Bitstack lève 5 millions d’euros ! 🎉

Self-custody : Top 4 des erreurs à éviter sur Bitcoin

Disponible en podcast
Partager l’article :

Au fil de la démocratisation de Bitcoin, de plus en plus de personnes choisissent de sécuriser elles-mêmes leurs clés cryptographiques afin de reprendre possession de leurs fonds. Cependant, même les débutants les plus motivés peuvent tomber dans des pièges qui peuvent s'avérer être coûteux pour la sécurité de leurs bitcoins.

Voici 4 erreurs courantes à éviter pour assurer la bonne sécurisation de votre portefeuille Bitcoin.

Inventer sa propre cryptographie ;

Certains bitcoiners, après avoir acquis quelques connaissances sur Bitcoin, ont la fausse bonne idée d’imaginer et d’appliquer leur propre cryptographie à leur portefeuille. Chez certains, on peut observer ce que l’on nomme l’effet Dunning-Kruger. Ils surestiment leurs compétences en cryptographie et négligent l’importance des standards.

Il convient de bien différencier la stratégie de sécurisation et les standards de cryptographie. Votre stratégie de sécurisation, vous la choisissez et vous la modelez en fonction de différents éléments subjectifs. Elle doit s’établir sur des standards cryptographiques pensés par de vrais cryptographes, et contrôlés par leurs pairs. Ainsi, il est généralement dangereux de modifier soi-même ces standards.

L’exemple le plus courant de cette mauvaise pratique est la division de la phrase mnémonique. Cela consiste à diviser une phrase de récupération en trois sauvegardes, une avec les mots de 1 à 16, une autre de 8 à 24 et une dernière avec les mots de 1 à 8 et de 16 à 24. C’est une pratique qui vise à éliminer le SPOF (« Single Point Of Failure » en anglais, « point de défaillance unique » en français) que constitue la phrase de 24 mots. À première vue, cela peut paraître être une bonne idée, mais en réalité, c’est une très mauvaise pratique. Cela ne supprime pas le SPOF, et cela augmente fortement le risque de vol de la phrase en réduisant exponentiellement sa résistance aux attaques par brute force.

➤ En savoir plus sur la phrase de récupération des portefeuilles Bitcoin.

La frontière entre votre stratégie de sécurisation et les standards cryptographiques se situe au niveau de la modification du standard. Si vous ne modifiez pas le standard, mais que vous l’adaptez à votre situation, alors votre action relève de la stratégie de sécurisation. Par exemple, vous pouvez choisir de noter votre phrase de récupération sur un support en papier, ou bien sur un support en métal. Dans ce cas, le choix du support ne vient pas modifier le standard initial. En revanche, si vous choisissez de chiffrer, d’encoder ou de diviser votre phrase de récupération, alors vous inventez votre propre standard, et cela peut devenir dangereux.

Je vous conseille vivement de respecter les standards. Il existe beaucoup d’options éprouvées pour modeler une stratégie de sécurisation comme bon vous semble, et il en existera encore plus demain.

Ne pas suivre les bonnes pratiques liées à la vie privée sur Bitcoin ;

La protection de la vie privée n’est pas une manie de bitcoiners maximalistes. C’est un paramètre essentiel qui touche directement à votre stratégie de sécurisation personnelle. Ainsi, si vous souhaitez améliorer la sécurité de votre portefeuille, vous devez vous intéresser aux bonnes pratiques permettant de préserver votre confidentialité sur Bitcoin.

Pour vous convaincre, je vous donne un exemple parlant. Si vous réutilisez constamment la même adresse de réception pour recevoir vos achats en DCA, alors il est possible de faire un lien indéniable entre vos différentes pièces. Si un jour, vous utilisez cette adresse pour payer un bien, la personne qui recevra votre paiement sera en capacité de connaître tout le solde de votre portefeuille. Vous pouvez facilement comprendre les risques que cela induit, notamment si vous disposez d’une grosse somme de bitcoins.

Finalement, cela renvoie aux mêmes pratiques que l’on pourrait avoir avec du cash. Lorsque vous allez acheter une baguette dans une boulangerie de votre quartier, vous n’y allez pas avec une mallette remplie de billets contenant toute votre épargne. Non, vous prenez simplement une pièce afin de payer la baguette. Et bien sur Bitcoin, c’est pareil. Si vous réutilisez constamment la même adresse, un observateur extérieur pourra connaître l’intégralité de votre épargne en bitcoins. Dans cet exemple, la bonne pratique serait de ne pas réutiliser deux fois une même adresse de réception.

Par ailleurs, malgré leurs noms trompeurs, ne diffusez jamais vos clés publiques, vos adresses et vos clés étendues publiquement. En effet, une personne en possession d’une de vos clés publiques sera en capacité de connaître son solde de bitcoins et de tracer vos transactions. Encore une fois, cette information peut indirectement vous porter préjudice. Par exemple, si vous disposez d’une somme importante de bitcoins et que vous diffusez la clé publique concernée sur vos réseaux sociaux, vous risquez de subir un acte malveillant. Il convient donc de ne pas publier vos adresses de réception sur vos réseaux sociaux, sur le web et, plus largement, sur tout moyen de diffusion public. Si vous souhaitez recevoir des bitcoins sur votre portefeuille, donnez une adresse uniquement à la personne qui doit vous les envoyer.

➤ En savoir plus sur le fonctionnement de Bitcoin.

Évidemment, il existe de nombreuses autres actions à mener pour faire respecter votre droit fondamental à la vie privée sur Bitcoin. Je vous conseille vivement de vous y intéresser afin de les inclure dans votre stratégie de sécurisation.

Négliger l’étape de la génération du portefeuille ;

La création d’un wallet est une étape particulièrement sensible dans le processus de sécurisation. La plupart des pertes de bitcoins proviennent de mauvaises pratiques à cette étape.

Tout d’abord, il convient de bien sauvegarder son portefeuille à l’aide de la phrase de récupération. Cette dernière doit être notée de manière lisible sur un support adapté. Les mots doivent être numérotés et tous conservés sur le même support. Cette étape de la notation de la phrase de récupération doit se faire dans un environnement discret, à l'abri des regards et des caméras.

Ensuite, il est fortement conseillé de réaliser un test de fonctionnalité sur cette sauvegarde. Concrètement, vous allez volontairement supprimer votre portefeuille Bitcoin fraîchement créé, lorsqu’il est encore vide, afin de tenter de le récupérer exclusivement à partir de sa phrase. Cette pratique vous permet à la fois de vous assurer de la validité de votre copie de la phrase de récupération, mais également de vous entraîner au processus de récupération, pour savoir comment réagir en cas d’urgence.

Pour découvrir réellement comment réaliser ce processus, je vous conseille de lire notre tutoriel d’installation du portefeuille Green Wallet.

Au-delà de l’étape de la sauvegarde en elle-même, il peut être pertinent de s’intéresser à la manière dont est générée la phrase de récupération de votre portefeuille. Celle-ci est issue d’un nombre aléatoire. Si celui-ci n’est pas suffisamment aléatoire, cela peut venir réduire la sécurité de votre wallet. Ainsi, il vaut mieux privilégier des portefeuilles open-source pour lesquels le processus de génération de la phrase a pu être vérifié par d’autres personnes.

Par ailleurs, certains portefeuilles vous laissent l’option de générer vous-même le nombre aléatoire à la base de votre portefeuille HD. Cette option est particulièrement intéressante puisqu’elle vous permet de maîtriser vous-même le caractère aléatoire de votre phrase.

Ne pas vérifier la validité des adresses de réception ;

Lorsque vous envoyez des fonds vers votre portefeuille personnel, il convient de bien vérifier l’adresse de réception que vous utilisez avant de confirmer. Si vous envoyez vos bitcoins sur une adresse pour laquelle vous ne disposez pas de la clé privée, les bitcoins engagés seront perdus à jamais.

Toutefois, les adresses de réception sur Bitcoin disposent d’une somme de contrôle (checksum). Cet outil cryptographique, inclus à la fin de chaque adresse, permet aux logiciels de détecter et de signaler une faute de frappe sur la suite de caractères. Ainsi, il n’est pas nécessaire de vérifier chaque caractère un à un sur toute l’adresse. Une simple vérification des quelques derniers caractères de l’adresse (ce qui correspond à la checksum) est en théorie suffisante pour s’assurer que l’on ne s’est pas trompé. Vérifier la validité de cette checksum permet également de s’assurer qu’aucun logiciel malveillant ne soit venu modifier votre adresse avant de confirmer l’envoi.

Attention, ce type de dispositif (la checksum) n’existe pas sur une clé publique. Si vous utilisez des clés publiques pour bloquer des bitcoins, avec un script P2PK, il convient de vérifier un à un chaque caractère de la clé.

Conclusion

Si la self-custody de bitcoins est un nouveau concept pour vous, il est important que vous évitiez ces quelques erreurs afin de garantir la sécurisation de vos fonds.

📌 Voici les points à retenir de cet article :

  • Ne tentez pas d’inventer votre propre cryptographie. Vous pouvez choisir d’utiliser les différents standards existants, mais ne modifiez pas ces derniers. Vous risqueriez de perdre vos bitcoins ;
  • Intéressez-vous aux bonnes pratiques vous permettant de faire respecter votre vie privée. C’est un domaine de la stratégie de sécurisation qui est très trop souvent négligé ;
  • Soignez le processus de génération de votre portefeuille Bitcoin. Ne sautez pas les étapes et suivez les bonnes pratiques ;
  • Pensez à vérifier la validité de vos adresses de réception avant de les transmettre à un envoyeur.

Ces articles pourraient vous plaire

Bitstack SAS, société immatriculée au registre du commerce et des sociétés de Aix-en-Provence sous le numéro 899 125 090, exploitant le nom commercial Bitstack est enregistrée auprès de l'Autorité des Marchés Financiers (AMF) au titre des activités d'achat/vente d'actifs numériques contre monnaie ayant cours légal et de conservation d'actifs numériques pour compte de tiers sous le numéro E2021-027, dont le siège social est situé 100 impasse des Houillères 13590 Meyreuil.

L'investissement dans les actifs numériques comporte un risque de perte partielle ou totale du capital investi.
Les performances passées ne préjugent pas des performances futures.
TÉLÉCHARGER
‍Bitstack