La sécurité

La sécurité du Bitcoin, et des crypto-monnaies, n’est qu’un cas particulier du très vaste sujet qu’est la Sécurité Informatique. Tous les jours des milliers d’informations personnelles et confidentielles sont piratées chez les GAFAM (Google, Amazon, Facebook, Apple, Microsoft), soit directement, soit par l’intermédiaire de leurs sous-traitants. En France il ne se passe pas une semaine sans qu’une annonce de piratage soit diffusée. Pour s’en rendre compte on peut consulter le site Zataz qui n’est pas avare d’informations et d’alertes.

Un des derniers exemples en date :  Les messages ... de 81 000 utilisateurs .... en vente sur le Net.

Ici il ne s’agira pas de débattre ou de polémiquer, ou de chercher la cause et/ou les remèdes radicaux. Le sujet est trop vaste pour être développé de façon exhaustive dans ce tutoriel.

Donc ce chapitre va juste se limiter à quelques conseils pratiques relatifs au Bitcoin et aux crypto-monnaies. Et à quelques liens vers des sujets pertinents concernant la sécurité.

Déléguer, sous-traiter… ?!

C’est déjà évoqué dans l’introduction de ce tuto : si on n’est pas vraiment doué pour manipuler les outils informatiques, alors il n’y a pas besoin de consulter un spécialiste pour corriger ce “défaut” ! On peut vivre sans la High-Tech! Mais cela peut être handicapant et risqué si on veut absolument investir dans le Bitcoin.

Donc, faute de temps et/ou de motivation pour se plonger dans cet univers particulier, on aura l’idée de s’adresser à quelqu’un qui connaît au moins la manipulation des outils high-tech, ordinateur, téléphone, internet… C’est-à-dire une personne ou une organisation rassurante à qui confier une petite fortune, pour s’occuper de la placer et, tant qu’à faire, tenter de la faire fructifier.

La famille, les amis

Une source d’escroquerie dont les victimes s’y attendent le moins est le proche entourage. Statistiquement, il s’avère que les faits de violences et menaces ont souvent pour origine le conjoint, l’ex-conjoint, un membre de la famille, l’entourage personnel ou professionnel, ou les personnes du voisinage.

Même si dans ce tutoriel il est conseillé parfois de s’adresser à une personne de confiance, cela n’empêche pas de rester vigilant. Selon le niveau d’intimité avec la personne à qui on va dévoiler ses données secrètes, le conseil trivial c’est de ne lui confier que le strict nécessaire lui permettant de gérer ce petit business. Et aussi de ne pas hésiter à poser des questions du genre : “Pourquoi as tu besoin d’accéder à mon compte bancaire ? A mes emails ? etc…”.

Donc, mis à part la vigilance, il n’y a pas vraiment de règle concrète de comportement, là c’est l’humain qui l’emporte sur la façon de s’y prendre, pas la machine. Si il y a un hic, ce n’est souvent pas à cause du Bitcoin ou de l’ordinateur !

Les sites de trading

Comme pour sa propre banque qui détient notre argent, et avec laquelle la plupart des opérations courantes peuvent s’effectuer par internet, on peut très vite être séduit par ces sites qui s’engagent à faire mieux que notre banque.

Un chapitre spécial Arnaques et escroqueries y est consacré car ces mécanismes de malversation se sont largement développé en 2018.

En fait il faut bien comprendre que dans ce genre d'arnaque le Bitcoin n’est qu'un prétexte, car c’est à la mode, c’est tendance.... Ce qui intéresse l’escroc, qui protège son anonymat avec un faux nom, c’est d’une part la crédulité du client / pigeon dont il va se servir, et d’autre part, et surtout, les euros que le benêt va investir. Cet investissement n’est jamais converti en bitcoins, il est tout simplement dérobé définitivement à la victime qui tombe dans le piège. Sans espoir de trouver une juridiction internationale qui permettrait au moins d’enquêter et de trouver  les escrocs.


Les plateformes d’échange

Les sites de trading évoqués ci-dessus promettent la lune, alors que les plateformes d’échange, matérialisées aussi par un site internet, promettent qu’elles font très attention aux liquidités qui y sont déposées. Il ne s’agit pour elles que d’acheter et vendre des bitcoins et/ou des crypto-monnaies.

Celles qui partent avec la caisse

Le cas d’école c’est Bitcoin Savings and Trust qui a empoché 764.000 BTC, que les clients ont donc perdu, et qui a fermé en 2012.

Comme pour les sites de trading il faut s’en méfier comme de la peste, ne pas se fier aux apparences, croire qu’on a trouvé la perle rare qui offre des taux de change très alléchants et des frais défiants toute concurrence. Pour vendre ou acheter des bitcoins, le mieux c’est de s’inscrire sur un site ayant pignon sur rue comme Paymium, Kraken, Coinbase, Binance, Poloniex ou Gemini. Pour les trouver c’est simple : ces plateformes ne font pas de publicité, elles n’en ont pas besoin, leur réputation est suffisante. Contrairement aux pseudo plateformes start-up qui prétendent avoir trouvé le Graal et qui le font savoir.

Une liste fiable et mise à jour est disponible ici : Acheter et vendre des bitcoins.

Celles qui se font pirater

Contrairement à nos banques traditionnelles qui ont su verrouiller les accès aux comptes depuis des dizaines d’années, les plateformes sont encore à la merci des prédateurs qui trouvent toujours une faille ou une porte d’accès dérobée les conduisant directement aux portefeuilles bien approvisionnés.

Voici une petite liste non exhaustive des plateformes touchées depuis quelques années :

2011 Mt. Gox, 2012 Bitfloor et Bitcoinica, 2013 Picostosks, Inputs.io et BIPS, 2014 Poloniex, Mintpal et Flexcoin, 2015 Bitstamp, BTER et Kipcoin, 2016 Bitfinex, 2017 Bithumb et Youbit, 2018 Coincheck et Coinrail

Le conseil est donc de n’y laisser qu’un minimum de fonds, pour les opérations courantes, et d’utiliser un hardware wallet et/ou un paper wallet pour stocker ses bitcoins à long terme.

Même Kraken, qui n’a jamais été piraté depuis sa création en 2011 jusqu’à aujourd’hui fin 2018, considère que la plateforme n’est qu’un relais d’échange à n’utiliser que pour effectuer des transactions, mais pas pour stocker. Contrairement aux banques traditionnelles, ces plateformes ne se servent pas des dépôts des clients qu’ils font fructifier. Ce sont les frais sur les opérations de change qui leur permettent d’assurer leur business.


Le home-jacking, ou saucissonnage 

Ce n’est pas du tout drôle de se retrouver ficelé sur une chaise, chez soi, comme une coppa.

Ici on a à faire à un cambriolage dans un lieu privé en présence des occupants. Les intrus sont là pour demander l’emplacement ou les cachettes des objets de valeur, les codes PIN des cartes bancaire, les identifiants des comptes en banque ou des ordinateurs, les clés privées, etc… Et si nécessaire ces gangsters ont recours à la violence pour faire parler les victimes.

Il faut jeter un coup d’oeil à ce témoignage un peu saugrenu : se faire braquer ses bitcoins dans sa chambre d’hôtel. Pour résumer : deux voleurs ont fouillé le smartphone d’un touriste dans sa chambre d’hôtel. Ils ont détecté la possession de bitcoins au moyen d’une application installée dans le smartphone, et ont réussi à les dilapider sous la menace, la victime n’ayant pas eu d’autres choix, la bourse ou la vie, que de révéler ses mots de passe et/ou les clés privées.

 Rappel concernant le paiement avec un porte- monnaie papier :

  1. J’installe Mycelium sur le smartphone
  2. Je scanne le QR Code de ma Clé Privée
  3. Je saisie le montant en bitcoins que je dois envoyer
  4. Je scanne le QR Code du destinataire
  5. J’envoie
  6. Je supprime Mycelium du smartphone.

Mais pourquoi faut-il supprimer Mycelium ?

Le voleur de smartphone connaît votre adresse et peut deviner où vous vous trouvez, donc il peut revenir chez vous et vous menacer comme cela est arrivé à ce touriste.

 

Il ne faut laisser aucune application financière sur le smartphone, de cette façon le voleur n’a pas l’idée et la tentation de chercher plus loin.

Et pourquoi faut-il répartir ses bitcoins dans plusieurs portes-monnaie ?

Une transaction Bitcoin c'est comme un chèque avec son talon :

Il y a :

Dans le cas d’un chèque, on garde le talon. À part soi-même et les prédateurs, ça intéresse qui de savoir qu’il reste plus de 38.000 € à la banque ?

Mais dans le cas du Bitcoin, le destinataire voit, à partir de l’adresse publique dans la Blockchain, le solde final dans le porte-monnaie de l’expéditeur, donc l’équivalent du Nouvel avoir.

Par exemple pour cette adresse :  3D2oet...Fk9r …..

….le montant du “chèque” était de 2 BTC le 9 octobre 2018, et le solde final était de plus de 146.000 BTC, c’est-à-dire environ 840 millions d’Euros au cours du jour.

Evidemment pour un voleur, la tentation est forte de pouvoir se servir dans ce porte-monnaie ! Si le propriétaire est un particulier, et si ce voleur fait partie d’un réseau du genre grand banditisme, alors tous les moyens pourraient être mis en oeuvre pour obtenir ce qu’il veut : chantage, pistage, prise d’otage, cambriolage, saucissonnage, pillage, étripage, plumage, ramage, etc.

D’où l’intérêt de répartir de telles sommes dans des dizaines ou centaines de portes-monnaie, contenant des montants anodins.

Et quoi d’autre ?

Rester discret : De même que très peu de personnes savent que vous avez un coffre-fort à domicile, ne parlez de vos bitcoins qu'au cercle réduit de votre famille et amis.


L’ordinateur et le téléphone

Concernant la protection du particulier, de l’utilisateur moyen, l’ambiance est très morose. On se contente d’installer et de faire confiance aux antivirus, de cacher ses mots de passe et autres clés secrètes tant bien que mal en se disant que la malchance de se faire pirater chez soi est très faible. Ce témoignage en dit long sur l’état plutôt lamentable du comportement des utilisateurs vis-à-vis des menaces informatiques potentielles.

Comme expliqué au début, le premier malware auquel on pense rarement concerne les personnes ~dignes de confiance~, dans la famille, les amis, les voisins.  Un proche  “insoupçonnable”, mais indélicat, peut discrètement consulter ordinateur / tablette / smartphone, laissé incidemment dans un coin, et y trouver, ~par hasard~, ce qu’il faut pour commettre un méfait. La simple photo d’une clé, d’un QR Code, d’un mot de passe est suffisante pour pénétrer dans le secret des comptes de la victime.

De bons conseils de sécurisation de smartphone sont disponible ici : 10 conseils pour sécuriser votre smartphone.

D’une façon général, débordant du domaine des crypto-monnaies, la lecture de cet article peut au moins sensibiliser sur la nécessité de se protéger : Intimité numérique : le Truc a fait mouche.

Un point particulier auquel on ne pense pas souvent

Le SAV : un ordinateur ou un téléphone qui doit être réparé, et qui contient un programme ou une appli qui gère des bitcoins, c’est potentiellement une grosse faille de sécurité lorsque l’appareil est dans les mains d’un technicien anonyme. Même si les programmes et/ou les données sont effacés, un expert peut toujours trouver des traces dans la mémoire non volatile ou le disque dur. Il n’y a pas de solution toute faite pour parer à ce genre d’éventualité. Le mieux, et dans le doute, avant d’envoyer l’engin en réparation, c’est d’expliquer et de poser les bonnes questions sur un forum de discussion.

Le conseil est donc le suivant :

Donc en cas de retour au SAV il suffit auparavant d’enlever la mémoire, ou de débrancher le disque dur. Les chances de trouver des traces de données secrètes sont déjà amoindries !

Les applications et les clés sur le téléphone

Ce sont pour ces raisons d’un SAV ou d’un “expert” mal intentionné, et également pour des raisons de chapardage, qu’il faut éviter de laisser visible dans le téléphone toutes les applications concernant les crypto-monnaies, et la finance en général. C’est vrai qu’il est évidemment pratique d’avoir cela sous le coude pour une utilisation instantanée.

Concernant les clés publiques et privées, le fait de les cacher au milieu des photos ou des documents permet déjà de ne pas tenter le diable. Par exemple un QR-Code peut être dissimulé au milieu des centaines de photos. Une adresse privée ou publique au format texte peut aussi être intégrée dans un document anodin, un fichier texte, une notice.

Une solution originale consiste à sauvegarder les QR Code sur un site de stockage d’image comme https://imgbox.com/. Après avoir préparé le QR-Code à sauvegarder, on va sur le site. Il faut cliquer sur UPLOAD IMAGES, et sélectionner l’image à stocker. Puis sélectionner les choix suivant : Family Safe Content, 250X250 pixel (square), Disable Comments, Do Not Create a Gallery, et cliquer sur Start upload :

Après quelques secondes on obtient un écran comme celui ci :

C’est le lien en haut à gauche qu’il faut conserver pour accéder à l’image stockée sur le web. Voici par exemple le lien vers le QR Code d’une clé privée : http://imgbox.com/Np5C34eV.

Il y a d’autres sites qui permettent de stocker gratuitement des images comme https://imgur.com/. L’accès aux images et photos de ces sites n’est possible que si on connaît le lien.

Pour enregistrer seulement une adresse publique, tout cela n’est pas utile, il suffit simplement de conserver un lien vers la blockchain, comme par exemple celui ci.

Si on veut enregistrer plusieurs clés au format QR Code et/ou au format texte, il est possible de créer un fichier PDF et de stocker gratuitement ce dernier sur un site comme https://www.fichier-pdf.fr/ qui fait une collection de documents aussi divers que variés. Ici l’accès est public, mais les documents sont noyés au milieu de milliers d’autres fichiers PDF téléchargés quotidiennement. Pour un accès plus discret, on reprends un site de stockage d’images pour y télécharger une seule image reconstituée contenant tout les QR Code.

D0nc là aussi on ne conserve dans le téléphone que des liens, dans les favoris par exemple, mais pas les données elles mêmes.

