Les cryptomonnaies ont connu une croissance spectaculaire ces dernières années, attirant l’attention des investisseurs et malheureusement également des hackers.
Les cybercriminels sont de plus en plus intéressés par ces actifs numériques, car énormément d’argent circule, et cela très souvent mal protégé.
Si vous débutez dans la crypto, la sécurité fait partie de l’élément indispensable pour débuter, car cela pourrait vous coûter très cher par la suite. Pour les utilisateurs plus expérimentés, il n’est jamais trop tard de faire le point sur vos méthodologies actuelles, et ainsi potentiellement les améliorer.
Ainsi, dans cet article, nous allons examiner les différentes méthodes que vous pouvez utiliser pour protéger vos cryptomonnaies des hackers et des attaques malveillantes. Que vous soyez un investisseur débutant ou expérimenté, la sécurité de vos cryptomonnaies est essentielle pour protéger votre investissement et assurer la pérennité de vos actifs numériques.
Dans cet article, nous verrons donc les bons réflexes à avoir, comment opèrent la plupart des hackers, et ainsi quels outils de sécurité utiliser, tels que les gestionnaires de mots de passe, l’identification à deux facteurs, et également les portefeuilles cryptos (wallets).
Protéger ses cryptos : Les bases de la sécurité en ligne
Afin de protéger au mieux vos actifs numérique, il est d’abord capital de comprendre quelles sont les principales méthodes employées par les hackers et autres personnes malveillantes.
En comprenant leur technique, vous serez plus à même de vous défendre. De plus, il est également à mon sens important de comprendre un peu ce qu’il se passe dans le monde des hackers, afin de mieux être sensibilisé et ainsi pouvoir s’en protéger.
Différentes formes des attaques des pirates
Les pirates cherchent constamment des moyens de voler ces actifs précieux, et une méthode courante consiste à utiliser des mots de passe faibles ou réutilisés. Si vous êtes un minimum familier avec la sécurité en ligne, vous avez probablement déjà entendu des conseils tels que « n’utilisez pas toujours le même mot de passe ».
Dans le monde de la cryptographie, cette phrase n’a jamais été aussi vraie.
Mais comment ça marche concrètement ? Eh bien c’est relativement simple techniquement parlant. Les attaquants possèdent deux principales méthodes, afin d’obtenir vos mots de passe et identifiants :
La force brute
Comme son nom l’indique, ils essaient à travers des logiciels puissants un ensemble de combinaisons nom d’utilisateur / mot de passe, à partir de lettres et symboles aléatoires. En clair, si votre nom d’utilisateur est « prénom + nom », et votre mot de passe : « 1234 », imaginez bien qu’un ordinateur puissant n’aura besoin que de quelques secondes pour trouver ces identifiants.
L’attaque « dictionnaire »
Le principe est un peu similaire à la force brute, sauf que les tentatives ne sont pas des caractères aléatoires. Ils se basent sur des « dictionnaires« , accessibles facilement en ligne. Ces dictionnaires sont remplis des mots de passes les plus courants, utilisés par l’ensemble des humains. Vous n’avez pas idée de la quantité de dictionnaires disponibles en ligne, notamment sur le dark web.
« L’adress poisoning »
Ce terme, tiré de l’anglais signifiant l’empoisonnement d’adresse, est une arnaque relativement facile à mettre en place, et qui ne requiert aucune compétence particulière. Trop méconnue des utilisateurs cryptos, elle fait pourtant des ravages chez les personnes peu méfiantes. Explication.
L’adress poisoning est un type d’attaque basique ou l’attaquant va simplement essayer de semer la confusion dans la liste de vos adresses publiques que vous utilisez régulièrement, en y intégrant des adresses qu’il possède.
Comment fait il ? C’est très simple. Puisque la blockchain est publique, n’importe qui peut connaître le détails de vos transactions, entrantes comme sortantes, ainsi que votre adresse publique.
L’attaquant peut donc surveiller vos transactions. Lorsqu’il a repéré des transactions récurrentes, il va créer une adresse publique similaire. Si l’attaquant a repéré que vous envoyez souvent des cryptos, par exemple à l’adresse finissant par « X4cdE2 », il peut potentiellement créer une nouvelle adresse, avec le même suffixe.
Il existe en ligne des plateformes qui vous permettent de créer un portefeuille, avec une clef privée et publique, dont vous choisissez plus ou moins les caractères qui la composent.
Ainsi, avec une adresse très similaire à l’une de vos adresse d’envoi favorite, il va vous envoyer des petits montants sur votre adresse personnelle, de sorte à ce que son adresse personnelle revienne souvent dans votre historique. A aucun moment il ne prendra le contrôle de votre compte, ou bien il piratera votre portefeuille, mais il va simplement vous pousser à commettre la faute, c’est à dire, envoyer de l’argent à la mauvaise adresse.
Ainsi, lorsque vous souhaitez envoyer de nouveau de l’argent depuis votre portefeuille, vous allez potentiellement vous tromper, en copiant collant l’adresse de l’attaquant, car il s’est immiscé dans votre historique grâce à l’envoi de petits montants discrets.
L’attaquant est donc là, à l’affut de la moindre erreur, profitant donc du côté irréversible des transactions, et de votre petite erreur d’innatention lorsque vous envoyez votre argent.
Si ce n’est toujours pas clair pour vous, je vous recommande fortement d’aller regarder la vidéo de Hasheur, qui explique parfaitement le concept et l’illustre d’un exemple :
Hasheur et l’explication du concept « d’adress poisoning »
Dans cette vidéo vous trouverez également des informations importantes pour vous y protéger. Pour vous résumer cela, votre protection consiste en deux actions importantes :
- Lorsque vous envoyez de l’argent sur une adresse, vérifiez toujours l’ensemble des caractères qui la composent. les pirates sont malins, les adresses pourront être potentiellement très similaires.
- Utilisez des « étiquettes« , sur les adresses à qui vous envoyez de l’argent. Ainsi, si par exemple vous envoyez souvent de l’argent à un client qui s’appelle Mr Henry, associez son adresse à l’étiquette Henry, comme ça vous n’aurez qu’à choisir son nom, et nom une liste de caractères qui peuvent parfois porter à confusion.
Malgré tout, il faut savoir que cette méthode a un coût pour l’attaquant, car il doit vous envoyer de l’argent pour intégrer son adresse à votre historique, plus les frais de transaction. Vous imaginez bien que ce type d’attaque, si c’est réalisé en masse, peut coûter très cher. Ainsi, ce sont donc les gros portefeuilles qui sont principalement ciblés, car c’est logiquement beaucoup plus rentables.
La vidéo de Hasheur sur le sujet relate d’une histoire d’arnaque à hauteur de 2 millions d’euros. Donc si vous êtes un petit portefeuille, vous pourrez dormir tranquille. Mais malgré tout, soyez prudents !!
Le piratage de bases de données
Admettons que vous utilisiez un mot de passe fort, mais vous l’utilisez sur plusieurs sites ou plateformes à la fois. Il suffit que l’une d’entre elles se fasse pirater, et les attaquants possèdent donc les outils pour accéder à n’importe quelle autre plateforme utilisant les mêmes identifiants.
C’est ce qu’on appelle le « Credential stuffing », ou « bourrage d’identifiants en français » et il peut être incroyablement efficace pour les pirates, car de nombreuses personnes utilisent le même mot de passe pour plusieurs comptes.
« Le bourrage d’informations d’identification est l’injection automatisée de paires de noms d’utilisateur et de mots de passe volés (« informations d’identification ») dans les formulaires de connexion au site Web, afin d’accéder frauduleusement aux comptes d’utilisateurs. »
Source : Owasp.org
Afin de vous protéger de ce type d’attaque, il est essentiel d’utiliser des mots de passe uniques et forts pour chacun de vos comptes, y compris vos comptes de crypto-monnaie.
Expérience personnelle d’un piratage
Voici une petite anecdote qui m’est personnellement arrivée :
Lorsque j’ai débuté dans la crypto, j’utilisais Zelcore, un portefeuille de bureau comme l’un de mes portefeuilles personnels. J’utilisais à ce moment là un nom d’utilisateur commun et un mot de passe déjà utilisé sur une autre plateforme. Un jour, cette combinaison de nom d’utilisateur et de mot de passe a été compromise et volée sur la base de données piratée de cet autre site Web.
