Sécuriser ses cryptos
Bonjour à tous. J’ai été très occupé ces derniers jours, c’est pourquoi la fréquence de mes articles à un peu baissé.
Je prépare de nouveaux articles qui demandent pas mal de recherches pour apporter le plus de fiabilité possible. Je rédige notamment un article sur une sélection de crypto-monnaies et d’ICO pour l’année 2018. En effet, beaucoup de nouveaux utilisateurs sont arrivés récemment, et beaucoup vivent une mauvaise expérience. Ils ont acheté trop haut ; ils se jettent à corps perdu dans le trading en pensant que c’est facile, alors que bien souvent ils ne font même pas la différence entre BTC et BCH ; Ils sont mal conseillés ; Ils se font arnaquer par des personnes peu scrupuleuses et avides ; Et enfin, ils sont aspirés dans un tourbillon d’insécurité, et c’est précisément de cela que je veux parler aujourd’hui. La prochaine fois je parlerai d’un nombre conséquent de crypto et d’ICO, pour des personnes qui investissent dans des Alt Coins et ICO, sans vraiment savoir ce qui se cache derrière. C’est toujours mieux, je crois, de savoir sur quoi on mise, surtout si l’on est nouveau dans ce monde assez complexe.
Chez CryptoDox, nous sommes tous d’accord sur le fait que meilleur sera l’expérience des nouveaux venus et plus cela sera favorable à la croissance des crypto-monnaies et à l’adoption des technologies Blockchain. C’est pourquoi nous cherchons toujours à améliorer cette expérience, souvent au moyen de l’information et de l’échange réciproque d’expérience.
Or, il se trouve qu’il y a une plage très favorable à l’insertion de la cybercriminalité (le piratage, et l’escroquerie), pour l’année 2018, dans l’univers des crypto-monnaies. Bien que cela me fende le cœur, cette bataille est nécessaire et sera bénéfique à l’amélioration des services autour de la crypto-monnaie ! Nous allons, et nous affrontons déjà des géants qui espèrent bien manipuler l’opinion publique, et influencer de manière décisive et radical l’évolution des crypto-monnaies, pour continuer à régner en maître sur l’économie et le destin des peuples. L’attaque, à peine déguisée de VISA, n’est que le début d’une longue bataille, qui n’est pas sans me rappeler Star Wars… Comme l’aurait dit Yoda : « Vient juste, la guerre, de commencer ! »
Parallèlement, nous travaillons d’arrachepied sur deux projets d’ICO, dont l’un avance plutôt bien, et l’autre est à mon grand désespoir encore à l’état embryonnaire. Si le premier n’a rien de révolutionnaire et est juste empreint de bon sens, il en va tout autrement du second, qui est à mon avis une future pierre angulaire pour l’acceptation des crypto-monnaies dans notre société. Donc c’est un vaste et excitant programme, vous l’aurez compris. Mais cela me demande du temps ; Du temps que j’ai dû emprunter sur celui alloué à la rédaction d’articles, et je tenais à m’en excuser.
Mais revenons au sujet qui me préoccupe ; La sécurité. Au cas ou vous ne l’auriez pas compris, le monde de la cybercriminalité n’a pas manqué de remarquer le potentiel que représente les crypto-monnaies. Certaines autorités s’en réjouissent en secret à mon avis, car elles espèrent que les pirates feront le travail à leur place. A savoir décrédibiliser la crypto-monnaie et décourager les gens d’y investir.
La cybercriminalité qui m’inquiète est constituée de deux parties : Les jeunes pirates, en mal d’aventures, ou n’ayant pas suffisamment de courage pour s’attaquer à l’investissement de leur petite personne dans de vrai projets profitables au plus grand nombre. Et les développeurs chevronnés, parfois doués même, qui se trouvent toutes sorte d’alibi pour justifier leurs comportements et leurs activités sournoises… Parmi cette dernière catégorie, on trouvera souvent à leur tête, des ambitions monétaire et politiques d’un tout autre niveau (mafia, CIA, etc).
Il ne faut pas négliger l’impacte qu’auront ces deux mondes sur l’adoption des crypto-monnaies. Si pour beaucoup l’année 2018 promettait d’être une passerelle vers l’explosion de la technologie qui engendre les crypto-monnaies, elle pourrait tout aussi bien stagner, voir régresser, à cause de ce problème d’insécurité.
Paradoxalement, la technologie Blockchain, qui est, jusqu’à ce jour, inviolable, infalsifiable et incassable, risque de donner l’image opposée aux yeux du monde. Surtout si les médias orientés, qu’on ne peut déjà plus qualifier de journalistes, servent les intérêts de ceux qui redoutent cette adoption de masse.
Précisons, que l’adoption des crypto-monnaies peut se dérouler de deux manières différentes. Ou elles conservent leur potentiel libérateur qui rend la souveraineté à l’utilisateur, et nous donne l’opportunité de reprendre les rennes de notre destiné. Ou elles nous sont imposées progressivement par ces géants en étant, au préalable, totalement dénaturées et vidées de leur contenu !
Il y a deux problèmes principaux auquel il faut penser. D’abord les exchanges, qui sont le point d’entrée pour la majorité des utilisateurs. Sur ce point, la meilleure chose à faire, est d’échanger et de partager les expériences utilisateurs. Les forums comme « Bitcoin talk », mais aussi ceux des Exchanges tel Binance, Kraken et d’autres sont un moyen de rester informé et de savoir comment réagir en cas de problèmes. Il y a aussi de nombreux sites qui traitent quotidiennement de la crypto-monnaie, des groupes Telegram et Facebook de plus en plus nombreux, et bien évidement Steemit. Les moyens de rester informé en permanence sont nombreux.
Le danger immédiat des exchanges vient des législations stratégiques que tentent de faire passer les gouvernements à la solde des banquiers ! Le KYC/AML qui tend à gagner du terrain, n’est pas innocent et n’a pas pour but de sécuriser les échanges de crypto-monnaies ou de protéger l’utilisateur. Je suis heureux quand je vois un peuple comme les Coréens se mobiliser pour empêcher et faire avorter une loi néfaste pour les exchanges. Mieux encore, lorsqu’ils demandent en nombre la démission de deux ministres, le ministre de la justice et le ministre de l’économie ! J’ai vu récemment un Air Drop (PolyMath) appliquer le KYC !!! Ne soyons pas dupe, nous devons soutenir et aider les exchanges, qui nous permettent encore un peu de liberté (anonymat), à conserver leur indépendance. Car lorsqu’ils se plient a de tels exigences, ce n’est pas de leur plein grès…
Le retour d’informations et le partage d’expérience, sont primordiaux pour alimenter l’information et la réflexion. Nous sommes trop souvent fainéants, et lorsqu’un problème vient d’être résolus, nous préférons passer à autre chose plutôt que de prendre le temps de partager cette expérience. Pourtant, si en apparence cette expérience peut paraitre anodine, elle a le potentiel d’aider des centaines, des milliers, voir plus, d’utilisateurs, qui seront un jour confrontés aux mêmes ennuis, et de leur faire gagner un temps précieux que nous avons surement perdu. Pourquoi ? Parce que quelqu’un, avant nous, s’est montrés avare à partager cette expérience… Exactement comme nous sommes tentés de le faire à notre tour. Dommage !
Donc, dans ce domaine, l’arme la plus efficace c’est l’information, et accepter de sacrifier un tout petit peu de notre temps au partage d’expérience, au retour d’informations. On peut se prendre pour un grand professeur, spécialisé dans la blockchain, et vouloir appliquer une certaine pédagogie, mais au regard de la situation et des enjeux, cela ne nous aide pas ! Il faut être capable de s’adapter au contexte. Je vois trop souvent des comportements qui évitent de donner l’information recherchée aux nouveaux venus, et voudraient se faire des sortes de gourou bienveillants renvoyant à des sources parfois indigestes au simple mortel. Mes amis, l’heure n’est plus à ce genre de pédagogie, car je vous assure qu’il y a urgence, et cette stratégie n’est pas à notre avantage tant elle peut entrainer de conséquences ! En temps de guerre, certaines règles ne s’appliquent plus…
Ensuite, viennent les Wallet. Si les cold et hardware Wallet sont sans aucun doute très sûr, les Wallet en lignes sont si pratiques qu’il est impossible que les utilisateurs ne les adoptent pas en priorité. Malheureusement, c’est là une faille de sécurité du système, car c’est un point ou les puissances des hackers vont se concentrer. De par leur nature, ces structures offrent un point d’accès libre et permanent, idéal pour prendre tout le temps nécessaire à l’élaboration d’une stratégie et à son essaie, jusqu’à ce que cela paye. Etants totalement gratuits pour la plupart, il est de plus très difficile d’obtenir de l’aide. En cas de problème sérieux, vous êtes bien souvent seul dans la jungle. J’en ai fait l’expérience avec MyEtherWallet. Heureusement que je suis développeur… Et que j’écris, car il a fallu que je mentionne que j’étais sur le point de publier un article pour qu’ils me répondent. J’imagine la solitude et le désespoir d’un utilisateur lambda dans la même situation… Ces logiciels étant le plus souvent Open Source, les développeurs n’ont aucune responsabilité et ne sont donc pas tenu de vous répondre ! Il est quasiment certain que nous assisterons à des dégâts de ce côté-là durant l’année. Et dans ce cas, nous ne gagnons pas nos combats !
Si nous ne sommes pas capables de fournir aux utilisateurs des Wallet sûr, avec un vrai support, il est facile d’envisager le massacre que cela va produire, et je pèse mes mots. Dans les projets que je dirige nous préparons justement cet outil, mais il ne sera probablement pas gratuit, ni Open Source, car nous allons engager notre responsabilité de manière légal. Il y aura donc un vrai support.
Mais, la faille de sécurité ne s’arrête pas là, car beaucoup de personnes n’ont pas conscience, ni même les compétences, pour comprendre, qu’en devenant leur propre banque, ils doivent aussi en assumer les conséquences en matière de risque et de sécurité.
Par exemple, il y a une foule de personnes qui utilisent des cracks, dont certains sont de véritable chef d’œuvres numériques. N’imaginons pas un instant que des développeurs si talentueux, qui peuvent vous faire passer les protections les plus récentes et élaborées, dans le domaine des jeux et des logiciels, sont prêt à nous fournir le fruit d’un travail long et fastidieux sans contreparties…
Malgré ce qu’ils pourraient prétendre au sujet des motivation de la « Team », la réalité est bien plus terre à terre. Jusqu’à maintenant, les plus « gentils » dans ces domaines se contentaient de récupérer des informations personnelles concernant vos activités sur le web, et les revendaient en alimentant des bases de données, exactement comme le fait Google ou Amazone. D’autres, zombifiaient vos machines qui devenaient à votre insu, et pendant quelques heures, ou vous n’étiez peut-être pas à la maison, les redoutables soldats d’une attaque DDOS sur des serveurs DNS ou sur des sites web. Et vous n’en n’aviez pas conscience, ou ne vous en rendiez pas compte, jusqu’à ce que des policiers en civil débarquent un beau matin par ce que les logs d’un serveur DNS les avaient conduits jusqu’à l’adresse IP de votre machine. C’est arrivé à un ami très proche. Ne pensez pas que ce soit une légende urbaine !
Bref, je ne m’étendrais pas sur les mauvaises habitudes des internautes, et les risques qu’ils encourent et font encourir au reste du monde, le sujet est trop vaste…
Par contre, j’aimerai partager quelques bonnes pratiques ! Et je vous encourage à les diffuser, et à prendre le temps d’expliquer aux gens les risques qu’ils prennent avec la crypto-monnaie, car nous serons tous gagnants si nous aidons un peut, les nouveaux arrivants, et aussi les vieux récalcitrants, les risque-tout, les téméraires et les inconscients, à avoir une bonne expérience.
Comme je le disais, entrer dans l’univers de la crypto-monnaie, c’est devenir sa propre banque. Ainsi, nous devons traiter tous les outils qui nous servent à interagir avec cet univers exactement comme si l’on gérait une banque, en termes de sécurité bien sûr.
Ne jamais communiquer ses clés privées, dans aucunes situations. Les seules raisons valables, c’est de vouloir restaurer un wallet perdu, ou de transférer son Wallet vers un autre ! C’est la première règle et c’est la plus importante. Vous verrez que quelque soit votre niveau dans la crypto-monnaie, quelqu’un vous incitera à les communiquer dans le courant de l’année, à un moment ou à un autre. Donc, aucuns doutes là-dessus, c’est NON !
Beaucoup de gens vous diront qu’un Ledger Nano est la solution. Je ne partage pas cet avis, car si tout le monde possède un Ledger Nano, bien qu’il soit robuste et sûr, alors la piraterie concentrera ses forces là-dessus, et soyez en certain, tôt ou tard elle réussira son coup, de la même manière que l’on braque une banque. C’est un simple calcul mathématique… Je ne vais pas vous abreuver de termes techniques, ou de lois mathématiques sur les statistiques, mais sachez qu’il y a des études très sérieuses sur le sujet et le constat est effarant !
La meilleur pratique, c’est la diversité ! Rien de tel qu’un Cold Wallet, associé à un soft Wallet, qui mettra 2 jours à télécharger la Blockchain (à la première installation) sur un petit portable dédié, et sur lequel on n’installera rien d’autre. Il deviendra Le Wallet et n’aura aucune autre fonction ! Vous ne le connecterez qu’occasionnellement pour envoyer une transaction et se synchroniser avec la Blockchain. Avec une imprimante, vous pourrez même ne plus vous connecter pour le transfert, utilisez juste un QR code… Il faudra quand même synchroniser la Blockchain régulièrement.
Un Nano c’est bien, mais ne mettez pas tous vos œufs dans le même panier, et là je m’adresse à des personnes qui gèrent de grosses sommes. Si vous avez les moyens, ayez un, ou deux, Nano, plus un, ou deux, portables… Ayez un mobile qui ne vous sert qu’a cela. Cela n’engage que moi, mais Android est une arnaque gigantesque de Google dont la stratégie commerciale est basée sur le Spyware. Vous ne pouvez-pas avoir Android et ne pas avoir de fuites de données. Je sais, vous pensez que ce sont des sociétés honnêtes qui vous espionnent par ce biais et récoltent vos données. Pas toutes ! Pire, leurs codes sont rudimentaires, se sont de petites boites qui ne veulent pas investir le moindre sou en payant des développeurs qualifiés, et donc ces codes sont aisément utilisables par les hackers qui s’en servent comme portes d’entrées. Cela dit, c’est pareil avec Microsoft, sauf que de base vous avez beaucoup moins de spywares et ce sont ceux de Microsoft exclusivement. Attention, je ne dis pas que leur code est plus robuste, des failles ont déjà été démontrés, néanmoins, il l’est (plus robuste) ! Pour la « crypto-mobile », j’ai un Windows Phone, et il ne sert qu’à cela !
Je ne vous dis pas de jeter votre Android, mais s’il contient un Wallet, évitez au moins d’y installer tout autres applications, et surtout, soyez conscient des risques !
Ne laissez jamais vos clés privées sur un ordinateur. Pour ma part, je les recopie soigneusement à la main, pour qu’il n’y en ait aucunes traces dans les logs. Lorsque vous faites un copier-coller, cela reste en mémoire, inscrit dans des fichiers log, ce qui transit par le presse papier par exemple. Si vous avez une mauvaise vue, faite une capture d’écran et imprimez-là. Une capture d’écran prend un volume de données qui ne peut être stocké dans un log. De plus l’envoi d’un fichier d’une telle taille ne passe pas inaperçu… Assurez-vous juste que votre impression vous permet de lire vos clés.
Je connais des personnes qui ont gravés leurs clés sur des plaques de cuivre, et les ont mis dans un coffre à la banque…
Ne faites pas confiance aux tiers qui gardent vos clés privées. Coinbase par exemple. Ne laissez jamais des sommes importantes sur des wallet en ligne. Dès que je reçois un paiement, je le transfert immédiatement sur un cold wallet. Le jour ou je veux débloquer cet argent, il n’est plus un cold Wallet, et donc j’en crée un autre. En fait j’en ai créé plusieurs… Idem avec les exchanges, n’y laissez jamais de grosses sommes. Si vous avez bien trader, et que vous avez 100 000 € sur Kraken à la fin de la journée, ou au petit matin, transférez-les. Il vaut mieux payer deux fois des frais de Blockchain, qui sont d’ailleurs assez négligeables (sauf pour Bitcoin), que de se réveiller un matin et de découvrir qu’il n’y a plus rien !
N’oubliez pas que vos Tokens, vos Coins, vos Bitcoins, ne sont pas dans votre Wallet, ils sont dans la Blockchain. Donc, si vous jetez votre Windows Phone dans le fleuve, mais que vous avez conservés vos clés privées à l’abris, je ne sais pas, mais disons dans un coffre-fort, gravé sur des plaques de cuivres ou un autre alliage inoxydable par exemple, vous n’avez rien perdu !
Si vous voulez vérifier que votre virement tant attendu est bien arrivé, n’ouvrez, ni ne connectez pas vos Wallet à tout bout de champs. Préférez utiliser un explorateur de Blockchain, c’est le même résultat et vous ne prenez aucuns risques ! Pour Ethereum, par exemple, vous allez sur https://etherscan.io/address/l’adresse de votre wallet, ! Pas besoin de mot de passe, et vous savez tout ce qui s’est passé ! Toutes les Blockchains ont leurs explorateurs. Il n’y a qu’avec des Blockchain spécifiquement anonyme comme Monero où vous ne pourrez pas utiliser cette méthode.
