Gardez vos Cryptos #SAFU (conseils de CZ)

2020-02-25

FidÚle à son engagement de contribuer à la sécurité de la communauté crypto, le PDG de Binance, CZ (Changpeng Zhao), aborde en détail les nombreux aspects de la sécurité crypto dans cet article de blog.

La sĂ©curitĂ© est importante. Bien que cela soit Ă©vident, le manque de connaissance de cette matiĂšre parmi les utilisateurs est regrettable. Il est tout aussi dĂ©solant de voir des experts supposer que tout le monde a la mĂȘme comprĂ©hension profonde des questions de sĂ©curitĂ©, puis concevoir ou recommander des paramĂ©trages sophistiquĂ©s, difficiles Ă  utiliser et susceptibles d'ĂȘtre mal utilisĂ©s. La sĂ©curitĂ© est un grand sujet, je ne suis pas du tout un expert dans ce domaine, mais j'ai Ă©tĂ© tĂ©moin de nombreux problĂšmes de sĂ©curisation auxquels les gens sont confrontĂ©s. Avec l'augmentation des prix des cryptos et le regain d'activitĂ© sur le marchĂ©, de nombreux nouveaux venus font leur entrĂ©e dans l'espace des cryptos. Dans cet article, je ferai de mon mieux pour utiliser des termes simples afin d'expliquer certains des concepts de sĂ©curitĂ© liĂ©s Ă  la possession de cryptos, notamment :

  1. Quelques notions de base sur la sécurité

  2. Pourquoi et comment vous pouvez, ou non, vouloir conserver vos monnaies vous-mĂȘme

  3. Pourquoi et comment vous pouvez, ou non, vouloir conserver vos monnaies sur une plateforme d'échange centralisée

  4. Quelques autres sujets

Tout d'abord, rien n'est sûr à 100%. Si notre petite planÚte est frappée par un astéroïde, il est peu probable que vos fonds soient en sécurité, quelle que soit la méthode employée pour les conserver. Oui, vous pourriez les stocker dans l'espace, mais voyons combien de temps cela dure, ou si cela sert à quelque chose, une fois que la Terre aurait disparu. Vous ne vous en soucierez probablement pas à ce moment-là. Cela souligne le fait que ce que vous demandez vraiment, c'est : "Est-ce que c'est suffisamment sûr ?"

Définissons donc "suffisamment sûr". Pour des publics et des objectifs différents, c'est différent. Si vous conservez 100 $ dans votre portefeuille courant, vous n'avez probablement pas besoin d'un systÚme de sécurité ultra performant. Votre portefeuille sur votre téléphone portable fera sans doute l'affaire. Si vous stockez des millions de dollars ou les économies de toute une vie, vous souhaiterez alors disposer de mesures de sécurité plus strictes. Pour le reste de cet article, nous supposerons qu'il s'agit d'un montant significatif de fonds que vous cherchez à sécuriser.

Pour sécuriser vos monnaies, il vous suffit de respecter les trois rÚgles suivantes :

  1. EmpĂȘcher d'autres personnes de les voler.

  2. EmpĂȘcher que vous ne les perdiez.

  3. Avoir un moyen de les transfĂ©rer Ă  vos proches au cas oĂč vous ne seriez plus lĂ .

Simple, n'est-ce pas ? Eh bien, pour faire les trois correctement, il faut des connaissances, des efforts et une certaine vigilance qui ne sont pas forcément connus ou souvent ignorés par la plupart des gens.

Voyons ce qu'il en est.

Pourquoi vous pouvez, ou non, vouloir stocker vous-mĂȘme vos monnaies

Vos clés, vos fonds. Vraiment ?

De nombreux OG crypto (Original Gansta - adopteurs prĂ©coces) affirmeront catĂ©goriquement que la sĂ©curitĂ© n'est assurĂ©e que si vous conservez vous-mĂȘme vos cryptos, sans jamais considĂ©rer Ă  quel point cela est technique pour une personne ordinaire. Est-ce vraiment le meilleur conseil pour vous ? Examinons cette option plus en dĂ©tail tout de suite.

Laissez-moi d'abord vous demander ceci : savez-vous Ă  quoi ressemble une clĂ© privĂ©e Bitcoin ? Si vous n'en ĂȘtes pas sĂ»r, vous devriez certainement poursuivre votre lecture.

Voici à quoi ressemble une clé privée Bitcoin :

KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p

Voilà, ça n'est que ça. Ce n'est qu'une suite de caractÚres. Quiconque en possÚde une copie peut déplacer les Bitcoins conservés sur cette adresse, s'il y en a.

Il y a aussi le concept de "seed phrase", qui est un ensemble de 12 ou 24 mots anglais ordinaires dans un certain ordre. Ils peuvent ĂȘtre utilisĂ©s pour gĂ©nĂ©rer un ensemble de clĂ©s privĂ©es. De nombreux portefeuilles utilisent des seeds. Dans la suite de cet article, nous utiliserons le terme "clĂ©s privĂ©es", mais la plupart des procĂ©dures et recommandations s'appliquent Ă©galement aux "seeds".

Revenons au sujet principal. Pour conserver vous mĂȘme vos cryptos en toute sĂ©curitĂ©, vous devez :

  1. EmpĂȘcher les autres de se procurer vos clĂ©s privĂ©es ; lutter contre les pirates informatiques, sĂ©curiser vos ordinateurs contre les virus, internet, etc.

  2. Éviter de perdre vos clĂ©s privĂ©es ; disposer de sauvegardes pour Ă©viter la perte ou les dommages des appareils et sĂ©curiser ces sauvegardes.

  3. Disposer d'un moyen de transmission de vos clés privées à vos proches en cas de décÚs. Ce n'est pas un scénario agréable à envisager, mais en tant qu'adultes responsables envers nos proches, nous devons prendre ce risque en considération.

Examinons chacun de ces points en détail.

1. EmpĂȘcher les autres de se procurer vos clĂ©s

C'est l'Ă©vidence mĂȘme. Nous avons tous entendu parler de pirates informatiques, de virus, de cheval de Troie, etc. Vous ne voulez pas que l'un d'entre eux puisse pĂ©nĂ©trer l'appareil sur lequel vous stockez vos monnaies.

Pour y parvenir avec un degrĂ© de confiance raisonnable, votre appareil ne doit jamais ĂȘtre connectĂ© Ă  internet et vous ne devez jamais tĂ©lĂ©charger de fichiers sur cet appareil. Alors, comment utiliser un tel appareil pour envoyer et recevoir des donnĂ©es cryptos en toute sĂ©curitĂ© ?

Parlons des différents appareils que vous pourriez utiliser.

Un ordinateur est un choix évident, et souvent le plus versatile. Si vous choisissez d'utiliser un ordinateur pour stocker vos monnaies, vous ne devez jamais connecter cet ordinateur à internet, ni à aucun réseau. Si jamais vous le connectez à un réseau, il y a un risque qu'un pirate informatique s'introduise sur votre appareil, en exploitant un bug du systÚme d'exploitation ou d'un logiciel que vous utilisez. Les logiciels ne sont jamais totalement dénués de bugs.

Alors, comment installer un logiciel sur un ordinateur qui n'est pas connectĂ© Ă  internet ? Vous utilisez un CD ROM ou une clĂ© USB. Assurez-vous de sa salubritĂ©. Utilisez au moins 3 logiciels antivirus diffĂ©rents pour le/la scanner. TĂ©lĂ©chargez le logiciel (systĂšme d'exploitation et portefeuille) que vous souhaitez installer sur la clĂ© USB, attendez 72 heures, vĂ©rifiez les actualitĂ©s pour vous assurer qu'il n'y a pas de nouvelles ou de problĂšmes liĂ©s Ă  la sĂ©curitĂ© concernant le logiciel que vous avez tĂ©lĂ©chargĂ© ou le site sur lequel vous l'avez tĂ©lĂ©chargĂ©. Il y a eu de nombreux cas oĂč mĂȘme des sites officiels ont Ă©tĂ© piratĂ©s et oĂč le logiciel tĂ©lĂ©chargĂ© a Ă©tĂ© remplacĂ© par un cheval de Troie. Vous ne devez tĂ©lĂ©charger des logiciels qu'Ă  partir de sites officiels. De mĂȘme, vous ne devez utiliser que des logiciels open-source, afin de rĂ©duire les risques de piratage. MĂȘme si vous n'ĂȘtes pas vous-mĂȘme un codeur, les logiciels open-source sont examinĂ©s par d'autres codeurs et ont moins de chances d'ĂȘtre piratĂ©s. Cela signifie que vous devriez utiliser une version stable de Linux (pas de Windows ni de Mac) pour votre systĂšme d'exploitation et n'utiliser que des logiciels de portefeuille open-source.

Une fois que vous avez tout installé, utilisez une clé USB propre pour signer vos transactions hors ligne. Cette procédure varie selon les portefeuilles et n'est pas couverte par notre article. En dehors du Bitcoin, les autres monnaies ne disposent pas toujours de portefeuilles permettant de signer hors ligne.

Vous devez Ă©galement assurer la sĂ©curitĂ© physique de l'appareil. Si quelqu'un vous le vole, il pourrait y avoir accĂšs physiquement. Pour cette raison, assurez-vous que votre disque est solidement chiffrĂ©, de sorte que mĂȘme si quelqu'un met la main sur votre disque dur, il ne pourra pas le lire. Les diffĂ©rents systĂšmes d'exploitation offrent des outils de chiffrement diffĂ©rents. LĂ  encore, un tutoriel sur le chiffrement des disques n'est pas prĂ©vu dans le cadre de cet article, il en existe de nombreux en ligne.

Si vous ĂȘtes capable de rĂ©aliser les tĂąches ci-dessus, vous n'avez probablement pas besoin de lire le reste de cet article. Si ce qui prĂ©cĂšde ne vous semble pas ĂȘtre Ă  votre portĂ©e, il existe d'autres options.

Vous pourriez utiliser un tĂ©lĂ©phone portable. De nos jours, un tĂ©lĂ©phone “non-rootĂ©/jailbreakĂ©â€ est gĂ©nĂ©ralement plus sĂ»r qu'un ordinateur, en raison de la conception de type "bac Ă  sable" des systĂšmes d'exploitation mobiles. Il existe trop de versions d'Android pour en suivre l'Ă©volution, c'est pourquoi je recommande gĂ©nĂ©ralement d'utiliser un iPhone. LĂ  encore, vous devriez utiliser un tĂ©lĂ©phone uniquement pour votre portefeuille, et ne pas combiner cela avec votre tĂ©lĂ©phone de tous les jours. Vous devriez rĂ©initialiser le tĂ©lĂ©phone en effaçant "tous les contenus et paramĂštres". Ensuite, il suffit d'installer le logiciel de portefeuille, et rien d'autre. Vous devez garder le tĂ©lĂ©phone en mode avion en permanence, sauf lorsque vous utilisez le portefeuille pour les transferts. Je recommande Ă©galement d'utiliser une carte SIM sĂ©parĂ©e pour le tĂ©lĂ©phone, et de n'utiliser que la 4G pour se connecter Ă  Internet. Ne connectez jamais ce tĂ©lĂ©phone Ă  un rĂ©seau WiFi. Ne vous connectez Ă  internet que lorsque vous utilisez le tĂ©lĂ©phone pour signer des transactions et des mises Ă  jour de logiciels. Cela ne pose gĂ©nĂ©ralement aucun problĂšme si vous ne conservez pas de trĂšs gros montants sur votre portefeuille.

Quelques portefeuilles mobiles offrent la possibilitĂ© de signer des transactions hors ligne (via un scan de code QR) afin que vous puissiez maintenir votre tĂ©lĂ©phone complĂštement hors ligne, dĂšs que vous avez fini d'installer les applications de portefeuille et avant de gĂ©nĂ©rer vos clĂ©s privĂ©es. Ainsi, vous vous assurez que vos clĂ©s privĂ©es ne se trouvent jamais sur un tĂ©lĂ©phone connectĂ© Ă  Internet. Cela Ă©vitera le scĂ©nario oĂč une application de portefeuille possĂšde une porte dĂ©robĂ©e ou renvoie des donnĂ©es au dĂ©veloppeur, ce qui est arrivĂ© avec plusieurs applications de portefeuille par le passĂ©, mĂȘme dans des versions officielles. Mais vous ne pourrez pas mettre Ă  jour vos applications de portefeuille ou votre systĂšme d'exploitation. Pour mettre Ă  jour un logiciel, il faut utiliser un autre tĂ©lĂ©phone, y installer la nouvelle version de l'application, la mettre en mode avion, gĂ©nĂ©rer une nouvelle adresse, la sauvegarder (voir plus loin), puis envoyer des fonds sur le nouveau tĂ©lĂ©phone. Pas trĂšs convivial. De plus, il y a un nombre limitĂ© de monnaies/blockchains supportĂ©es par ces portefeuilles.

Vous devez Ă©galement assurer la sĂ©curitĂ© physique de votre tĂ©lĂ©phone. MĂȘme si les mĂ©moires des derniers iPhones sont censĂ©s ĂȘtre entiĂšrement chiffrĂ©es, il existe des signalements de dispositifs qui prĂ©tendent pouvoir dĂ©verrouiller les iPhones lorsqu'ils y ont accĂšs physiquement, en crackant le code pin.

Portefeuilles matériels

Vous pourriez utiliser un portefeuille matĂ©riel. Ces appareils sont conçus de maniĂšre Ă  ce que vos clĂ©s privĂ©es ne quittent jamais l'appareil, de sorte que votre ordinateur n'en conserve aucune copie. La signature des transactions se fait sur l'appareil. Mais rien n'est infaillible Ă  100 %. Les portefeuilles matĂ©riels peuvent contenir des bugs dans le micrologiciel, les logiciels, etc. Il existe de nombreux portefeuilles matĂ©riels diffĂ©rents sur le marchĂ©. Il est gĂ©nĂ©ralement conseillĂ© de choisir une marque plus ancienne et plus rĂ©putĂ©e car elle a Ă©tĂ© davantage testĂ©e. Parmi les deux principales marques de portefeuilles matĂ©riels, on trouve quelques signalements diffĂ©rents sur le fait que si un pirate informatique a un accĂšs physique Ă  l'appareil, il pourrait facilement extraire vos clĂ©s privĂ©es. Il faut donc s'assurer de le conserver en toute sĂ©curitĂ©. En outre, presque tous les portefeuilles matĂ©riels nĂ©cessitent une interaction avec un logiciel fonctionnant sur un ordinateur (ou un tĂ©lĂ©phone portable) pour fonctionner. Ici, vous voulez quand mĂȘme vous assurer que votre ordinateur est sain et exempt de virus et de failles de sĂ©curitĂ©. Il existe des virus qui remplacent votre adresse de destination par l'adresse du pirate Ă  la derniĂšre minute, etc. VĂ©rifiez donc soigneusement l'adresse de destination sur l'appareil. Vous devez toujours assurer la sĂ©curitĂ© de votre ordinateur. Avec les portefeuilles matĂ©riels, ils empĂȘchent certaines des techniques de base pour voler vos clĂ©s privĂ©es par des pirates, mais je vous recommande fortement d'utiliser un ordinateur trĂšs propre rien que pour cela, que vous n'utilisez pas pour autre chose, avec un pare-feu au maximum. Dans l'ensemble, cependant, les portefeuilles matĂ©riels sont un bon choix si vous souhaitez conserver vos monnaies par vous-mĂȘme. La partie la plus dĂ©licate et souvent la plus vulnĂ©rable des portefeuilles matĂ©riels est la maniĂšre dont vous conservez vos sauvegardes, que nous aborderons dans la section suivante.

Il existe de nombreuses autres versions de portefeuilles et d'appareils. Je ne pourrai pas toutes les Ă©numĂ©rer ici, mais les catĂ©gories ci-dessus sont les plus courantes. Maintenant que nous avons discutĂ© de la mĂ©thode Ă  suivre pour rĂ©duire (et non Ă©liminer) le risque que quelqu'un d'autre accĂšde Ă  vos clĂ©s, nous en sommes Ă  ⅓ du chemin fait pour expliquer comment conserver vos monnaies par vous-mĂȘme.

2. Éviter de perdre ses clĂ©s

Vous pourriez perdre l'appareil que vous utilisez pour conserver vos monnaies ou l'appareil pourrait ĂȘtre endommagĂ©. Par consĂ©quent, vous avez besoin de :

Sauvegardes.

Ici aussi, il existe de nombreuses méthodes différentes. Chacune a ses avantages et ses inconvénients. Fondamentalement, vous devez réaliser plusieurs sauvegardes, dans différents endroits géographiques, que les autres personnes ne peuvent pas lire (chiffrées).

Vous pouvez les écrire sur un morceau de papier. Certains portefeuilles utilisant des seeds conseillent cela, car il est relativement facile d'écrire 12 ou 24 mots anglais. Avec des clés privées, vous pourriez facilement faire une erreur de majuscule ou d'écriture illisible (O contre 0), et il serait trÚs difficile de comprendre ce qui a mal tourné par la suite. Il y a cependant de sérieux problÚmes avec les morceaux de papier. Ils peuvent facilement :

  • Être perdus - parmi d'autres morceaux de papier

  • Être endommagĂ©s - par un incendie ou une inondation

  • Être lus facilement par les autres - pas de chiffrement

Certaines personnes utilisent des coffres-forts en banque pour stocker des clés papier. Je ne recommande généralement pas cette option pour les raisons énumérées ci-dessus.

Ne prenez pas de photo du papier (ou une capture d'écran), ou le synchroniser dans le cloud et penser qu'il est sauvegardé en toute sécurité. Si un pirate informatique pirate votre compte email ou votre ordinateur, il le trouvera facilement. De plus, le fournisseur du service de cloud peut en avoir plusieurs copies stockées à différents endroits et avoir des employés qui peuvent les consulter.

Il existe des plaques mĂ©talliques conçues spĂ©cialement pour conserver les seeds de secours. Elles sont censĂ©es ĂȘtre pratiquement indestructibles, ce qui rĂ©sout en grande partie le risque d'ĂȘtre endommagĂ© lors d'un incendie ou d'une inondation. Mais cela ne rĂ©sout pas le problĂšme de la perte ou de la facilitĂ© de lecture par d'autres personnes si on leur donne un accĂšs physique. LĂ  encore, certaines personnes les stockent dans des coffres-forts, gĂ©nĂ©ralement avec leur or ou d'autres mĂ©taux. Je suppose que c'est facile Ă  utiliser pour les personnes qui aiment les matĂ©riaux prĂ©cieux. Si vous utilisez cette approche, vous devez en comprendre les limites et les risques.

L'approche que je recommande est d'utiliser quelques clĂ©s USB, mais elle nĂ©cessite un peu plus de technique (le piĂšge typique du “conçu pour les experts”). Il existe des clĂ©s USB rĂ©sistantes aux chocs, Ă  l'eau, au feu et au magnĂ©tisme. Vous pourriez stocker des versions chiffrĂ©es de votre sauvegarde de clĂ© privĂ©e sur plusieurs de ces clĂ©s USB, et la stocker dans plusieurs endroits (amis ou parents). Cela rĂ©pond Ă  toutes les exigences mentionnĂ©es au dĂ©but de cette section, Ă  savoir des emplacements multiples, pas facilement dĂ©tĂ©riorĂ©s ou perdus, et difficilement lisibles par d'autres personnes. La clĂ© ici est un chiffrement fort. Pour cela, il existe de nombreux outils sur le marchĂ©, et ils Ă©voluent au fil du temps. VeraCrypt est un outil d'entrĂ©e de gamme qui offre un niveau de chiffrement dĂ©cent. Le prĂ©dĂ©cesseur de VeraCrypt, TrueCrypt, a Ă©tĂ© populaire pendant un certain temps, mais il s'est avĂ©rĂ© plus tard qu'il prĂ©sentait certaines vulnĂ©rabilitĂ©s de sĂ©curitĂ© grĂące Ă  un examen par des spĂ©cialistes, et le dĂ©veloppement a Ă©tĂ© interrompu. Pour cette raison, il est recommandĂ© de faire vos propres recherches et de trouver les meilleurs outils de chiffrement actuels pour vous-mĂȘme. Il est Ă©galement important de ne donner Ă  personne une copie de votre sauvegarde, mĂȘme si elle est chiffrĂ©e. Et il est recommandĂ© de faire une permutation pĂ©riodique de vos clĂ©s privĂ©es (en gĂ©nĂ©rer de nouvelles et transfĂ©rer des fonds de l'ancienne vers la nouvelle).

3. Prenez soin de vos proches

Nous ne vivons pas éternellement. Il convient de préparer un plan de succession. En fait, les cryptos vous permettent de transmettre facilement votre patrimoine à vos héritiers avec un minimum d'intervention de tiers.

Là encore, il existe plusieurs façons de procéder.

Si vous utilisez l'approche de faible sécurité du portefeuille papier ou des plaques métalliques, vous pourriez simplement les leur transmettre. Cela présente bien sûr quelques inconvénients potentiels. Ils peuvent ne pas posséder les moyens adéquats pour conserver ou sécuriser une copie des sauvegardes, s'ils sont jeunes ou peu doués techniquement. S'ils ne respectent pas les rÚgles de sécurité, un pirate informatique pourrait facilement voler vos fonds par leur intermédiaire. De plus, ils pourraient vous prendre votre argent quand ils le souhaitent. Vous pourriez le vouloir ou non, en fonction de la relation de confiance que vous entretenez avec eux.

Je déconseille vivement tout partage de clés entre personnes, quelle que soit la relation, pour la simple raison que si les fonds sont déplacés/volés, il est impossible de déterminer qui les a déplacés ou qui a subi une défaillance de sécurité. C'est tout simplement le bazar.

Vous pourriez laisser votre portefeuille papier ou vos plaques métalliques dans un coffre-fort en banque ou chez un avocat. Mais, comme mentionné ci-dessus, si l'une des personnes concernées se procure une copie des clés, elle peut déplacer les fonds sans laisser de traces. Ce n'est pas comme si les avocats devaient passer par une banque pour transférer le solde de votre compte à vos héritiers.

Si vous utilisez la méthode de clé USB mentionnée ci-dessus, il existe des moyens de transmettre votre patrimoine de maniÚre plus sûre. Mais là encore, cela nécessite un peu plus de préparation.

Il existe des services en ligne appelĂ©s "Deadman's switch". Ils vous envoient un message de temps en temps (un mois par exemple). Vous devez cliquer sur un lien ou vous connecter pour y rĂ©pondre. Si vous ne rĂ©pondez pas pendant un certain temps, ils supposent que vous ĂȘtes un "homme mort" et envoient un nombre donnĂ© d'emails dont le contenu et les destinataires sont prĂ©dĂ©finis. Je ne cautionnerai aucun de ces services, vous devriez les rechercher sur Google et les tester par vous-mĂȘme. En fait, Google lui-mĂȘme est un "Deadman's switch". Dans les paramĂštres de Google, il y a une option qui permet Ă  quelqu'un d'accĂ©der Ă  votre compte si vous n'y accĂ©dez pas pendant 3 mois. Personnellement, je ne l'ai pas testĂ© et je ne peux pas m'en porter garant. Faites vos propres tests.

Si vous vous dites : "Oh super, je viens de mettre les clés privées dans les emails envoyés à mes enfants", alors relisez cet article depuis le début.

Vous pensez peut-ĂȘtre que je pourrais mettre les mots de passe que j'ai utilisĂ©s pour crypter les clĂ©s USB dans ces emails, de cette façon, mon enfant ou mon conjoint pourra les dĂ©verrouiller. Cela se rapproche, mais pas encore tout Ă  fait. Vous ne devriez pas laisser les mots de passe de vos sauvegardes sur un serveur Internet. Cela affaiblit considĂ©rablement la sĂ©curitĂ© de vos sauvegardes/fonds.

Si vous pensez pouvoir brouiller/crypter les emails qui contiennent les mots de passe des clĂ©s USB avec un autre mot de passe qui serait partagĂ© avec vos proches, alors vous ĂȘtes sur la bonne voie. En fait, vous n'avez pas besoin du deuxiĂšme mot de passe. Il existe un vieil outil de chiffrement des emails qui a fait ses preuves, appelĂ© PGP (ou GPG), que vous devriez utiliser. PGP est en fait l'un des premiers outils qui utilisent un chiffrement asymĂ©trique (le mĂȘme que celui utilisĂ© dans bitcoin). Encore une fois, je n'inclurai pas un tutoriel complet sur PGP, il y en a beaucoup en ligne. En rĂ©sumĂ©, vous devez demander Ă  votre conjoint et/ou Ă  votre enfant de gĂ©nĂ©rer leur propre clĂ© privĂ©e PGP, et vous chiffrez le message du service "homme mort" Ă  leur intention en utilisant leur clĂ© publique, de cette façon, eux seuls peuvent lire le contenu du message et personne d'autre. Cette mĂ©thode est relativement sĂ»re, mais elle exige que vos proches puissent, avec un niveau de sĂ©curitĂ© raisonnable, conserver leur clĂ© privĂ©e PGP en lieu sĂ»r, et ne pas la perdre. Et bien sĂ»r, ils doivent savoir comment utiliser l'email PGP, qui est quelque peu technique et fastidieux en soi.

Si vous pouvez suivre les recommandations partagĂ©es jusqu'Ă  prĂ©sent, alors vous avez atteint le niveau de base (non avancĂ©) pour stocker vous-mĂȘme une quantitĂ© significative de cryptomonnaies. Il y a beaucoup d'autres sujets dont nous pourrions discuter et qui pourraient Ă©galement rĂ©soudre certains des problĂšmes mentionnĂ©s jusqu'Ă  prĂ©sent, notamment les signatures multiples, les signatures Ă  seuil, etc, mais ils appartiennent probablement Ă  un guide plus avancĂ©. Dans la prochaine partie, nous examinerons :

Utiliser les plateformes d'Ă©change

Lorsque nous parlons de plateforme d'échange dans cet article, nous parlons de plateformes d'échange centralisées qui conservent vos fonds.

Donc, aprÚs avoir lu la partie précédente, vous pouvez vous dire : " mince, c'est sacrément compliqué. Laissez-moi juste stocker mes monnaies sur une plateforme d'échange alors". Utiliser une plateforme d'échange n'est pas non plus sans risque. Si ces plateformes sont responsables de la sécurité des fonds et des systÚmes, vous devez néanmoins respecter les pratiques appropriées pour sécuriser votre compte.

N'utilisez que les grandes plateformes d'échange réputées

Oui, c'est facile Ă  dire pour moi, car Binance est l'une des plus grandes plateformes d'Ă©change au monde. Il y a cependant de bonnes raisons Ă  cela. Toutes les plateformes d'Ă©change ne sont pas identiques.

Les grandes plateformes d'Ă©change investissent massivement dans les infrastructures de sĂ©curitĂ©. Binance investit des centaines de millions de dollars dans la sĂ©curitĂ©. C'est logique pour la taille de notre entreprise. La sĂ©curitĂ© touche de nombreux domaines diffĂ©rents : Ă©quipements, rĂ©seaux, procĂ©dures, personnel, surveillance des risques, donnĂ©es importantes, IA, formation, recherche, tests, partenaires tiers et mĂȘme relations internationales avec les forces de l'ordre. Il faut beaucoup d'argent, de personnes et d'efforts pour assurer correctement la sĂ©curitĂ©. Les petites structures n'ont tout simplement pas l'envergure ou les moyens financiers nĂ©cessaires pour le faire. Je risque de recevoir des critiques pour avoir dit cela, mais c'est la raison pour laquelle je dis souvent que, pour la plupart des gens ordinaires, il est plus sĂ»r d'utiliser une plateforme d'Ă©change centralisĂ©e de confiance que de conserver des monnaies par soi-mĂȘme.

Il y a un risque de contrepartie. De nombreux petites/nouvelles plateformes d'Ă©change sont souvent conçues dĂšs le dĂ©part comme une arnaque (exit scam). Ils collectent quelques dĂ©pĂŽts et disparaissent avec vos fonds. Pour cette mĂȘme raison, Ă©vitez les plateformes "non rentables" ou les plateformes offrant des frais nuls, de fortes remises et/ou d'autres avantages de frais nĂ©gatifs. Si leur objectif n'est pas de gĂ©nĂ©rer des revenus appropriĂ©s, vos fonds peuvent trĂšs bien ĂȘtre leur seule cible. Une sĂ©curitĂ© adĂ©quate est coĂ»teuse et nĂ©cessite un financement provenant d'un modĂšle commercial durable. Ne lĂ©sinez pas sur la sĂ©curitĂ© lorsqu'il s'agit de vos fonds. Les grandes plateformes d'Ă©change rentables n'ont aucune raison de pratiquer un exit scam. Si vous gĂ©rez dĂ©jĂ  une entreprise rentable et durable de plusieurs milliards de dollars, quelles sont les raisons qui vous inciteraient Ă  voler quelques millions et Ă  vivre dans la clandestinitĂ© et la peur ?

Les grandes plateformes d'échange sont également plus expérimentées sur le plan de la sécurité. Oui, c'est aussi un risque. Les pirates informatiques ciblent davantage les grandes plateformes. Mais les pirates ciblent également les petites, et certaines d'entre elles sont des cibles bien plus faciles. Les grandes plateformes disposent généralement de 5 à 10 sociétés de sécurité externes qu'elles engagent à tour de rÎle pour effectuer des tests de piratage et de sécurité.

Binance va plus loin que la plupart des autres en termes de sĂ©curitĂ©. Nous investissons massivement dans le big data et l'intelligence artificielle pour lutter contre les pirates et les fraudeurs. Nous avons pu Ă©viter Ă  de nombreux utilisateurs de perdre leurs fonds mĂȘme lorsqu'ils ont fait l'objet d'un Ă©change de cartes SIM (SIM swap). Certains utilisateurs qui utilisent plusieurs plateformes d'Ă©change ont Ă©galement signalĂ© que lorsque leur compte email a Ă©tĂ© piratĂ©, des fonds provenant d'autres plateformes d'Ă©change qu'ils utilisaient ont Ă©tĂ© volĂ©s, tandis que les fonds sur Binance Ă©taient protĂ©gĂ©s parce que notre IA bloquait les tentatives de retrait effectuĂ©es par les pirates. Les petites plateformes ne peuvent pas le faire, mĂȘme si elles le veulent, car elles ne disposent pas de big data.

SĂ©curiser votre compte

Lorsque vous utilisez une plateforme d'échange, il est évidemment important de sécuriser votre compte. Commençons par l'essentiel.

1. SĂ©curisez votre propre ordinateur.

Encore une fois, votre ordinateur est souvent le point le plus faible de toute la chaßne de sécurité. Si vous le pouvez, utilisez un ordinateur dédié pour accéder à votre compte. Installez un logiciel anti-virus commercial dessus (oui, il faut investir dans la sécurité), et un minimum d'autres logiciels indésirables. Activez le pare-feu au maximum.

Jouez Ă  vos jeux, surfez sur le web, tĂ©lĂ©chargez, etc. sur un autre ordinateur. MĂȘme sur cet ordinateur, faites fonctionner l'anti-virus et le pare-feu au maximum. Un virus sur cet ordinateur permettra aux pirates informatiques de se connecter beaucoup plus facilement aux autres ordinateurs du mĂȘme rĂ©seau. Donc, assurez-vous que tout est propre.

Évitez de tĂ©lĂ©charger des fichiers

MĂȘme si vous n'hĂ©bergez pas votre portefeuille sur votre ordinateur, je vous recommande vivement de ne pas tĂ©lĂ©charger de fichiers sur votre ordinateur ou tĂ©lĂ©phone. Si des personnes vous envoient un document Word, demandez-leur de vous envoyer un lien Google doc Ă  la place. S'ils vous envoient un PDF, ouvrez-le dans le Google drive sur un navigateur, et non sur votre ordinateur. S'ils vous envoient une vidĂ©o amusante, demandez-leur de vous envoyer un lien vers celle-ci sur une plateforme en ligne. Oui, je sais que c'est pĂ©nible, mais la sĂ©curitĂ© n'est pas gratuite, et la perte de vos fonds non plus. Consultez tout sur le cloud. Ne tĂ©lĂ©chargez rien en local.

Désactivez également la fonction "enregistrer automatiquement les photos et les vidéos" de vos applications de messagerie instantanée. Beaucoup d'entre elles sont configurées par défaut pour télécharger les GIF et vidéos, mais ce n'est pas une bonne chose en matiÚre de sécurité.

Maintenez vos logiciels Ă  jour

Je sais que toutes les mises Ă  jour systĂšme sont ennuyeuses, mais elles corrigent souvent des failles de sĂ©curitĂ© rĂ©cemment dĂ©couvertes. Les pirates informatiques surveillent Ă©galement ces mises Ă  jour et se servent rĂ©guliĂšrement de ces exploits pour pĂ©nĂ©trer dans les ordinateurs des personnes qui n'ont pas fait le nĂ©cessaire. Les logiciels de portefeuille ou les applications d'Ă©change procĂšdent gĂ©nĂ©ralement de la mĂȘme maniĂšre. Veillez donc Ă  toujours utiliser les derniĂšres versions.

2. SĂ©curisez votre adresse email.

Je recommande d'utiliser un compte Gmail ou Protonmail. Ces deux fournisseurs de messagerie sont en général plus forts que les autres en matiÚre de sécurité. Nous avons constaté un nombre plus élevé de failles de sécurité sur les autres plateformes de messagerie électronique.

Je recommande vivement de créer un compte email unique pour chaque plateforme d'échange que vous utilisez, et de faire en sorte qu'il soit difficile à deviner. Ainsi, si une autre plateforme présente une défaillance, votre compte sur Binance n'en sera pas affecté. Cela permettra également de réduire le nombre d'escroqueries par hameçonnage ou par email ciblé que vous recevrez.

Activez la fonction 2FA pour votre service de messagerie. Je vous recommande vivement d'utiliser Yubikey pour vos adresses email. C'est un moyen efficace de prévenir de nombreux types de piratage, y compris les sites de hameçonnage, etc. Plus d'informations sur la 2FA plus tard.

Si vous vivez dans un pays oĂč des cas d'Ă©change de cartes SIM (SIM swap) ont Ă©tĂ© signalĂ©s, Ă©vitez d'associer votre numĂ©ro de tĂ©lĂ©phone comme mĂ©thode de rĂ©cupĂ©ration pour votre boĂźte email. Nous avons vu de nombreuses victimes d'Ă©change de cartes SIM dont les mots de passe de leurs comptes email ont Ă©tĂ© rĂ©initialisĂ©s et piratĂ©s en consĂ©quence. En gĂ©nĂ©ral, je ne recommande plus d'associer les numĂ©ros de tĂ©lĂ©phone aux comptes email. Maintenez-les sĂ©parĂ©s.

3. SĂ©curisez vos mots de passe.

Utilisez un mot de passe fort et spĂ©cifique pour chaque site. Ne vous embĂȘtez pas Ă  essayer de vous souvenir des mots de passe. Utilisez un outil de gestion de mots de passe. Pour la plupart des gens, LastPass ou 1Password feront probablement l'affaire. Les deux sont bien intĂ©grĂ©s dans les navigateurs, les tĂ©lĂ©phones portables, etc. Tous deux affirment ne stocker les mots de passe que localement, mais peuvent se synchroniser entre les appareils en utilisant uniquement des mots de passe chiffrĂ©s. Si vous ĂȘtes plus sĂ©rieux, optez pour KeePass, ou l'une de ses variantes qui s'adapte Ă  votre systĂšme d'exploitation. KeePass ne stocke les informations que localement. Il ne se synchronise pas entre les appareils et est moins compatible avec les appareils mobiles. Il est open-source, donc vous n'avez pas Ă  vous soucier des accĂšs dĂ©robĂ©s, etc. Faites vos propres recherches et choisissez un outil qui vous convient. Mais n'essayez pas de "gagner du temps" sur ce point en utilisant un mot de passe simple, ou pire, identique partout. Veillez Ă  utiliser un mot de passe fort, sinon le temps que vous gagnerez risque de vous coĂ»ter cher.

Avec tous ces outils, si vous avez un virus sur votre ordinateur, vous ĂȘtes cuit. Alors, assurez-vous d'avoir un bon logiciel antivirus en service.

4. Activez la 2FA.

Il est fortement recommandé d'activer la fonction 2FA (authentification à deux facteurs) sur votre compte Binance juste aprÚs votre inscription, ou dÚs maintenant si vous ne l'avez pas encore fait. Comme ce code 2FA se trouve généralement sur votre téléphone portable, il peut vous protéger dans une certaine mesure contre un email ou un mot de passe compromis.

Cependant, le code 2FA ne vous protĂšge pas contre tout. Vous pourriez avoir un virus sur votre ordinateur qui a volĂ© votre email et votre mot de passe, et en surveillant vos frappes, il peut Ă©galement subtiliser votre code 2FA lorsque vous le saisissez. Vous pourriez ĂȘtre en train d'interagir avec un site de phishing, et entrer votre email, votre mot de passe, puis le code 2FA sur le faux site, et le pirate les utilise pour se connecter Ă  votre vrai compte sur Binance au mĂȘme moment. Les situations potentielles sont nombreuses ; nous ne pouvons pas toutes les Ă©numĂ©rer. Vous devez toujours garder votre ordinateur en parfait Ă©tat et vous mĂ©fier des sites d'hameçonnage (nous y reviendrons plus tard).

5. Mettez en place un U2F.

L'U2F est un dispositif matériel qui génÚre un code unique basé sur la date, qui est également spécifique à un domaine. Yubikey est en quelque sorte le dispositif idéal pour cela. (Bien que de nombreux portefeuilles matériels puissent également faire office de dispositif U2F, ils sont un peu moins conviviaux, nécessitant l'installation d'applications et beaucoup plus de clics pour naviguer).

L'U2F offre trois grands avantages. PremiĂšrement, ils sont basĂ©s sur du matĂ©riel et il est donc presque impossible de dĂ©rober le contenu de l'appareil. DeuxiĂšmement, ils sont spĂ©cifiques Ă  un domaine. Cela vous protĂšge mĂȘme si vous interagissez par inadvertance avec un site de phishing. Et enfin, ils sont trĂšs faciles Ă  utiliser.

Pour les raisons ci-dessus, je vous conseille vivement de lier une Yubikey Ă  votre compte Binance. C'est l'une des meilleures protections contre les pirates informatiques qui volent vos fonds.

Vous devriez également lier votre Yubikey à votre compte Gmail, LastPass et à tout autre compte pris en charge, afin de les protéger également.

6. ArrĂȘtez d'utiliser la vĂ©rification par SMS.

Il fut un temps oĂč la vĂ©rification par SMS Ă©tait prĂ©conisĂ©e, mais les temps ont changĂ©. Compte tenu de l'augmentation des Ă©changes de cartes SIM, nous vous recommandons de ne plus utiliser le systĂšme SMS et de vous fier davantage aux systĂšmes 2FA ou U2F dĂ©crits ci-dessus.

7. Établissez une liste blanche d'adresses de retrait.

Nous vous encourageons vivement à utiliser la fonction de liste blanche de Binance pour les retraits. Cela permet des retraits rapides vers vos adresses validées et rend beaucoup plus difficile aux pirates informatiques d'ajouter une nouvelle adresse pour retirer des fonds.

8. Sécurité de l'API

Beaucoup de nos utilisateurs utilisent les API pour leurs opérations de trading et de retrait. Binance propose plusieurs versions d'API, dont la derniÚre supporte le chiffrement asymétrique, ce qui signifie que nous n'avons besoin que de votre clé publique. Ainsi, vous générez votre clé privée dans votre environnement et vous nous donnez simplement votre clé publique. Nous utilisons votre clé publique pour vérifier que les ordres sont bien les vÎtres et nous n'avons jamais votre clé privée. Vous devez conserver votre clé privée en toute sécurité.

Vous ne devez pas nĂ©cessairement sauvegarder votre clĂ© API de la mĂȘme maniĂšre que vous le feriez si vous conserviez vos propres monnaies. Si vous perdez votre clĂ© API dans ce cas, vous pouvez toujours en crĂ©er une nouvelle. Vous devez juste vous assurer que personne d'autre ne possĂšde une copie de vos clĂ©s API.

9. Complétez le KYC L2.

L'un des meilleurs moyens de protéger votre compte est de passer le niveau 2 du KYC. De cette façon, nous savons à quoi vous ressemblez. Nous pouvons utiliser une vérification vidéo automatisée avancée lorsque notre moteur de gestion des risques big data détecte des anomalies sur votre compte.

C'est Ă©galement important pour la situation oĂč "vous devenez indisponible". Binance est en mesure d'aider les membres de la famille Ă  accĂ©der au compte de leurs proches dĂ©cĂ©dĂ©s, avec une vĂ©rification adĂ©quate.

10. Sécurisez physiquement votre téléphone et vos appareils

Encore une fois, vous devez garder votre tĂ©lĂ©phone en sĂ©curitĂ©. Vous y avez probablement votre application email, l'application Binance et vos codes 2FA. Ne "rootez" ou ne "jailbreakez" pas votre tĂ©lĂ©phone. Cela rĂ©duit considĂ©rablement sa sĂ©curitĂ©. Vous devez Ă©galement assurer la sĂ©curitĂ© physique de votre tĂ©lĂ©phone et installer des verrouillages d'Ă©cran appropriĂ©s. Il en va de mĂȘme pour vos autres appareils. Veillez Ă  ce qu'ils ne tombent pas entre de mauvaises mains.

11. Méfiez-vous des tentatives d'hameçonnage

Méfiez-vous des tentatives d'hameçonnage. Elles se produisent généralement par email, SMS ou via les réseaux sociaux, avec un lien vers un faux site qui ressemble à Binance. Ce site vous invitera à saisir vos identifiants, et les pirates les utiliseront pour accéder à votre véritable compte Binance.

La prĂ©vention du hameçonnage ne demande que de la vigilance. Ne cliquez pas sur les liens dans les emails ou sur les rĂ©seaux sociaux. N'accĂ©dez Ă  Binance qu'en tapant l'URL ou en utilisant un favori. Ne partagez pas votre email avec d'autres parties. N'utilisez pas le mĂȘme email sur d'autres sites. Soyez prudent lorsque des Ă©trangers (en particulier des types nommĂ©s CZ ou autres) vous parlent soudainement sur Telegram, Instagram, etc.

Dans l'ensemble, si vous respectez les conseils ci-dessus, votre compte Binance devrait ĂȘtre relativement sĂ»r.

Alors, qu'est-ce qui est le mieux ?

Je recommande gĂ©nĂ©ralement aux gens d'utiliser Ă  la fois les plateformes d'Ă©change centralisĂ©es et leur propre portefeuille. Si vous n'ĂȘtes pas trĂšs douĂ© pour la technologie, je vous recommande d'utiliser davantage Binance et un portefeuille de dĂ©penses (TrustWallet) pour vos propres besoins. Si vous ĂȘtes techniquement fort, alors ajustez ces portions.

Les plateformes d'échange centralisées font l'objet d'une maintenance de temps en temps, et si vous devez effectuer une transaction juste à ce moment-là, il est pratique d'avoir un portefeuille séparé disponible.

Quelques autres sujets

Il y a beaucoup d'escroqueries partout.

Les gens créent de faux comptes de réseaux sociaux qui ressemblent à des comptes populaires, tels que @cz_binance_, et essaient de vous convaincre de leur envoyer des fonds. Souvenez-vous d'une rÚgle : n'envoyez pas d'argent aux gens à moins que ce ne soit vous qui vouliez faire la transaction en premier. Utilisez toujours deux canaux différents pour vérifier que la personne à qui vous envoyez des fonds est la bonne.

Si CZ s'approche soudainement de vous et vous demande d'une maniÚre ou d'une autre, par le biais d'une histoire trÚs convaincante, de lui transférer des fonds, veuillez le signaler immédiatement.

Si votre ami vous envoie soudainement un SMS vous demandant de lui envoyer des cryptos en urgence, appelez le pour vĂ©rifier ou demandez lui d'envoyer une courte vidĂ©o pour vĂ©rifier. Supposez que son compte de messagerie vient d'ĂȘtre piratĂ©, ou que quelqu'un lui a volĂ© son tĂ©lĂ©phone.

Arnaques sur YouTube

Les arnaqueurs sur YouTube ont fait preuve d'intelligence en montant de fausses vidéos de CZ procédant à des airdrops, etc. Encore une fois, signalez-les quand vous les rencontrez.

Arnaques sociales

Ne tombez pas dans le piÚge des distributions de cadeaux qui vous demandent d'envoyer d'abord quelques monnaies à une adresse donnée pour en recevoir d'autres en retour. Vous n'en aurez pas.

Rappelez-vous une rĂšgle simple : soyez prudent lorsque vous envoyez des cryptos.

Ne cliquez jamais sur les liens dans les emails.

Ne cliquez JAMAIS sur un lien dans un email et entrez ensuite votre nom d'utilisateur ou votre mot de passe sur le site. C'est toujours un piÚge. D'ailleurs, ne suivez jamais un lien sur un réseau social, puis inscrire ses identifiants non plus.

Considérez-les comme, par défaut, des liens vers des sites de hameçonnage. Ne les utilisez pas.

Saisissez toujours manuellement l'URL de votre plateforme d'échange de cryptos préférée. Apprenez à orthographier correctement Binance.com, ou utilisez un favori.

En conclusion

Vous ĂȘtes arrivĂ© Ă  la fin de cet article, je vous fĂ©licite. J'espĂšre que cet article vous aidera Ă  avoir une meilleure comprĂ©hension de la sĂ©curitĂ© afin de mieux protĂ©ger vos fonds. Si vous suivez les conseils dĂ©crits ici, vous devriez ĂȘtre en mesure de conserver vos capitaux de maniĂšre relativement sĂ»re, que ce soit par vous-mĂȘme ou sur Binance.

CZ