Acheter des cryptos
Payer avec
NFT
New
Téléchargements
English
USD

Gardez vos Cryptos #SAFU (conseils de CZ)

2020-02-25

Fidèle à son engagement de contribuer à la sécurité de la communauté crypto, le PDG de Binance, CZ (Changpeng Zhao), aborde en détail les nombreux aspects de la sécurité crypto dans cet article de blog.

La sécurité est importante. Bien que cela soit évident, le manque de connaissance de cette matière parmi les utilisateurs est regrettable. Il est tout aussi désolant de voir des experts supposer que tout le monde a la même compréhension profonde des questions de sécurité, puis concevoir ou recommander des paramétrages sophistiqués, difficiles à utiliser et susceptibles d'être mal utilisés. La sécurité est un grand sujet, je ne suis pas du tout un expert dans ce domaine, mais j'ai été témoin de nombreux problèmes de sécurisation auxquels les gens sont confrontés. Avec l'augmentation des prix des cryptos et le regain d'activité sur le marché, de nombreux nouveaux venus font leur entrée dans l'espace des cryptos. Dans cet article, je ferai de mon mieux pour utiliser des termes simples afin d'expliquer certains des concepts de sécurité liés à la possession de cryptos, notamment :

  1. Quelques notions de base sur la sécurité

  2. Pourquoi et comment vous pouvez, ou non, vouloir conserver vos monnaies vous-même

  3. Pourquoi et comment vous pouvez, ou non, vouloir conserver vos monnaies sur une plateforme d'échange centralisée

  4. Quelques autres sujets

Tout d'abord, rien n'est sûr à 100%. Si notre petite planète est frappée par un astéroïde, il est peu probable que vos fonds soient en sécurité, quelle que soit la méthode employée pour les conserver. Oui, vous pourriez les stocker dans l'espace, mais voyons combien de temps cela dure, ou si cela sert à quelque chose, une fois que la Terre aurait disparu. Vous ne vous en soucierez probablement pas à ce moment-là. Cela souligne le fait que ce que vous demandez vraiment, c'est : "Est-ce que c'est suffisamment sûr ?"

Définissons donc "suffisamment sûr". Pour des publics et des objectifs différents, c'est différent. Si vous conservez 100 $ dans votre portefeuille courant, vous n'avez probablement pas besoin d'un système de sécurité ultra performant. Votre portefeuille sur votre téléphone portable fera sans doute l'affaire. Si vous stockez des millions de dollars ou les économies de toute une vie, vous souhaiterez alors disposer de mesures de sécurité plus strictes. Pour le reste de cet article, nous supposerons qu'il s'agit d'un montant significatif de fonds que vous cherchez à sécuriser.

Pour sécuriser vos monnaies, il vous suffit de respecter les trois règles suivantes :

  1. Empêcher d'autres personnes de les voler.

  2. Empêcher que vous ne les perdiez.

  3. Avoir un moyen de les transférer à vos proches au cas où vous ne seriez plus là.

Simple, n'est-ce pas ? Eh bien, pour faire les trois correctement, il faut des connaissances, des efforts et une certaine vigilance qui ne sont pas forcément connus ou souvent ignorés par la plupart des gens.

Voyons ce qu'il en est.

Pourquoi vous pouvez, ou non, vouloir stocker vous-même vos monnaies

Vos clés, vos fonds. Vraiment ?

De nombreux OG crypto (Original Gansta - adopteurs précoces) affirmeront catégoriquement que la sécurité n'est assurée que si vous conservez vous-même vos cryptos, sans jamais considérer à quel point cela est technique pour une personne ordinaire. Est-ce vraiment le meilleur conseil pour vous ? Examinons cette option plus en détail tout de suite.

Laissez-moi d'abord vous demander ceci : savez-vous à quoi ressemble une clé privée Bitcoin ? Si vous n'en êtes pas sûr, vous devriez certainement poursuivre votre lecture.

Voici à quoi ressemble une clé privée Bitcoin :

KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p

Voilà, ça n'est que ça. Ce n'est qu'une suite de caractères. Quiconque en possède une copie peut déplacer les Bitcoins conservés sur cette adresse, s'il y en a.

Il y a aussi le concept de "seed phrase", qui est un ensemble de 12 ou 24 mots anglais ordinaires dans un certain ordre. Ils peuvent être utilisés pour générer un ensemble de clés privées. De nombreux portefeuilles utilisent des seeds. Dans la suite de cet article, nous utiliserons le terme "clés privées", mais la plupart des procédures et recommandations s'appliquent également aux "seeds".

Revenons au sujet principal. Pour conserver vous même vos cryptos en toute sécurité, vous devez :

  1. Empêcher les autres de se procurer vos clés privées ; lutter contre les pirates informatiques, sécuriser vos ordinateurs contre les virus, internet, etc.

  2. Éviter de perdre vos clés privées ; disposer de sauvegardes pour éviter la perte ou les dommages des appareils et sécuriser ces sauvegardes.

  3. Disposer d'un moyen de transmission de vos clés privées à vos proches en cas de décès. Ce n'est pas un scénario agréable à envisager, mais en tant qu'adultes responsables envers nos proches, nous devons prendre ce risque en considération.

Examinons chacun de ces points en détail.

1. Empêcher les autres de se procurer vos clés

C'est l'évidence même. Nous avons tous entendu parler de pirates informatiques, de virus, de cheval de Troie, etc. Vous ne voulez pas que l'un d'entre eux puisse pénétrer l'appareil sur lequel vous stockez vos monnaies.

Pour y parvenir avec un degré de confiance raisonnable, votre appareil ne doit jamais être connecté à internet et vous ne devez jamais télécharger de fichiers sur cet appareil. Alors, comment utiliser un tel appareil pour envoyer et recevoir des données cryptos en toute sécurité ?

Parlons des différents appareils que vous pourriez utiliser.

Un ordinateur est un choix évident, et souvent le plus versatile. Si vous choisissez d'utiliser un ordinateur pour stocker vos monnaies, vous ne devez jamais connecter cet ordinateur à internet, ni à aucun réseau. Si jamais vous le connectez à un réseau, il y a un risque qu'un pirate informatique s'introduise sur votre appareil, en exploitant un bug du système d'exploitation ou d'un logiciel que vous utilisez. Les logiciels ne sont jamais totalement dénués de bugs.

Alors, comment installer un logiciel sur un ordinateur qui n'est pas connecté à internet ? Vous utilisez un CD ROM ou une clé USB. Assurez-vous de sa salubrité. Utilisez au moins 3 logiciels antivirus différents pour le/la scanner. Téléchargez le logiciel (système d'exploitation et portefeuille) que vous souhaitez installer sur la clé USB, attendez 72 heures, vérifiez les actualités pour vous assurer qu'il n'y a pas de nouvelles ou de problèmes liés à la sécurité concernant le logiciel que vous avez téléchargé ou le site sur lequel vous l'avez téléchargé. Il y a eu de nombreux cas où même des sites officiels ont été piratés et où le logiciel téléchargé a été remplacé par un cheval de Troie. Vous ne devez télécharger des logiciels qu'à partir de sites officiels. De même, vous ne devez utiliser que des logiciels open-source, afin de réduire les risques de piratage. Même si vous n'êtes pas vous-même un codeur, les logiciels open-source sont examinés par d'autres codeurs et ont moins de chances d'être piratés. Cela signifie que vous devriez utiliser une version stable de Linux (pas de Windows ni de Mac) pour votre système d'exploitation et n'utiliser que des logiciels de portefeuille open-source.

Une fois que vous avez tout installé, utilisez une clé USB propre pour signer vos transactions hors ligne. Cette procédure varie selon les portefeuilles et n'est pas couverte par notre article. En dehors du Bitcoin, les autres monnaies ne disposent pas toujours de portefeuilles permettant de signer hors ligne.

Vous devez également assurer la sécurité physique de l'appareil. Si quelqu'un vous le vole, il pourrait y avoir accès physiquement. Pour cette raison, assurez-vous que votre disque est solidement chiffré, de sorte que même si quelqu'un met la main sur votre disque dur, il ne pourra pas le lire. Les différents systèmes d'exploitation offrent des outils de chiffrement différents. Là encore, un tutoriel sur le chiffrement des disques n'est pas prévu dans le cadre de cet article, il en existe de nombreux en ligne.

Si vous êtes capable de réaliser les tâches ci-dessus, vous n'avez probablement pas besoin de lire le reste de cet article. Si ce qui précède ne vous semble pas être à votre portée, il existe d'autres options.

Vous pourriez utiliser un téléphone portable. De nos jours, un téléphone “non-rooté/jailbreaké” est généralement plus sûr qu'un ordinateur, en raison de la conception de type "bac à sable" des systèmes d'exploitation mobiles. Il existe trop de versions d'Android pour en suivre l'évolution, c'est pourquoi je recommande généralement d'utiliser un iPhone. Là encore, vous devriez utiliser un téléphone uniquement pour votre portefeuille, et ne pas combiner cela avec votre téléphone de tous les jours. Vous devriez réinitialiser le téléphone en effaçant "tous les contenus et paramètres". Ensuite, il suffit d'installer le logiciel de portefeuille, et rien d'autre. Vous devez garder le téléphone en mode avion en permanence, sauf lorsque vous utilisez le portefeuille pour les transferts. Je recommande également d'utiliser une carte SIM séparée pour le téléphone, et de n'utiliser que la 4G pour se connecter à Internet. Ne connectez jamais ce téléphone à un réseau WiFi. Ne vous connectez à internet que lorsque vous utilisez le téléphone pour signer des transactions et des mises à jour de logiciels. Cela ne pose généralement aucun problème si vous ne conservez pas de très gros montants sur votre portefeuille.