Restez confidentiel. Ne dévoiler jamais à personnes vos mots de passes. Ne dites jamais combien ni quel crypto-monnaies vous posséder. Ne dites pas que vous avez un Ledger, ni que votre portable est un Wallet, ni que vous posséder un RIG, c’est une bonne occasion de vous faire cambrioler par de petits escrocs, séquestrer par les gros. Si vous expliquez à votre ami ce qu’est la crypto-monnaie, qu’il devrait investir, et qu’il vous demande combien vous possédez de Bitcoins, soyez évasif, s’il insiste, changez de sujet de conversation. Ne soyez pas naïf, tant qu’on ne sait pas, on n’est pas non plus tenté !
2018 va être une année difficile pour la sécurité. D’un coté on a des gouvernements qui n’attendent que cela pour interdire, réguler, et brandir la baguette : « On vous l’avait bien dit ! » De l’autre on a les spécialistes de la sécurité, les sociétés d’anti-virus qui se trompent d’ennemie !
Dès que vous téléchargez un logiciel de minage, c’est un virus, ou un troyen. C’est faux évidement et on pourrait s’interroger sur les tenants et les aboutissants. Est-ce qu’ils sont si mauvais et si incompétents qu’ils ne font pas la différence entre un mineur et un troyen ? Ou bien est-ce qu’ils le font exprès ?
Le résultat, c’est que tous ces nouveaux utilisateurs attisés par l’appât du gain, ne mettrons pas longtemps avant de désactiver leur antivirus tant c’est devenu compliqué de mettre des exceptions efficaces. A croire qu’ils veulent nous forcer la main… J’ai même vu des anti-virus ou malgré les exceptions, ils continuaient à bloquer mon « ccminer » (logiciel de minage) !!! Quand l’utilisateur lambda, lassé de passer 10mn à configurer son antivirus à chaque fois qu’il veut tester un logiciel de minage l’aura désactivé, que se passera-t-il ? Eh bien le troyen que l’antivirus a laissé passer, trop occupé à empêcher par tous les moyens l’adoption des crypto-monnaies, se réveillera et prendra le control du Wallet pour en vider le contenu. Mais oui, si tout le monde peut miner facilement, l’adoption risque de se faire à un rythme exponentiel. Si tout le monde comprend qu’il peut créer de la crypto-monnaie toute neuve, combien de temps faudra-t-il avant que chacun ait son imprimerie à token personnel ?
Et enfin, on a les criminels qui ont toujours un coup d’avance, et qui ont ciblés les crypto-monnaies comme la nouvelle diligence à braquer. Quel décor de Far West ! Une chose est sûre, si on en s’en sort, on aura révélé bien plus que la puissance de la Blockchain, on aura été plus fort qu’une simple communauté triomphante dans l’adversité, on sera quasiment devenu un peuple. Le peuple de la crypto-monnaie déclare l’indépendance de son territoire : « La Blockchain ! » Et Viva la révolution ! Donc, soyez prudents…
Si vous voulez vous lancer dans le minage, soyez extrêmement prudents, car je pense que l’année 2018 verra de nombreux logiciels de minage infectés, les pirates travaillent dessus, et profitent d’une technologie dérobée à la NSA. Je sais la situation ne semble pas simple. Faite vous conseiller par des personnes compétentes, et de confiance. La confiance n’est pas une option, et l’espérance n’est pas une stratégie !
Si vous voulez partager vos expériences, ou critiquer l’article, n’hésitez pas à le faire en commentaires, je serais très heureux de vous répondre.
Que de bons conseils!!! tres curieux de voir sur quels projets tu bosse!! tres bon teasing en tout cas !!
Merci. Si tout va bien, j'en parlerai prochainement.
C'est sur que vu comme ça l'année va être dure!!! Mais c'est un rappel très important, on est tous négligents par facilité et oui il y a des sommes non négligeables qui circulent... Alors méfiance et discrétion...
Oui, c'est pour cela qu'une piqure de rappel est nécessaire. Merci.
Merci pour l article super intéressant
J ai acheté une clé ledger pour être plus tranquille en espérant que se soit fiable!!!
Tu peux allez voir mon blog j ai quelques infos crypto @kelos
Oui c'est très fiable. Mais il faut quand même respecter certaines règles. Et surtout être au courant des mises à jour éventuelles de ton Ledger. Merci.