Après le piratage retentissant de la plateforme d’échange Bitfinex, qui a récemment perdu 119 756 bitcoins (plus de 60 millions d’euros), un point s’impose sur la façon de sécuriser vos cryptomonnaies. Le vol ou la perte d’actifs virtuels n’est pas un événement hypothétique… Aperçu des moyens les plus simples de limiter vos risques.

Il existe aujourd’hui plusieurs degrés de sécurité, chaque degré entraînant davantage de contraintes à l’utilisation :

Il existe plusieurs méthodes pour sécuriser vos ethers.

  • Sécurité 0 : Une plateforme d’échange.
  • Sécurité 1 : Un portefeuille dont la clé privée est conservée sur support numérique
  • Sécurité 2a : Un « paper wallet ».
  • Sécurité 2b : Un « hardware wallet ».

Sécurité 0 : Une plateforme déchange

Si vous stockez aujourd’hui vos ethers sur une plateforme d’échange et que vous n’avez pas une activité de trading, il vous est fortement conseillé de les en retirer. C’est sur les échanges que vos ethers sont les plus exposés.

L’un des intérêts principaux de la blockchain est de bénéficier d’un registre sécurisé par des méthodes cryptographiques. Si vos ethers sont sur la blockchain, il est en théorie impossible de les pirater, sauf à voler votre clé privée. En laissant vos ethers chez Kraken par exemple, vous abandonnez cet avantage et faites confiance à Kraken pour conserver vos ethers et la clé privée du compte sur lequel ils sont stockés, de la même façon que vous faites confiance à une banque lorsque vous lui confiez votre argent. Mais les échanges offrent beaucoup moins de garanties que les banques : ils ne sont pas soumis aux mêmes règlementations bancaires strictes et ils peuvent plus facilement faire l’objet d’un piratage. En pratique, de nombreuses plateformes d’échange ont été piratées ces dernières années, par exemple Mt.Gox, Cryptsy, Poloniex, BTer, ShapeShift, GateCoin et très récemment Bitfinex… Le dépôt d’ethers sur ces plateformes d’échange comporte donc un fort risque qui s’est matérialisé de nombreuses fois. Et au-delà du piratage de la plateforme entière, vous pouvez aussi simplement vous faire pirater votre compte sur la plateforme.

En contrepartie, il est plus simple de gérer ses ethers directement sur un échange que sur un compte dont vous détenez la clé privée. Si vous perdez votre mot de passe, il suffit d’en demander un nouveau à l’échange. Et si vous faites du trading, il est compliqué de retirer et déposer en permanence vos cryptomonnaies sur la plateforme.

Si, malgré ces avertissements, vous souhaitez laisser vos ethers sur un échange, une étape de sécurisation reste essentielle : lactivation de lauthentification à deux facteurs (ou 2FA pour Two-Factor Authentication). Tous les échanges sérieux proposent cette fonction (Kraken et Poloniex notamment) qui consiste à ajouter une sécurité supplémentaire au mot de passe habituel, en passant par exemple par l’application Google Authenticator.  Une fois cette option activée, le site vous demandera un mot de passe temporaire généré par l’application toutes les X secondes en plus de votre de mot de passe habituel. Vous pouvez l’activer pour toutes les opérations (connexion, retrait, achat/vente d’ethers) ou seulement pour certaines. Si vous avez un comptez chez Kraken, l’activation du 2FA se fait dans l’onglet Security puis TwoFactor Authentication. Si vous utilisez l’application Google Authenticator, sélectionnez le protocole Google Authenticator, TOTP Mode. Plus d’informations sur ce lien. Veillez aussi à sauvegarder la clé fournie en cas de perte de votre téléphone.

Ce double degré ne suffira pas à vous protéger en cas de piratage de la plateforme mais devrait rendre la tâche d’un pirate s’attaquant à votre compte plus complexe.

Passons maintenant à une étape de sécurité supplémentaire : le dépôt de vos ethers dans un compte dont vous détenez la clé privée au format numérique.

Sécurité 1 : Un portefeuille dont la clé privée est conservée sur support numérique

C’est la solution recommandée sur ce site pour conserver la maîtrise de vos ethers. Il s’agit de créer un compte personnel à l’aide de Mist ou de MyEtherWallet en choisissant un mot de passe pour chiffrer le compte et y envoyer ensuite vos ethers. Après de la création du compte, vous sauvegardez le fichier contenant la clé privée de votre compte sur votre disque dur et en faites une sauvegarde sur une clé USB / un autre moyen, afin de pouvoir le récupérer en cas de panne de votre ordinateur.

En procédant ainsi, le risque lié au piratage de l’échange disparaît naturellement. Vous détenez vous-même vos possessions virtuelles. Vous en devenez cependant l’unique responsable et introduisez donc d’autres problématiques :

  • le vol de votre clé privée par une personne malintentionnée, qui connaîtrait votre mot de passe ou qui l’aurait obtenu par un logiciel espion installé sur votre ordinateur (keylogger, etc.).
  • la perte du fichier contenant votre clé privée qui permet d’accéder au compte ou l’oubli du mot de passe que vous avez choisi pour la chiffrer. Si vous perdez la clé privée, vous n’avez aucun moyen de la récupérer. Si vous perdez votre mot de passe, il vous reste l’espoir de vous en souvenir plus tard (ou de faire appel à un service de craquage de mot de passe, long et sans garantie).

Sécurité 2a : Un « paper wallet »

Un exemple de Paper Wallet (n'utilisez pas cette adresse !)

Un exemple de Paper Wallet (n’utilisez pas cette adresse !)

Il s’agit de la même logique que précédemment, mais vous ne gardez pas la clé privée stockée sur votre ordinateur, vous l’imprimez et vous conservez le papier dans un endroit sécurisé comme un coffre de banque, comme vous pourriez conserver de l’or.

Ce mode de fonctionnement est uniquement adapté si vous souhaitez acheter des ethers et les stocker pour une longue durée sans y toucher. Il est en effet très contraignant : il faudra obligatoirement récupérer le « paper wallet » et recopier la clé privée manuellement pour accéder aux ethers : ce n’est pas adapté à une utilisation régulière.

En fonctionnant de cette façon, vous pouvez raisonnablement penser que vos ethers sont en sécurité, sauf si votre ordinateur était vérolé au moment où vous avez généré votre clé privée. Celle-ci n’est pas sauvegardée sur votre disque dur ce qui limite fortement le risque de vol. Le risque de perte subsiste dans le cas où la copie papier de votre clé privée est perdue ou détruite.

Il est très facile de générer un paper wallet avec le site MyEtherWallet.com : générez un nouveau compte (Generate Wallet) avec un mot de passe sécurisé puis choisissez la méthode 3, Print your paper wallet, or store a QR code version. Pour le détail de l’utilisation de MyEtherWallet, suivez le guide. Et comme d’habitude, faites des tests de réception ET d’envoi de petites sommes avec l’adresse avant d’y déposer de grosses sommes.

Sécurité 2b : Un « hardware wallet »

Le Ledger Nano S

Le Ledger Nano S

Le hardware wallet est un mini-ordinateur qui se présente sous forme de clé, comme le Ledger Nano S (70 € environ), l’un des premiers hardware wallets compatibles Ethereum.

C’est cette clé qui sera chargé de générer votre clé privée, qui n’est jamais communiquée à l’ordinateur que vous utilisez et à laquelle vous même n’avez jamais accès. En effet, lorsque vous utilisez le hardware wallet, seule la clé publique vous permettant de recevoir des ethers vous est communiquée. La clé privée est générée par le matériel au premier lancement et vous pouvez la sauvegarder en recopiant une série de 24 mots aléatoires sur un papier, que vous mettez ensuite en sécurité. Si vous perdez la clé ou qu’elle tombe en panne, vous pouvez récupérer votre compte à l’aide de ces mots.

Lorsque vous souhaitez accéder à vos ethers, vous n’utilisez pas directement la clé privée : c’est le hardware wallet qui se charge de signer la transaction. Vous accédez aux détails de votre compte par l’intermédiaire d’une application sécurisée et vous la validez avec un code PIN que vous avez choisi au premier lancement, directement sur le hardware wallet. Après trois erreurs, il est automatiquement réinitialisé.

Cette méthode de sécurisation est beaucoup plus facile à utiliser que celle du paper wallet puisqu’elle vous permet d’envoyer de recevoir des ethers sans avoir à récupérer un document à la banque. Elle est à la fois plus et moins sécurisée que celle-ci. Elle est plus sécurisée car la clé privée n’est jamais accessible et même si votre ordinateur est piraté, il est impossible de vous voler vos ethers. Elle est moins sécurisée car l’utilisation de la clé repose uniquement sur un code PIN. Si quelqu’un vous observe utiliser la clé et mémorise ce code, il aura accès à vos ethers s’il prend possession de votre clé, que vous avez vocation à utiliser relativement souvent. Si vous veillez à choisir un code PIN unique et à le composer à l’abri des regards, le risque est cependant limité.

Si vous êtes intéressés par une hardware wallet, un tutoriel détaillé est aussi disponible sur le site.

Notez que le wallet Jaxx fonctionne un peu sur le même principe que le Ledger Nano S mais sous la forme d’une application iOS ou Android gratuite qui génère votre clé privée sans vous la communiquer. Attention cependant si vous utilisez un téléphone rooté ou jailbreaké : vous n’êtes pas à l’abri d’un vol de données. De même si une faille de sécurité récente est exploitée par un hacker.

En résumé :

  • Évitez de laisser vos ethers sur une plateforme d’échange, sauf si vous revendez et rachetez régulièrement des ethers ou faites du margin trade.
  • Si vous laissez vos ethers sur une plateforme d’échange, activez a minima l’authentification à deux facteurs.
  • Si vous achetez des ethers comme placement à long terme / réserve de valeur, vous pouvez utiliser un paper wallet pour les mettre en sûreté.
  • Si vous utilisez vos ethers régulièrement, vous avez le choix entre la méthode de la clé privée stockée sur votre ordinateur (et dont vous avez gardé une copie de sauvegarde) ou la version plus sécurisée du hardware wallet.

Commentaires

Commentaires

  1. Wagner
    23 mai 2017 - 14h36

    Peut-être que la création d’un wallet multisig serait la sécurité 3. Par exemple, un wallet où il faut avoir au moins 2 clés sur 3 pour faire un transfert. Une clé serait dans un coffre à la banque, une autre chez sa grand-mère et une autre chez soi. Cela ajoute de la tolérance si on perd ou on se fait voler une clé et oblige un voleur à voler 2 clés, ce qui peut être relativement compliqué. Pour réaliser une multisig voir https://ethereum.stackexchange.com/questions/6/how-can-i-create-a-multisignature-address-on-ethereum . Ce wallet n’est pas pratique pour des transactions quotidiennes, mieux vaut utiliser un autre wallet avec peu de tokens. Thx @simonpolrot pour ce précieux article 🙂

    Répondre
  2. Henri
    17 juin 2017 - 08h27

    Peut on utiliser un wallet comme Mew avec une clé sur disque dur et se faire un backup du portefeuille avec une version papier de ce wallet qui serait stockée au coffre ?

    Répondre
      Simon Polrot
      17 juin 2017 - 09h16

      Bonjour Henri, oui c’est tout à fait possible ! Il suffit de recopier ou imprimer la clé privée chiffrée sur le site MyEtherWallet et de télécharger le fichier également.

      Répondre
    Sophie Boitel
    14 juillet 2017 - 18h45

    Bonjour Simon, mon ex-mari m’a fait investir dans Ethereum. Je ne regrette pas mais je n’y connais rien. J’ai une adresse et une clé privée sur un bout de papier. Je ne sais même pas comment consulter mon compte ou utiliser mes ether. SOS ! Voudrais-tu me renseigner ?

    Répondre
    Larrieu Jerome
    20 septembre 2017 - 16h34

    Bonjour,
    J ai été piraté il y a deux jours et le hacker à sorti tous mes Ether et Token de mon Ether wallet…
    En fait j ai voulu consulter mon solde sur myetherwallet et au lieu d aller sur myetherwallet.com je suis rentré sur le site copie exactement similaire myetherwalletonline qui est un phishing (je suis allé trop vite je n ai pas fait attention au nom du serveur.
    La personne m à vide le wallet pour un equivalent de 4000 US dollar. Le pire c est que j ai son adresse Ether il a mes Ether et Token dessus…
    Comment puis faire pour obtenir les coordonnées de cette personne à partir de son adresse Ether? il est très difficile d obtenir les information de la part de my etherwallet, je trouve qu il n aide pas assez les personnes qui ont subi un hack alors que je pense qu il y aurait facilement moyen de retrouver la personne et la punir . C est dommage pour la communauté des cryptomonnaies qu il n y ait pas plus de sanctions envers les fraudeurs car cela porte préjudice à l ensemble de cette communauté et c est ce qu il fait que beaucoup de personnes restent sceptiques aux investissements faits dans les crypto monnaie.
    Merci si quelqu un pouvait m aider.

    Jerome

    Répondre
      Simon Polrot
      20 septembre 2017 - 17h59

      Bonjour jerôme. Je suis désolé pour vous mais il est totalement impossible techniquement de faire le lien entre une adresse et les coordonnés d’une personne à partir de son adresse ether. Tout comme vous avez pu ouvrir votre adresse sans donner votre identité, le voleur a pu faire la même chose. Je vous recommande tout de même de porter plainte : si le voleur déplace les fonds dans une plate-forme d’échange vous aurez une possibilité de l’identifier avec la coopération de la plateforme qui ne le fera que sur réquisition judiciaire. Cordialement

      Répondre
        Larrieu Jerome
        20 septembre 2017 - 18h08

        Bonjour Simon,
        Merci de votre réponse et de vos conseil….
        Auprès de qui puis je porter plainte? La police en France? Le hacker peut être n importe ou sur la planète, il faudrait prévenir toutes les plateformes d échange… il y a t il un espace sur internet ou l on peut déposer plainte. Une police d internet?
        Merci

        Répondre
        Larrieu Jerome
        21 septembre 2017 - 17h19

        Bonjour Simon ! Est ce à l organisme ICANN qu il faut que je porte plainte….
        Aujourd hui je viens de recevoir un email de Ether scan sur ma boîte email comme quoi j avais recu des ETH :
        Hi Jeronimoloco,
        You have Received 4.640516979 Ether sent TO the address 0x82dab2b5f2416cc61176c1e03bfd4afff52dcdc1
        The Ether(s) was sent FROM the address 0x333ca007858cf8a17af14a0154616dec883fe90e
        This transaction was processed at block index 4298536 on 2017-09-21 14:03:40 (UTC)
        Please see https://etherscan.io/address/0x82dab2b5f2416cc61176c1e03bfd4afff52dcdc1 for additional information.
        Best Regards,
        -Team Etherscan
        Or il se trouve que cette adresse Ether est celle de la personne qui m à hackee il y a 5 jours et non la mienne!
        0x82dab2b5f2416cc61176c1e03bfd4afff52dcdc1
        Cela veut il dire que le hacker utilise mon nom pour recevoir ses fonds ou ses vols d Ether et autres Token
        (Il aurait changé mon adresse ETH pour une autre dont je n ai pas la clé pour agir en mon nom?
        Mon adresse ETH qui a été hackee est
        0x629F1c3d8b9eae74b2bccaa0e5bd99043d3490d1
        Mais je reçois les transactions à ma boîte email de l adresse de mon hacker.
        Qué dois je faire ? (Annuler mon adresse Gmail? Risque qu il ait d autre infos sur moi)
        Qui dois je prévenir concrètement pour dénoncer tout ça? (Je ne peux pas porter plainte en France je suis actuellement au Nicaragua.
        Merci

        Répondre
    dedalus
    6 décembre 2017 - 12h49

    Bonjour,
    En fin d’article, vous semblez dire que le Wallet Jaxx ou le Ledger Nano sont équivalents en terme de méthode et de niveau de sécurisation. Ai-je bien compris ? Quelles sont les différences ? Entre quels avantages / inconvénients arbitrer pour choisir l’une ou l’autre solution ?
    Merci pour cet article très intéressant et très clair.

    Répondre
    Frederic Fromen
    18 décembre 2017 - 18h22

    Ba moi c’est simple j’ai fais un paperwallet sur un site qui générais la clé et ensuite j’ai verser un peu d’argent pour voir si mon wallet était good et du coup mes btc ou autre money je
    les stock sur la blockchain avec ce systeme. C’est le mieux avec le ledger wallet les deux sont bon. Je l’ai fais sur ce site https://www.paperwalletcrypto.com/

    Répondre
    Julio
    17 mars 2018 - 14h35

    Bonjour,
    Est-il possible d’avoir plusieurs adresses publiques à partir d’un seule clé privée et comment faire ?
    Merci

    Répondre
    Optimiser ses bénéfices en crypto-devises, c'est possible ! - La Crypto-Monnaie et vous
    4 avril 2018 - 06h26

    […] Cet article explique très bien les différents niveaux de sécurité possibles pour les cryptodevises. […]

    Répondre
    BI IRIE FRANCIS
    2 octobre 2018 - 01h55

    J’ai mon mot de passe et mon adresse mais j’ai égaré la clé privée. Comment faire?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *