Comment (vraiment) sécuriser ses fonds contre le piratage?

Ces derniers temps,  la technologie blockchain a été victime de nombreux faits de piratage.

En quelques jours, ce sont près de 98 millions de dollars qui ont été détournés par deux piratages. L’un ciblant le site d’une ICO et changeant l’adresse du portefeuille de celle-ci,  l’autre en utilisant une faille dans des wallets Parity. Ces attaques, qui sont vouées à être de plus en plus fréquentes au fur et à mesure que l’intérêt pour les crypto-monnaies grandit, ne visent cependant pas seulement les entreprises et les logiciels. En effet, des campagnes de phishing et de piratages informatiques vers les particuliers sont aussi recensés en très grand nombre.

Message d’un utilisateur du forum finance jeuxvideo.com ayant vu ses fonds détournés

Nous verrons donc ici les quelques étapes à suivre pour éviter un maximum d’être piraté. Ces étapes vont des plus basiques aux plus sécurisées et sont bien évidemment complémentaires.

1- Choisir un mot de passe unique et robuste

Cela peut sembler être évident pour certains, mais de trop nombreuses personnes continuent à utiliser des mots de passe soit trop simples à deviner, soit utilisés pour d’autres comptes. Sachez que c’est la meilleure façon de finir avec les poches vides car si un seul de ces comptes est compromis, les autres le seront aussi. C’est d’ailleurs à cause d’un mot de passe déjà réutilisé que le compte twitter de Mark Zukerberg a été piraté après le leak des bases de données de Linkedin. Ne pensez surtout pas qu’un gros site ne pourra pas voir sa base de données fuiter et utilisez donc un mot de passe fiable d’au moins 8 caractères aléatoires SUR CHAQUE SITE (oui, y-compris Gmail car si votre gmail se fait pirater, le reste de vos comptes aussi).

Si vous ne voulez pas vous embêter à retenir ces mots de passe (le plus souvent les personnes négligent la sécurité pour plus de praticité), sachez qu’il existe des logiciels comme Dashlane ou Lastpass qui vous permettent de générer des mots de passe aléatoires, de les retenir pour vous et de remplir les champs automatiquement. Vos données peuvent être sauvegardées sur le cloud, mais pas de panique celles-ci sont envoyées chiffrées, ce qui rend impossible pour n’importe qui y compris des Etats de lire vos données si jamais les serveurs sont piratés. Vous seul possédez la clé alors ne la perdez pas car ces entreprises non plus n’ont pas accès à vos données.

Nous avons fait une analyse des risques et sachez que sauvegarder les données sur ce type d’application est plus sécurisé encore que de les avoir dans vos têtes. En effet, comme nous venons de le voir, il n’y a absolument aucun danger en cas de piratage des serveurs. Le seul risque potentiel est donc que votre ordinateur soit infecté. Or si vous retenez les mots de passe et que vous les tapez sur votre PC, n’importe quel hackeur y aura accès avec un enregistreur de frappe. Ce n’est pas le cas dans l’autre situation car les programmes remplissent automatiquement les champs sans utiliser votre clavier. Si les pirates compromettent le mot de passe qui vous sert à accéder à Dashlane, ils ne pourront pas non plus s’en servir sur leurs ordinateurs. Cela est dû au fait qu’un sms de confirmation vous est envoyé quand vous vous connectez à partir d’un nouveau poste. Ajoutons à cela le fait qu’il génère des mots de passe aléatoires jusqu’à 100 caractères et qu’il ne remplit pas les pages de phishing, vous comprenez vite que cela n’est pas moins robuste.

2- Choisir un bon anti-virus et un anti-keylogger

Cela va de soit, un anti-virus est la sécurité de base à avoir. Si vous êtes sur Mac ou sur Linux, des virus dont des RATs sont aussi utilisés pour ces plateformes à des fins malveillantes. Même si la chance que vous en attrapiez un est bien plus faible, il est toujours bon d’installer un anti-virus sur ces systèmes.

Évidemment, un anti-virus n’est pas la solution miracle et il est toujours possible qu’un virus passe à travers les mailles du filet. Voici pourquoi il faut aussi installer un anti enregistreur de frappe. Les touches de votre clavier seront mélangées ce qui rend le déchiffrement de ce que vous écrivez impossible même si un keylogger est installé. Vous pouvez utiliser par exemple Keyscrambler (disponible pour Windows uniquement, la version gratuite ne protège que les navigateur plus d’info sur les compatibilités ici).

