Comment protéger ses bitcoins (ou toute autre monnaie virtuelle)
91149ee24f1ez9a6f42c3dd64c2287781c8c57a6e8e929c80976e586d5322a3t. Non, votre humble servante ne s'est pas endormie sur son clavier. Ceci est un exemple de clé privée. Une clé privée relie un détenteur de bitcoins ou autre monnaie virtuelle à son portefeuille, grâce à une signature codée, et lui permet de les dépenser. Autrement dit, si une personne arrive à s'en emparer, elle aura accès à vos crypto-monnaies. Il faut donc trouver le juste milieu entre la nécessité de garder cette combinaison à portée de clics, pour accéder facilement à ses actifs numériques, et celle d'assurer sa confidentialité. Pas question, donc, de la griffonner sur une feuille volante, de la conserver dans un fichier libre d'accès sur son ordinateur ou encore de la communiquer à un tiers par e-mail. Il existe des moyens plus, voire beaucoup plus, sécurisés de stocker cette donnée.
"En dessous de 1 000 euros, on peut s'autoriser à les laisser sur les plateformes de trading"
Première option qui s'offre aux détenteurs de crypto-currencies, conserver la clé privée sur les serveurs de la plateforme de trading sur laquelle ils ont investi. Le hic, c'est les risques de hacking et de blocage des fonds par les gouvernements auxquels cette solution est exposée. "Si demain Paymium se fait pirater, vous pouvez tout perdre, reconnaît Abdelkader Kettal, directeur technique de l'exchange français qui propose ce service. Nous avons toutefois mis en place des garanties : 98% des fonds de nos clients ne sont pas stockés sur des serveurs en ligne mais en 'cold storage', c'est-à-dire sur des adresses pour lesquelles nous n'avons pas facilement accès aux clés privées. Nous avons seulement besoin de 2% des fonds au titre des fonds de roulement, mais même ces 2% sont stockés sur des ordinateurs offline."
Une formule à privilégier pour de faibles montants d'actifs numériques sous gestion, donc. "En dessous de 1 000 euros, on peut s'autoriser à les laisser sur les plateformes de trading", estime Karim Sabba, cofondateur de l'Association Française pour la Gestion des Cybermonnaies (AFGC). A condition, bien sûr, qu'il s'agisse d'exchanges bien campés dans le paysage et dignes de confiance. "Kraken et Bitstamp, par exemple, je leur fais confiance pour gérer une partie de mon portefeuille", confie Karim Sabba. A noter toutefois que, sans aller jusqu'au piratage, ces plateformes peuvent se trouver momentanément interrompues en cas de suractivité, et les épargnants privés de l'accès à leurs actifs. Le cas s'est récemment produit sur Kraken, par exemple.
"Les web wallets sont plus sûrs que les mobile wallets dans la mesure où votre smartphone constitue une cible plus attractive que votre ordinateur pour un hacker"
Autre possibilité, passer par un wallet software. Il en existe deux types : les web wallets, des portefeuilles hébergés en ligne, et les mobile wallets qui, comme leur nom l'indique, sont disponibles sur smartphone. La sécurité passe généralement par un code pin au lancement de l'application et une phrase de récupération. "C'est encore assez bas comme niveau de sécurité, car on reste sur le modèle d'une base unique qui centralise une multitude de données et que plein de personnes utilisent", tranche Karim Sabba. Surtout pour ce qui est des mobiles wallets : "Votre téléphone constitue clairement une cible plus attractive pour un hacker que votre ordinateur. Il est, par ailleurs, plus facile à atteindre, notamment parce que vous changez de Wifi plusieurs fois dans la journée". Pour plus de sécurité, les utilisateurs peuvent opter pour des wallets déterministes (qui génèrent une nouvelle adresse à chaque fois qu'une transaction entrante est effectuée) et à multi-signatures (le wallet demande une confirmation manuelle pour toute opération). C'est notamment le cas de GreenAddress. Seul bémol : les frais de transaction.
Le troisième scénario envisageable consiste à télécharger l'intégralité de la blockchain sur son disque dur. Installer ces logiciels (les "clients" bitcoin, par exemple) constitue évidemment une solution consommatrice en espace disque et en mémoire (comptez 150 gigas pour la blockchain bitcoin), mais, l'avantage, c'est qu'il n'est pas besoin de remettre sa confiance entre les mains d'un tiers pour valider ses transactions. L'ordinateur de l'utilisateur devient ainsi partie prenante à la sécurisation du réseau tout entier. Une solution qui, certes, n'est pas parfaite, mais qui, du point de vue de Karim Sabba, offre un niveau de sécurité satisfaisant : "Attaquer le software d'une crypto-monnaie reste encore très compliqué. Il y a eu des couacs. Ceux dont j'ai entendu parler proviennent de failles dans le code des smart contracts utilisés pour réaliser des transactions. On se rappelle notamment du hack de The DAO, l'organisation fondée par Ethereum pour créer un fonds de VC en crypto-monnaie et en décentralisé".
"Les wallets hardware s'avèrent nécessaires à partir de plusieurs milliers d'euros en crypto-monnaies"
Mais pour le spécialiste, le nec plus ultra reste l'achat de wallets matériels (ou wallets hardware) comme ceux proposés par le Français et leader mondial Ledger ou son concurrent tchèque Trezor. Ils se présentent sous la forme d'une clé USB. Tant que le device n'est pas connecté à l'ordinateur, les actifs sont hors de portée des individus malhonnêtes. En cas de perte ou de vol de l'objet, l'utilisateur a la possibilité de remettre la main sur ses crypto-monnaies grâce à une procédure de récupération. Celle-ci repose sur une liste de mots définie au moment du paramétrage de l'appareil à la première utilisation de celui-ci. Nul besoin de préciser que cette liste doit être conservée précieusement. "Ce type de dispositifs s'avère absolument nécessaire à partir de plusieurs milliers d'euros en crypto-monnaies", prêche Karim Sabba.
Pour Pierre Gérard, président et cofondateur de la société luxembourgeoise Scorechain, spécialisée dans l'analyse de la blockchain, c'est avant tout la confiance que l'on place dans les crypto-monnaies et la manière de gérer son argent qui doit entrer en ligne de compte : "Si on ne les voit pas uniquement comme des outils de spéculation et qu'on a une gestion père de famille, une vision long terme, on a plutôt intérêt à passer par des solutions hardware. En revanche, si on veut juste comprendre comment ça fonctionne, on a plutôt intérêt à passer par un wallet mobile ou bien par un service sur un laptop du type Electrum". Comptez 95 euros pour le Ledger Nano S, l'une des deux solutions commercialisées par le fabricant tricolore, dont le prix a subitement augmenté ces dernières semaines…