Sécurité crypto VS polémique Ledger

Mercredi dernier, j’étais en train de parler avec mon ami Benjamin de la sortie de mon livre. J’étais un peu inquiète car le titre du livre est très aguicheur.

“Gagner de l’argent dans le Web 3.0. Ou pas”

Il faut savoir que le titre que j’avais choisi à la base c’était : Agir dans le Web3.

Mais quand tu travailles avec une maison d’édition, surtout aussi grosse que Hachette, et bien c’est pas l’auteur qui a le dernier mot sur le titre et la couverture. C’est la maison d’édition, car c’est eux qui doivent réussir à le vendre à des libraires. Donc plus le titre est accrocheur, plus ils en vendent.

Donc il y a quelques jours, mon éditrice m’appelle et me dit que le titre du livre sera finalement “Gagner de la thune dans le Web3”.

Je suis devenue livide.

Je l’ai suppliée de changer, j’ai du menacer de tout arrêter (sauf qu’en fait j’avais aucun pouvoir dessus). Et ils ont accepté de transformer “thune” en “argent” et de rajouter “ou pas” après. Et faut croire qu’ils connaissent bien leur job car grâce à ça ils ont réussi a avoir une commande nationale avec Fnac et Cultura, ce qui est très assez rare.

Bref, tout ça pour dire que moi j’étais en panique de faire un badbuzz à cause du titre de mon livre. Et je dis ça à Benjamin qui me répond :

“Mais Caro, t’as pas vu ce qui se passe avec Ledger ? La cryptosphère est à feu et à sang, à tous les coups tu vas passer entre les mailles du filet.”

Donc je vais profiter de cette histoire pour te faire un rappel sécurité des cryptos !

Pourquoi et comment avoir un Wallet crypto

Quand je vois que l’état du marché crypto est incertain moi, je rapatrie une majorité de mes cryptos dans un endroit qui m’appartient totalement.

• Une partie sur mes portefeuilles cryptos en ligne : Métamask ou trustwallet, ou autre.
• Une partie sur mon portefeuille crypto hors ligne : Ledger.

Déjà, c’est quoi un Wallet ?

Un portefeuille crypto décentralisé. C’est un lieu privé en ligne ou hors ligne sur lequel tu peux ranger tes cryptos. Et c’est enregistré sur la blockchain.

Car un Wallet, c’est un protocole crypto. Une application qui est codée sur la blockchain. Tu peux y ranger tes cryptos et tes NFTs en toute sécurité.

Quand tu as un wallet tu possèdes une combinaison de 3 choses :

• tu as un coffre-fort numérique sur lequel tu ranges tes cryptos.

C’est un coffre-fort, car personne ne peut ni te le voler, ni savoir qu’il est à toi. Néanmoins c’est un coffre transparent. Car comme tout dans la crypto. L’ensemble des transactions sont enregistrées dans la blockchain.

Ça veut dire que si je partage avec toi mon adresse de wallet, tu pourras utiliser un explorateur de bloc, pour aller voir mes transactions. C’est comme qu’on peut espionner les achats du fondateur d’Ethereum.

• tu as une clé publique (l’adresse du wallet)

C’est ça : 0xAb5801a7D398351b8bE11C439e05C5B3259aeC9B

(C’est celle de Vitalik Buterin, le fondateur d’Ethereum, n’hésite pas à cliquer sur le lien pour voir ce qu’il y a dessus).

C’est un peu ton rib. Tu es obligé de la partager quand tu veux qu’on t’envoie une crypto.

• Tu as un mot de passe de base

C’est celui que tu choisis à la création de ton compte. (Si possible pas un de ceux parmi les pires mots de passe de 2021 : “123456” et “azerty” qui se trouvent en moins d’une seconde).

• tu as une clé privée (un mot de passe de récupération)

Ça ressemble à peu près à ça :

Normalement la clé privée c’est un truc illisible, mais elle est transformée en phrase secrète. Il y a 12, 18 ou 24 mots, qui ensemble forment la clé de chiffrement.

C’est la clé de récupération de ton mot de passe en fait. Car vu qu’un Wallet c’est un protocole autonome. Ben il y a pas de système de récupération, de mot de passe. Je m’explique….

Histoire vraie :

Dans la première boite que j’ai créée, j’étais méga embêtée, car j’avais construit un logiciel RH. Il permettait aux DRH de demander l’avis de leurs équipes sur plein de trucs. Donc chaque membre de la boite devait avoir un compte pour pouvoir répondre aux questions, logique.

Et comme on est tous des boulets (oui tous, même toi) avec nos mots de passe….

Ben le premier truc qu’on a dû créer c’est un système de récupération du mot de passe.

