{"id":20486,"date":"2023-05-11T09:36:40","date_gmt":"2023-05-11T07:36:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20486"},"modified":"2023-05-11T09:36:40","modified_gmt":"2023-05-11T07:36:40","slug":"five-threats-hardware-crypto-wallets","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/five-threats-hardware-crypto-wallets\/20486\/","title":{"rendered":"Cinq attaques utilis\u00e9es pour voler les portefeuilles physiques de cryptomonnaie"},"content":{"rendered":"

Le portefeuille physique (hardware wallet<\/em>) est consid\u00e9r\u00e9 comme la solution de stockage de cryptomonnaie la plus fiable. Il semble plus s\u00fbr d\u2019utiliser un dispositif sp\u00e9cial hors-ligne pour signer toutes les op\u00e9rations de la blockchain du propri\u00e9taire que n\u2019importe quel autre syst\u00e8me de stockage en ligne ou application sur ordinateur. Apr\u00e8s tout, nous entendons presque tous les mois que des plateformes en ligne d\u2019\u00e9change de cryptomonnaies ont \u00e9t\u00e9 pirat\u00e9es<\/a> ou ont fait faillite<\/a>, alors que les applications sont clairement vuln\u00e9rables aux menaces informatiques habituelles<\/a>, comme un programme malveillant.<\/p>\n

Face \u00e0 cela, il est \u00e9vident qu\u2019un portefeuille physique ne garantit pas une protection totale\u00a0des investissements puisque les propri\u00e9taires sont aussi vuln\u00e9rables \u00e0 certaines attaques. D\u2019ailleurs, ils doivent se prot\u00e9ger contre\u2026<\/p>\n

Les portefeuilles chauds ou froids, physiques ou logiciels<\/h2>\n

Avant d\u2019analyser les risques, voyons bri\u00e8vement quelles sont les diff\u00e9rences entre les diff\u00e9rents types de portefeuilles. Pour les d\u00e9butants, sachez qu\u2019aucun portefeuille ne stocke les actifs de cryptomonnaie en soi. Les informations relatives aux actifs sont enregistr\u00e9es dans la blockchain, alors que le portefeuille n\u2019est qu\u2019un lieu de stockage s\u00fbr pour les cl\u00e9s priv\u00e9es (et secr\u00e8tes) respectives. Le propri\u00e9taire a besoin de la cl\u00e9 pour enregistrer une nouvelle transaction sur la blockchain, c\u2019est-\u00e0-dire pour faire un virement de cryptomonnaie. En plus de la cl\u00e9 secr\u00e8te, les portefeuilles de cryptomonnaie conservent g\u00e9n\u00e9ralement des cl\u00e9s publiques non confidentielles utilis\u00e9es pour recevoir les virements.<\/p>\n

Vous pouvez stocker une cl\u00e9 priv\u00e9e de diverses fa\u00e7ons\u00a0:<\/p>\n

    \n
  1. Chiffr\u00e9e sur le serveur. Il s\u2019agit des portefeuilles en ligne ou de garde offerts par de c\u00e9l\u00e8bres plateformes d\u2019\u00e9change, dont Binance ou Coinbase.<\/li>\n
  2. Via l\u2019application mobile install\u00e9e sur votre ordinateur ou sur votre smartphone.<\/li>\n
  3. Sur un autre dispositif non connect\u00e9.<\/li>\n
  4. Comme s\u00e9quence alphanum\u00e9rique \u00e9crite sur une feuille.<\/li>\n<\/ol>\n

    Dans les premiers et seconds cas, le stockage se fait toujours en ligne. D\u2019ailleurs, vous pouvez utiliser la cl\u00e9 \u00e0 tout moment pour signer une transaction sur la blockchain. Ce sont les portefeuilles \u00ab\u00a0chauds\u00a0\u00bb.<\/p>\n

    Pour envoyer de l\u2019argent \u00e0 l\u2019aide des options trois ou quatre, vous devez effectuer quelques actions suppl\u00e9mentaires : connecter le dispositif \u00e0 un ordinateur ou t\u00e9l\u00e9phone, ou saisir les informations du papier. Ce sont les portefeuilles \u00ab\u00a0froids\u00a0\u00bb.<\/p>\n

    On parle de portefeuille physique lorsqu\u2019il s\u2019agit d\u2019une cl\u00e9 de stockage ind\u00e9pendante. Les applications con\u00e7ues pour stocker les cl\u00e9s sur les ordinateurs et les smartphones sont g\u00e9n\u00e9ralement des portefeuilles logiciels.<\/p>\n

    Une option quelque peu exotique est une combinaison des points deux et trois\u00a0: stocker la cl\u00e9 sur un autre smartphone qui n\u2019est jamais connect\u00e9. Vous avez donc un portefeuille logiciel mais froid.<\/p>\n

    Quelques mots sur les portefeuilles papier. Si vous imprimez vos cl\u00e9s et\/ou votre phrase de r\u00e9cup\u00e9ration (nous y reviendrons) sur une feuille et que vous ne l\u2019utilisez que pour recevoir de l\u2019argent ou comme moyen de sauvegarde, alors c\u2019est un portefeuille papier. Pour d\u00e9penser votre argent, vous devez envoyer votre cl\u00e9 priv\u00e9e avec une autre solution en ligne. C\u2019est \u00e0 ce moment-l\u00e0 que votre portefeuille froid devient chaud.<\/p>\n

    Les types de portefeuilles physiques<\/h2>\n

    Les portefeuilles physiques ressemblent g\u00e9n\u00e9ralement \u00e0 une cl\u00e9 USB ou \u00e0 une grosse cl\u00e9 de voiture. Il y a g\u00e9n\u00e9ralement un \u00e9cran qui permet de v\u00e9rifier les transactions. Pour signer une op\u00e9ration, vous connectez le portefeuille \u00e0 l\u2019ordinateur ou au smartphone, vous commencez l\u2019op\u00e9ration depuis l\u2019ordinateur ou le smartphone, vous v\u00e9rifiez l\u2019information sur l\u2019\u00e9cran du portefeuille et vous confirmez l\u2019action en saisissant le code PIN ou simplement en appuyant sur un bouton. Le principal avantage des portefeuilles physiques est qu\u2019ils signent les op\u00e9rations sans envoyer votre cl\u00e9 priv\u00e9e \u00e0 l\u2019ordinateur, et prot\u00e8gent donc les donn\u00e9es contre les m\u00e9canismes de vol les plus simples.<\/p>\n

    De plus, de nombreux portefeuilles disposent de fonctionnalit\u00e9s suppl\u00e9mentaires et peuvent \u00eatre utilis\u00e9s comme cl\u00e9s physiques pour l\u2019authentification \u00e0 deux facteurs.<\/p>\n

    Il y a aussi des portefeuilles qui ressemblent \u00e0 une carte bancaire ou au format de \u00ab\u00a0t\u00e9l\u00e9phone hors-ligne\u00a0\u00bb, mais ces mod\u00e8les sont moins courants. Ce dernier \u00e0 un grand \u00e9cran fonctionnel et permet de signer les transactions \u00e0 l\u2019aide d\u2019un QR code. Beaucoup de ces mod\u00e8les n\u2019ont pas de port en dehors de celui qui permet de les charger, ce qui fait que rien qu\u2019ils n\u2019ont aucun lien avec le monde ext\u00e9rieur, sauf l\u2019appareil photo et l\u2019\u00e9cran.<\/p>\n