En conséquence, quelqu’un a réussi a se connecter à mon compte Zelcore. Il a également réussi à envoyer 600 $ d’Ethereum sur son propre portefeuille, depuis le mien. Je n’ai rien pu faire, une fois que le mal était fait, il était trop tard.
C’est la dure réalité d’être responsable à 100% de vos biens, en dehors de ce qu’un compte bancaire pourrait fournir comme sécurité ou assurance.
Maintenant, imaginez que tout votre argent est dans ce genre de portefeuille. Cela pourrait être un désastre qui pourrait changer la vie.
Si vous paniquez un peu en lisant ces lignes, dites vous que c’est normal, et que vous allez donc pouvoir agir en conséquence, et éviter de reproduire les mêmes erreurs que moi.
Alors que faire pour protéger ses actifs ?
Astuces pour protéger ses cryptos des hackers
Comment protéger ses cryptomonnaies des hackers ?
Voici tout ce que j’ai mis en place depuis cette date, afin de sécuriser au maximum mes actifs cryptos.
Utilisez un gestionnaire de mots de passe
La première chose à faire consiste à utiliser un gestionnaire de mots de passe. Ces outils vont vous permettre de créer un mot de passe unique, pour chaque plateforme ou site que vous utilisez. Pas de panique, vous n’aurez pas à les retenir.
J’utilise personnellement Bitwarden, un gestionnaire de mot de passe puissant qui vous permettra de tout stocker au même endroit.
Bitwarden est un gestionnaire de mots de passe open source qui aidera à créer, sécuriser et stocker de nombreux mots de passe différents. Ce faisant, vous serez en mesure de créer un nom d’utilisateur et des mots de passe forts et uniques, et de les stocker en toute sécurité dans ce logiciel.
Vous n’aurez besoin que d’un seul mot de passe, « maître », qui gèrera l’ensemble de vos mots de passe.
Pour y accéder, vous devrez configurer votre « mot de passe principal » et une identification à deux facteurs. Si vous n’êtes pas familier avec le 2FA, plongeons-y.
Authentification à deux facteurs (2FA)
Il est essentiel que vous vous protégiez et protégiez vos investissements en utilisant l’authentification à deux facteurs sur tous vos portefeuilles. La double authentification, comme son nom l’indique, est un protocole de sécurité qui vous oblige à entrer deux informations différentes afin d’accéder à votre compte.
C’est à ce jour l’une des méthodes les plus performantes afin de protéger ses actifs.
Il existe plusieurs façons d’implémenter 2FA sur vos échanges et portefeuilles. Certains des moyens les plus courants incluent la génération d’un code envoyé à votre téléphone par SMS ou la saisie d’un code dans votre compte lors de la connexion. Si vous n’êtes pas familier avec cette méthode, il s’agit simplement d’un générateur de code qui change toutes les 10 à 15 secondes, ou est créé pour une seule utilisation. Vous devez entrer le code temporaire qui apparaît sur votre écran en même temps que vous essayez d’accéder à votre portefeuille.
Téléphone ou adresse mail pour une double authentification
Vous pouvez donc utiliser votre téléphone, ou bien votre adresse mail, comme outil de vérification en deux étapes. Ainsi, lorsque vous essayez de vous connecter à votre portefeuille, Binance par exemple, vous allez donc devoir également entrer le code qui s’affiche sur votre téléphone lors de la tentative de connexion.
Même si ce procédé augmente votre sécurité, cela a également ses limites. Encore une fois, les pirates informatiques ne manquent pas d’originalité pour toujours trouver des failles.
Si par exemple, l’attaquant a accès à votre boite mail, il sera donc très facile pour lui de valider la deuxième authentifiaction.
Si vous n’utilisez que l’authentification par téléphone, sachez qu’il est également possible pour l’attaquant, à condition qu’il connaisse votre numéro de téléphone, d’utiliser la méthode du « Sim swap », c’est à dire d’essayer de convaincre votre opérateur téléphonique de lui envoyer une nouvelle carte sim en se faisant passer pour vous, afin qu’il puisse recevoir sur le nouveau téléphone les codes d’authentification. Cette fraude n’est pas courante, mais elle existe malheureusement. Gardez toutefois en tête que ce genre d’attaque n’est pas fait au hasard, et concerne principalement les détenteurs de gros portefeuille crypto.
Toutefois, si vous souhaitez dormir tranquille, même si vous n’avez pas un gros portefeuille, et atteindre le niveau maximal de protection, je recommande fortement d’utiliser un service adapté, comme ce que propose l’entreprise Yubico.
C’est ce que j’utilise depuis quelques années maintenant, et j’en suis très satisfait.
Comment protéger ses cryptomonnaies des hackers ?
2FA par clef physique
Yubico est une entreprise suédoise qui a démarré ses activités en 2007, et qui s’est spécialisée dans la sécurité de données et actifs numériques. Le produit vendu est très simple. C’est une sorte de petite clef USB, sur laquelle repose un détecteur d’empreinte digitale. Ca ressemble à cela :
Cette petite clef USB peut ainsi se configurer sur un ensemble de portefeuilles cryptos. Ainsi, je l’utilise personnellement sur mon compte Binance, où j’achète des cryptos.
Lorsque cette clef est configurée, et que je souhaite me connecter à mon compte Binance, j’ai juste à poser mon doigt sur la clef, pour activer la connexion à mon compte. De toute logique, il est impossible pour quiconque de se connecter à mon compte sans détenir physiquement cette clef et mes empreintes digitales personnelles.
Le niveau de sécurité est donc maximal avec ce genre d’outils.
Bonnes pratiques pour protéger ses cryptos des hackers
En plus d’utiliser des mots de passe forts, il est également important de prendre des bonnes habitudes afin de protéger vos crypto-monnaies contre les pirates. Cela inclut d’être prudent lorsque vous cliquez sur des liens ou téléchargez des pièces jointes, et de garder votre logiciel et votre système d’exploitation à jour avec les derniers correctifs de sécurité.
Si vous utilisez votre ordinateur personnel pour gérer tout votre argent, je vous recommande vivement d’éviter le téléchargement ou le streaming, d’être prudent lors de la navigation sur le web sur des sites inconnus… etc.
Si vous consultez régulièrement vos emails, faites très attention à ce sur quoi vous cliquez, le piratage par phishing est un vrai problème.
L’attaque par phishing
Le mot « phishing » se prononce comme le mot « fishing », qui signifie pêcher. En clair, l’attaquant part à la pêche aux données sensibles lors de ce type d’attaque. Et c’est très souvent vos identifiants personnels.
Si vous n’êtes pas familier avec ce mot, traduit en français par « hameçonnage », voici une définition :
« L’hameçonnage est un cybercrime dans lequel une ou plusieurs cibles sont contactées par courriel, téléphone ou message texte par une personne se faisant passer pour une institution légitime afin d’inciter les individus à fournir des données sensibles telles que des informations personnellement identifiables, des détails bancaires et de carte de crédit et des mots de passe.
Les informations sont ensuite utilisées pour accéder à des comptes importants et peuvent entraîner un vol d’identité et des pertes financières.
Source : phishing.org
Cette pratique est de plus en plus courante, et malheureusement, avec les progrès de l’IA, la qualité des mails frauduleux envoyés a été grandement améliorée.
Concrètement, à quoi ça pourrait ressembler ce type d’arnaque ? Vous pourriez recevoir, un matin, un mail en provenance de Binance, vous expliquant que par mesure de sécurité, vous devez changer votre mot de passe. Pour cela, vous devez cliquer sur un lien, vous atterrissez sur une page qui ressemble à Binance, et qui vous demande de rentrer vos anciens identifiants.
Comment éviter le phishing ?
Si vous n’avez pas l’habitude de combattre ce type d’attaque, ça peut faire peur au premier abord. Toutefois, la règle à appliquer pour éviter ce type de déconvenue est relativement simple :
Ne cliquez jamais sur un lien qui apparaît dans un mail, ou message.
Cela s’applique pour absolument toutes les situations, même si vous êtes certain à 99% que le message est sûr.
Imaginons par exemple que vous attendez un colis de la part de Chronopost. Vous êtes impatient, vous souhaitez savoir où en est la livraison. Si vous recevez un mail vous expliquant que vous pouvez cliquer sur un lien Chronopost pour suivre la livraison, ne le faites pas.
Ce qu’il faut faire à la place, c’est aller directement sur le site officiel de Chronopost, et entrer le numéro de suivi.
Utilisez des favoris dans votre navigation web pour être sûr de bien retourner sur le site officiel en question.
Maintenant que vous en savez plus sur les bonnes pratiques pour protéger ses cryptomonnaies des hackers, il reste un dernier point à éclairer ensemble : les portefeuilles cryptos.
Dernier rempart de protection, c’est ici que tous vos actifs seront stockés. Alors que faire ? Comment protéger ses cryptomonnaies des hackers ? Quels sont les portefeuilles les plus performants sur le marché ?
Utiliser un « cold wallet » pour protéger ses actifs crypto
La sécurité ultime, pour stocker ses cryptos, c’est ce que l’on appelle, un cold wallet, ou portefeuille froid, traduit littéralement.
Si vous n’êtes pas du tout familier avec les types de portefeuilles, et que vous êtes un peu perdu, j’ai également rédigé un guide complet pour comprendre comment ça fonctionne :
Quelle est la meilleure façon de stocker ses cryptos ?
Dans cet article, vous apprendrez :
- Différence entre un « Hot » & « Cold » wallet
- Différence entre un « custodial » & « non custodial » wallet
Quel portefeuille utiliser selon quel besoin, et comment les utiliser simplement.
Un « cold wallet » comme Ledger est un appareil qui ressemble à une clé USB, qui est utilisé pour stocker et gérer des crypto-monnaies comme Bitcoin. On l’appelle un portefeuille « froid » car, je l’expliquais dans l’introduction, vos clefs privées ne sont pas connectées à Internet, ce qui le rend plus sûr contre les pirates informatiques qui pourraient essayer de voler les crypto-monnaies.
La façon dont fonctionne un portefeuille matériel froid comme Ledger est simple. Tout d’abord, vous connectez le portefeuille à votre ordinateur à l’aide d’un câble USB. Ensuite, vous utilisez un logiciel spécial sur votre ordinateur (via le logiciel Ledger Live), pour générer une « clé privée » pour votre portefeuille. La clé privée est un code secret très long (une suite de 24 mots habituellement) que vous seul connaissez, et il est utilisé pour accéder et gérer les crypto-monnaies dans votre portefeuille.
Suite à un piratage de l’un de mes portefeuilles il y a quelques années, j’ai décidé de m’intéresser beaucoup plus sérieusement à la sécurité de mes actifs.
Depuis, j’utilise personnellement un portefeuille de la marque Ledger, et j’en suis pleinement satisfait. Vous pouvez retrouver leurs produits en cliquant sur cette image :
L’efficacité Ledger
Pourquoi Ledger est un portefeuille sûr contre les hackers ?
Parce que vous devez physiquement appuyer sur un bouton de votre clé afin de valider la transaction.
En d’autres termes, cela signifie que personne ne peut accéder à vos cryptos s’il n’a pas le portefeuille Ledger entre les mains. Toute transaction entrante ou sortante de votre Ledger, doit être physiquement validée par une pression physique sur le bouton de la clef.
C’est comme s’il n’existait qu’une seule clef pour accéder à votre boite aux lettres, et qu’il n’était pas possible de la dupliquer, et pas possible d’ouvrir la boite aux lettres d’aucune autre manière.
Tant que vous conservez cette clef bien en sécurité chez vous, il ne peut rien arriver à vos cryptos. Depuis que j’utilise ce type de service, je n’ai plus jamais eu de souci de sécurité.
Alors oui, c’est moins pratique d’utiliser un portefeuille de ce type que Binance par exemple. Mais la sécurité a forcément un coût.
Si l’on parle de moins de 200€, ne vous embêtez pas avec ces couches de sécurité supplémentaires, ça n’en vaut probablement pas le coût. Toutefois, si vos actifs dépassent les 1 000€, l’investissement commence à valoir le coup.
Ma réflexion personnelle à ce sujet est la suivante. Je considère qu’il est rentable d’investir 150€ dans un outil qui me garantit une sécurité maximale pour des actifs de plus de 1000€, sachant qu’ils ont une durée de vie importante, qui me suivront tout au long de mon aventure crypto, et de l’augmentation de mon patrimoine.
Vous souhaitez en savoir plus sur les cryptomonnaies ? Voici quelques liens qui peuvent vous intéresser :
Quel est le meilleur portefeuille crypto physique ?
Comment gérer les risques sur vos investissements en crypto ?
L’influence des émotions sur vos décisions d’investissement