Et ça, ça veut dire que dans le code de notre logiciel, il y a un endroit où on est obligé d’écrire : cet utilisateur = ce mot de passe.

Même si le mot de passe est crypté, l’info elle existe.

Mon CTO (le directeur technique quoi) de l’époque m’explique que toutes les boites te font croire que ton mot de passe est sécurisé, mais en fait non. Pour pouvoir récupérer ou recréer ton mot de passe il faut un endroit où c’est enregistré.

Et si c’est enregistré, même si tu mets plein de garde-fous, ben ça peut être retrouvé par un humain malveillant.

Ça c’était une galère, car mes clients eux ils voulaient à la fois que ça ne soit enregistré nulle part pour garantir le maximum de sécurité, et à la fois qu’on puisse régénérer un mot de passe.

Ben dans la blockchain, ils ont fait un choix drastique : ce n’est pas enregistré.

Donc si tu perds ton mot de passe, t’as une phrase pour permettre d’ouvrir ton compte et c’est tout. Il y a pas de système de back up.

La phrase ils te la donnent au début, mais elle n’est enregistrée nulle part donc on ne peut pas te la retrouver ou te réinitialiser ton truc !

Comme ça tu comprends mieux l’importance de cette f**cking phrase (et tu vas voir pourquoi Ledger fait débat depuis la semaine dernière) !

Quand faut-il avoir un wallet ?

En gros, dès que tu commences à avoir une somme un peu conséquente en crypto tu dois en avoir un. Il parait que l’idéal c’est de ne pas avoir plus de 30% de ses cryptos sur un site de trading.

C’est encore une façon de limiter les risques en n’ayant pas tous ses œufs dans le même panier.

Car personne ne peut t’empêcher d’avoir accès à ton wallet. Par exemple au moment de la chute Terra/luna, les gros sites ont bloqué la vente de l’UST, moi je l’avais sur mon Wallet donc j’ai pu le vendre instantanément.

Donc, acheter tes premières cryptos sur un broker c’est ok, mais la seconde étape c’est d’avoir un wallet.

Qu’est-ce que tu peux faire avec un Wallet ?

• Déjà, conserver tes cryptos en sécurité.
• Ensuite tu peux faire des swaps.

Ca veut dire convertir une crypto en une autre crypto. Sur mon wallet, j’ai du stablecoin (ces cryptos stables type USDT) et j’en convertis régulièrement dans les cryptos que je veux quand le prix m’intéresse.

• Tu peux envoyer et recevoir tes cryptos.

Tout ça vers une autre adresse, donc le wallet d’un ami, de quelqu’un avec qui tu bosses ou d’un site pour placer tes cryptos.

Comment on s’onboard sur Métamask ?

• Tu vas sur le site officiel pour télécharger l’app.
• Tu clics sur “créer un nouveau portefeuille”.
• Tu crées ton mot de passe classique.
• Tu notes ta clé de sécurité.
• Tu confirmes ta phrase secrète de récupération.
• Tu copies-colles ton adresse de wallet.
• Tu fais un envoi test de quelques pièces d’Ether pour voir si ça marche.

Pourquoi de l’Ether ? Car métamask fonctionne sur la blockchain Ethereum, ça veut dire que pour toute transaction depuis ton métamask tu devras posséder de l’Ether pour enregistrer la donnée.

Comment on s’onboard sur Ledger.

• Va sur le site officiel et télécharge l’app.

En gros ledger fonctionne pareil que métamask sauf qu’en plus tu dois brancher ta clé ledger à ton ordinateur et suivre le même processus d’onboarding.

Comment sécuriser son wallet ?

Alors ça c’est une bonne question !

Déjà ton mot de passe, tu essaies de prendre un truc un peu costaud pour commencer. Pas le même que celui que tu utilises sur gmail, Facebook et Netflix. Please !

Non, mais je précise parce que je te connais.

Ensuite, ta clé privé. Tu ne la gardes pas dans une note connectée à ton cloud. Pas dans un email que tu t’envoies à toi même. Le mieux, je pense, c’est de l’écrire sur du papier. De bien écrire attention. Et de garder ça dans un coffre unifugé.

Et enfin, pourquoi Ledger a enflammé la toile déjà ?

Ben maintenant que tu as tout le contexte, tu sais comme le sujet de la “clé de sécurité” est précieux. Et il se trouve que ledger a lancé une nouvelle fonctionnalité “ledger recover” et devine ce qu’elle permet de faire ?!

Récupérer ton mot de passe !

En gros leur idée c’est de découper ton mot de passe en 3 parties, et de les enregistrer pour pouvoir la reconstituer genre.

Bon et comme tu l’imagines ça a fait beaucoup de polémique car même si c’est qu’une option, ça remet en question l’un des principes fondateurs des valeurs de la cryptosphère !