure. Because of this, make sure you do not reuse your Google/Apple password for your MetaMask password. The two passwords should be completely unique. We also recommend you still secure your SRP in case you lose your password or Google/Apple account.
Why you need to store your Secret Recovery Phrase
MetaMask is a self-custody wallet. Whoever has access to an SRP has access to all of its accounts. If your device breaks, is lost, stolen, or has data corruption, there is no way for the MetaMask Support team to recover your SRP for you.
Don't share your Secret Recovery Phrase and private keys
Anyone who has your SRP or private keys can control your assets, and therefore send tokens out of your accounts. Ne les partagez jamais avec qui que ce soit, y compris l'équipe de MetaMask ou toute personne prétendant nous représenter.
We will never ask you to provide your SRP. If someone claims that we do, insist on not sharing. If you encounter someone who claims to be a MetaMask or MetaMask Support team member, or asks for your SRP and/or private keys, report them by getting in touch with Support. If anyone else asks for your SRP and/or private keys, assume they are trying to steal all of your assets.
Cela s’applique également aux sites Web et aux applications. The only legitimate situations where you'll need to enter your SRP are:
- Lorsque vous créez votre portefeuille pour la première fois, car vous devez saisir certains mots de la phrase secrète de récupération pour confirmer que vous l’avez bien enregistrée.
- Si vous restaurez votre portefeuille sur un nouvel appareil ou à partir d’une nouvelle installation, ou si vous réinitialisez votre mot de passe (un processus similaire).
Il existe cependant des escrocs qui tentent de simuler ces deux situations. Pour plus d’informations, consultez : Comment reconnaître le vrai MetaMask ?
Si vous possédez une grande quantité de jetons sur votre (vos) compte(s), envisagez d'acquérir un portefeuille physique.
Les portefeuilles physiques sont généralement considérés comme le moyen le plus sûr de stocker vos jetons. Ils sont souvent appelés portefeuilles « froids », car ils sont déconnectés de l'internet la plupart du temps, voire tout le temps. Cette approche signifie que vos clés privées ne sont jamais accessibles à des acteurs malveillants en ligne, le portefeuille physique devant lui-même signer (autoriser) toute transaction.
Don't share your password(s)
You should never share any of your passwords with anyone, but for now, we will focus on your MetaMask password. If you connect your Google or Apple account to MetaMask, your password is required to access your accounts.
MetaMask Support will never ask you to share your password. If someone has access to your password and your Google/Apple account, they can access all of your MetaMask accounts.
If you don't have your Google or Apple account connected to MetaMask, your password functions differently. Having access to your password will not give someone access to your accounts. However, you should still secure your password and practice good password hygiene.
- Use a strong password, with a mixture of uppercase and lowercase letters, numbers, and special characters.
- Use a different password for each account.
- Store your passwords in a secure, offline location. Cloud services and password managers can be hacked, and are not the most secure way to store your passwords.
- NEVER share your password with anyone.
Il n'y a jamais trop de mesures de sécurité. Le guide de base présenté ici n'est en aucun cas exhaustif. Apprenez toujours comment mieux protéger vos jetons, en vous informant auprès de la communauté, dans des documents informatifs ou sur des canaux de discussion.
Additional resources
Voici quelques ressources supplémentaires pour assurer la sécurité de votre ordinateur :
- Windows - Assurez la sécurité de votre ordinateur à la maison
- Mac - Configurez votre Mac pour qu'il soit sécurisé
Que sont les approbations de jetons et pourquoi sont-elles importantes ?
Les approbations de jetons accordent à une dapp l’autorisation d’accéder à un type spécifique de jetons et de transférer un certain nombre de ces jetons hors de votre portefeuille. Si vous ne faites pas attention aux approbations de jetons que vous accordez dans votre portefeuille MetaMask, cela pourrait potentiellement constituer un vecteur d’attaque permettant de vider complètement votre portefeuille.
Pour éviter cela, essayez de suivre ces recommandations :
- Vérifiez toujours ce que demande réellement une dapp avant de cliquer sur « Approuver ». Dans MetaMask, vous pouvez également ajuster le nombre de jetons auquel la dapp peut accéder. En accordant à une dapp l’autorisation d’accéder à seulement 10 % de vos jetons, les conséquences en cas d’arnaque seraient bien moins préjudiciables que si vous lui aviez accordé un accès illimité à vos jetons.
- Faites vos propres recherches. Vous devriez prendre l’habitude d’effectuer une vérification préalable de toute application décentralisée avant d’interagir avec elle. Soyez attentif aux fautes d’orthographe, aux images/logos de mauvaise qualité et à tout autre indice révélateur.
- N’oubliez pas que si quelque chose semble trop beau pour être vrai, c’est probablement le cas. Si l’on vous propose un taux de rendement annuel de 498 563 %, il s’agit probablement d’une arnaque.
Pour plus d’informations sur les approbations de jetons et leur gestion, veuillez consulter cet article.