10 conseils de sécurité (parfois méconnus) aux possesseurs de cryptomonnaies (et aux autres)

S’il ne prend à personne l’envie de stocker son argent à la vue de tous dans une rue piétonne en espérant que personne ne le prendra, il en est tout autre en matière de cryptomonnaies pour des sommes parfois faramineuses. Plusieurs « influenceurs » réputés et internautes lambda se sont fait dépouiller ces derniers mois, car seules les intéressent les courbes de cotation dans un but de spéculation et pas du tout de suivre les conseils élémentaires de sécurité. Revoici une petite liste non exhaustive de ces conseils, avec en sus des solutions rarement voire jamais évoquées, car supposées inconfortables, voire polémiques. Et ces quelques conseils de sécurité de nos hackers au blanc chapeau vous seront utiles, même si vous n’avez pas de cryptomonnaie…

Les failles de sécurité potentielles peuvent se trouver à votre niveau sur vos appareils, chez la plate-forme d’échange (sans compter les risques de fraudes), dans les blockchains elles-mêmes… Vous ne pouvez pas tout maîtriser, mais vous avez le devoir de faire le maximum à votre niveau, même s’il est impossible d’assurer une sécurité à 100 %. Nous insistons : impossible. Toutefois, si vous avez une maison en pierre, le grand méchant loup préférera s’attaquer à la maison en paille d’à côté…

1. - Discret tu seras. Si vous possédez l’équivalent de dizaines de milliers d’euros voire de millions d’euros en cryptomonnaies, quel intérêt avez-vous à le crier sur les toits ? Vous trouvez cela flatteur qu’on dise que vous êtes cryptomillionnaire ? OK… Et, demain, vous trouverez cela flatteur d’être connu comme la personne qui s’est fait voler à cause de sa bêtise ? Évitez d’utiliser un téléphone Solana, cela revient à avoir le mot « cryptoandouille » tatoué sur le front. De même, ne frimez pas avec un appareil Ledger ou Trezor négligemment assis dans un café d’un bidonville d’Amérique latine ou de Paris.

2. - N’utilisez pas un appareil avec un système d’exploitation trop faible (vous n’avez pas le choix, dites « non » à Android et Windows ! Si vous persistez à les garder, il est inutile de continuer la lecture de cette page, votre cas est désespéré, nous ne pouvons rien pour vous…).

3. - Utilisez un navigateur dédié (et open source) pour vos opérations sur les cryptomonnaies et limitez les extensions au strict minimum (cela veut dire zéro extension, il existe d’autres solutions pour faire sans). Idéalement, utilisez aussi une machine dédiée. Si cela n’est pas possible, utilisez une clé USB « bootable » autonome, indépendante des logiciels présents sur votre ordinateur.

4. - Utilisez autant que possible une adresse de courriel et un numéro de téléphone dédié sur chaque plate-forme d’échange, inconnus d’autres services. Et, bien sûr, utilisez un mot de passe solide différent pour chaque service. Quelques suggestions populaires : 12345678, azerty, motdepasse… à éviter. Un autre conseil au passage, qui fera polémique : n’utilisez pas de gestionnaire de mots de passe, c’est mettre tous vos œufs dans le même panier. Dieu vous a créé avec un cerveau, une mémoire, faites comme les gens avant l’invention des smartphones et de ChatGPT : servez-vous-en ! Oh oui, nous vous avions prévenus : ceux qui ont pour but ultime dans la vie de devenir un légume qui en fait le moins possible ne vont pas aimer nos conseils…

Êtes-vous plus motivés à protéger vos cryptomonnaies que les pirates à vous les voler ?

5. - Si vous activez le 2FA (sécurité à deux facteurs) sur des services en ligne, utilisez un second appareil pour obtenir/générer la seconde partie de la sécurité. Si l’un des moyens utilisés pour le 2FA repose sur les SMS, utilisez un téléphone basique comme un vieux Nokia (attention, les réseaux 2G et/ou 3G ont commencé à disparaitre dans de nombreux pays !), pas un smartphone sous un système populaire (ni iOS, ni Android). Cela ne vous mettra pas à l’abri de pirates, mais ils devront être de plus haut niveau (exploitation de faille SS7, interception par ondes radio, etc.).
Éventuellement, vous pouvez utiliser un smartphone dont Wi-Fi et data sont désactivés. Conservez le réglage ainsi et, attention, ce n’est pas parce que c’est affiché « désactivé » que cela l’est vraiment : vérifiez votre consommation auprès de votre opérateur et de la box Internet par exemple.

6. - Ne téléchargez pas de logiciel en version pirate pour faire des économies, des « cracks » divers qui vous promettent monts et merveilles, des wallets inconnus et non audités qui vous promettent des airdrops, etc. En fait, c’est le contraire : moins vous aurez de logiciels sur vos machines, moins vous aurez de bogues et de failles de sécurité sur vos machines, c’est mathématique. Mettez à jour vos logiciels lorsque des failles de sécurité y sont corrigées (attention, de nouvelles failles peuvent apparaître au passage, qu’il faudra combler par une future mise à jour, et ainsi de suite).

7. - ne conservez pas trop de cryptomonnaies chez un tiers (plates-formes d’échange, banque…), préférez les stockages sous votre responsabilité et hors ligne pour le gros de vos cryptomonnaies. Vous n’êtes pas à l’abri d’une faillite ou d’un (prétendu) piratage de votre intermédiaire. Demandez aux anciens clients de FTX, Mt.gox et autres ! Si vous optez pour un matériel de stockage à froid dédié (à défaut de le fabriquer vous-même), achetez-le directement chez le fabricant (nous avons évoqué Trezor et Ledger, même si nous avons moins confiance dans ce dernier à cause de son manque de transparence – il n’est pas open source et refuse l’interview technique que nous lui avons proposée).

8. - Trompez l’ennemi ! Si vous avez des cryptomonnaies protégées par des séries de mots clés, ne stockez pas ces clefs sur l’appareil que vous utilisez pour y accéder. Au contraire, créez trois fichiers texte avec de fausses listes de mots similaires et laissez-les bien en évidence sur le bureau virtuel… De même, laissez de fausses listes sur papier à proximité de vos portes-(cyber)monnaies physiques.

9. - Divisez pour mieux régner ! Les montants stockés sur les blockchains sont souvent publics. Alors évitez d’avoir trop sur une même adresse. Multipliez les adresses. Et, tant qu’à faire, multipliez les portes-monnaies et les clés USB « bootables » (lire plus haut).

10. - 2FA encore : utilisez des puces SIM anonymes (non remplaçables donc) pour éviter les attaques de type SIM swap. Une SIM anonyme venant de pays qui en proposent encore bien sûr (évitez les tiers au moment de l’achat, achetez directement chez l’opérateur).

11. - Protégez vos machines par des mots de passe à l’allumage, au niveau du Bios pour un PC, puis au niveau du système d’exploitation pour la session utilisateur. Vos fichiers et partitions doivent être chiffrés, qu’il s’agisse de vos disques durs/SSD ou mémoires externes de stockage. Attention, les clés USB (et autres composants avec mémoire Flash de bas de gamme) n’ont qu’une durée de conservation de quelques années : faites plusieurs copies de sauvegarde, chiffrées et stockées dans des endroits divers. Et refaite des copies de vos copies régulièrement.

12. - Évitez les connexions sans fil : utilisez une souris filaire, un casque filaire, etc. Car de nombreuses failles de sécurité sont découvertes dans les composants et pilotes Bluetooth (et pas toujours corrigées) ou similaires. Même chose pour le Wi-Fi : connectez-vous à Internet avec un câble.

Lorsque le montant en cryptomonnaies à protéger est important, les procédures de sécurité doivent être adaptées, même si ces sécurités deviennent plus chères et l’usage plus complexe. Pour faire une analogie, vous pouvez conserver 100 € dans un porte-monnaie à 10 €, mais si vous voulez protéger 10 000 €, peut-être faudra-t-il investir dans un coffre à 1 000 €. Nous n’avons publié ici que les conseils les plus basiques destinés à un usage « léger ». Si vous avez des besoins plus importants, contactez-nous afin que nous préparions une solution plus complète…

Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !

[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]