Grand livre 101 - Partie 3: Meilleures pratiques lors de l'utilisation d'un portefeuille matériel

Les versions précédentes de la série Ledger 101 ont montré la nécessité d’utiliser un portefeuille matériel ainsi que l’importance d’utiliser des puces sécurisées pour les construire.

Les portefeuilles matériels vous permettent de posséder et de contrôler vos actifs cryptographiques. Mais avec de grands pouvoirs viennent de grandes responsabilités: être votre propre banque n’est certainement pas anodin et exige de la discipline. L’utilisation d’un portefeuille matériel ne vous rend pas invincible contre l’ingénierie sociale, les menaces physiques ou les erreurs humaines. Vous devez toujours faire preuve de bon sens et appliquer les principes de sécurité de base.

Il y a cinq règles d'or de base

  • Ne partagez jamais votre phrase de récupération de 24 mots, sous quelque forme que ce soit, avec qui que ce soit.
  • Ne stockez jamais votre phrase de récupération sur un ordinateur ou un smartphone.
  • Protégez physiquement votre feuille de récupération pour vous assurer que vous ne pourrez pas la perdre ou la détruire par accident.
  • Ne faites confiance qu'à ce que vous pouvez voir sur l'écran de votre portefeuille matériel. Vérifiez votre adresse de réception et les informations de paiement sur votre appareil.
  • Traitez toujours les informations affichées sur l'écran de votre ordinateur ou de votre smartphone avec prudence. Supposons que le logiciel puisse être compromis à tout moment.

La phrase de récupération de 24 mots

Lorsque vous initialisez votre portefeuille matériel pour la première fois, vous serez invité à écrire 24 mots sur une feuille de récupération. Ces 24 mots sont appelés une phrase de récupération et constituent une sauvegarde lisible par l'homme à partir de laquelle toutes vos clés privées sont dérivées. Ils sont utilisés pour restaurer l'accès à vos actifs cryptographiques sur un autre appareil du grand livre ou tout autre portefeuille compatible.

Feuille de récupération du grand livre contenant la phrase de récupération de 24 mots

Principes généraux de sécurité

Vous avez besoin d'accéder à votre phrase de récupération pour deux raisons fondamentales:

  • Perte ou destruction de votre portefeuille matériel: vous pouvez entrer votre phrase de récupération sur un nouvel appareil pour récupérer un accès complet à vos ressources cryptographiques;
  • Clonage vers un nouvel appareil: en entrant vos 24 mots sur un autre appareil, vous serez en possession de deux portefeuilles matériels que vous pouvez utiliser indépendamment. Par exemple, un au bureau et un chez vous, vous évitant de le transporter tout le temps. Une autre raison de cloner un périphérique serait lors de la mise à niveau vers un modèle plus récent.

Comme vous pouvez facilement en déduire, toute personne ayant accès à ces 24 mots obtiendrait un accès immédiat à vos ressources cryptographiques. Le code PIN sur votre portefeuille matériel est une protection liée uniquement à votre appareil et est totalement inutile pour la récupération de clés privées.

Par conséquent, il est de la plus haute importance que votre phase de récupération soit correctement sécurisée. Tout compromis, à tout moment, pourrait entraîner des pertes catastrophiques;

  • Ne prenez jamais une photo de votre feuille de récupération. Votre smartphone n'est pas sûr et, pire, il pourrait être automatiquement téléchargé sur votre stockage en nuage;
  • N'entrez jamais votre phrase de récupération sur un ordinateur ou un smartphone: vous pourriez avoir des enregistreurs de frappe et le stockage de ces informations en ligne (même cryptées) annule complètement l'utilisation d'un portefeuille matériel;
  • Ne jamais montrer ou partager vos 24 mots à quiconque (y compris les amis et la famille). Si vous décidez de partager, sachez qu'ils ont un accès potentiel à tous vos actifs de chiffrement, à tout moment et sans moyen facile de révoquer l'accès.
  • Conservez votre feuille de récupération dans un endroit sûr, à l’abri du soleil, de l’humidité et du feu. S'il est détruit pour une raison quelconque, vous devez immédiatement déplacer votre crypto vers un portefeuille matériel nouvellement configuré.

En outre, il est essentiel de vous assurer que vous avez généré vous-même la phrase de récupération de 24 mots. Jamais, jamais, utilisez un appareil préconfiguré. N'utilisez jamais, jamais, un ensemble de 24 mots fournis ailleurs que sur l'appareil lui-même. Vous devez vous assurer que vous êtes le seul au monde à connaître cette phrase de récupération spécifique.

La disponibilité de votre phrase de récupération étant cruciale, vous pouvez vérifier que vous l'avez bien écrite et que vous pouvez réellement la lire sans erreur. Pour un Ledger Nano S, vous pouvez le vérifier avec l'application Check Check. Cette application vous permet d'entrer votre phrase de récupération de 24 mots et de vérifier si elle correspond aux clés privées de votre appareil. Veuillez vous référer à la vidéo dédiée pour plus d'informations.

Principes généraux de sécurité

Avoir un portefeuille matériel configuré avec une sauvegarde vérifiée dans un endroit sécurisé peut vous protéger contre une attaque numérique, mais vous êtes toujours vulnérable aux menaces physiques potentielles telles qu'un cambriolage ou une prise d'otage. C'est pourquoi vous devez suivre ces règles de base:

  • Ne dites jamais à personne que vous possédez des crypto-devises. Si vous le faites, assurez-vous de garder pour vous la valeur réelle de vos actifs. Si les gens vous demandent combien de bitcoins vous possédez, renvoyez simplement la question en leur demandant combien d’euros / dollars ils possèdent;
  • Si vous êtes actif dans la communauté de crypto-monnaie en ligne, protégez votre véritable identité et gardez toujours à l'esprit les informations que vous partagez. Vous ne voulez pas devenir la cible d'un hold-up;
  • Ne conservez pas votre feuille de récupération dans un coffre-fort à la maison. Un coffre bancaire est beaucoup plus sécurisé. Ne pas avoir un accès immédiat à votre sauvegarde augmente votre résilience aux menaces physiques;
  • Si vous avez un grand nombre de monnaies cryptées auxquelles vous n'avez pas besoin d'accéder fréquemment, conservez également votre portefeuille matériel dans la banque. Vous pouvez utiliser un autre portefeuille matériel avec des quantités inférieures pour une utilisation fréquente.

Ne faites confiance qu'à votre portefeuille matériel

Votre portefeuille matériel nécessite une application complémentaire pour interagir avec vous et pour accéder à Internet. Vous pouvez ainsi consulter votre solde sur votre ordinateur, obtenir l'historique de vos transactions et diffuser de nouvelles transactions. Ledger Live est la propre application de Ledger disponible pour PC, Mac et Linux. Les appareils Ledger fonctionnent également avec des applications qui ne sont pas conçues par Ledger.

En principe, il est très difficile de vérifier l’intégrité du logiciel sur votre ordinateur. Vous devez donc supposer que votre ordinateur est compromis et que ce que vous voyez sur votre écran pourrait être manipulé.

Vous ne pouvez faire confiance qu'à votre portefeuille matériel.

Mesures de sécurité pour vérifier votre adresse de réception

Lorsque vous devez partager votre adresse de réception afin que vous puissiez recevoir un paiement, vous devez prendre des mesures supplémentaires afin de ne pas devenir la victime d’un homme au milieu d’une attaque. Un attaquant ayant le contrôle de l'écran de votre ordinateur pourrait vous montrer une adresse erronée qui ferait de lui le bénéficiaire de toute transaction qui lui serait envoyée.

Vous devez vérifier l'adresse de réception affichée sur votre écran en l'affichant sur votre appareil.

Lorsque vous demandez une adresse de réception sur Ledger Live, vous êtes invité à connecter votre portefeuille matériel et à ouvrir l'application correspondante. L’adresse apparaîtra alors sur l’affichage sécurisé de l’appareil et vous pourrez vérifier qu’elle correspond à celle qui est affichée à l’écran.

Si vous utilisez le code QR pour transmettre l'adresse, assurez-vous de vérifier l'adresse après l'avoir numérisée.

Si vous utilisez un portefeuille logiciel sans cette fonctionnalité (de nombreuses applications tierces sont compatibles avec les appareils Ledger), nous vous recommandons d’envoyer d’abord une petite quantité afin de vous assurer que vous l’avez bien reçue. Ce test devrait idéalement être effectué sur un autre ordinateur. Vous pouvez réutiliser l'adresse que vous venez de vérifier pour le test.

Mesures de sécurité pour vérifier l'adresse du bénéficiaire

Lorsque vous souhaitez envoyer une transaction, l'adresse du destinataire est généralement indiquée sur une page Web ou via un service de communication. Une attaque triviale contre un logiciel malveillant consisterait à remplacer cette adresse par une des siennes. Certains logiciels malveillants surveillent simplement le Presse-papiers pour remplacer l'adresse que vous venez de copier par une appartenant à l'attaquant.

Pour éviter de devenir victime de cette attaque, vérifiez toujours l'adresse du bénéficiaire sur l'appareil avant d'approuver la transaction et vérifiez-la toujours à l'aide d'un deuxième canal de communication. Par exemple, demandez que l'adresse soit envoyée par SMS ou par une autre application de messagerie afin de pouvoir la vérifier. Si vous déposez dans un échange, envoyez d'abord un petit montant et vérifiez qu'il est bien arrivé avant d'envoyer des montants plus importants.

Être sa propre banque n’est pas anodin et exige de la discipline. Avoir un portefeuille matériel ne vous rend pas invincible. Mais nous espérons que ces conseils de sécurité vous aideront à vous protéger lorsque vous les utilisez.

Comme toujours, utilisez votre bon sens. Ne faites pas confiance, vérifiez.