Bonnes pratiques de sécurité

par Simon Polrot · Publié 29 août 2016 · Mis à jour 26 juin 2017

Ces avertissements font suite à des mésaventures de certains lecteurs du site. Lorsque vous évoluez dans l’univers des cryptomonnaies en général, faites très attention aux scams, tentatives de phishing, vol… Vous gérez de l’argent et cela intéresse beaucoup de monde.

En pratique :

Vérifiez que vous avez bien sauvegardé vos clés privées et que vous ne perdrez pas tout votre argent si votre ordinateur tombe en panne (selon les recommandations de cet article).
Lorsque vous utilisez votre adresse Ethereum pour envoyez des ethers ou autres tokens Ethereum :
1. N’écrivez jamais votre adresse à la main.
2. Utilisez la version de l’adresse qui contient des caractères majuscules et minuscules (0x7Ef2Ebc7…. plutôt que 0x7ef2ebc7….).
3. N’écrivez jamais à la main votre clé privée. Vérifiez trois ou quatre fois les mots de votre clé mnéminique si vous les écrivez à la main (par exemple les mots permettant de sauvegarder la clé de votre hardware wallet).
4. Toujours envoyer d’abord une petite quantité d’ETH ou de tokens à une adresse et s’assurer que tout se passe bien et qu’il arrive à l’adresse que vous souhaitiez, avant d’envoyer le reste.
5. Lorsque vous utilisez un service, un adresse pour la première fois, faites des tests de réception et d’envoi avec de très petites quantités d’ether. Vérifiez que tout va bien et que vous avez bien accès à la nouvelle adresse, y compris pour renvoyer les ethers, avant de gérer de grosses quantités d’argent
6. Sauvegardez vos clés privées dans un endroit sûr avant d’envoyer des ethers / tokens dessus.
7. N’envoyez jamais votre clé privée par email.
8. Ne postez jamais votre clé privée sur Reddit, Twitter, Slack.
9. Ne sauvegardez pas votre clé privée sur Dropbox ou un autre service de sauvegarde dans le cloud.
10. Faites des doubles ou triples vérifications. Vérifiez et revérifiez ce que vous envoyez, combien et à quelle adresse.
Bref, faites attention. 🤗
Les hardware wallets sont l’une des façon les plus sures et les plus simples de stocker vos ETH, tokens et autres cryptos. Ce site recommande l’utilisation du Ledger Nano S, suivant ce tutoriel. Avec un hardware wallet, c’est le matériel qui détient votre clé privée et signe les transactions pour vous. Cela permet de s’assurer que vos clés ne sont jamais exposées à un appareil connecté à internet. Les virus, phishers, malwares et autres keyloggers ne peuvent donc y accéder.

Vérifiez toujours que vous êtes sur le bon site internet et pas sur une copie avant d’envoyer votre clé privée ou d’entrer votre mot de passe. Méfiez vous spécifiquement des liens sponsorisés sur Google. Quelques exemples de faux sites vous subtilisant vos ethers :
- myetherwallt . com
- myetherwallet .ca
- myetherswallet .com
- myetherwallet . info
- myetc wallet . com
- etherclassicwallet .com
- myetherwalet . com
De manière générale, évitez toute cryptomonnaie que vous ne comprenez pas complètement, qui repose sur une pyramide de Ponzi ou plus généralement dont les aficionados vous promettent richesse rapide et sans risque – cela n’existe pas. Il existe de nombreuses arnaques de ce type : partez du principe qu’une nouvelle monnaie est une arnaque (un scam), et ne changez d’avis qu’après recherches approfondies. Vous pouvez aussi demander conseil sur le slack de cryptofr.

Sortez couverts !
N’utilisez aucune autre application que celles recommandées sur ce site (Mist, Ethereum Wallet, Parity, MyEtherWallet) pour gérer votre portefeuille et vérifiez bien que vous utilisez l’application provenant du site officiel. Ne téléchargez jamais une application gérant vos ethers sur un autre site. Utilisez les checksum md5 si vous connaissez ce système, pour vérifier que votre fichier téléchargé n’a pas été infecté avant de l’exécuter. Utilisez un antivirus sur votre ordinateur, et si vous n’êtes pas certain du site internet, vous pouvez aussi utiliser le site www.virustotal.com pour effectuer un scan antivirus directement sur le site.

Lorsque vous minez en pool, minez sur un pool recommandé sur ce site ou sur un autre site de confiance. Certains pools vous prélèveront plus de frais qu’indiqué sur leur site. Évitez aussi les sites proposant des kits tout en un de minage. Si possible, ne stockez pas votre clé privé sur l’ordinateur qui mine : il sera plus exposé car son activité sur le réseau pourrait le signaler à un pirate. Une bonne pratique consiste aussi à éviter les sites de cloud mining qui reposent sur un présupposé économiquement absurde.