Équilibrer sécurité et facilité d’utilisation

Équilibrer sécurité et facilité d’utilisation

Vidt crypto

L’offre de Bitcoin est plafonnée à 21 millions, mais une proportion importante de cette somme totale est probablement perdue à jamais. Cette situation est due à diverses raisons telles que la perte de clés privées et la mise au rebut de périphériques de stockage contenant des quantités importantes de Bitcoin (BTC).

Lorsque les propriétaires de Bitcoin ne sont pas négligents avec les mots de passe de leur portefeuille, ils peuvent parfois être ciblés par des pirates informatiques qui cherchent à voler leur précieuse crypto. Ceux qui utilisent des solutions de garde tierces placent leur fortune Bitcoin à la merci des protocoles de sécurité adoptés par ces services.

En effet, plusieurs vecteurs d’attaque sont constamment utilisés pour essayer d’accéder aux fonds Bitcoin des gens. Ces exploits, qui vont du plus simple au plus sophistiqué, ciblent toutes les faiblesses perçues inhérentes à toute méthode de stockage.

Pas vos clés, pas vos coins

Les échanges cryptographiques s’adressent à des millions de clients, et il est raisonnable de supposer qu’une proportion importante de ce nombre utilise ces services en tant que dépositaire principal de Bitcoin. Dans le cadre d’un tel accord de garde, le propriétaire de la crypto-monnaie ne possède pas la clé privée du portefeuille.

«Pas vos clés, pas vos coins» est un refrain populaire dans l’espace crypto, et la maxime sert à avertir les gens des risques impliqués dans le stockage de crypto-monnaies avec des entités tierces. En effet, le paysage de la cryptographie est parsemé de nombreux hacks d’échange où des cybercriminels ont pénétré par effraction dans des portefeuilles de plate-forme mal sécurisés pour voler les fonds des clients.

Parfois, l’échange se remet du vol, et d’autres fois, la plate-forme fait faillite. Mt. Gox et QuadrigaCX sont des exemples de ce dernier, les clients concernés s’efforçant toujours de récupérer leurs fonds.

Ces jours-ci, les bourses tentent de mettre à niveau leurs protocoles de sécurité pour éviter les piratages. Les échanges détenant des sommes cryptographiques non assurées et substantielles dans des portefeuilles chauds vulnérables sont désormais fortement découragés. Certaines plateformes font encore cette grave erreur et en paient souvent le prix.

La criminalistique cryptographique évolue également de jour en jour, ce qui rend plus difficile pour les cybercriminels de liquider leur butin. Au total, 2020 a vu une baisse significative du nombre de vols liés à la cryptographie avec des acteurs voyous qui auraient volé 3,8 milliards de dollars à plus de 120 attaques tout au long de l’année. Cependant, l’émergence d’échanges décentralisés a ouvert un autre moyen pour les criminels de blanchir de l’argent.

La réduction observée en 2020 a brisé une tendance de quatre ans à l’augmentation de la criminalité liée aux crypto-monnaies. Cependant, la finance décentralisée semble maintenant être le nouveau terrain de jeu pour les voleurs de crypto et autres acteurs voyous, le nouveau créneau du marché représentant plus de la moitié de la crypto-monnaie volée en 2020.

Pas de balle magique

En ce qui concerne la sécurité robuste du stockage Bitcoin auto-hébergé, il est peut-être important de réaliser qu’il n’existe pas de solution miracle. En effet, Ruben Merre, PDG du fabricant de portefeuilles matériels NGrave, a abordé ce point, expliquant à Crypto que les propriétaires de BTC sont souvent déchirés entre le choix de conserver leurs coins sur des échanges avec une sécurité réduite ou dans des portefeuilles froids qui ne sont généralement pas conviviaux.

En théorie, chaque méthode concevable pour détenir BTC comporte des compromis, et certains des inconvénients associés à l’un de ces systèmes peuvent servir de point d’entrée pour les acteurs malveillants.

Prenons par exemple les appareils à vide. À première vue, isoler simplement un ordinateur d’Internet devrait offrir une sécurité robuste contre les piratages. Cependant, selon une étude récemment publiée par Mordechai Guri, chercheur en cybersécurité à l’Université Ben-Gurion du Néguev, il est possible de «générer des signaux Wi-Fi secrets à partir d’ordinateurs à vide».

Dans le document de recherche, Guri a établi que «les réseaux à vide ne sont pas à l’abri des cyberattaques». En effet, un pirate informatique qualifié peut exfiltrer des données sensibles telles que les identifiants de keylogging et la biométrie à partir d’ordinateurs à vide.

Peut-être encore plus alarmantes sont les parties de l’étude de recherche consacrées aux moyens possibles d’exfiltration de données à partir d’ordinateurs à vide placés dans des cages de Faraday, des enceintes blindées qui bloquent les champs électromagnétiques. Ainsi, se fier uniquement à un portefeuille Bitcoin stocké dans un ordinateur isolé d’Internet peut ne pas être aussi sécurisé qu’on le pensait auparavant. Une personne utilisant cette méthode peut avoir besoin d’exécuter des brouilleurs de signal en continu.

Ensuite, il existe des portefeuilles matériels qui offrent une sécurité robuste avec des clés privées stockées hors ligne. Bien que ces appareils s’interfacent avec un ordinateur lorsqu’ils sont utilisés, ils ne se connectent jamais réellement à Internet.

Un propriétaire de portefeuille matériel doit soit crypter ses clés, soit les stocker dans un endroit sûr. Pour le premier, si le cryptage est effectué à l’aide d’un ordinateur connecté ou qui sera connecté à Internet, il existe un risque important de perdre les clés à cause d’un malware.

Un utilisateur peut même utiliser toutes les mesures de sécurité disponibles avec les portefeuilles matériels et perdre tout de même son Bitcoin. Le fabricant de portefeuilles matériels Ledger a subi de graves violations conduisant au vol d’informations sensibles sur les clients. Avec leurs numéros de téléphone et leurs adresses personnelles à découvert, plusieurs clients de Ledger sont menacés d’attaque physique.

Pour l’ancien développeur principal de Monero, Riccardo Spagni, l’incapacité de Ledger à protéger les informations client a exacerbé la nature difficile de l’auto-conservation sécurisée des crypto-monnaies, déclarant à Crypto:

«Sécuriser Bitcoin est difficile et les gens surestiment souvent leurs capacités techniques. Cela est rendu doublement complexe par des entreprises, comme Ledger, qui ne parviennent pas à sécuriser les données des clients. Ledger est incroyablement compétent pour créer un portefeuille matériel sécurisé qui est également facile à utiliser, mais les clients sont surpris par l’ingénierie sociale en raison de la fuite de leurs données client. Cela rend le stockage Bitcoin robuste encore plus difficile. »

Quelques suggestions utiles

Une enquête en cours par NGrave a révélé que 25% des utilisateurs de crypto ne sécurisent pas leurs coins aussi bien qu’ils le pensent. Bien que les portefeuilles matériels n’offrent peut-être pas la facilité d’utilisation associée au maintien de Bitcoin sur un échange, le consensus parmi les commentateurs était que l’ancienne option reste la méthode la plus sûre.

Selon Merre, lorsque l’utilisateur choisit de posséder ses propres actifs, il ne peut plus utiliser le modèle d’échange centralisé et doit passer à des échanges décentralisés, ou des portefeuilles actifs, comme les applications mobiles, ajoutant:

«Avec toutes les solutions en ligne, vous avez un certain niveau de commodité car tout est facilement accessible, mais vous renoncerez à beaucoup de sécurité. Par exemple, votre portefeuille actif vous donnera une clé privée pour commencer, et par conséquent, le premier point de contact de cette clé est immédiatement avec Internet. Un énorme risque de sécurité déjà. »

Pour Spagni, l’auto-garde Bitcoin pour les moins avertis en technologie est un équilibre entre sécurité et facilité d’utilisation. Les méthodes les plus simples ont tendance à avoir le moins de sécurité et les méthodes les plus sûres nécessitent quelques protocoles de configuration.

En novembre 2020, Matt Odell de Whirlpool Stats a tweeté sa configuration de stockage Bitcoin préférée qui combinait l’exécution de Bitcoin Core et le portefeuille de bureau Spectre avec un portefeuille matériel ColdCard. Selon Odell, l’installation coûte environ 150 $ et nécessite au moins 10 gigaoctets d’espace de stockage. Spectre fonctionne directement avec Bitcoin Core, donc la combinaison des deux élimine le besoin d’exécuter un serveur Electrum. L’utilisateur peut alors vérifier directement les transactions sur ColdCard.

Pour les utilisateurs qui pourraient trouver la configuration ci-dessus trop intimidante, il est important d’inclure autant de couches de sécurité que possible en plus de la méthode de stockage choisie. Il s’agit notamment de l’authentification à deux facteurs et des clés cryptées, entre autres.

Il est également important de noter que les sauvegardes et les processus de récupération des protocoles de sécurité supplémentaires doivent être soigneusement stockés. Selon Spagni, les propriétaires de Bitcoin devraient traiter les informations telles que les mots de départ, les mots de passe de portefeuille, les phrases de passe et les clés de cryptage comme s’il s’agissait de lingots d’or physiques et les garder en sécurité.

L’incapacité de se souvenir des données clés du portefeuille a conduit de nombreux propriétaires de Bitcoin à se retirer de leurs comptes. Jusqu’à 3,7 millions de BTC, soit 20% de l’approvisionnement en circulation, seraient perdus à jamais. Quelques exemples de telles histoires incluent un ingénieur informatique jetant accidentellement son BTC à la poubelle et offrant maintenant 72 millions de dollars pour une opportunité de le déterrer. Pendant ce temps, un autre passionné de crypto débutant a oublié un mot de passe pour son disque dur contenant environ 266 millions de dollars en BTC et il ne lui reste plus que deux tentatives de mot de passe pour déverrouiller sa cachette ou il sera perdu à jamais.

Pour éviter d’ajouter à cette triste statistique, il est important de traiter les mots de départ, les clés de chiffrement et autres comme des données précieuses et de les protéger en conséquence.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *