Le 12 mai 2026, un groupe de travail réunissant développeurs de wallets, cabinets de sécurité et l’Ethereum Foundation a lancé un standard ouvert pour mettre fin au blind signing, une faille structurelle qui a contribué à des pertes de plusieurs milliards pour les utilisateurs, dont le hack Bybit. Le moment est bien choisi : en 2025, plus de 3,4 milliards de dollars ont été dérobés en crypto, dont 1,5 milliard dans la seule attaque contre Bybit en février. Comprendre la différence entre clear signing et blind signing, c’est comprendre pourquoi votre hardware wallet ne suffit pas toujours à vous protéger.

Au programme

  • Le blind signing a permis le plus grand hack crypto de l’histoire : 401 347 ETH dérobés à Bybit en février 2025 via une interface Safe compromise (NCC Group, 2025)
  • L’Ethereum Foundation a lancé le standard Clear Signing le 12 mai 2026, basé sur ERC-7730 et ERC-8176, avec Ledger, Trezor et MetaMask engagés
  • Activer le clear signing sur votre wallet réduit concrètement le risque de signer une transaction malveillante sans le savoir
Blind signing vs Clear signing : ce que voit l'utilisateur Comparaison entre blind signing (chaîne hexadécimale illisible) et clear signing (description lisible : montant, destinataire, action) sur un écran de wallet Ethereum. Blind signing vs Clear signing BLIND SIGNING Ce que voit le signataire : 0xa9059cbb0000000000000000 00000000047666fab8bd0ac7 003bce3f5c35853890948... Aucune info lisible Confiance aveugle dans l'UI ERC-7730 CLEAR SIGNING Ce que voit le signataire : Envoyer 1,2 ETH A : 0x1a2b...9f3c (Uniswap V3) Frais max : 0,002 ETH Description verifiee Attestation ERC-8176 Source : Ethereum Foundation, clearsigning.org, mai 2026

Qu’est-ce que le blind signing et pourquoi est-il dangereux ?

Le blind signing est un processus par lequel les utilisateurs approuvent des données hexadécimales opaques sans vérifier les détails complets de la transaction, comme le destinataire ou le montant exact. Ce processus est responsable de milliards de dollars de pertes à cause d’attaques de phishing, de dApps malveillantes et d’exploits d’approbation.

Concrètement, chaque interaction avec un smart contract génère une chaîne de données brutes. À chaque fois que vous interagissez avec un smart contract depuis MetaMask, Ledger ou un autre wallet, l’appareil affiche une chaîne hexadécimale brute que presque personne ne peut lire. Vous pouvez voir que quelque chose se passe, mais pas quoi. Les attaquants exploitent précisément cet écart : une fausse interface masque une transaction qui fait quelque chose d’entièrement différent de ce qu’elle semble faire.

Ce n’est pas un risque théorique. Selon CertiK, les pertes totales en crypto en janvier 2026 ont atteint environ 370 millions de dollars - le total mensuel le plus élevé depuis 11 mois. Pire encore : les seules arnaques de phishing ont représenté 311,3 millions de dollars, soit près de 84 % de toutes les pertes.

Comment le hack Bybit a exposé la vulnérabilité du blind signing

Le 21 février 2025, le plus grand vol de l’histoire de la crypto s’est joué en quelques minutes. Pas à cause d’un bug dans le code Ethereum. Pas à cause d’une faille dans les smart contracts de Safe. À cause du blind signing.

Bybit a subi le plus grand vol de cryptomonnaies jamais enregistré, avec plus de 1,4 milliard de dollars d’actifs, dont 401 347 ETH, siphonnés de son cold wallet. L’attaque a compromis le processus d’approbation des transactions en altérant ce que les signataires de Bybit voyaient lors de l’approbation d’une transaction de cold wallet, les amenant à autoriser sans le savoir une transaction qui a entraîné une perte de fonds. Pour réaliser cette attaque, les attaquants ont ciblé Safe{Wallet}, une solution de portefeuille multi-signatures largement utilisée qui nécessitait plusieurs approbations avant d’exécuter une transaction.

Bien que l’interface de signature semble légitime, elle avait été modifiée subrepticement via du JavaScript malveillant injecté dans les ressources servies depuis le bucket AWS S3 de Safe{Wallet} 2 jours avant l’exécution de l’attaque.

« Contrairement à ce que l’on pourrait penser, les signataires de Bybit ont signé en aveugle des messages sans vérifier soigneusement leur contenu, faisant confiance à ce qu’affichait l’application Safe Web3. »

  • NCC Group, mars 2025

C’est le paradoxe central du blind signing : les attaques exploitent un écart fondamental dans le processus multisig - la déconnexion entre l’interface de signature et l’action de signature réelle. Le problème central est que les signataires ne vérifient pas ce qu’ils signent : ils vérifient seulement qu’ils signent.

Qu’est-ce que le clear signing et comment fonctionne-t-il ?

Le nouveau système permettrait aux wallets d’afficher des messages plus clairs, comme les actifs qui bougent, qui les reçoit et quelles autorisations sont accordées avant que les utilisateurs appuient sur “approuver”.

Techniquement, le clear signing repose sur 2 standards complémentaires. La colonne vertébrale technique du déploiement du Clear Signing Ethereum vient de deux standards : ERC-7730 et ERC-8176. ERC-7730 définit un format JSON pour des descriptions structurées et lisibles par l’humain des smart contracts. En pratique, cela signifie transformer des données d’appel de contrat complexes en informations de transaction que les wallets peuvent afficher d’une manière que les gens peuvent réellement lire.

ERC-8176 traite un problème différent mais lié. C’est un cadre d’attestation pour vérifier les descripteurs de transactions, donnant aux auditeurs et aux utilisateurs un moyen de vérifier si ces descriptions sont fiables.

Le système s’appuie sur un registre public décentralisé. Les descripteurs eux-mêmes vivent hors chaîne dans un registre neutre sur clearsigning.org, ce qui signifie que les contrats existants peuvent adopter le standard sans nécessiter de redéploiement.

Ledger a lancé le clear signing comme projet de sécurité interne en 2021, l’a formalisé en tant qu’ERC-7730 en 2024, et a transféré la gouvernance à la Fondation plus tôt cette année pour rendre le standard crédiblement neutre. C’est un mouvement stratégique : un standard propriétaire aurait peu de chances d’adoption universelle. Un standard ouvert, supervisé par l’Ethereum Foundation, change la donne.

Quels wallets supportent déjà le clear signing ?

Les contributeurs incluent Ledger, Trezor, MetaMask, WalletConnect, Fireblocks, Keycard, Argot, la firme de sécurité Cyfrin, le projet de vérification de code Sourcify, les fournisseurs d’infrastructure ZK ZKnox et Zama, et des développeurs indépendants.

Le niveau d’implémentation varie selon les acteurs. Ledger Wallet, Ledger Enterprise Multisig et Ledger Direct Access dans les dApps implémentent déjà le Clear Signing aujourd’hui. L’implémentation combine le standard ouvert avec le Secure Element certifié et l’Écran de Confiance de Ledger : la transaction lisible par l’humain est affichée sur un écran qu’un attaquant ne peut pas altérer, sur un appareil dont la sécurité est continuellement auditée.

Trezor va plus loin que le support général. La société prévoit d’implémenter le Clear Signing d’ici le 30 juin 2026.

Timeline du déploiement Clear Signing Ethereum (2021-2026) Chronologie du standard Clear Signing : naissance chez Ledger en 2021, formalisation ERC-7730 en 2024, transfert à l'Ethereum Foundation en 2026, implémentation Trezor prévue fin Q2 2026. Chronologie du Clear Signing Ethereum 2021 Ledger lance clear signing en interne Fev. 2025 Hack Bybit 1,5 Md$ voles via blind signing Avr. 2026 ERC-7730 V2 + transfert EF 12 mai 2026 Lancement standard ouvert ERC-7730+8176 Fin Q2 2026 Trezor : full readable signing Sources : Ledger Blog, Ethereum Foundation, mai 2026

Comment activer le clear signing sur votre wallet ?

La procédure varie selon l’appareil, mais la logique reste la même : s’assurer que votre wallet dispose du firmware le plus récent et que le clear signing est activé dans les paramètres de sécurité.

Sur Ledger, le clear signing est déjà opérationnel sur les interactions compatibles. Mettez à jour Ledger Live vers la dernière version (disponible sur ledger.com), puis vérifiez que le firmware de votre appareil est à jour via Paramètres > Mon appareil > Mise à jour du firmware.

Sur MetaMask, surveillez les mises à jour Q2 2026 qui intégreront les descriptions ERC-7730 pour les contrats référencés dans le registre de clearsigning.org.

Sur Trezor, l’implémentation complète est attendue avant le 30 juin 2026. « Ce qui rend ERC-7730 particulièrement significatif, c’est que c’est un standard ouvert, pas une technologie propriétaire. La vraie sécurité nécessite transparence et vérification communautaire », a souligné le CTO de Trezor, Tomáš Sušánka.

Quelques règles complémentaires à appliquer dès maintenant, en attendant un déploiement universel :

  • Révoquer les approbations inutilisées depuis plus de 30 jours via Revoke.cash ou l’Etherscan Token Approval Checker
  • Ne jamais valider une transaction dont la description semble incomplète ou illisible sur votre hardware wallet
  • Se méfier des approbations illimitées (setApprovalForAll, Permit2) : un protocole légitime en a rarement besoin
  • Effectuer un test avec un petit montant avant toute transaction importante vers une nouvelle adresse

Pour aller plus loin sur la sécurisation de vos actifs, consultez notre guide complet sur les hardware wallets et la self-custody ainsi que notre comparatif des meilleurs wallets Ethereum.

Quelles sont les limites du clear signing ?

Le standard n’est pas une défense complète, mais il relève la barre pour l’ingénierie sociale et la tromperie contractuelle. Il s’associe aux protections existantes des wallets, donnant aux utilisateurs plus de contexte avant de signer.

