Bitcoin : êtes-vous sûr de bien sécuriser votre portefeuille ?
Par Thomas Pontiroli
Le 05 novembre 2014
Les crypto-monnaies sont plus compliquées qu'il n'y paraît alors avant de se lancer, il convient de relever son niveau d'exigence sécuritaire. Il serait dommage de perdre ses deniers à cause d'un PC vérolé.
De plus en plus considéré par les acteurs du e-commerce, du paiement et certains Etats, le bitcoin (et les autres monnaies virtuelles qu'il cache), s'est invité au salon Cartes Secure Connexion 2014, où un cycle de conférences lui était consacré. C'est l'occasion de rappeler que si le terme de crypto-devise renvoie au chiffrement de cette dernière, elle n'est en rien une garantie d'anonymat ni de sécurité.
Avant de se lancer dans l'aventure, Stefano Ciminelli, directeur Europe des services financiers au sein du cabinet d'audit EY, conseille de passer en revue un certain nombre d'éléments pouvant constituer chacun une faille de sécurité. Et il n'en faudrait pas plus pour perdre son portefeuille de bitcoins définitivement.
L'expert tient tout d'abord à rappeler ce qui peut être vu comme un lieu commun, mais reste d'actualité : « En sécurité informatique, le facteur humain reste le maillon faible de la chaîne. » Pour lui, il revient donc à l'utilisateur de limiter ce risque en adoptant le comportement le plus sûr possible envers ses BTC.
La première chose à savoir est que le bitcoin n'est pas anonyme : chaque transaction est conservée publiquement et de manière permanente. Autrement dit, le solde de chaque achat/vente d'une adresse peut être consulté par n'importe qui. L'identité derrière l'adresse, elle, est inconnue avant la transaction.
Pour ces raisons, Stefano Ciminelli insiste qu'il ne faut pas utiliser la même adresse pour plus d'un ou deux paiements. Il est aussi recommandé d'assigner un portefeuille à différents usages, de façon à isoler les transactions de telle sorte qu'il ne soit pas possible de les associer les unes aux autres.
« Bitcoin est souvent perçu comme un réseau de paiement anonyme. Mais en réalité, Bitcoin est probablement le réseau de paiement le plus transparent au monde », peut-on lire sur le site bitcoin.org.
Le vrai chantier est de sécuriser son portefeuille, contenu dans le fichier wallet.dat. C'est là que sont matérialisés les BTC, qui pourront être échangés contre des euros sonnants et trébuchants. Mais comme n'importe quel fichier informatique, le wallet.dat - et la clé y donnant accès - n'est pas du tout inviolable.
Voici la liste - plus ou moins évidente pour certains -, des règles à respecter : avoir un système d'exploitation récent, mis à jour, et sécurisé avec un antivirus et un pare-feu (ceux de base peuvent être suffisants) mais aussi utiliser le réseau décentralisé Tor. Comme le réseau Bitcoin fonctionne de pair à pair, l'adresse IP utilisée pour une transaction (et donc celle de l'ordinateur de l'utilisateur) peut être enregistrée.
Concernant la gestion du portefeuille, Stefano Ciminelli est très strict : tout doit être chiffré. Plusieurs portefeuilles doivent être utilisés et chacun doit être sauvegardé numériquement mais aussi physiquement. « Evidemment, n'envoyez surtout pas votre wallet.dat dans le cloud », prévient-il.
Idéalement, le portefeuille doit être stocké hors-ligne. C'est la méthode choisie par Coinbase, la première plateforme de bitcoin au monde. Autre pratique dont il faut s'inspirer de l'américain : imprimer la clé de chiffrement sur une feuille de papier, puis la stocker dans un endroit sécurisé.
Il faut savoir que contrairement à une banque, le réseau Bitcoin et les plateformes d'échange ne proposent pas de garantie contre le vol de son portefeuille. Dans le cas de Coinbase, seules les attaques contre ses propres serveurs sont couvertes d'une assurance, car elles ne sont pas du ressort de l'utilisateur. En revanche, si ce dernier choisit de stocker ses BTC sur un PC vérolé sous Windows XP...
D'ailleurs, EY recommande une solution radicale. « Il faut dédier un PC sain aux transactions en bitcoin, le brancher avec un câble ethernet pour réaliser ses échanges, puis le débrancher et l'éteindre. »
A lire également :
De plus en plus considéré par les acteurs du e-commerce, du paiement et certains Etats, le bitcoin (et les autres monnaies virtuelles qu'il cache), s'est invité au salon Cartes Secure Connexion 2014, où un cycle de conférences lui était consacré. C'est l'occasion de rappeler que si le terme de crypto-devise renvoie au chiffrement de cette dernière, elle n'est en rien une garantie d'anonymat ni de sécurité.
Avant de se lancer dans l'aventure, Stefano Ciminelli, directeur Europe des services financiers au sein du cabinet d'audit EY, conseille de passer en revue un certain nombre d'éléments pouvant constituer chacun une faille de sécurité. Et il n'en faudrait pas plus pour perdre son portefeuille de bitcoins définitivement.
L'expert tient tout d'abord à rappeler ce qui peut être vu comme un lieu commun, mais reste d'actualité : « En sécurité informatique, le facteur humain reste le maillon faible de la chaîne. » Pour lui, il revient donc à l'utilisateur de limiter ce risque en adoptant le comportement le plus sûr possible envers ses BTC.
Un réseau transparent
La première chose à savoir est que le bitcoin n'est pas anonyme : chaque transaction est conservée publiquement et de manière permanente. Autrement dit, le solde de chaque achat/vente d'une adresse peut être consulté par n'importe qui. L'identité derrière l'adresse, elle, est inconnue avant la transaction.
Pour ces raisons, Stefano Ciminelli insiste qu'il ne faut pas utiliser la même adresse pour plus d'un ou deux paiements. Il est aussi recommandé d'assigner un portefeuille à différents usages, de façon à isoler les transactions de telle sorte qu'il ne soit pas possible de les associer les unes aux autres.
« Bitcoin est souvent perçu comme un réseau de paiement anonyme. Mais en réalité, Bitcoin est probablement le réseau de paiement le plus transparent au monde », peut-on lire sur le site bitcoin.org.
Le vrai chantier est de sécuriser son portefeuille, contenu dans le fichier wallet.dat. C'est là que sont matérialisés les BTC, qui pourront être échangés contre des euros sonnants et trébuchants. Mais comme n'importe quel fichier informatique, le wallet.dat - et la clé y donnant accès - n'est pas du tout inviolable.
Dédier un PC au bitcoin
Voici la liste - plus ou moins évidente pour certains -, des règles à respecter : avoir un système d'exploitation récent, mis à jour, et sécurisé avec un antivirus et un pare-feu (ceux de base peuvent être suffisants) mais aussi utiliser le réseau décentralisé Tor. Comme le réseau Bitcoin fonctionne de pair à pair, l'adresse IP utilisée pour une transaction (et donc celle de l'ordinateur de l'utilisateur) peut être enregistrée.
Concernant la gestion du portefeuille, Stefano Ciminelli est très strict : tout doit être chiffré. Plusieurs portefeuilles doivent être utilisés et chacun doit être sauvegardé numériquement mais aussi physiquement. « Evidemment, n'envoyez surtout pas votre wallet.dat dans le cloud », prévient-il.
Idéalement, le portefeuille doit être stocké hors-ligne. C'est la méthode choisie par Coinbase, la première plateforme de bitcoin au monde. Autre pratique dont il faut s'inspirer de l'américain : imprimer la clé de chiffrement sur une feuille de papier, puis la stocker dans un endroit sécurisé.
Il faut savoir que contrairement à une banque, le réseau Bitcoin et les plateformes d'échange ne proposent pas de garantie contre le vol de son portefeuille. Dans le cas de Coinbase, seules les attaques contre ses propres serveurs sont couvertes d'une assurance, car elles ne sont pas du ressort de l'utilisateur. En revanche, si ce dernier choisit de stocker ses BTC sur un PC vérolé sous Windows XP...
D'ailleurs, EY recommande une solution radicale. « Il faut dédier un PC sain aux transactions en bitcoin, le brancher avec un câble ethernet pour réaliser ses échanges, puis le débrancher et l'éteindre. »
A lire également :
- Brian Armstrong, Coinbase : "être conforme nous coûte très cher"
- Faut-il accepter les paiements en bitcoin ?
- Bitcoin et Cie : la nouvelle ruée vers l'or
Modifié le 01/06/2018 à 15h36