    Risque n\u00ba1 : la perte ou la destruction<\/h2>\n

    La perte du portefeuille physique est le risque le plus \u00e9vident du c\u00f4t\u00e9 du propri\u00e9taire. Pour prot\u00e9ger le portefeuille contre les utilisations non autoris\u00e9es, par exemple en cas de perte, vous devez utiliser un code PIN ou biom\u00e9trique\u00a0; vous devez activer cette fonction dans votre portefeuille. Contrairement aux t\u00e9l\u00e9phones et aux cartes bancaires, vous pouvez choisir un code PIN long, jusqu\u2019\u00e0 50 chiffres dans certains cas. N\u2019oubliez pas que plus il est long, mieux c\u2019est.<\/p>\n

    La destruction physique du portefeuille d\u00e9truit les donn\u00e9es stock\u00e9es, c\u2019est pourquoi il est essentiel d\u2019avoir une copie de sauvegarde de vos cl\u00e9s priv\u00e9es. La sauvegarde se g\u00e9n\u00e8re lorsque vous cr\u00e9ez le portefeuille de cryptomonnaie : vous voyez une phrase de r\u00e9cup\u00e9ration qui est un ensemble de 12 ou 24 mots en anglais. Vous pouvez g\u00e9n\u00e9rer une nouvelle cl\u00e9 publique et une autre priv\u00e9e si vous les saisissez dans le bon ordre. La g\u00e9n\u00e9ration de la phrase de r\u00e9cup\u00e9ration a \u00e9t\u00e9 uniformis\u00e9e dans la plupart des solutions de blockchain (algorithme BIP39) pour que m\u00eame si vous perdez votre portefeuille Ledger, par exemple, vous puissiez r\u00e9cup\u00e9rer vos donn\u00e9es en utilisant le portefeuille physique d\u2019un autre fournisseur, comme Trezor, ou n\u2019importe quel portefeuille logiciel \u00ab\u00a0chaud\u00a0\u00bb.<\/p>\n

    Il est essentiel de ne pas conserver la phrase de r\u00e9cup\u00e9ration en un format lisible et en ligne, comme une photo sur votre t\u00e9l\u00e9phone, un fichier texte ou autre. Dans l\u2019id\u00e9al, elle devrait \u00eatre \u00e9crite sur un papier et cach\u00e9e dans un endroit tr\u00e8s s\u00fbr, comme un coffre-fort. Il est d\u2019autant plus important de ne jamais r\u00e9v\u00e9ler la phrase de r\u00e9cup\u00e9ration puisqu\u2019elle ne sert qu\u2019\u00e0 r\u00e9cup\u00e9rer le portefeuille de cryptomonnaie que vous avez \u00e9gar\u00e9.<\/p>\n

    Risque n\u00ba2 : l\u2019hame\u00e7onnage et les arnaques<\/h2>\n

    Le portefeuille physique n\u2019est pas prot\u00e9g\u00e9 contre l\u2019ing\u00e9nierie sociale. Si la victime choisit volontairement de faire un virement ou de r\u00e9v\u00e9ler sa phrase de r\u00e9cup\u00e9ration \u00e0 un faux\u00a0 \u00ab\u00a0sp\u00e9cialiste de l\u2019assistance technique du portefeuille de cryptomonnaie\u00a0\u00bb, l\u2019argent dispara\u00eet, peu importe les niveaux de protection mis en place. Les gens sont tr\u00e8s ing\u00e9nieux lorsqu\u2019il s\u2019agit d\u2019arnaques : les leurres changent constamment. Certains exemples brillants incluent l\u2019envoi d\u2019e-mails \u00e0 propos de fuites de donn\u00e9es<\/a> aux propri\u00e9taires d\u2019un portefeuille physique de cryptomonnaie, ou la cr\u00e9ation de faux sites<\/a> qui sont une copie exacte de c\u00e9l\u00e8bres plateformes d\u2019\u00e9change de cryptomonnaie ou de fournisseurs de portefeuille de cryptomonnaie.<\/p>\n

