Le 12 mai 2026, Ethereum a activé le Clear Signing, un standard qui remplace les chaînes hexadécimales illisibles dans les demandes de signature par du texte en langage naturel. Ledger, Trezor et MetaMask l’ont intégré dès le premier jour. Concrètement, les utilisateurs peuvent pour la première fois comprendre ce qu’ils autorisent avant de signer.
Ce n’est pas un détail technique mineur. Selon les données de Scam Sniffer, les arnaques de phishing ciblant les signatures numériques ont dérobé 6,27 millions de dollars à 4 741 victimes au premier trimestre 2026, soit une hausse de 207% par rapport au trimestre précédent. Le dénominateur commun: des utilisateurs signant des transactions qu’ils ne pouvaient pas lire. Le Clear Signing s’attaque précisément à ce problème.
Avant et après le Clear Signing
Chiffres clés
- Arnaques crypto via signature numérique T1 2026: 6,27 millions de dollars (source: Scam Sniffer)
- Victimes de phishing par signature T1 2026: 4 741 utilisateurs
- Augmentation par rapport au T4 2025: +207%
- Wallets déjà intégrés avec le Clear Signing: Ledger, Trezor, MetaMask
Avant le Clear Signing, une demande de signature sur un hardware wallet comme Ledger affichait une chaîne hexadécimale du type 0x095ea7b3000000.... Pratiquement aucun utilisateur ordinaire ne sait lire ce code. Les opérations de phishing le savaient parfaitement: elles présentaient une transaction d’apparence anodine dans l’interface web, sachant que le wallet n’afficherait qu’un code hexadécimal illisible, et l’utilisateur signerait sans comprendre ce qu’il autorisait. Il s’agissait souvent d’approbations illimitées sur des contrats malveillants, permettant aux attaquants de vider le portefeuille ultérieurement.
Avec le Clear Signing, le même wallet affiche désormais: «Approuver la dépense USDC: illimitée, vers le contrat 0x1a2b...» avec le nom vérifié du protocole et le montant en clair. Pour ceux qui suivent la sécurité des wallets crypto depuis des années, cette seule modification réduit de manière significative le risque des approbations aveugles. Elle ne l’élimine pas: les arnaques s’adaptent. Mais le coût d’une attaque contre un utilisateur attentif augmente sensiblement.
Un compte lié à l’Ethereum Foundation avait anticipé le standard sur X: voir les publications récentes @ethereum sur le Clear Signing.
Ethereal news weekly #24
, Ethereal news (@EtherealnewsHQ) May 22, 2026
🎟 @EFDevcon Devcon 8 early bird tickets
🧑💻 @ApeFramework ApeWorX collective: nonprofit for Python dev tooling
🧪 @ethPandaOps glamsterdam-devnet-4 launchedhttps://t.co/O0HUJ8dGKu
Répartition des arnaques crypto par vecteur d’attaque au T1 2026
Concrètement, répartition des arnaques crypto par vecteur d’attaque, T1 2026 (% estimé)
Source: Scam Sniffer, Chainalysis, analyse SpazioCrypto, mai 2026
Répartition des arnaques crypto par vecteur d’attaque, T1 2026 (% estimé)
Source: Scam Sniffer · Chainalysis · Analyse SpazioCrypto · Mai 2026
Le graphique explique pourquoi le Clear Signing constitue la réponse prioritaire. Selon les données de Scam Sniffer et Chainalysis, la «signature aveugle et le phishing de signature» représentent environ 38% des arnaques documentées au T1 2026. Ce n’est pas le vecteur le plus sophistiqué, mais c’est le plus rentable pour les attaquants: un seul site clone avec un contrat malveillant peut toucher des milliers d’utilisateurs sans qu’aucun ne comprenne ce qu’il a approuvé. Le wallet poisoning (insertion d’adresses similaires dans l’historique des transactions) occupe la deuxième place.
Le Clear Signing résout-il vraiment le problème de la signature aveugle?
Pas entièrement. Trois limites concrètes subsistent même avec le Clear Signing actif. Première: le standard fonctionne uniquement si la dApp utilisée a correctement implémenté les métadonnées nécessaires pour que le wallet interprète la transaction en langage clair. Les dApps moins soignées, ou développées rapidement, peuvent encore afficher des données incomplètes. Deuxième: il ne protège pas contre l’ingénierie sociale avancée, où l’utilisateur est convaincu d’utiliser une application légitime même quand le wallet affiche correctement la transaction. Troisième: l’Ethereum Foundation a publié les spécifications techniques du standard, mais l’adoption par les protocoles DeFi demande du temps et des mises à jour du code.
Pour quiconque suit les bonnes pratiques de sécurité des wallets, le principe de base reste inchangé: ne jamais signer une transaction que l’on ne comprend pas, quelle que soit l’apparence de l’interface. Le Clear Signing facilite la compréhension de ce que l’on signe. Il ne remplace pas le jugement.
Le cas le plus commenté ces dernières semaines est celui documenté par l’enquêteur on-chain ZachXBT: G. Love a perdu 5,92 BTC (environ 420 000 dollars) le 11 avril 2026 en téléchargeant une fausse copie de Ledger Live depuis le Mac App Store. Les fonds ont été tracés vers KuCoin. Le Clear Signing n’aurait rien changé: le vecteur d’attaque était l’application elle-même, non une signature illisible. Pour les utilisateurs de wallets hardware, la règle ne change pas: téléchargez le logiciel uniquement depuis le site officiel du fabricant, jamais depuis un store ou un lien tiers.
Ledger a subi deux violations de données en 2025 et 2026 (avril 2025 et janvier 2026, cette dernière via le processeur de paiement Global-e), avec les noms et coordonnées d’environ un million de clients exposés. Ces données alimentent des campagnes de phishing personnalisé que le Clear Signing ne peut pas intercepter. Si vous recevez un email avec votre nom, votre adresse et un message semblant provenir de Ledger, votre seule défense est votre vigilance, pas votre wallet. SpazioCrypto surveille les alertes de menaces actives de PeckShield et CertiK pour le secteur de la sécurité crypto. Le Clear Signing représente une avancée réelle, attendue depuis des années. La prochaine étape sera la standardisation des approbations limitées par montant, une fonctionnalité encore absente de la plupart des interfaces DeFi. Signer une «approbation illimitée» en 2026 reste une prise de risque personnelle, même avec le Clear Signing activé.