3 limites concrètes à garder en tête :

  1. Dépendance au registre : un contrat non référencé dans le registre clearsigning.org ne bénéficiera pas de description lisible. Les protocoles DeFi récents ou obscurs restent exposés le temps que leurs descripteurs soient soumis et attestés.
  2. Confiance dans les descripteurs : leur exactitude est vérifiée par des revues et attestations indépendantes, et les wallets décident de quelles sources ils font confiance. Ces descripteurs sont fournis en accompagnement de la transaction, pas directement intégrés à elle. Un descripteur frauduleux, s’il passait la vérification, resterait dangereux.
  3. Attaques hors périmètre : au Q2 2025, les attaques d’ingénierie sociale comme le phishing représentaient près de la moitié de toutes les pertes par valeur, tandis que les véritables vulnérabilités de code ne représentaient que moins de 30 %. Le clear signing protège le moment de la signature, pas les étapes antérieures (phishing d’accès, compromission de device, seed phrase volée).

Lecture CryptoActu Le hack Bybit illustre une vérité dérangeante : un cold wallet multisig n’est pas infaillible si l’interface de signature peut être compromise. Le clear signing s’attaque précisément à ce maillon faible, en imposant que ce que vous voyez corresponde à ce que vous signez. Reste que l’adoption dépend des wallets et des protocoles : un standard sans implémentation large n’est qu’une promesse. La vraie mesure du succès sera visible d’ici fin 2026, quand Trezor et MetaMask auront déployé leurs mises à jour.

Et pour la France ?

Les utilisateurs français actifs sur Ethereum via des PSAN agréés (Coinhouse, Ledger Enterprise, Paymium) sont directement concernés. Ledger Wallet et Ledger Enterprise Multisig implémentent déjà le Clear Signing aujourd’hui , ce qui bénéficie aux clients professionnels et retail utilisant des appareils Ledger en France. Du côté réglementaire, le cadre MiCA impose aux CASP européens des exigences de sécurité opérationnelle qui rendent l’adoption du clear signing cohérente avec les obligations de protection des actifs clients. L’AMF n’a pas encore publié de recommandation formelle sur ERC-7730, mais la tendance pousse vers une standardisation des pratiques de signature dans les environnements institutionnels.

Questions fréquentes

Qu’est-ce que le blind signing en crypto ?

Le blind signing, c’est le fait d’approuver une transaction en confirmant un hash cryptographique (une longue chaîne de caractères abstraite) sans pouvoir lire les détails complets de la transaction : adresse du destinataire, montant, réseau, et toute fonction de smart contract en cours d’exécution. C’est la cause principale du hack Bybit de 1,5 milliard de dollars en février 2025. Notre guide sur la sécurité des wallets crypto détaille les bonnes pratiques complémentaires.

Qu’est-ce que le clear signing Ethereum et comment ça marche ?

L’Ethereum Foundation et les principaux développeurs de wallets ont lancé le “Clear Signing”, un nouveau standard conçu pour empêcher les utilisateurs d’approuver à leur insu des transactions crypto malveillantes en remplaçant du code confus par des explications lisibles par l’humain. Il repose sur ERC-7730 (format de description JSON des transactions) et ERC-8176 (attestation par des auditeurs indépendants), déployé officiellement le 12 mai 2026.

Mon hardware wallet Ledger ou Trezor me protège-t-il du blind signing ?

Pas automatiquement. Les hardware wallets protègent vos clés privées contre le vol, elles ne quittent jamais l’appareil. Mais les hardware wallets ne peuvent pas vous empêcher de signer des transactions malveillantes. Si un site de phishing vous convainc d’approuver un smart contract malveillant, votre hardware wallet signera dûment cette approbation.

Ledger implémente déjà le Clear Signing aujourd’hui ; Trezor prévoit une implémentation complète avant fin juin 2026.

Comment révoquer des approbations dangereuses sur Ethereum ?

Utilisez Revoke.cash ou l’Etherscan Token Approval Checker pour identifier et révoquer les autorisations accordées à des contrats que vous n’utilisez plus. Révoquez toute approbation inactive depuis plus de 30 jours, et méfiez-vous particulièrement des approbations illimitées (approve avec MAX_UINT256). Consultez aussi notre guide sur la sécurité DeFi et les approbations de tokens.

ERC-7730 protège-t-il aussi les transactions sur les Layer 2 Ethereum ?

La version ERC-7730 V2, publiée en avril 2026, a étendu la couverture aux cas d’usage cross-chain, aux software wallets et aux primitives de tokens confidentiels. La couverture sur les Layer 2 (Arbitrum, Optimism, Base) dépend toutefois de la soumission par chaque protocole de ses descripteurs dans le registre public, et reste en cours de déploiement progressif.

À retenir

Le blind signing est la faille humaine que les attaquants préfèrent exploiter : plus rentable qu’un bug de smart contract, plus facile à déclencher qu’une compromission de clé privée. Le standard Clear Signing lancé le 12 mai 2026 est la réponse structurelle la plus sérieuse à ce risque. Surveillez les mises à jour firmware de votre wallet d’ici fin juin 2026, et activez le clear signing dès qu’il est disponible.

Sources

Nous ajouter à vos sources préférées sur Google