La Fondation Ethereum a dévoilé aujourd'hui une nouvelle norme « Clear Signing », conçue pour empêcher les utilisateurs d'approuver aveuglément des transactions malveillantes. Cette initiative intervient après des pertes de plusieurs milliards de dollars dues à des attaques de phishing et des vidages de portefeuille exploitant la manière dont la plupart des portefeuilles crypto présentent les données de transaction. La norme oblige les portefeuilles et les dApps à afficher les demandes d'approbation en langage clair, rendant plus difficile pour les attaquants de cacher des actions dangereuses dans du code hexadécimal illisible.
Ce que Clear Signing modifie
Actuellement, lorsqu'un utilisateur approuve un transfert de jeton ou signe une interaction avec un contrat intelligent, il voit souvent un mur de chaînes hexadécimales. La plupart des personnes cliquent simplement sur « confirmer » sans les lire — c'est exactement ce dont les attaques de phishing dépendent. Clear Signing exige que les portefeuilles traduisent ces données en champs lisibles par l'humain : quel jeton, combien, quel contrat, quelles permissions. Elle normalise le format afin que les utilisateurs puissent rapidement déterminer si la demande est légitime ou si elle tente de vider leur portefeuille.
La Fondation indique que la norme est open source et prête à être intégrée. Elle ne modifie pas le fonctionnement d'Ethereum en arrière-plan — elle ne change que ce que l'utilisateur voit avant de signer.
Les attaques de phishing sont l'une des menaces les plus persistantes dans le domaine crypto. Des fausses airdrops, des approbations malveillantes et des schémas d'« ice fishing » ont collectivement vidé des milliards de dollars des portefeuilles individuels et des protocoles DeFi. Ce problème n'est pas nouveau, mais son ampleur ne cesse de croître. Clear Signing vise la cause profonde : l'asymétrie d'information entre ce que l'utilisateur pense approuver et ce que la transaction fait réellement.
Le choix du moment n'est pas fortuit. La Fondation Ethereum est sous pression pour améliorer la sécurité des utilisateurs alors que de plus en plus de fonds provenant des particuliers s'orientent vers les L2 et les chaînes d'applications. Cette norme est l'une des premières sorties concrètes de son groupe de travail en cours sur la sécurité de l'expérience utilisateur.
Obstacles à l'adoption
Une norme n'est utile que si les portefeuilles l'implémentent réellement. Les principaux fournisseurs de portefeuille comme MetaMask, Rabby et Safe devront ajouter un support pour le nouveau format. Les dApps devront mettre à jour leurs charges utiles de demandes de transaction pour se conformer. La Fondation présente Clear Signing comme une mise à jour nécessitant un effort minimal — la majeure partie du travail incombe au côté portefeuille, pas au côté contrat intelligent.
Cela n'est pas obligatoire. Il n'y a aucun mécanisme d'application. Mais la Fondation parie que la demande des utilisateurs poussera les portefeuilles à l'adopter, surtout après des piratages médiatisés qui auraient pu être évités avec des invites de signature plus claires.
La norme est disponible dès maintenant sur la page GitHub de la Fondation Ethereum. Les développeurs peuvent commencer à l'intégrer dès aujourd'hui. Savoir si elle deviendra la norme avant la prochaine vague d'attaques de phishing reste une question ouverte.
