L’essentiel : en 2026, la menace numéro un pour les utilisateurs crypto n’est plus le vol de seed phrase, mais les drainers signature-based. Le principe : tromper l’utilisateur pour qu’il signe une transaction maligne (permit, setApprovalForAll, Seaport order) qui transfère ses tokens. Les drainers exploitent EIP-2612 permit (off-chain), EIP-712 structured data, et EIP-7702 (depuis Pectra). La défense centrale est le clear-signing : afficher sur l’écran du hardware wallet la vraie nature de la transaction signée, pas un hash opaque. Ledger (Nano S Plus, Nano X) supporte le clear-signing pour la plupart des opérations Ethereum mais reste partiel sur les apps tierces. Trezor (Safe 5) a fait des progrès majeurs en 2025-2026 sur le clear-signing étendu. NGRAVE Zero, entièrement air-gapped, est immunisé à la plupart des drainers via signature. Coldcard reste BTC-only mais excellent. Pour un utilisateur 2026, un hardware wallet sans clear-signing actif est devenu insuffisant.
Pourquoi les drainers signature-based dominent en 2026
L’écosystème crypto a connu trois générations d’attaques utilisateurs.
Génération 1 (2013-2018) : vol direct de seed phrase. Phishing classique, faux sites Coinbase, screenshot de seed. La défense était simple : ne jamais entrer sa seed sur un ordinateur, utiliser un hardware wallet. Cette défense a tenu 5-6 ans.
Génération 2 (2018-2022) : vol via approvals on-chain. L’utilisateur signe une transaction approve(spender, MAX) sur un dApp malveillant, qui peut ensuite vider son wallet à volonté. La défense : révoquer régulièrement les approvals (Revoke.cash) et limiter les approvals MAX. C’est encore actif mais marginal en 2026.
Génération 3 (2023-2026) : drainers signature-based. L’utilisateur signe une off-chain message (pas une transaction) qui semble innocente mais qui autorise un transfert via les standards EIP-2612 (permit), EIP-712 (structured), Seaport (NFT). C’est la menace dominante en 2026, parce qu’elle contourne les défenses traditionnelles.
Selon Threesigma, les drainers signature-based ont volé plus de 400 M$ en 2025, et la tendance continue en 2026. La sophistication s’accroît avec EIP-7702 (introduit dans le hard fork Pectra) qui permet aux EOA (externally owned accounts) de se comporter temporairement comme des smart contracts, ouvrant de nouvelles surfaces d’attaque.
Comment fonctionnent les drainers signature-based
Le scénario type d’un drainer en 2026 :
Étape 1 : leurre. L’utilisateur clique sur un faux dApp (annonce Google sponsored, lien Discord, faux site officiel). Le site ressemble parfaitement à Uniswap, Aave, ou autre protocole légitime.
Étape 2 : connexion wallet. L’utilisateur connecte son MetaMask, Phantom ou autre wallet. Cette étape est généralement inoffensive : la connexion ne donne pas de pouvoir.
Étape 3 : demande de signature. Le faux dApp demande à l’utilisateur de signer un « message » pour authentifier l’accès, ou pour valider un swap, ou pour réclamer un airdrop. Le message demandé est techniquement un EIP-2612 permit ou un EIP-712 structured data qui autorise un transfer du token.
Étape 4 : signature aveugle. L’utilisateur, qui voit juste un hash ou un message technique sur son hardware wallet, signe en pensant que c’est juste une authentification.
Étape 5 : drain. L’attaquant récupère la signature et l’utilise on-chain pour exécuter le transfer autorisé. Les tokens partent du wallet de l’utilisateur vers l’attaquant. L’utilisateur ne s’en aperçoit que plus tard, quand il regarde son solde.
Le détail technique critique : la signature est gratuite côté utilisateur (pas de gas) et n’apparaît pas comme une transaction dans son historique wallet. C’est pourquoi les utilisateurs ne soupçonnent rien.
Pour les bases sur les clés privées et les transactions, voyez nos guides Comprendre les clés privées et publiques et Protéger vos cryptomonnaies contre les pirates.
EIP-712 et le clear-signing : la défense principale
La parade contre les drainers signature-based est le clear-signing : afficher sur l’écran du hardware wallet la vraie nature de la transaction signée, dans un format compréhensible par un humain.
EIP-712 est le standard Ethereum qui permet aux dApps d’envoyer des messages structurés (avec types et noms de champs) au lieu de hashes opaques. Quand un wallet supporte EIP-712 correctement, il peut afficher :
- Type d’action : « Approve transfer », « Sign permit », « Place Seaport order ».
- Token concerné : « USDC » au lieu d’une adresse 0x…
- Montant : « 1 000,00 USDC » au lieu d’une valeur hex.
- Destinataire : « To 0xAttaquant… » au lieu de « To 0x…AttDr ».
Avec un clear-signing actif, l’utilisateur voit immédiatement qu’il est en train d’autoriser un transfert de 1 000 USDC à une adresse inconnue, et peut refuser. Sans clear-signing (« blind signing »), l’utilisateur signe à l’aveugle et perd ses fonds.
Le défi technique : tous les dApps ne respectent pas correctement le standard EIP-712, et les hardware wallets doivent maintenir des bibliothèques de descripteurs pour interpréter les messages des protocoles populaires. C’est un travail continu.
Hardware wallets en 2026 : qui supporte quoi ?
Comparatif des principaux hardware wallets sur leur support clear-signing en 2026.
Ledger (Nano S Plus, Nano X, Stax)
Le leader du marché par volume. Le Ledger Nano S Plus (~80 €) et Nano X (~150 €) sont les références grand public. Le Stax (~280 €) ajoute un écran tactile e-ink.
Clear-signing : supporté pour les opérations natives Ethereum (transactions, ERC-20 transfer, swap Ledger Live). Pour les opérations dApps tierces, le clear-signing dépend du plugin Ledger dédié au protocole. Aave, Uniswap, 1inch, OpenSea ont des plugins. Beaucoup d’autres protocoles n’en ont pas.
Risque blind signing : sur les apps tierces sans plugin, le wallet affiche un hash. C’est le risque résiduel principal des Ledger en 2026. Ledger a publié un guide officiel pour désactiver le blind signing par défaut, mais cela bloque l’usage de nombreux dApps légitimes.
Note : le module Ledger Recover (2023) a fait polémique mais reste opt-in. La plupart des utilisateurs ne l’activent pas.
Pour le détail Ledger, voyez notre guide complet Ledger Nano S.
Trezor (Safe 5, Model T)
Trezor Safe 5 (~170 €) est sorti en 2024 avec écran tactile et chip sécurisé EAL6+. Le Model T (~220 €) reste vendu mais plus ancien.
Clear-signing : Trezor a fait des progrès majeurs en 2025-2026 sur le clear-signing étendu. Le Safe 5 affiche correctement la plupart des permits EIP-2612 et messages EIP-712. La couverture des dApps est plus complète que Ledger sur certains protocoles (Curve, Yearn, Convex).
Risque résiduel : Solana et autres L1s non-EVM ont moins de support natif que Ledger. Pour un utilisateur multi-chain (BTC + ETH + SOL), Ledger reste plus polyvalent.
Open source : la firmware Trezor est intégralement open source, ce qui permet aux chercheurs sécurité de l’auditer. C’est un avantage de transparence par rapport à Ledger (firmware partiellement closed-source).
NGRAVE Zero (air-gapped)
NGRAVE Zero (~398 €) est positionné premium avec une architecture fully air-gapped : le device n’a jamais de connexion physique (USB, Bluetooth, NFC). La signature se fait via QR codes scannés entre le wallet et un téléphone connecté.
Clear-signing : excellent. Le large écran tactile affiche les détails des transactions complets. NGRAVE supporte EIP-712 et la plupart des protocoles DeFi avec descripteurs maintenus.
Avantage majeur : l’air-gap élimine la classe d’attaques basées sur des connexions compromises (USB malveillant, BLE intercepté). Pour les drainers signature-based, NGRAVE n’est pas plus protégé qu’un autre HW wallet (la signature reste possible), mais l’écran clair facilite la détection.
Inconvénients : prix élevé, moins de protocoles supportés que Ledger, expérience utilisateur moins fluide pour les power users qui swappent souvent.
Pour un test détaillé, voyez notre test complet NGRAVE Zero.
Coldcard (BTC-only)
Coldcard Mk4 (~150 €) est ultra-spécialisé Bitcoin. Pas de support ETH, Solana, ou autres altcoins. Pour un holder BTC pur, c’est probablement le meilleur choix sécurité du marché.
Clear-signing : excellent pour Bitcoin (PSBT support natif). N’est pas concerné par les drainers signature-based ETH puisque ne signe pas ces messages. Pour les holders Bitcoin maximalistes, c’est un argument décisif.
Limitations : 0 support multi-chain. Si vous détenez de l’ETH, du SOL, du BNB, vous devez utiliser un autre wallet pour ces actifs.
Lattice1 (GridPlus)
Lattice1 (~399 $) est un hardware wallet « stationnaire » avec écran tactile 5 pouces et secure enclave dédiée. Positionné power user et institutionnel.
Clear-signing : très bon, avec affichage détaillé sur le grand écran. Support EIP-712 complet et descripteurs maintenus pour les protocoles majeurs.
Avantage : la SafeCard (carte à puce) permet de séparer la seed du device principal. Approche unique sur le marché.
Inconvénients : prix élevé, moins connu en France, écosystème mobile companion moins riche que Ledger Live.
Le risque blind signing : pourquoi c’est dangereux en 2026
Tous les hardware wallets permettent encore le blind signing dans certains cas : signature d’un hash sans interprétation détaillée. C’est nécessaire pour interagir avec les dApps qui n’ont pas de descripteurs maintenus, mais c’est aussi la porte d’entrée principale des drainers signature-based.
Le compromis pour un utilisateur retail :
Si vous désactivez le blind signing : vous ne pouvez plus utiliser certains dApps DeFi (notamment les protocoles peu populaires ou récents). C’est restrictif mais sécurisé.
Si vous laissez le blind signing actif : vous pouvez interagir avec tous les dApps, mais vous devez vérifier manuellement chaque message avant signature. C’est plus permissif mais expose au risque drainer.
La meilleure pratique : garder le blind signing désactivé par défaut, l’activer ponctuellement uniquement quand vous savez ce que vous signez et auprès de protocoles vérifiés.
Que retenir : checklist 2026
Sept points à intégrer dans votre routine sécurité hardware wallet en 2026.
Vérifier le support EIP-712 et le clear-signing étendu. Si votre HW wallet n’affiche pas les détails complets de chaque signature, vous êtes dans la zone de risque drainer.
Désactiver le blind signing par défaut. Activer uniquement quand vous interagissez avec un protocole vérifié et que vous comprenez la transaction.
Maintenir le firmware à jour. Les mises à jour ajoutent régulièrement de nouveaux descripteurs et corrigent les failles. Faire les mises à jour dans les 30 jours après leur publication.
Utiliser des bookmarks pour les dApps fréquents. Les drainers passent souvent par des annonces Google sponsored qui imitent les vrais dApps. Bookmarks fiables → moins de risque.
Révoquer les approvals régulièrement. Revoke.cash, Etherscan token approvals, ou outils intégrés (Rabby, MetaMask). Audit trimestriel minimum.
Limiter les balances sur les wallets « hot ». Les fonds sur lesquels vous tradez activement doivent rester sur les wallets « hot » avec hardware wallet. Les fonds long terme (>3 mois) doivent être sur un wallet séparé, peu utilisé, idéalement air-gapped.
Multisig pour les gros patrimoines. Au-delà de 100 K€ en crypto, envisager un multisig 2-sur-3 ou 3-sur-5 (Gnosis Safe, Squads, Coldcard with Sparrow). La compromission d’un seul HW wallet ne suffit plus à drainer.
Pour les bases sur la sécurité crypto, voyez aussi nos guides 6 conseils pour sécuriser ses actifs, Utiliser son hardware wallet en toute sécurité et Se protéger des différents types de hack.
Mon Ledger est-il vulnérable aux drainers signature-based ?
Oui, dans certaines conditions. Si vous laissez le blind signing activé et signez des messages EIP-712 sans vérifier leur contenu, oui. Si vous gardez le blind signing désactivé et utilisez uniquement des plugins Ledger officiels (Aave, Uniswap, 1inch, OpenSea), le risque est très réduit. La défense la plus simple : désactiver le blind signing dans Settings → Apps → Ethereum → Blind signing → Off. Le coût : certains dApps moins populaires ne fonctionneront plus.
NGRAVE Zero est-il vraiment immunisé aux drainers ?
Pas complètement. NGRAVE Zero est immunisé aux attaques basées sur compromission de connexion (USB malveillant, BLE intercepté) grâce à son air-gap. Mais pour les drainers signature-based, vous devez toujours vérifier sur l’écran NGRAVE le contenu de la transaction avant de scanner le QR code. Si vous signez à l’aveugle un permit malveillant, vos tokens partent. L’avantage : l’écran NGRAVE est large et bien lisible, ce qui facilite la vérification. La défense reste humaine : vérifier ce qu’on signe.
Trezor est-il open source contrairement à Ledger ?
Oui, partiellement. Le firmware Trezor est intégralement open source, ce qui permet aux chercheurs sécurité de l’auditer indépendamment. Le firmware Ledger est partiellement closed-source : le secure element (chip dédié) est propriétaire pour des raisons de certification industrielle. Cette différence n’a pas d’impact concret sur la sécurité d’usage normale (les deux ont leurs preuves), mais elle compte pour les utilisateurs qui privilégient la transparence totale.
Quel hardware wallet pour un débutant français en 2026 ?
Pour un débutant retail français, le Ledger Nano S Plus (~80 €) reste le meilleur compromis prix-fonctionnalités-écosystème. Ledger Live est traduit en français, le support utilisateur est solide, et la communauté FR est large. Alternatives : Trezor Safe 5 si vous préférez l’open source (~170 €), NGRAVE Zero si budget premium (~398 €), Coldcard si vous êtes Bitcoin-only (~150 €). Tous ces choix sont défensifs pour un patrimoine 1-50 K€. Au-delà, multisig recommandé.
Faut-il toujours désactiver le blind signing ?
Idéalement oui, par défaut. Activer uniquement temporairement pour des transactions spécifiques sur des protocoles vérifiés. La règle pratique : si vous ne pouvez pas lire et comprendre la transaction sur l’écran de votre wallet, ne signez pas. Mieux vaut perdre l’accès à un dApp pendant 5 minutes que perdre vos fonds en 5 secondes. Cette discipline élimine probablement 95 % des risques drainer pour un utilisateur retail.
EIP-7702 introduit en 2025 est-il un nouveau risque ?
Oui, structurellement. EIP-7702 (introduit avec le hard fork Pectra) permet aux Externally Owned Accounts (EOAs, comme votre wallet utilisateur) de se comporter temporairement comme des smart contracts. C’est utile pour des features comme batch transactions ou paiement de gas en stablecoins. Mais c’est aussi une nouvelle surface d’attaque : un drainer peut faire signer une délégation EIP-7702 qui transforme votre wallet en proxy d’attaquant. Les hardware wallets doivent ajouter des descripteurs spécifiques EIP-7702. C’est en cours sur Ledger et Trezor en 2026.
La sécurité hardware wallet est devenue dynamique
Le hardware wallet n’est plus un produit qu’on achète une fois et qu’on oublie. En 2026, c’est un système de défense qui doit être maintenu à jour : firmware, descripteurs de protocoles, settings de signing, audit régulier des approvals. La menace évolue (drainers signature-based, EIP-7702, AI-powered phishing), et la défense doit suivre.
Pour un investisseur retail français, deux conclusions pratiques. Un, l’achat d’un hardware wallet n’est qu’un point de départ. Le travail continu est l’apprentissage du clear-signing, la gestion des approvals, et la discipline de signature consciente. Sans cette discipline, même le meilleur wallet est inefficace contre les drainers modernes. Deux, le multisig devient la norme pour les gros patrimoines. Au-delà de 100 K€, un seul hardware wallet est statistiquement insuffisant. Une compromission opérationnelle (malware, phishing sophistiqué, vol physique) suffit à drainer. Le multisig ajoute une couche de défense exponentielle.
Pour aller plus loin, voyez nos articles dédiés sur le hack Step Finance et le hack IoTeX qui illustrent l’importance de l’OpSec, Comprendre les clés privées pour les fondamentaux, et nos tests détaillés Ledger Nano S et NGRAVE Zero.