Quelques portefeuilles mobiles offrent la possibilité de signer des transactions hors ligne (via un scan de code QR) afin que vous puissiez maintenir votre téléphone complètement hors ligne, dès que vous avez fini d'installer les applications de portefeuille et avant de générer vos clés privées. Ainsi, vous vous assurez que vos clés privées ne se trouvent jamais sur un téléphone connecté à Internet. Cela évitera le scénario où une application de portefeuille possède une porte dérobée ou renvoie des données au développeur, ce qui est arrivé avec plusieurs applications de portefeuille par le passé, même dans des versions officielles. Mais vous ne pourrez pas mettre à jour vos applications de portefeuille ou votre système d'exploitation. Pour mettre à jour un logiciel, il faut utiliser un autre téléphone, y installer la nouvelle version de l'application, la mettre en mode avion, générer une nouvelle adresse, la sauvegarder (voir plus loin), puis envoyer des fonds sur le nouveau téléphone. Pas très convivial. De plus, il y a un nombre limité de monnaies/blockchains supportées par ces portefeuilles.

Vous devez également assurer la sécurité physique de votre téléphone. Même si les mémoires des derniers iPhones sont censés être entièrement chiffrées, il existe des signalements de dispositifs qui prétendent pouvoir déverrouiller les iPhones lorsqu'ils y ont accès physiquement, en crackant le code pin.

Portefeuilles matériels

Vous pourriez utiliser un portefeuille matériel. Ces appareils sont conçus de manière à ce que vos clés privées ne quittent jamais l'appareil, de sorte que votre ordinateur n'en conserve aucune copie. La signature des transactions se fait sur l'appareil. Mais rien n'est infaillible à 100 %. Les portefeuilles matériels peuvent contenir des bugs dans le micrologiciel, les logiciels, etc. Il existe de nombreux portefeuilles matériels différents sur le marché. Il est généralement conseillé de choisir une marque plus ancienne et plus réputée car elle a été davantage testée. Parmi les deux principales marques de portefeuilles matériels, on trouve quelques signalements différents sur le fait que si un pirate informatique a un accès physique à l'appareil, il pourrait facilement extraire vos clés privées. Il faut donc s'assurer de le conserver en toute sécurité. En outre, presque tous les portefeuilles matériels nécessitent une interaction avec un logiciel fonctionnant sur un ordinateur (ou un téléphone portable) pour fonctionner. Ici, vous voulez quand même vous assurer que votre ordinateur est sain et exempt de virus et de failles de sécurité. Il existe des virus qui remplacent votre adresse de destination par l'adresse du pirate à la dernière minute, etc. Vérifiez donc soigneusement l'adresse de destination sur l'appareil. Vous devez toujours assurer la sécurité de votre ordinateur. Avec les portefeuilles matériels, ils empêchent certaines des techniques de base pour voler vos clés privées par des pirates, mais je vous recommande fortement d'utiliser un ordinateur très propre rien que pour cela, que vous n'utilisez pas pour autre chose, avec un pare-feu au maximum. Dans l'ensemble, cependant, les portefeuilles matériels sont un bon choix si vous souhaitez conserver vos monnaies par vous-même. La partie la plus délicate et souvent la plus vulnérable des portefeuilles matériels est la manière dont vous conservez vos sauvegardes, que nous aborderons dans la section suivante.

Il existe de nombreuses autres versions de portefeuilles et d'appareils. Je ne pourrai pas toutes les énumérer ici, mais les catégories ci-dessus sont les plus courantes. Maintenant que nous avons discuté de la méthode à suivre pour réduire (et non éliminer) le risque que quelqu'un d'autre accède à vos clés, nous en sommes à ⅓ du chemin fait pour expliquer comment conserver vos monnaies par vous-même.

2. Éviter de perdre ses clés

Vous pourriez perdre l'appareil que vous utilisez pour conserver vos monnaies ou l'appareil pourrait être endommagé. Par conséquent, vous avez besoin de :

Sauvegardes.

Ici aussi, il existe de nombreuses méthodes différentes. Chacune a ses avantages et ses inconvénients. Fondamentalement, vous devez réaliser plusieurs sauvegardes, dans différents endroits géographiques, que les autres personnes ne peuvent pas lire (chiffrées).

Vous pouvez les écrire sur un morceau de papier. Certains portefeuilles utilisant des seeds conseillent cela, car il est relativement facile d'écrire 12 ou 24 mots anglais. Avec des clés privées, vous pourriez facilement faire une erreur de majuscule ou d'écriture illisible (O contre 0), et il serait très difficile de comprendre ce qui a mal tourné par la suite. Il y a cependant de sérieux problèmes avec les morceaux de papier. Ils peuvent facilement :

  • Être perdus - parmi d'autres morceaux de papier

  • Être endommagés - par un incendie ou une inondation

  • Être lus facilement par les autres - pas de chiffrement

Certaines personnes utilisent des coffres-forts en banque pour stocker des clés papier. Je ne recommande généralement pas cette option pour les raisons énumérées ci-dessus.

Ne prenez pas de photo du papier (ou une capture d'écran), ou le synchroniser dans le cloud et penser qu'il est sauvegardé en toute sécurité. Si un pirate informatique pirate votre compte email ou votre ordinateur, il le trouvera facilement. De plus, le fournisseur du service de cloud peut en avoir plusieurs copies stockées à différents endroits et avoir des employés qui peuvent les consulter.

Il existe des plaques métalliques conçues spécialement pour conserver les seeds de secours. Elles sont censées être pratiquement indestructibles, ce qui résout en grande partie le risque d'être endommagé lors d'un incendie ou d'une inondation. Mais cela ne résout pas le problème de la perte ou de la facilité de lecture par d'autres personnes si on leur donne un accès physique. Là encore, certaines personnes les stockent dans des coffres-forts, généralement avec leur or ou d'autres métaux. Je suppose que c'est facile à utiliser pour les personnes qui aiment les matériaux précieux. Si vous utilisez cette approche, vous devez en comprendre les limites et les risques.

L'approche que je recommande est d'utiliser quelques clés USB, mais elle nécessite un peu plus de technique (le piège typique du “conçu pour les experts”). Il existe des clés USB résistantes aux chocs, à l'eau, au feu et au magnétisme. Vous pourriez stocker des versions chiffrées de votre sauvegarde de clé privée sur plusieurs de ces clés USB, et la stocker dans plusieurs endroits (amis ou parents). Cela répond à toutes les exigences mentionnées au début de cette section, à savoir des emplacements multiples, pas facilement détériorés ou perdus, et difficilement lisibles par d'autres personnes. La clé ici est un chiffrement fort. Pour cela, il existe de nombreux outils sur le marché, et ils évoluent au fil du temps. VeraCrypt est un outil d'entrée de gamme qui offre un niveau de chiffrement décent. Le prédécesseur de VeraCrypt, TrueCrypt, a été populaire pendant un certain temps, mais il s'est avéré plus tard qu'il présentait certaines vulnérabilités de sécurité grâce à un examen par des spécialistes, et le développement a été interrompu. Pour cette raison, il est recommandé de faire vos propres recherches et de trouver les meilleurs outils de chiffrement actuels pour vous-même. Il est également important de ne donner à personne une copie de votre sauvegarde, même si elle est chiffrée. Et il est recommandé de faire une permutation périodique de vos clés privées (en générer de nouvelles et transférer des fonds de l'ancienne vers la nouvelle).

3. Prenez soin de vos proches

Nous ne vivons pas éternellement. Il convient de préparer un plan de succession. En fait, les cryptos vous permettent de transmettre facilement votre patrimoine à vos héritiers avec un minimum d'intervention de tiers.

Là encore, il existe plusieurs façons de procéder.

Si vous utilisez l'approche de faible sécurité du portefeuille papier ou des plaques métalliques, vous pourriez simplement les leur transmettre. Cela présente bien sûr quelques inconvénients potentiels. Ils peuvent ne pas posséder les moyens adéquats pour conserver ou sécuriser une copie des sauvegardes, s'ils sont jeunes ou peu doués techniquement. S'ils ne respectent pas les règles de sécurité, un pirate informatique pourrait facilement voler vos fonds par leur intermédiaire. De plus, ils pourraient vous prendre votre argent quand ils le souhaitent. Vous pourriez le vouloir ou non, en fonction de la relation de confiance que vous entretenez avec eux.

Je déconseille vivement tout partage de clés entre personnes, quelle que soit la relation, pour la simple raison que si les fonds sont déplacés/volés, il est impossible de déterminer qui les a déplacés ou qui a subi une défaillance de sécurité. C'est tout simplement le bazar.

Vous pourriez laisser votre portefeuille papier ou vos plaques métalliques dans un coffre-fort en banque ou chez un avocat. Mais, comme mentionné ci-dessus, si l'une des personnes concernées se procure une copie des clés, elle peut déplacer les fonds sans laisser de traces. Ce n'est pas comme si les avocats devaient passer par une banque pour transférer le solde de votre compte à vos héritiers.

Si vous utilisez la méthode de clé USB mentionnée ci-dessus, il existe des moyens de transmettre votre patrimoine de manière plus sûre. Mais là encore, cela nécessite un peu plus de préparation.

Il existe des services en ligne appelés "Deadman's switch". Ils vous envoient un message de temps en temps (un mois par exemple). Vous devez cliquer sur un lien ou vous connecter pour y répondre. Si vous ne répondez pas pendant un certain temps, ils supposent que vous êtes un "homme mort" et envoient un nombre donné d'emails dont le contenu et les destinataires sont prédéfinis. Je ne cautionnerai aucun de ces services, vous devriez les rechercher sur Google et les tester par vous-même. En fait, Google lui-même est un "Deadman's switch". Dans les paramètres de Google, il y a une option qui permet à quelqu'un d'accéder à votre compte si vous n'y accédez pas pendant 3 mois. Personnellement, je ne l'ai pas testé et je ne peux pas m'en porter garant. Faites vos propres tests.

Si vous vous dites : "Oh super, je viens de mettre les clés privées dans les emails envoyés à mes enfants", alors relisez cet article depuis le début.

