Wallet numérique & notions de cryptographie pour une souveraineté individuelle

Transcript

1. « Wallet numérique & notions de cryptographie pour une souveraineté

   individuelle » Renaud Lifchitz - expert en cybersécurité

2. SÉCURITÉ DES PORTEFEUILLES

3. 3 Qu’est qu’un compte crypto ? • Un compte crypto

   c’est comme une boîte aux lettres • N’importe qui peut vous envoyer des cryptos s’il connait l’adresse de votre compte • Vous seul pouvez avoir accès à ces cryptos avec une clé • Votre clé privée n’est à jamais dévoiler à quiconque ! (même à un prétendu technique, support, service après-vente, demande de mise à jour...) Votre adresse de compte = clé publique exemples : - adresse Bitcoin : bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq - adresse Ethereum : 0xb2D8226B0EF1754b986F4B28dbB71368dBD5D30D Votre phrase de récupération (« seed ») = clé privée exemple (souvent 24 mots anglais) : camp raw text kangaroo problem lock sauce funny cart final loan race alter tape harbor model decorate update live edit calm pluck stem creek L’ordre des mots est fondamental

4. 4 Types de portefeuilles • Selon le type de détention

   : – dépositaire ("custodial") : contrôlé par un tiers de confiance – non-dépositaire ("non-custodial" ou "self-custodial") • Selon son implémentation : – Logiciel – Matériel – Papier / Métal • Selon sa connexion au réseau / à Internet : – Portefeuille chaud ("hot wallet") : connecté – Portefeuille froid ("cold wallet") : hors-ligne

5. 5 Importance d’utiliser un portefeuille matériel – Un portefeuille logiciel

   sur ordinateur ou smartphone est dangereux car exposé : • Aux virus • Aux logiciels/extensions de navigateur espions (un tiers des ordinateurs) • Au piratage de votre système (Windows, macOS, Linux, Android, iOS) – L’idée est de stocker vos fonds déconnectés d’Internet, dans un périphérique où on ne peut pas lire votre clé privée car il ne le permet simplement pas (« cold wallet »)

6. 6 Sécurité indicative des différents types de portefeuille Sur PC,

   dans le navigateur Matériel avec Secure Element + écran Matériel sans « Secure Element » certifié (EAL) Sur smartphone Sur PC, hors navigateur Matériel avec « Secure Element » Exemple : Metamask Exemples : Satochip Tangem OneKey Lite Exemple : OneKey Classic OneKey Pro Exemple : Exodus Exemple : Trust Wallet Exemples : Jade Safepal Laisser ses cryptos sur un échange est risqué : hack de votre compte, hack de l’échange, faillite, gel&saisie administrative/réglementaire...

7. 7 Créer & utiliser différents comptes pour différents usages •

   A minima, comme pour la gestion de votre argent : – Un compte pour l’argent de poche (sur smartphone) – Un compte courant – Un compte épargne (rarement accédé) • En supplément, encore mieux : – Un compte (une adresse) pour chaque application DeFi ou interlocuteur : les portefeuilles peuvent tous créer autant d’adresses que vous souhaitez – Idéal pour la vie privée et la sécurité de vos fonds

8. 8 Exemples de portefeuilles Bitcoin selon les usages Argent de

   poche (Lightning) - (L) Compte courant (M) Compte épargne (M) Débutant Blink Wallet of Satoshi Satochip Tangem Ledger OneKey Confirmé Aqua Bull Bitcoin Phoenix Satochip Tangem Jade Safepal BitBox Expert Alby Go Zeus Coldcard Mk5 Coldcard Q (L) : Logiciel (M) : Matériel

9. 9 Outils avancés de confidentialité Vie privée « on-chain »

   sur Bitcoin • Coin Control : choisir quels UTXOs dépenser • CoinJoin : mélanger des transactions pour brouiller les pistes • Mixers : mélanger les fonds de plusieurs personnes • PayJoin : transactions de paiements collaboratives • Tor / VPN : masquer son adresse IP lors des transactions

10. SAUVEGARDES

11. 11 L’importance de sauvegarder correctement son portefeuille (backup) • Pour

    se protéger de nombreux risques matériels : – Perte – Dysfonctionnement / Panne (matériel ou logiciel) – Vol – Disparition du fournisseur / éditeur

12. 12 Comment bien sauvegarder son portefeuille ? (backup) - 1/2

    • L’accès d’un tiers à votre sauvegarde est un des risques les plus probable et les plus sous-estimé • Mauvaises pratiques concernant la phrase de récupération (« seed ») : – La noter dans un fichier (notes) sur smartphone ou ordinateur – La prendre en photo Les 2 facilitent le piratage de vos comptes... • La seed ne doit pas avoir d’existence numérique !

13. 13 Comment bien sauvegarder son portefeuille ? (backup) - 2/2

    1. Résistance : résistance aux catastrophes (incendie/inondation), par ex. gravure sur plaques en acier inoxydable 2. Redondance : avoir la sauvegarde à plusieurs endroits (en cas de destruction du lieu/de la phrase de récupération par une catastrophe) 3. Phrase secrète/25ème mot : pour ajouter de la sécurité en plus (ne l'oubliez pas !) 4. Enveloppe/pochette opaque : pour éviter la visualisation directe de la sauvegarde par des personnes non autorisées (famille, colocataires, invités, voleurs) 5. Enveloppe/pochette de sécurité inviolable : pour vérifier si la seed a été consultée à votre insu 6. Fonctions de sécurité avancées : séparation de votre phrase en plusieurs morceaux (Shamir), multi- signatures, verrouillage temporel... (ex.: Gnosis / Liana)

14. CHALLENGES FUTURS

15. 15 Challenges futurs • Ergonomie/simplicité des interfaces graphiques pour les

    utilisateurs débutants • Intégration multi-réseaux et swap/routage automatique (notamment entre les couches 1 et 2) • Sécurisation contre la contrainte intégrée (multi-signatures & « timelocks ») • « Secure Element » open source : progrès récents avec le Tropic Square TROPIC01 du Trezor Safe 7 • Intégration d’algorithmes post-quantiques