3- Regardez TOUJOURS l’adresse des liens

Encore une fois c’est tout bête mais ça doit devenir un automatisme. Même les liens comme https://myetherwallet.com peuvent rediriger ailleurs. Alors faites attention où vous entrez vos identifiants. (pour ceux qui n’auraient pas lu le 1, Dashlane et Lastpass ne remplirons pas les champs dans ce cas).

4- La méthode de la rédaction, l’alias des courriels

Ceci est une méthode maison mais elle n’en est pas moins redoutable pour éviter le phishing reçu par mail, savoir d’où viennent tous vos spam, et éviter qu’on connaisse l’identifiant des sites que vous utilisez.

Vous ne le savez peut-être pas mais la plupart des services mails ont une petite fonctionnalité idéale: les alias. Imaginons que votre e-mail soit exemple@gmail.com. Vous pouvez recevoir des mails sur la même boite en donnant comme adresse exemple+test@gmail.com en remplaçant test par ce que vous voulez. Essayez chez vous avec votremail+cryptoactu@fournisseur.extension, vous verrez 🙂

l’email de base est crypto224@gmail.com

Vous ne voyez pas où nous voulons en venir? C’est très simple! Il vous suffit de fournir un mail différent à chaque site. Par exemple votremail+bittrex@gmail.com pour Bittrex, votremail+facebook@gmail.com etc etc..

Grâce à cela, vous pourrez identifier immédiatement quel site a vendu vos données à des spammeurs mais aussi savoir qu’un mail est un scam si ce dernier n’a pas le bon +texte après l’email. Vous pouvez même compliquer la tâche en mettant votreemail+bittrex1@gmail.com et votreemail+faceb@gmail.com pour que personne ne puisse connaître l’email de connexion entre deux sites.

5- La double authentification (TRÈS important)

On ne vous le dira jamais assez, mettez la double authentification partout ou vous pouvez, et de préférence pas par sms pour éviter la faille SS7 (même si il y a vraiment très peu de chance que ça vous arrive sauf si vous êtes multi-milliardaire et que des hackeurs sont à vos trousses). Si jamais quelqu’un se connecte à un site sur lequel vous avez des fonds et avec vos bons identifiants, il devra ensuite saisir le code généré sur votre téléphone pour y accéder. Authy, Google Authentificator

Si vous avez un wallet en dur, vous n’êtes pas concernés.

6.1- Un wallet en dur

L’utilité d’un wallet en dur par rapport à un wallet en ligne est que si le second se fait pirater, vous pouvez oublier l’argent que vous avez mis dessus. Cela est arrivé à de multiples reprises et avec les piratages de ces derniers temps, il n’est pas impossible que cela se produise à nouveau.

L’inconvénient est la longue synchronisation de la blockchain mais certains wallets permettent d’accélérer le processus. Imprimez la clé privée et mettez-la dans un endroit sûr voir dans un coffre en banque (en général un coffre en banque coûte aux alentours de 100€ par an). Si votre ordinateur tombe en panne, il vous suffit d’utiliser cette clé pour acceder à nouveau aux fonds que vous possédez sur la blockchain.

6.2- Un portefeuille physique

Un portefeuille physique (aussi appelé cold wallet) est une clé très sécurisée qui permet de faire des transactions sans jamais entrer la clé privée ou le mot de passe sur votre ordinateur (impossible donc aux pirates de le récupérer).

Il possède donc les avantages sécuritaires d’un wallet en dur et la commodité d’un wallet en ligne, mais sans leurs défauts.

Vous trouverez plus d’information dans notre test complet du Ledger Nano S, qui est un portefeuille physique.

Conclusion: Si vous possédez de l’argent cryptographique, soyez extrêmement vigilant à ce que vous faites car il suffit de peu pour tout perdre.

 

 

CryptoActu se veut être un média particulièrement objectif et impartial dans ses propos. Les règles éditoriales que nous avons mises en place interdisent à l’équipe rédactionnelle de conseiller des mouvements et des positions de trading ou d’investissement.

Commentaires

Advertisment ad adsense adlogger