Vous pensez peut-être que je pourrais mettre les mots de passe que j'ai utilisés pour crypter les clés USB dans ces emails, de cette façon, mon enfant ou mon conjoint pourra les déverrouiller. Cela se rapproche, mais pas encore tout à fait. Vous ne devriez pas laisser les mots de passe de vos sauvegardes sur un serveur Internet. Cela affaiblit considérablement la sécurité de vos sauvegardes/fonds.

Si vous pensez pouvoir brouiller/crypter les emails qui contiennent les mots de passe des clés USB avec un autre mot de passe qui serait partagé avec vos proches, alors vous êtes sur la bonne voie. En fait, vous n'avez pas besoin du deuxième mot de passe. Il existe un vieil outil de chiffrement des emails qui a fait ses preuves, appelé PGP (ou GPG), que vous devriez utiliser. PGP est en fait l'un des premiers outils qui utilisent un chiffrement asymétrique (le même que celui utilisé dans bitcoin). Encore une fois, je n'inclurai pas un tutoriel complet sur PGP, il y en a beaucoup en ligne. En résumé, vous devez demander à votre conjoint et/ou à votre enfant de générer leur propre clé privée PGP, et vous chiffrez le message du service "homme mort" à leur intention en utilisant leur clé publique, de cette façon, eux seuls peuvent lire le contenu du message et personne d'autre. Cette méthode est relativement sûre, mais elle exige que vos proches puissent, avec un niveau de sécurité raisonnable, conserver leur clé privée PGP en lieu sûr, et ne pas la perdre. Et bien sûr, ils doivent savoir comment utiliser l'email PGP, qui est quelque peu technique et fastidieux en soi.

Si vous pouvez suivre les recommandations partagées jusqu'à présent, alors vous avez atteint le niveau de base (non avancé) pour stocker vous-même une quantité significative de cryptomonnaies. Il y a beaucoup d'autres sujets dont nous pourrions discuter et qui pourraient également résoudre certains des problèmes mentionnés jusqu'à présent, notamment les signatures multiples, les signatures à seuil, etc, mais ils appartiennent probablement à un guide plus avancé. Dans la prochaine partie, nous examinerons :

Utiliser les plateformes d'échange

Lorsque nous parlons de plateforme d'échange dans cet article, nous parlons de plateformes d'échange centralisées qui conservent vos fonds.

Donc, après avoir lu la partie précédente, vous pouvez vous dire : " mince, c'est sacrément compliqué. Laissez-moi juste stocker mes monnaies sur une plateforme d'échange alors". Utiliser une plateforme d'échange n'est pas non plus sans risque. Si ces plateformes sont responsables de la sécurité des fonds et des systèmes, vous devez néanmoins respecter les pratiques appropriées pour sécuriser votre compte.

N'utilisez que les grandes plateformes d'échange réputées

Oui, c'est facile à dire pour moi, car Binance est l'une des plus grandes plateformes d'échange au monde. Il y a cependant de bonnes raisons à cela. Toutes les plateformes d'échange ne sont pas identiques.

Les grandes plateformes d'échange investissent massivement dans les infrastructures de sécurité. Binance investit des centaines de millions de dollars dans la sécurité. C'est logique pour la taille de notre entreprise. La sécurité touche de nombreux domaines différents : équipements, réseaux, procédures, personnel, surveillance des risques, données importantes, IA, formation, recherche, tests, partenaires tiers et même relations internationales avec les forces de l'ordre. Il faut beaucoup d'argent, de personnes et d'efforts pour assurer correctement la sécurité. Les petites structures n'ont tout simplement pas l'envergure ou les moyens financiers nécessaires pour le faire. Je risque de recevoir des critiques pour avoir dit cela, mais c'est la raison pour laquelle je dis souvent que, pour la plupart des gens ordinaires, il est plus sûr d'utiliser une plateforme d'échange centralisée de confiance que de conserver des monnaies par soi-même.

Il y a un risque de contrepartie. De nombreux petites/nouvelles plateformes d'échange sont souvent conçues dès le départ comme une arnaque (exit scam). Ils collectent quelques dépôts et disparaissent avec vos fonds. Pour cette même raison, évitez les plateformes "non rentables" ou les plateformes offrant des frais nuls, de fortes remises et/ou d'autres avantages de frais négatifs. Si leur objectif n'est pas de générer des revenus appropriés, vos fonds peuvent très bien être leur seule cible. Une sécurité adéquate est coûteuse et nécessite un financement provenant d'un modèle commercial durable. Ne lésinez pas sur la sécurité lorsqu'il s'agit de vos fonds. Les grandes plateformes d'échange rentables n'ont aucune raison de pratiquer un exit scam. Si vous gérez déjà une entreprise rentable et durable de plusieurs milliards de dollars, quelles sont les raisons qui vous inciteraient à voler quelques millions et à vivre dans la clandestinité et la peur ?

Les grandes plateformes d'échange sont également plus expérimentées sur le plan de la sécurité. Oui, c'est aussi un risque. Les pirates informatiques ciblent davantage les grandes plateformes. Mais les pirates ciblent également les petites, et certaines d'entre elles sont des cibles bien plus faciles. Les grandes plateformes disposent généralement de 5 à 10 sociétés de sécurité externes qu'elles engagent à tour de rôle pour effectuer des tests de piratage et de sécurité.

Binance va plus loin que la plupart des autres en termes de sécurité. Nous investissons massivement dans le big data et l'intelligence artificielle pour lutter contre les pirates et les fraudeurs. Nous avons pu éviter à de nombreux utilisateurs de perdre leurs fonds même lorsqu'ils ont fait l'objet d'un échange de cartes SIM (SIM swap). Certains utilisateurs qui utilisent plusieurs plateformes d'échange ont également signalé que lorsque leur compte email a été piraté, des fonds provenant d'autres plateformes d'échange qu'ils utilisaient ont été volés, tandis que les fonds sur Binance étaient protégés parce que notre IA bloquait les tentatives de retrait effectuées par les pirates. Les petites plateformes ne peuvent pas le faire, même si elles le veulent, car elles ne disposent pas de big data.

Sécuriser votre compte

Lorsque vous utilisez une plateforme d'échange, il est évidemment important de sécuriser votre compte. Commençons par l'essentiel.

1. Sécurisez votre propre ordinateur.

Encore une fois, votre ordinateur est souvent le point le plus faible de toute la chaîne de sécurité. Si vous le pouvez, utilisez un ordinateur dédié pour accéder à votre compte. Installez un logiciel anti-virus commercial dessus (oui, il faut investir dans la sécurité), et un minimum d'autres logiciels indésirables. Activez le pare-feu au maximum.

Jouez à vos jeux, surfez sur le web, téléchargez, etc. sur un autre ordinateur. Même sur cet ordinateur, faites fonctionner l'anti-virus et le pare-feu au maximum. Un virus sur cet ordinateur permettra aux pirates informatiques de se connecter beaucoup plus facilement aux autres ordinateurs du même réseau. Donc, assurez-vous que tout est propre.

Évitez de télécharger des fichiers

Même si vous n'hébergez pas votre portefeuille sur votre ordinateur, je vous recommande vivement de ne pas télécharger de fichiers sur votre ordinateur ou téléphone. Si des personnes vous envoient un document Word, demandez-leur de vous envoyer un lien Google doc à la place. S'ils vous envoient un PDF, ouvrez-le dans le Google drive sur un navigateur, et non sur votre ordinateur. S'ils vous envoient une vidéo amusante, demandez-leur de vous envoyer un lien vers celle-ci sur une plateforme en ligne. Oui, je sais que c'est pénible, mais la sécurité n'est pas gratuite, et la perte de vos fonds non plus. Consultez tout sur le cloud. Ne téléchargez rien en local.

Désactivez également la fonction "enregistrer automatiquement les photos et les vidéos" de vos applications de messagerie instantanée. Beaucoup d'entre elles sont configurées par défaut pour télécharger les GIF et vidéos, mais ce n'est pas une bonne chose en matière de sécurité.

Maintenez vos logiciels à jour

Je sais que toutes les mises à jour système sont ennuyeuses, mais elles corrigent souvent des failles de sécurité récemment découvertes. Les pirates informatiques surveillent également ces mises à jour et se servent régulièrement de ces exploits pour pénétrer dans les ordinateurs des personnes qui n'ont pas fait le nécessaire. Les logiciels de portefeuille ou les applications d'échange procèdent généralement de la même manière. Veillez donc à toujours utiliser les dernières versions.

2. Sécurisez votre adresse email.

Je recommande d'utiliser un compte Gmail ou Protonmail. Ces deux fournisseurs de messagerie sont en général plus forts que les autres en matière de sécurité. Nous avons constaté un nombre plus élevé de failles de sécurité sur les autres plateformes de messagerie électronique.

Je recommande vivement de créer un compte email unique pour chaque plateforme d'échange que vous utilisez, et de faire en sorte qu'il soit difficile à deviner. Ainsi, si une autre plateforme présente une défaillance, votre compte sur Binance n'en sera pas affecté. Cela permettra également de réduire le nombre d'escroqueries par hameçonnage ou par email ciblé que vous recevrez.

Activez la fonction 2FA pour votre service de messagerie. Je vous recommande vivement d'utiliser Yubikey pour vos adresses email. C'est un moyen efficace de prévenir de nombreux types de piratage, y compris les sites de hameçonnage, etc. Plus d'informations sur la 2FA plus tard.

Si vous vivez dans un pays où des cas d'échange de cartes SIM (SIM swap) ont été signalés, évitez d'associer votre numéro de téléphone comme méthode de récupération pour votre boîte email. Nous avons vu de nombreuses victimes d'échange de cartes SIM dont les mots de passe de leurs comptes email ont été réinitialisés et piratés en conséquence. En général, je ne recommande plus d'associer les numéros de téléphone aux comptes email. Maintenez-les séparés.

3. Sécurisez vos mots de passe.

Utilisez un mot de passe fort et spécifique pour chaque site. Ne vous embêtez pas à essayer de vous souvenir des mots de passe. Utilisez un outil de gestion de mots de passe. Pour la plupart des gens, LastPass ou 1Password feront probablement l'affaire. Les deux sont bien intégrés dans les navigateurs, les téléphones portables, etc. Tous deux affirment ne stocker les mots de passe que localement, mais peuvent se synchroniser entre les appareils en utilisant uniquement des mots de passe chiffrés. Si vous êtes plus sérieux, optez pour KeePass, ou l'une de ses variantes qui s'adapte à votre système d'exploitation. KeePass ne stocke les informations que localement. Il ne se synchronise pas entre les appareils et est moins compatible avec les appareils mobiles. Il est open-source, donc vous n'avez pas à vous soucier des accès dérobés, etc. Faites vos propres recherches et choisissez un outil qui vous convient. Mais n'essayez pas de "gagner du temps" sur ce point en utilisant un mot de passe simple, ou pire, identique partout. Veillez à utiliser un mot de passe fort, sinon le temps que vous gagnerez risque de vous coûter cher.

Avec tous ces outils, si vous avez un virus sur votre ordinateur, vous êtes cuit. Alors, assurez-vous d'avoir un bon logiciel antivirus en service.

4. Activez la 2FA.

Il est fortement recommandé d'activer la fonction 2FA (authentification à deux facteurs) sur votre compte Binance juste après votre inscription, ou dès maintenant si vous ne l'avez pas encore fait. Comme ce code 2FA se trouve généralement sur votre téléphone portable, il peut vous protéger dans une certaine mesure contre un email ou un mot de passe compromis.

Cependant, le code 2FA ne vous protège pas contre tout. Vous pourriez avoir un virus sur votre ordinateur qui a volé votre email et votre mot de passe, et en surveillant vos frappes, il peut également subtiliser votre code 2FA lorsque vous le saisissez. Vous pourriez être en train d'interagir avec un site de phishing, et entrer votre email, votre mot de passe, puis le code 2FA sur le faux site, et le pirate les utilise pour se connecter à votre vrai compte sur Binance au même moment. Les situations potentielles sont nombreuses ; nous ne pouvons pas toutes les énumérer. Vous devez toujours garder votre ordinateur en parfait état et vous méfier des sites d'hameçonnage (nous y reviendrons plus tard).

5. Mettez en place un U2F.

L'U2F est un dispositif matériel qui génère un code unique basé sur la date, qui est également spécifique à un domaine. Yubikey est en quelque sorte le dispositif idéal pour cela. (Bien que de nombreux portefeuilles matériels puissent également faire office de dispositif U2F, ils sont un peu moins conviviaux, nécessitant l'installation d'applications et beaucoup plus de clics pour naviguer).

L'U2F offre trois grands avantages. Premièrement, ils sont basés sur du matériel et il est donc presque impossible de dérober le contenu de l'appareil. Deuxièmement, ils sont spécifiques à un domaine. Cela vous protège même si vous interagissez par inadvertance avec un site de phishing. Et enfin, ils sont très faciles à utiliser.

Pour les raisons ci-dessus, je vous conseille vivement de lier une Yubikey à votre compte Binance. C'est l'une des meilleures protections contre les pirates informatiques qui volent vos fonds.

Vous devriez également lier votre Yubikey à votre compte Gmail, LastPass et à tout autre compte pris en charge, afin de les protéger également.

6. Arrêtez d'utiliser la vérification par SMS.

Il fut un temps où la vérification par SMS était préconisée, mais les temps ont changé. Compte tenu de l'augmentation des échanges de cartes SIM, nous vous recommandons de ne plus utiliser le système SMS et de vous fier davantage aux systèmes 2FA ou U2F décrits ci-dessus.

7. Établissez une liste blanche d'adresses de retrait.

Nous vous encourageons vivement à utiliser la fonction de liste blanche de Binance pour les retraits. Cela permet des retraits rapides vers vos adresses validées et rend beaucoup plus difficile aux pirates informatiques d'ajouter une nouvelle adresse pour retirer des fonds.

8. Sécurité de l'API

Beaucoup de nos utilisateurs utilisent les API pour leurs opérations de trading et de retrait. Binance propose plusieurs versions d'API, dont la dernière supporte le chiffrement asymétrique, ce qui signifie que nous n'avons besoin que de votre clé publique. Ainsi, vous générez votre clé privée dans votre environnement et vous nous donnez simplement votre clé publique. Nous utilisons votre clé publique pour vérifier que les ordres sont bien les vôtres et nous n'avons jamais votre clé privée. Vous devez conserver votre clé privée en toute sécurité.

Vous ne devez pas nécessairement sauvegarder votre clé API de la même manière que vous le feriez si vous conserviez vos propres monnaies. Si vous perdez votre clé API dans ce cas, vous pouvez toujours en créer une nouvelle. Vous devez juste vous assurer que personne d'autre ne possède une copie de vos clés API.

9. Complétez le KYC L2.

L'un des meilleurs moyens de protéger votre compte est de passer le niveau 2 du KYC. De cette façon, nous savons à quoi vous ressemblez. Nous pouvons utiliser une vérification vidéo automatisée avancée lorsque notre moteur de gestion des risques big data détecte des anomalies sur votre compte.

C'est également important pour la situation où "vous devenez indisponible". Binance est en mesure d'aider les membres de la famille à accéder au compte de leurs proches décédés, avec une vérification adéquate.

10. Sécurisez physiquement votre téléphone et vos appareils

Encore une fois, vous devez garder votre téléphone en sécurité. Vous y avez probablement votre application email, l'application Binance et vos codes 2FA. Ne "rootez" ou ne "jailbreakez" pas votre téléphone. Cela réduit considérablement sa sécurité. Vous devez également assurer la sécurité physique de votre téléphone et installer des verrouillages d'écran appropriés. Il en va de même pour vos autres appareils. Veillez à ce qu'ils ne tombent pas entre de mauvaises mains.

11. Méfiez-vous des tentatives d'hameçonnage

Méfiez-vous des tentatives d'hameçonnage. Elles se produisent généralement par email, SMS ou via les réseaux sociaux, avec un lien vers un faux site qui ressemble à Binance. Ce site vous invitera à saisir vos identifiants, et les pirates les utiliseront pour accéder à votre véritable compte Binance.

La prévention du hameçonnage ne demande que de la vigilance. Ne cliquez pas sur les liens dans les emails ou sur les réseaux sociaux. N'accédez à Binance qu'en tapant l'URL ou en utilisant un favori. Ne partagez pas votre email avec d'autres parties. N'utilisez pas le même email sur d'autres sites. Soyez prudent lorsque des étrangers (en particulier des types nommés CZ ou autres) vous parlent soudainement sur Telegram, Instagram, etc.

Dans l'ensemble, si vous respectez les conseils ci-dessus, votre compte Binance devrait être relativement sûr.

Alors, qu'est-ce qui est le mieux ?

Je recommande généralement aux gens d'utiliser à la fois les plateformes d'échange centralisées et leur propre portefeuille. Si vous n'êtes pas très doué pour la technologie, je vous recommande d'utiliser davantage Binance et un portefeuille de dépenses (TrustWallet) pour vos propres besoins. Si vous êtes techniquement fort, alors ajustez ces portions.

Les plateformes d'échange centralisées font l'objet d'une maintenance de temps en temps, et si vous devez effectuer une transaction juste à ce moment-là, il est pratique d'avoir un portefeuille séparé disponible.

Quelques autres sujets

Il y a beaucoup d'escroqueries partout.

Les gens créent de faux comptes de réseaux sociaux qui ressemblent à des comptes populaires, tels que @cz_binance_, et essaient de vous convaincre de leur envoyer des fonds. Souvenez-vous d'une règle : n'envoyez pas d'argent aux gens à moins que ce ne soit vous qui vouliez faire la transaction en premier. Utilisez toujours deux canaux différents pour vérifier que la personne à qui vous envoyez des fonds est la bonne.

Si CZ s'approche soudainement de vous et vous demande d'une manière ou d'une autre, par le biais d'une histoire très convaincante, de lui transférer des fonds, veuillez le signaler immédiatement.

Si votre ami vous envoie soudainement un SMS vous demandant de lui envoyer des cryptos en urgence, appelez le pour vérifier ou demandez lui d'envoyer une courte vidéo pour vérifier. Supposez que son compte de messagerie vient d'être piraté, ou que quelqu'un lui a volé son téléphone.

Arnaques sur YouTube

Les arnaqueurs sur YouTube ont fait preuve d'intelligence en montant de fausses vidéos de CZ procédant à des airdrops, etc. Encore une fois, signalez-les quand vous les rencontrez.

Arnaques sociales

Ne tombez pas dans le piège des distributions de cadeaux qui vous demandent d'envoyer d'abord quelques monnaies à une adresse donnée pour en recevoir d'autres en retour. Vous n'en aurez pas.

Rappelez-vous une règle simple : soyez prudent lorsque vous envoyez des cryptos.

Ne cliquez jamais sur les liens dans les emails.

Ne cliquez JAMAIS sur un lien dans un email et entrez ensuite votre nom d'utilisateur ou votre mot de passe sur le site. C'est toujours un piège. D'ailleurs, ne suivez jamais un lien sur un réseau social, puis inscrire ses identifiants non plus.

Considérez-les comme, par défaut, des liens vers des sites de hameçonnage. Ne les utilisez pas.

Saisissez toujours manuellement l'URL de votre plateforme d'échange de cryptos préférée. Apprenez à orthographier correctement Binance.com, ou utilisez un favori.

En conclusion

Vous êtes arrivé à la fin de cet article, je vous félicite. J'espère que cet article vous aidera à avoir une meilleure compréhension de la sécurité afin de mieux protéger vos fonds. Si vous suivez les conseils décrits ici, vous devriez être en mesure de conserver vos capitaux de manière relativement sûre, que ce soit par vous-même ou sur Binance.

CZ