Sécuriser vos ethers (ETH) ou autres cryptomonnaies

Coffre fort

Après le piratage retentissant de la plateforme d’échange Bitfinex, qui a récemment perdu 119 756 bitcoins (plus de 60 millions d’euros), un point s’impose sur la façon de sécuriser vos cryptomonnaies. Le vol ou la perte d’actifs virtuels n’est pas un événement hypothétique… Aperçu des moyens les plus simples de limiter vos risques.

Il existe aujourd’hui plusieurs degrés de sécurité, chaque degré entraînant davantage de contraintes à l’utilisation :

Quelle méthode utiliser pour sécuriser vos ethers ?

Il existe plusieurs méthodes pour sécuriser vos ethers.

  • Sécurité 0 : Une plateforme d’échange.
  • Sécurité 1 : Un portefeuille dont la clé privée est conservée sur support numérique
  • Sécurité 2a : Un « paper wallet ».
  • Sécurité 2b : Un « hardware wallet ».

Sécurité 0 : Une plateforme déchange

Si vous stockez aujourd’hui vos ethers sur une plateforme d’échange et que vous n’avez pas une activité de trading, il vous est fortement conseillé de les en retirer. C’est sur les échanges que vos ethers sont les plus exposés.

L’un des intérêts principaux de la blockchain est de bénéficier d’un registre sécurisé par des méthodes cryptographiques. Si vos ethers sont sur la blockchain, il est en théorie impossible de les pirater, sauf à voler votre clé privée. En laissant vos ethers chez Kraken par exemple, vous abandonnez cet avantage et faites confiance à Kraken pour conserver vos ethers et la clé privée du compte sur lequel ils sont stockés, de la même façon que vous faites confiance à une banque lorsque vous lui confiez votre argent. Mais les échanges offrent beaucoup moins de garanties que les banques : ils ne sont pas soumis aux mêmes règlementations bancaires strictes et ils peuvent plus facilement faire l’objet d’un piratage. En pratique, de nombreuses plateformes d’échange ont été piratées ces dernières années, par exemple Mt.Gox, Cryptsy, Poloniex, BTer, ShapeShift, GateCoin et très récemment Bitfinex… Le dépôt d’ethers sur ces plateformes d’échange comporte donc un fort risque qui s’est matérialisé de nombreuses fois. Et au-delà du piratage de la plateforme entière, vous pouvez aussi simplement vous faire pirater votre compte sur la plateforme.

En contrepartie, il est plus simple de gérer ses ethers directement sur un échange que sur un compte dont vous détenez la clé privée. Si vous perdez votre mot de passe, il suffit d’en demander un nouveau à l’échange. Et si vous faites du trading, il est compliqué de retirer et déposer en permanence vos cryptomonnaies sur la plateforme.

Si, malgré ces avertissements, vous souhaitez laisser vos ethers sur un échange, une étape de sécurisation reste essentielle : lactivation de lauthentification à deux facteurs (ou 2FA pour Two-Factor Authentication). Tous les échanges sérieux proposent cette fonction (Kraken et Poloniex notamment) qui consiste à ajouter une sécurité supplémentaire au mot de passe habituel, en passant par exemple par l’application Google Authenticator.  Une fois cette option activée, le site vous demandera un mot de passe temporaire généré par l’application toutes les X secondes en plus de votre de mot de passe habituel. Vous pouvez l’activer pour toutes les opérations (connexion, retrait, achat/vente d’ethers) ou seulement pour certaines. Si vous avez un comptez chez Kraken, l’activation du 2FA se fait dans l’onglet Security puis TwoFactor Authentication. Si vous utilisez l’application Google Authenticator, sélectionnez le protocole Google Authenticator, TOTP Mode. Plus d’informations sur ce lien. Veillez aussi à sauvegarder

Ce double degré ne suffira pas à vous protéger en cas de piratage de la plateforme mais devrait rendre la tâche d’un pirate s’attaquant à votre compte plus complexe.

Passons maintenant à une étape de sécurité supplémentaire : le dépôt de vos ethers dans un compte dont vous détenez la clé privée au format numérique.

Sécurité 1 : Un portefeuille dont la clé privée est conservée sur support numérique

C’est la solution recommandée sur ce site pour conserver la maîtrise de vos ethers. Il s’agit de créer un compte personnel à l’aide de Mist ou de MyEtherWallet en choisissant un mot de passe pour chiffrer le compte et y envoyer ensuite vos ethers. Après de la création du compte, vous sauvegardez le fichier contenant la clé privée de votre compte sur votre disque dur et en faites une sauvegarde sur une clé USB / un autre moyen, afin de pouvoir le récupérer en cas de panne de votre ordinateur.

En procédant ainsi, le risque lié au piratage de l’échange disparaît naturellement. Vous détenez vous-même vos possessions virtuelles. Vous en devenez cependant l’unique responsable et introduisez donc d’autres problématiques :

  • le vol de votre clé privée par une personne malintentionnée, qui connaîtrait votre mot de passe ou qui l’aurait obtenu par un logiciel espion installé sur votre ordinateur (keylogger, etc.).
  • la perte du fichier contenant votre clé privée qui permet d’accéder au compte ou l’oubli du mot de passe que vous avez choisi pour la chiffrer. Si vous perdez la clé privée, vous n’avez aucun moyen de la récupérer. Si vous perdez votre mot de passe, il vous reste l’espoir de vous en souvenir plus tard (ou de faire appel à un service de craquage de mot de passe, long et sans garantie).

Sécurité 2a : Un « paper wallet »

Un exemple de Paper Wallet (n'utilisez pas cette adresse !)

Un exemple de Paper Wallet (n’utilisez pas cette adresse !)

Il s’agit de la même logique que précédemment, mais vous ne gardez pas la clé privée stockée sur votre ordinateur, vous l’imprimez et vous conservez le papier dans un endroit sécurisé comme un coffre de banque, comme vous pourriez conserver de l’or.

Ce mode de fonctionnement est uniquement adapté si vous souhaitez acheter des ethers et les stocker pour une longue durée sans y toucher. Il est en effet très contraignant : il faudra obligatoirement récupérer le « paper wallet » et recopier la clé privée manuellement pour accéder aux ethers : ce n’est pas adapté à une utilisation régulière.

En fonctionnant de cette façon, vous pouvez raisonnablement penser que vos ethers sont en sécurité, sauf si votre ordinateur était vérolé au moment où vous avez généré votre clé privée. Celle-ci n’est pas sauvegardée sur votre disque dur ce qui limite fortement le risque de vol. Le risque de perte subsiste dans le cas où la copie papier de votre clé privée est perdue ou détruite.

Il est très facile de générer un paper wallet avec le site MyEtherWallet.com : générez un nouveau compte (Generate Wallet) avec un mot de passe sécurisé puis choisissez la méthode 3, Print your paper wallet, or store a QR code version. Pour le détail de l’utilisation de MyEtherWallet, suivez le guide. Et comme d’habitude, faites des tests de réception ET d’envoi de petites sommes avec l’adresse avant d’y déposer de grosses sommes.

Sécurité 2b : Un « hardware wallet »

Le Ledger Nano S

Le Ledger Nano S

Le hardware wallet est un mini-ordinateur qui se présente sous forme de clé, comme le Ledger Nano S (70 € environ), l’un des premiers hardware wallets compatibles Ethereum.

C’est cette clé qui sera chargé de générer votre clé privée, qui n’est jamais communiquée à l’ordinateur que vous utilisez et à laquelle vous même n’avez jamais accès. En effet, lorsque vous utilisez le hardware wallet, seule la clé publique vous permettant de recevoir des ethers vous est communiquée. La clé privée est générée par le matériel au premier lancement et vous pouvez la sauvegarder en recopiant une série de 24 mots aléatoires sur un papier, que vous mettez ensuite en sécurité. Si vous perdez la clé ou qu’elle tombe en panne, vous pouvez récupérer votre compte à l’aide de ces mots.

Lorsque vous souhaitez accéder à vos ethers, vous n’utilisez pas directement la clé privée : c’est le hardware wallet qui se charge de signer la transaction. Vous accédez aux détails de votre compte par l’intermédiaire d’une application sécurisée et vous la validez avec un code PIN que vous avez choisi au premier lancement, directement sur le hardware wallet. Après trois erreurs, il est automatiquement réinitialisé.

Cette méthode de sécurisation est beaucoup plus facile à utiliser que celle du paper wallet puisqu’elle vous permet d’envoyer de recevoir des ethers sans avoir à récupérer un document à la banque. Elle est à la fois plus et moins sécurisée que celle-ci. Elle est plus sécurisée car la clé privée n’est jamais accessible et même si votre ordinateur est piraté, il est impossible de vous voler vos ethers. Elle est moins sécurisée car l’utilisation de la clé repose uniquement sur un code PIN à 4 chiffres. Si quelqu’un vous observe utiliser la clé et mémorise ce code, il aura accès à vos ethers s’il prend possession de votre clé, que vous avez vocation à utiliser relativement souvent. Si vous veillez à choisir un code PIN unique et à le composer à l’abri des regards, le risque est cependant limité.

Notez que le wallet Jaxx fonctionne un peu sur le même principe que le Ledger Nano S mais sous la forme d’une application iOS ou Android gratuite qui génère votre clé privée sans vous la communiquer. Attention cependant si vous utilisez un téléphone rooté ou jailbreaké : vous n’êtes pas à l’abri d’un vol de données. De même si une faille de sécurité récente est exploitée par un hacker.

En résumé :

  • Évitez de laisser vos ethers sur une plateforme d’échange, sauf si vous revendez et rachetez régulièrement des ethers ou faites du margin trade.
  • Si vous laissez vos ethers sur une plateforme d’échange, activez a minima l’authentification à deux facteurs.
  • Si vous achetez des ethers comme placement à long terme / réserve de valeur, vous pouvez utiliser un paper wallet pour les mettre en sûreté.
  • Si vous utilisez vos ethers régulièrement, vous avez le choix entre la méthode de la clé privée stockée sur votre ordinateur (et dont vous avez gardé une copie de sauvegarde) ou la version plus sécurisée du hardware wallet.

Simon Polrot

Créateur du site. Avocat. Passionné par la blockchain et Ethereum en particulier. Je m'intéresse plus particulièrement aux impacts de la technologie sur la société contemporaine, et aux nouvelles pratiques juridiques qui en découleront. Tip : 0x7d1cd61f6153efd679963d101c5c49374989c7e7

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer