Cryptos décryptées #7: sécurité
"Cryptos décryptées" est un recueil de notes personnelles sur les cryptomonnaies, en français.
Parties précédentes: 1 2 3 4 5 6
Sécurité
L'avantage d'une monnaie décentralisée: vous êtes le seul à contrôler votre propre argent.
Le désavantage d'une monnaie décentralisée: vous êtes le seul à contrôler votre propre argent.
Robespierre et Spiderman étaient du même avis: "une grande responsabilité est la suite inséparable d’un grand pouvoir". Les cryptomonnaies vous offrent une liberté économique totale. Personne ne vous dira comment dépenser votre argent, et personne ne vous retiendra la main si vous le jetez au feu.
C'est pourquoi il convient d'être prudent.
Quel niveau de sécurité ?
La sécurité n'est pas un absolu. Quelque soit nos précautions, nous sommes toujours exposés à un certain niveau de risque. Si vos clés privées sont conservées dans un coffre-fort, planqué en haut d'une tour, gardée par des lasers, ça n'empêche pas pour autant une météorite de vous tomber dessus. Sans aller jusque là, disons que la sécurité doit être équilibrée avec les besoins de chacun en terme de facilité d'accès.
Il est également difficile de donner des recommandations universelles. Chacun a son niveau de compétence individuel et son environnement de vie particulier.
Par exemple, beaucoup de vétérans des cryptomonnaies encouragent les nouveaux venus à générer une clé privée sur un ordinateur hors ligne, puis copier la clé sur papier ou l'encrypter avec un algorithme d'encryption dédié. Si je recevais un bitcoin chaque fois que je lis le témoignage d'un malheureux dont la femme de ménage a jeté son papier à la poubelle ou qui a perdu sa clé d'encryption... J'aurais environ 12 bitcoins.
Bref, ça arrive plus souvent qu'on le croirait. Le profil d'un passionné d'informatique n'est pas le même que celui d'une personne qui n'utilise son ordinateur que pour Facebook. Les pratiques doivent s'adapter en conséquence. Comme il n'existe pas de sécurité absolue de toute façon, il vaut mieux une sécurité réaliste.
Quelques principes de base
Ces conseils peuvent être superflus, mais soyons sûrs d'être sur la même page.
n'ouvrez jamais un email d'un destinateur inconnu. Même si le destinateur semble connu, restez prudents avant de télécharger un fichier. En effet, il est possible de remplacer l'adresse de provenance par une autre.
ne vous connectez pas sur des points de wifi ouverts et publics. N'importe quel pirate aux aguets peut surveiller votre activité sur ce réseau.
vérifiez que les sites où vous entrez des données confidentielles sont bien en https (indiqué par un cadenas vert). En simple http, vos données peuvent être interceptées.
n'utilisez pas de clé usb ou disque dur externe de provenance inconnue. Un virus pourrait se trouver dedans et se propager sur votre ordinateur.
assurez-vous d'être sur le bon site avant d'entrer toute donnée confidentielle. Vérifiez l'adresse (url), si possible tapez-la à la main ou mettez-la en marque-page.
Installez un bloqueur de pub, ou le cas échéant ne faites aucune confiance aux résultats d'une recherche Google. De nombreux pirates utilisent le système AdSense de Google pour promouvoir leurs faux sites avec une adresse ressemblante aux vrais. Les ingénieurs de Google étant trop occupés à compter leurs milliards pour engager deux ou trois internes pour faire des contrôles de sécurité en amont, ces publicités malveillantes restent souvent plusieurs jours sur le moteur de recherche.
Conseils sur les places d'échange
Jamais un membre du service client d'une place d'échange ne vous demandera votre mot de passe.
Jamais un membre du service client d'une place d'échange ne vous demandera d'installer un logiciel particulier, ou de visiter un site différent.
Utilisez l'authentification double facteur (2FA) sur chaque place d'échange. 2FA multiplie votre protection, car si un pirate récupère votre mot de passe, il n'a pas pour autant le code unique que générera votre téléphone; et si un voleur vous dérobe votre téléphone, il n'aura pas pour autant votre mot de passe.
(Il vaut mieux ne pas enregistrer votre mot de passe sur votre téléphone... Sinon, ça diminue l'intérêt de la procédure.)
Utilisez si possible le 2FA de Google, Google Authenticator. C'est l'application qui est considérée la plus sûre, les autres formes de 2FA étant vulnérables à certaines attaques de type "je téléphone à l'opérateur téléphonique, je me fais passer pour monsieur Michu, et je demande qu'on bascule les SMS de monsieur Michu vers un numéro que je contrôle".
Lorsque vous activez le 2FA sur une place d'échange, on vous donnera une clé alphanumérique de 16 caractères. Notez cette clé soigneusement. Elle vous permettra de passer outre la protection 2FA, si vous perdez votre téléphone.
(Vous le comprendrez, ne gardez pas cette clé sur votre téléphone !)
Conseils sur les cryptomonnaies
Ne donnez jamais votre clé privée à quiconque.
On répète pour la forme.
Ne donnez JAMAIS votre clé privée à quiconque.
Votre clé privée ne devrait être utilisée qu'à travers des services sécurisés, par exemple un portefeuille dédié recommandé par la communauté que vous avez téléchargé depuis le site officiel. Il existe également des méthodes pour accéder à vos fonds sans exposer votre clé privée, par exemple sur Ethereum avec un fichier JSON associé à un mot de passe.
L'univers des cryptomonnaies consiste en 1% de projets sérieux, 20% de bêtises dignes de la bulle Internet des années 90, et 3482% de gens qui essaient de vous pomper votre clé privée. Faites preuve de la plus grande des prudences. Si quelqu'un vous vole votre clé privée, personne ne peut l'empêcher de transférer tout ce qu'il y a vers sa propre adresse. Personne ne peut annuler ces transactions.
Parmi les arnaques qui sont en vogue ce moment, parlons des forks et des airdrops.
1) Forks
Un fork n'est pas malveillant à la base. C'est simplement un terme pour décrire une séparation d'un projet, avec deux fourches de la chaîne au lieu d'un.
Il existe deux forks majeurs:
Ethereum Classic
Suite à un hack massif d'un contrat contenant une proportion importante des éthers en circulation sur le réseau Ethereum, il a été décidé en juillet 2016 de forker la chaîne pour annuler ce hack et rembourser les investisseurs.
Techniquement, c'est la chaîne Ethereum qui est un fork, tandis qu'Ethereum Classic représentait la simple continuation de la chaîne originelle. Néanmoins, la grande majorité des développeurs ainsi que la plupart des mineurs a suivi la branche qui remboursait les investisseurs, qui par convention a gardé le nom d'Ethereum.Bitcoin Cash
La communauté Bitcoin débat depuis longtemps de la meilleure manière d'améliorer la capacité du réseau. On peut diviser la communauté en deux groupes: certains veulent que Bitcoin soit un investissement à long terme, d'autres veulent qu'il soit un moyen de transaction rapide dès maintenant.
(C'est une définition approximative qui vous attirera les foudres d'un camp comme de l'autre.)
Le 1ier août 2017, les partisans de Bitcoin en tant que moyen de transaction rapide ont forké la chaîne, et Bitcoin Cash est né. La chaîne Bitcoin originelle a conservé une majorité des mineurs et des développeurs.
Ces deux forks sont relativement légitimes, au moins dans le sens où ils proposent une vision alternative de la chaîne dont ils divergent.
Pour le reste, à l'heure actuelle, tous les forks qui ne sont pas Ethereum Classic ou Bitcoin Cash sont dans le meilleur cas des opportunistes et dans le pire des cas des magouilleurs qui veulent dérober vos clés privées.
Bitcoin Gold, Bitcoin Diamond, Ethereum Fog, Ethereum Blue, Ethereum Bitcoin Rose Bonbon Avec Des Pois Mauves, ce ne sont que des stupidités. Ces forks n'ont aucune valeur réelle et reposent sur l'ignorance des investisseurs.
Si on vous dit que tel ou tel fork arrive, bouchez-vous les oreilles. Ca n'a aucune incidence sur la valeur intrinsèque de vos bitcoins ou éthers. Au mieux, leur valuation montera grâce à ceux qui en achèteront plus pour ces forks inutiles. Au pire, vous ne perdrez rien.
2) Airdrops
Là aussi, les airdrops ne sont pas censés être une arnaque. Un "airdrop", qu'on pourrait traduire par parachutage, consiste simplement à donner un certain nombre de jetons d'un nouveau projet aux possesseurs d'une cryptomonnaie existante. C'est une manière de se faire de la pub à peu de frais, ou de garantir une certaine universalité de la distribution.
Un airdrop peut s'effectuer en toute simplicité avec les adresses publiques des bénéficiaires. Il n'y a donc aucune raison de fournir votre clé privée pour un airdrop.
D'une manière générale, les airdrops n'ont de toute façon que peu de valeur. Les projets à demi sérieux n'ont pas besoin de parachutage pour se faire connaître.
Justement, il existe une variante de cette arnaque où les pirates copient la page web ou le compte twitter d'un projet connu pour annoncer un airdrop. Et bien sûr, ils vous demandent votre clé privée...
Gardez cette règle d'or en tête: ne donnez jamais votre clé privée à quiconque.
Conclusion
Dans un univers sans protection légale, certaines mesures de sécurité sont nécessaires. Pas besoin d'être parano. Contentez-vous de vérifier l'identité de vos interlocuteurs, et ne donnez jamais votre clé privée.
Si tout cela paraît beaucoup à appréhender, il n'y a pas de honte à conserver ses fonds sur une place d'échange. Familiarisez-vous doucement au fonctionnement des divers outils. Envoyez d'abord l'équivalent de 10 euros sur votre adresse Bitcoin ou Ethereum dont vous détenez la clé privée, et puis renvoyez ces bitcoins ou éthers sur votre place d'échange pour voir comment ça marche. Augmentez les sommes petit à petit, au fur et à mesure que vous vous sentez à l'aise.
L'idéal serait de garder vos fonds sur une adresse dont vous possédez la clé privée, mais le principal est d'avoir le contrôle de ses finances. On peut espérer qu'à long terme, de meilleures structures se développeront pour minimiser le risque sans requérir une certaine compétence informatique. Lancez-vous dans les cryptomonnaies à votre rythme, et surtout...
Ne donnez jamais votre clé privée à quiconque.
Très bon et très complet comme article, bravo !