Les hardwares wallets

Ces ustensiles sont déjà mentionnés dans le chapitre Porte-Monnaie Papier :   “Les portefeuilles Hardware Wallet sont des petits modules electronique intelligents qui se connectent en USB sur un PC ou un Smartphone, les plus connus sont Ledger Nano S, Trezor et Keepkey. Les clés privées inaccessibles sont stockées à l’intérieur. etc…”. Ce sont des accessoires très pratiques pour conserver plusieurs crypto-monnaies. Les calculs cryptographiques se font à l’intérieur, avec les clés privées qui y sont stockées. Il n’en sort que des donnés chiffrées, il est impossible de récupérer des clés privées.

Question sécurité il y a 2 points à surveiller : 1/ Une défaillance matérielle. 2/ Un SAV douteux. Pour parer à la défaillance il y a une procédure de sauvegarde et restauration d’une “graine” (un mot de passe) qui permet de ré-initialiser le module.

Et pour le SAV, rien ne prouve que l’on a à faire à des personnes intègres respectueuses des données secrètes, comme évoqué plus haut.

Donc le conseil est le suivant : il faut acheter 2 Hardware Wallets du même modèle. Neufs, ne pas se procurer un exemplaire d’occasion qui a déjà servi. L’un des deux va être utilisé comme il se doit, sans oublier de procéder à la sauvegarde prévue. Le 2ème reste dans son emballage. De cette façon, si le porte-clé utilisé est défaillant, la récupération peut se faire avec le modèle neuf au moyen des données de sauvegarde.

La protection et la sauvegarde des porte-monnaies

Ces considérations de sécurité ont déjà été évoquées plusieurs fois dans ce tutoriel, ici c’est juste un rappel des précautions d’usage :

Pour conserver une clé privée avec soi, dans le but de dépenser des bitcoins, il est très fortement conseillé de la chiffrer selon la méthode BIP38. Explications ici : Porte-Monnaie Papier.

Pour créer et manipuler des clés privées il faut utiliser un ordinateur ou une tablette déconnecté de tout réseau : WiFi, ethernet, bluetooth.

Et cet élément de sécurité qui ne dépends que de soi même en tant que détenteur de bitcoins : la sauvegarde pérenne et sécurisée de toutes les données secrètes. Donc les logins, mots de passe, PIN, graines, clés privées… Voir le chapitre Conserver à perpète.


Le phishing, ou hameçonnage

L’escroc se fait passer pour un tiers de confiance, comme une banque, une administration (impôts, sécurité social, La Poste), ou un site de vente en ligne (FNAC, Amazon), dans le but d’obtenir des informations sensibles comme un email, un nr de téléphone, un nr de CB.

Sur internet, il y a des centaines d’articles qui expliquent comment le reconnaître, et comment faire pour ne pas tomber dans le piège.

Par exemple comme celui ci : Comment lutter contre le phishing en 4 leçons

Ou celui là : Le phishing : comment le reconnaître et l'éviter ?

Pour être certain de s’être connecté sur le bon site, plateforme ou portefeuille en ligne, il faut absolument utiliser, lorsque c’est possible, la double authentification. Les pirates ingénieux n’hésitent pas à reproduire de façon très fidèle la page d’identification d’une plateforme d’échange. L’adresse du site est très similaire, par exemple kräken.com. C’est après avoir saisi son identifiant et son mot de passe qu’on se rends compte du subterfuge. Et lorsque que l’on réussi finalement à s’identifier sur le vrai site il est trop tard : le pirate a utilisé les identifiants subtilisés pour vider les comptes. Avec la double authentification ce genre d’aventure est impossible.

Les ICO fictifs

Pour ceux qui veulent aller plus loin que le Bitcoin, juste un petit écart concernant les Initial Coin Offering. Dans ce cas aussi on peut croire à une offre sérieuse d’investissement dans une nouvelle monnaie cryptographique à fort potentiel, quelquefois adossée à un produit ou une idée de business “tendance” qui fait le buzz. Il est difficile pour les néophytes de faire la différence entre les offres sérieuses et les arnaques. Le mécanisme est apparenté aux faux sites de trading, mais avec plus d’astuce et de subtilité.

Et là, plus c’est incroyable, plus les benêts tombent dans le panneau. Cet article est une enquête sur l’arnaque de la crypto-monnaie One Coin : One Coin, l’arnaque du siècle. Il est intéressant d’y voir comment d’un côté les escrocs procèdent pour attirer les victimes, et de l’autre comment ses dernières prises dans les mailles du filet ont du mal à s’en sortir, quand elles s’en sortent. Même des investisseurs habitués aux marchés financiers sont tombés dans le panneau.

(Il y a une multitudes d’autres liens et commentaires concernant cette affaire OneCoin)


++ 08/11/2018 ++