You can also read the English version of this article.
Nous comprenons que sécuriser ses bitcoins est un processus qui peut être décourageant. Mais ne vous inquiétez pas, cela devient plus facile une fois qu’on a acquis quelques principes. Ne pas compter sur une tiers partie pour stocker vos fonds est un changement de paradigme mais nous pensons que c'est possible pour tout le monde et que cela en vaut la peine. Dans cet article nous répondrons aux questions que se posent les personnes qui découvrent les portefeuilles physiques.
Ou les bitcoins sont-ils en fait stockés?
Commençons par l'éléphant dans la pièce : mes bitcoins sont-ils stockés dans le portefeuille, ou bien où diable sont-ils ? C'est une excellente question car la réponse définit ce que votre portefeuille doit réellement protéger.
Les crypto-monnaies sont appelées ainsi car elles sont sécurisées par la cryptographie. À cette fin, vous avez besoin d'un ensemble de clés numériques, par exemple votre (très secrète) clé privée. Avec cette clé, vous pouvez chiffrer et signer numériquement des transactions.
Prenons l'exemple du Bitcoin (les autres crypto-monnaies fonctionnent de manière similaire). L'ensemble du réseau Bitcoin est synchronisé par une structure de données partagée, la chaîne de blocs (ou communément appelé blockchain en anglais). Elle contient les enregistrements de toutes les transactions effectuées sur la chaîne et est accessible au public en ligne, de sorte que tout le monde peut la lire. Si vous recevez des bitcoins, disons 0,1 BTC, vous les voyez dans votre portefeuille Bitcoin, répertoriés sous une adresse Bitcoin.
Vos bitcoins ne sont pas réellement stockés dans le portefeuille, ils sont juste une donnée entrée dans la blockchain publique. Ce que le portefeuille stocke, c'est votre clé privée secrète qui appartient à cette adresse. Comme vous contrôlez cette clé privée, vous pouvez dépenser ses bitcoins : c'est ainsi que se définit la "propriété des bitcoins". Tout le monde peut voir ces bitcoins, mais vous seul pouvez les dépenser, ils vous appartiennent donc. Mais cela signifie également que *toute personne* qui possède la bonne clé privée peut dépenser ses bitcoins. C'est pourquoi il est très important de garder cette clé secrète.
Quelles sont les menaces courantes pour mes bitcoins ?
La propriété des bitcoins est définie par l'accès aux clés privées qui vous permettent de les dépenser, et ces clés doivent être protégées. Mais contre quoi ? Quelles sont les menaces courantes qui pèsent sur vos pièces crypto?
Phishing : le plus courant et le plus réussi
Avez-vous déjà reçu un courriel d'un "prince", vous proposant de l'argent si vous l'aidez ? C'est une arnaque évidente. Mais que se passe-t-il si vous n'êtes pas tout à fait sûr du fonctionnement de Bitcoin et que vous recevez un courriel bien formaté de votre plateforme d’échange de crypto-monnaies, vous demandant de confirmer certaines choses ? Soyez vigilant ! C'est ce qu'on appelle l'ingénierie sociale. Elle peut être très subtile et de nombreuses personnes s'y laissent prendre.
Ce qu'il faut retenir : Ne divulguez jamais vos clés privées ou la sauvegarde de votre portefeuille (une carte microSD ou 24 mots de récupération) à quiconque, et ne les saisissez jamais sur un appareil qui n'est pas un portefeuille matériel. Ne faites pas confiance à quiconque vous demande de le faire, même s'il prétend être une plateforme d'échange ou même le fabricant du porte-monnaie matériel.
Attaques à distance : se développe très bien
Selon la source, entre 30 et 50 % des ordinateurs ont été infectés par un logiciel malveillant à un moment ou à un autre. Un virus pourrait surveiller votre presse-papiers à la recherche d'adresses Bitcoin et les remplacer par l'adresse de l'attaquant. Il pourrait faire en sorte que votre portefeuille logiciel envoie vos pièces quelque part ou voler vos clés privées. Le problème de ces attaques est qu'elles s'adaptent très bien : un attaquant doit écrire le code une fois, le distribuer et attendre que les "récompenses" arrivent.
Ce qu'il faut retenir : Partez toujours du principe que votre ordinateur ou votre téléphone est compromis et pourrait voler vos pièces. La situation est similaire avec le portefeuille que vous utilisez pour stocker de l'argent dans votre monnaie locale : le risque est acceptable pour une quantité limitée à usage quotidien, mais vous ne garderiez pas vos économies dans votre poche arrière.
Attaques locales : elles demandent beaucoup d'efforts
Une personne ayant un accès physique à votre matériel informatique ou à votre téléphone portable pourrait le manipuler pour envoyer des secrets, ou vous menacer physiquement pour que vous remettiez vos fonds. Des attaques de ce genre se produisent, mais elles sont rares car elles sont très ciblées et nécessitent beaucoup d'efforts et de moyens criminels. La meilleure prévention contre cela est de ne pas se vanter du nombre de bitcoins que vous possédez et d'activer des contrôles d'accès numériques pour les appareils que vous utilisez.
Ce qu'il faut retenir : Prenez la vie privée au sérieux et ne vous tirez pas une balle sur les réseaux sociaux. Protégez l'accès à vos appareils et investissez dans un portefeuille matériel si vous sécurisez des sommes importantes.
Qu'est-ce qui rend un porte-monnaie matériel sûr?
Les vecteurs d'attaque sont nombreux, mais ne vous inquiétez pas. Il est important de comprendre ce à quoi nous sommes confrontés, afin de pouvoir mettre en place des protections adéquates. Le principal problème avec les ordinateurs ou les téléphones ordinaires est qu'ils sont tout simplement trop complexes pour être sécurisés. Toute mise à jour peut compromettre votre sécurité, et avec des millions de lignes de code, il est impossible de savoir exactement ce qui se passe. Construire un stockage sécurisé de crypto-monnaies par-dessus cela est presque impossible.
Les portefeuilles matériels comme le BitBox02, d'un autre côté, sont simples par conception. Ils n'ont pas de système d'exploitation comme Windows ou MacOS, pas de programmes en arrière-plan, pas de fonctionnalité de "connexion". Ils sont conçus dans le seul but de protéger vos clés privées, et de ne jamais les divulguer. Un porte-monnaie matériel est généralement accompagné d'une application logicielle, comme notre BitBox App. Vous devez toujours supposer que votre ordinateur ou votre téléphone est déjà compromis par un logiciel malveillant, et dans cette optique, vous ne pouvez pas faire confiance à l'application BitBox App sur votre ordinateur. Mais ce n'est pas grave, car l'application n'apprend jamais aucun secret.
Chaque fois que vous voulez utiliser des crypto-monnaies, c'est la BitBox App qui parle au monde extérieur, mais seul le porte-monnaie matériel BitBox02 gère les opérations secrètes. Ce sont les deux avantages importants d'un porte-monnaie matériel :
- Il crée vos clés privées directement sur l'appareil et les garde à l'abri de tout accès non autorisé, à distance ou local.
- Il vous permet de vérifier et de confirmer indépendamment des informations importantes sur son écran sécurisé, car l'écran de votre ordinateur ou de votre téléphone peut être facilement manipulé par des logiciels malveillants.
Ce qu'il faut retenir : Un porte-monnaie matériel spécialisé permet de protéger vos bitcoins. Faites toujours confiance à l'écran sécurisé de votre BitBox02 plutôt qu'à l'écran de votre ordinateur ou de votre téléphone.
Que faire si je perds mon porte-monnaie?
Chaque portefeuille se compose de deux parties : le portefeuille lui-même et sa sauvegarde. Le but premier d'un porte-monnaie est de garder vos pièces utilisables. Cela signifie sécuriser vos clés privées tout en y ayant un accès numérique. Mais les ordinateurs peuvent cesser de fonctionner, les logiciels peuvent être supprimés, les smartphones peuvent être perdus et les portefeuilles matériels peuvent être égarés en mer.
Si vous perdez votre portefeuille, c'est le moment pour la sauvegarde de briller ! Il suffit d'obtenir une nouvelle BitBox02 et de restaurer votre portefeuille en quelques minutes.
Comment avez-vous créé cette sauvegarde ? Avec le BitBox02, vous l'écrivez sur la carte microSD incluse dès l'installation de l'appareil. D'autres portefeuilles vous font écrire 24 mots de récupération (ce qui est également une option sur le BitBox02).
Deux choses essentielles à savoir :
- La sauvegarde du portefeuille est standardisée et peut être restaurée dans n'importe quel autre portefeuille moderne.
- Elle est également très sensible et doit être conservée en sécurité et séparée de votre portefeuille matériel. En savoir plus sur les solutions de sauvegarde.
Ce qu'il faut retenir : Assurez-vous que vous disposez d'une sauvegarde vérifiée et qu'elle est correctement sécurisée.
Un porte-monnaie matériel peut-il être piraté ?
Oui, bien sûr, tout peut être piraté. Si quelqu'un vous dit le contraire, soit il ne comprend pas que la sécurité de l'information est une bataille constante, soit il ment tout simplement. Mais il est possible d'augmenter le coût et le taux de réussite d'un piratage à un niveau tel qu'il n'est plus envisageable pour un attaquant.
Les caractéristiques de sécurité suivantes du BitBox02 en font l'un des portefeuilles matériels les plus sûrs. Il est très difficile de s'y introduire, et si l'on y parvient, il y a de fortes chances de le détruire physiquement.
