Accueil BlockchainBitcoin et cryptomonnaies Bitcoin, c’est une bonne situation sécurisée pour mon argent, ça ?

Bitcoin, c’est une bonne situation sécurisée pour mon argent, ça ?

par AntRugeon

Les cryptomonnaies reposent, comme la première partie de leur nom sur le chiffrement l’indique, sur un code mathématique sophistiqué… et pourtant on entend régulièrement des piratages de plateformes d’échange défrayer la chronique.

Alors, l’humble investisseur et potentiel crypto-investisseur que vous êtes se demande si placer ses économies sur le bitcoin, l’ethereum, le ripple ou autre monero est une solution sécurisée ?

Pas de panique, nous avons assisté pour vous à la conférence Hacking des crypto-actifs : Quel genre de cible êtes-vous ?, organisée le 4 juillet par Blockchain Connectors, et nous vous expliquons tout avec Otis, personnage du film Astérix et Obélix : mission Cléopatre, (Alain Chabat, 2002).

Asterix Obelix mission bitcoin 1

Le bitcoin (et les autres cryptomonnaies, en principe) repose sur la blockchain, un registre de transaction chiffré, distribué (hébergé sur un ensemble de nœuds parmi plusieurs ordinateurs de par le monde) et ouvert.

Gare au stockage sur les plateformes d’échange

La blockchain, elle, est réellement le must de la sécurité.

Kim Dauthel, cofondateur avec Pierre Paperon de la société Solid (dans les technologies blockchain et Intelligence artificielle), est formel : la blockchain “a été créée pour que toute la puissance de calcul de la Terre ne suffise pas à la pirater”. Inviolable donc, mais “c’est tout ce qui est autour de la blockchain qui mérite d’être sécurisé”. Il rappelle que ce sont souvent les plateformes d’échange qui sont le maillon faible dans le dispositif des détenteurs de cryptomonnaies.

On vous a déjà parlé des arnaques montées par de fausses plateformes d’échange, ou de défaillances de plateformes pas assez sérieuses. L’actualité apporte aussi régulièrement son lot de piratages de plateformes, comme celui du sud-coréen Coinrail le mois dernier (40 M$) ou celui du japonais Coincheck en novembre (400 M$).

Car sur une plateforme d’échange de cryptomonnaies, vos tokens sont en fait “mélangés” avec ceux des autres détenteurs du même token. La plateforme vous permet de trader la partie de ce capital qui correspond à votre apport, sur ce qui est du coup votre wallet (portefeuille) de plateforme d’échange.

Mais si elle sécurise mal son système informatique (notamment l’accès aux mots de passe de ses utilisateurs, qu’elle doit bien stocker quelque part), une personne mal intentionnée peut intercepter ces tokens “hors blockchain”, dans l’arrière-cuisine du site.

Ainsi, si la faille n’est pas du côté du générateur de clés comme dans le cas de l’attaque contre Iota, elle peut reposer “dans le stockage des mots de passe des plateformes”, rajoute Kim Dauthel. Fort notamment de son expérience de hacker “white hat” (comprendre : un professionnel qui identifie des failles, propose des patchs de sécurisation, et se fait généralement rémunérer, sans visée nuisible, à la différence des black hats…), il assure qu’il existe “une dizaine de plateformes d’échange de cryptomonnaies actuellement piratables”. Car une fois que l’équipe technique d’une plateforme découvre une faille, seule ou parce que des hackers le leur notifient, “l’implémentation d’un patch qui corrige la faille prend en moyenne 9 mois… et même 12 mois en France”, déplore-t-il.

Asterix Obelix mission bitcoin 2

La sécurisation absolue n’existe donc pas… sur le web. D’autant que les montants stockés sur les wallets des plateformes d’échange ont pris une valeur qui attire bien des convoitises avec le boom des cryptomonnaies de 2017.

Fataliste, Alexei Koloskov, chief architect de la plateforme d’échange Waves et fondateur de la plateforme Holdvest.com, assure d’ailleurs que “dès qu’un site représente une cible avec un gros enjeu financier, nécessairement il sera rentable d’en forcer l’entrée”, quelle qu’en soit la difficulté.

Asterix Obelix mission bitcoin 3

Mais non pas de panique ! Car si les solutions en ligne sont par nature exposées, tous les wallets en ligne sont-ils menacés ? Non ! Quelques wallets en ligne, non hébergés sur une plateforme, résistent encore et toujours aux assauts des voleurs…

Voici quelques pistes pour diversifier vos wallets.

Solution 1, le wallet décentralisé 

Citons ainsi Coin Space, GreenAdress (pour le bitcoin), MyEtherWallet et Metamask (pour l’ethereum et les tokens ERC20), mydashwallet.org (pour le dash), mymonero.com (pour le monero), Neotracker (pour le NEO) et bien d’autres.

Seule faiblesse : la plupart génèrent eux-même votre seed phrase (phrase mnémonique de récupération du mot de passe et de la clé privée de votre adresse), ce qui suppose de faire confiance au site et à votre ordinateur ou mobile. Et oui ! Le point faible n’est pas dans la blockchain mais dans l’accès à celle-ci. Tous les sites ci-dessus utilisent le chiffrement HTTPS, le contraire eut été navrant. Le risque n’est pas inexistant mais l’exposition est moindre qu’avec les plateformes d’échange.

Asterix Obelix mission bitcoin 4

Si vos bitcoins ne sont pas sécurisés online, passez offline

Et reste évidemment l’option la plus sûre : celle consistant à stocker l’accès à vos bitcoins et autres cryptomonnaies sur un cold wallet, c’est-à-dire un portefeuille non connecté à Internet. Car il faut rappeler que le wallet ne stocke pas vos bitcoins (ou tout autre token) : il ne stocke “que” l’accès vers l’adresse sur la blockchain où ils sont entreposés. C’est-à-dire une adresse, un mot de passe et une seed phrase de l’adresse.

Solution 2, le wallet hardware (portefeuille physique)

Si la dématérialisation complète vous perturbe, pourquoi ne pas acquérir un portefeuille physique (hardware), tel que ceux commercialisés par Trezor, Ledger ou Archos ? Il s’agit de périphériques USB qui renferment vos seed phrase et mot de passe, et que même un virus sur votre PC ne pourrait pas – en principe – récupérer. Ou si tel était le cas, un écran sur le périphérique vous permet de vérifier visuellement que l’adresse bitcoin de votre transaction correspond bien à ce qui s’affiche sur votre écran. Mais des piratages de wallets hardware ont déjà été signalés…

Solution 3, le wallet papier

Notez votre seed phrase et votre mot de passe sur un post-it, planquez-le dans votre coffre-fort derrière le tableau dans votre chambre, et le tour est joué ! Les plus prudents iront jusqu’à déchirer ce papier en deux parties et à stocker ces deux demies clés dans des endroits différents. Si par malheur quelqu’un tombe sur le premier, il ne pourra rien en faire.

Asterix Obelix mission bitcoin 5

Vous pouvez générer votre seed phrase et votre mot de passe sur des sites tels que WalletGenerator.net ou BitcoinPaperWallet.com. Ces deux générateurs de wallets open source peuvent être téléchargés plutôt qu’utilisés en ligne, si vous préférez réduire le risque d’interception par un attaquant sur le réseau.

Car même avec cette solution pourtant hautement sécurisée, la génération de la seed phrase peut constituer le talon d’Achille de votre dispositif. Ainsi, en janvier dernier, de nombreux détenteurs de la cryptomonnaie Iota ont eu la désagréable surprise de se faire voler leurs tokens… après avoir créé leur seed phrase auprès d’un générateur compromis, comportant une back-door (porte dérobée), et présentant pourtant (presque) toutes les apparences d’un logiciel open source. Le plus prudent est de ne jamais reposer sur un tiers et de vérifier les avis de la communauté sur tel ou tel service.

Solution 4, le wallet logiciel

Que ce soit une application sur votre smartphone ou un logiciel sur votre PC, c’est le logiciel qui stocke les informations permettant d’utiliser votre adresse bitcoin, auquel vous pouvez accéder même sans Internet (c’est pour faire une transaction qu’il faudra une connexion, éventuellement à partir d’un autre terminal même).

Asterix Obelix mission bitcoin 6

Attention au social engineering

Même s’il n’y a pas de faille exploitable par Internet permettant d’accéder à votre wallet, votre “attaquant” peut vous approcher physiquement !

“Tout le monde est une cible potentielle”, prévient Maxime Duhommet, “hacker et social engineer français” : vous connaître, vous et vos proches, et ainsi avoir des indices pour deviner… votre mot de passe. C’est ce qu’on appelle le social engineering, ou ingénierie sociale. Exemple : vous êtes né au Touquet en 1984 ? Evitez le mot de passe touquet84 ! Bannissez généralement tout ce qui a un rapport avec vous, et même tous les mots existants dans le dictionnaire (qu’utilisent les logiciels d’attaque par force brute, ces programmes qui testent toutes les combinaisons possibles de mots de passe).

Car deviner ces mots de passe, notamment pour une personne équipée d’un logiciel d’attaque par brute force, est tout à fait envisageable. “Il vous faut un mot de passe difficile pour contrer les attaques par force brute “, certifie Alexei Koloskov. C’est-à-dire quelque-chose comme ça : \$*cjM”,F#DJjpyAzWC/.

Asterix Obelix mission bitcoin 7

Mais comment les mémoriser alors ? Le mieux reste de se tourner vers des gestionnaires de mots de passe, des programmes qui stockent vos mots de passe (tous différents du coup, c’est plus sûr) dans un répertoire chiffré, auquel vous accédez avec un mot de passe unique. Les plus connus sont KeePass, LastPass, Dashlane, 1Password…

Et finalement, l’un des meilleurs conseils à vous donner, est de ne pas mettre tous vos œufs dans le même panier. C’est la recommandation faite par Yul Barat, expert israélien en cybersécurité : “Il vaut mieux répartir vos cryptomonnaies entre plusieurs wallets“. En avoir plusieurs, connectés et non, permet à la fois de compliquer la tâche à votre attaquant, et de minimiser vos pertes si jamais il met la main sur l’un d’eux.

Je ne sais pas si Panoramix a bien tout noté ; Otis, de son côté, a mis du temps à découvrir toutes ces possibilités, mais il y est parvenu. Nous lui laisserons donc le mot de la fin :

“Parfois on ne trouve pas l’interlocuteur, je dirais, ou le tuto qui vous aide à avancer. Alors ça n’est pas mon cas, comme je disais là, puisque moi au contraire, j’ai pu : et je dis merci à la communauté, je lui dis merci, je chante la cryptographie, je danse la cryptographie… je ne suis que hashage !

Et finalement, quand beaucoup de gens aujourd’hui me disent : ‘Mais comment fais-tu pour avoir cette confiance dans tes placements cryptos ?’, eh bien je leur réponds très simplement, je leur dis que c’est ce goût de la curiosité informatique, ce goût donc, qui m’a poussé aujourd’hui à entreprendre la diversification de mes placements cryptos et la gestion par moi-même de mes mots de passe !”

Soyez le premier informé des dernières Opportunités Technos directement dans votre boîte mail

Articles similaires

1 commentaire

Ahmed 25 juillet 2018 - 22 h 34 min

Merci beaucoup pour l’article complet . L’information que vous présentez ici et d’Or .

Reply

Laissez un commentaire