- Un logiciel minimal
Les logiciels ordinaires comportent des millions de lignes de code de programmation et utilisent de nombreuses bibliothèques prêtes à l'emploi écrites par d'autres. Un système sécurisé doit fonctionner sur un logiciel minimal qui peut être audité ligne par ligne. L'édition BitBox02 Bitcoin-only porte ce principe de sécurité à un niveau supérieur : elle ne peut exécuter qu'un firmware qui concerne seulement Bitcoin, pas d'autres crypto-monnaies, pas d'autres fonctionnalités superflues. - Interface de communication restrictive
Un portefeuille matériel doit être très strict lorsqu'il s'agit de répondre aux demandes d'ordinateurs non sécurisés. Vous ne pouvez pas vous "connecter" à un porte-monnaie matériel ou accéder à sa mémoire comme une clé USB. Le BitBox02 utilise un protocole de communication très restrictif, et interrompt simplement un échange d'informations si l'autre partie ne le suit pas exactement. - Matériel sécurisé
Pour se protéger des attaques locales, il est essentiel qu'un porte-monnaie physique utilise un matériel spécialement conçu contre les manipulations physiques. Sans une puce sécurisée, les experts peuvent simplement lire les secrets à l'aide d'un équipement spécialisé. Le BitBox02 utilise une puce sécurisée spécialement conçue pour le renforcement des dispositifs physiques. - Chaîne d'approvisionnement sécurisée
L'utilisation d'un faux portefeuille matériel et potentiellement malveillant constitue un risque sérieux. C'est pourquoi le BitBox02 est conçu et fabriqué en Suisse, où nous supervisons l'ensemble du processus de production. L'application officielle BitBox App est capable de détecter si le BitBox02 est un appareil original afin d'empêcher les utilisateurs d'obtenir de mauvais clones. Et le BitBox02 n'exécute que le firmware officiel signé par Shift Crypto afin que personne ne puisse charger un firmware malveillant sur un BitBox02 avant que vous ne l'obteniez.
Ok, mais qu'est-ce qui empêche le fabricant de votre matériel d'utiliser une porte dérobée et de prendre vos pièces ? Dans le cas du BitBox02, jusqu'à quel point devez-vous nous faire confiance ? Bien qu'une solution totalement "sans confiance" ne soit probablement pas possible, nous faisons tout ce que nous pouvons pour minimiser votre besoin de nous faire confiance. Et cela se résume à ce qui suit :
- Transparence totale
Le microprogramme de votre porte-monnaie matériel a un accès total à vos clés privées et pourrait faire toutes sortes de choses malveillantes. C'est pourquoi le code du programme doit être accessible au public pour examen, et des mises à jour du micrologiciel doivent être créées pour permettre de vérifier que le micrologiciel est effectivement construit à partir du code source public.
Non seulement tous nos logiciels sont entièrement open-source, mais nous publions également tout ce qu'il faut savoir sur le matériel utilisé, jusqu'aux composants individuels.
- Audits externes
Le micrologiciel de BitBox02 a été audité par Census Labs, ainsi que par plusieurs sociétés de sécurité tierces. De plus, nous encourageons les chercheurs indépendants à auditer le BitBox02 de façon continue, et nous les récompensons par le biais de notre programme de primes aux bugs s'ils trouvent quelque chose. Cela ne limite pas leurs possibilités de publier un rapport indépendant complet sans notre autorisation.
Ce qu'il faut retenir: Plus n'est pas toujours "mieux". La sécurité repose en partie sur la simplicité et le contrôle total de la chaîne d'approvisionnement. Un porte-monnaie manipule vos clés privées secrètes et doit y avoir un accès total. Vous pouvez et devez exiger une transparence totale sur le fonctionnement d'un porte-monnaie et veiller à ce que des audits publics indépendants soient encouragés.
Notre objectif principal est d’aider les utilisateurs de Bitcoin à être responsable, à la fois en construisant des produits qui protègent vos fonds, et également en vous aidant à trouver les informations sur la meilleure façon de le faire. Oui, sécuriser ses propres bitcoins peut être intimidant, mais nous aimerions vous soutenir dans votre démarche ! Nous avons conçu notre BitBox02 et l'application BitBox App qui l'accompagne avec exactement cette idée en tête : vous mettre à l'aise lorsque vous faites le premier pas et commencez à utiliser un porte-monnaie matériel.
Vous ne possédez pas encore de BitBox?
Le BitBox02 est disponible en deux éditions: l'édition Multi qui gère plusieurs actifs crypto et qui peut être utilisé comme un appareil de double authentification, et, l'édition Bitcoin-only qui dispose d’un firmware spécialisé: moins de code signifie moins de surface d'attaque, ce qui améliore encore votre sécurité lorsque vous stockez uniquement des bitcoins.
Shift Crypto est une société privée basée à Zurich, en Suisse. Notre équipe internationale de spécialistes de l'ingénierie, de la crypto-sécurité et du développement Bitcoin construit les produits BitBox et fournit des services de conseil. La BitBox02, un porte-monnaie matériel de deuxième génération, permet aux particuliers de stocker, protéger et échanger facilement des crypto-monnaies. Son compagnon, la BitBox App, fournit une solution tout-en-un pour gérer facilement et en toute sécurité les actifs crypto.