    Il faut faire attention, et \u00eatre m\u00e9fiant voire parano\u00efaque (dans le bon sens du terme) lorsque vous recevez quelque chose d\u2019inattendu afin d\u2019\u00e9viter le pire. Le syst\u00e8me de cybers\u00e9curit\u00e9 int\u00e9gr\u00e9 pour ordinateurs et smartphones<\/a>\u00a0est d\u2019une grande aide pour que le risque soit presque nul lorsque vous visitez un site d\u2019hame\u00e7onnage.<\/p>\n

    Risque n\u00ba3 : le programme malveillant<\/h2>\n

    Les investissements en cryptomonnaie sont g\u00e9n\u00e9ralement perdus \u00e0 cause d\u2019un ordinateur ou d\u2019un smartphone infect\u00e9 par un virus. Si la victime utilise un portefeuille en ligne (chaud), les criminels peuvent voler la cl\u00e9 priv\u00e9e et effectuer eux-m\u00eames toutes les op\u00e9rations n\u00e9cessaires pour vider le portefeuille. Cette technique ne fonctionne pas s\u2019il s\u2019agit d\u2019un portefeuille physique, mais d\u2019autres vecteurs d\u2019attaque peuvent \u00eatre utilis\u00e9s. Par exemple, lorsque la victime effectue un virement l\u00e9gitime, le programme malveillant peut modifier l\u2019adresse du portefeuille du destinataire<\/a> pour rediriger les fonds vers le compte des escrocs. Pour y arriver, le programme malveillant surveille le presse-papiers et remplace l\u2019adresse du portefeuille de cryptomonnaie par celle des escrocs d\u00e8s que l\u2019adresse originale du portefeuille est copi\u00e9e.<\/p>\n

    Cette menace peut \u00eatre att\u00e9nu\u00e9e dans une certaine mesure en v\u00e9rifiant minutieusement que l\u2019adresse affich\u00e9e sur l\u2019\u00e9cran du portefeuille \u00ab\u00a0chaud\u00a0\u00bb ou \u00ab\u00a0froid\u00a0\u00bb correspond, m\u00eame si d\u2019autres probl\u00e8mes peuvent surgir selon le dispositif : beaucoup de portefeuilles physiques ont un \u00e9cran trop petit qui ne permet pas de lire correctement les longues adresses de la blockchain. Vous devez \u00e9galement savoir que l\u2019int\u00e9gration du portefeuille physique dans l\u2019application d\u2019ordinateur peut aussi \u00eatre vuln\u00e9rable aux attaques, puisque m\u00eame l\u2019adresse affich\u00e9e sur l\u2019\u00e9cran de l\u2019ordinateur<\/a> peut \u00eatre falsifi\u00e9e.<\/p>\n

    La meilleure solution consiste \u00e0 am\u00e9liorer la protection de votre ordinateur ou de votre smartphone<\/a>\u00a0pour maintenir les programmes malveillants \u00e0 distance.<\/p>\n

    Risque n\u00ba4 : les portefeuilles faux ou modifi\u00e9s<\/h2>\n

    L\u2019achat du portefeuille physique est une autre action qui doit se faire avec beaucoup de prudence. Ces dispositifs sont dans la ligne de mire des cybercriminels d\u00e8s qu\u2019ils sortent de l\u2019usine. Des rapports d\u2019acheteurs de portefeuilles physiques de cryptomonnaie r\u00e9v\u00e8lent qu\u2019ils ont re\u00e7u des cl\u00e9s USB avec un cheval de Troie<\/a>, de fausses unit\u00e9s avec un micrologiciel modifi\u00e9 ou un \u00ab\u00a0\u00e9change sans frais si le dispositif d\u00e9faillant est sous garantie<\/a>\u00ab\u00a0.<\/p>\n

    Pour \u00e9viter ces menaces, n\u2019achetez jamais des portefeuilles physiques de cryptomonnaie d\u2019occasion, \u00e0 partir d\u2019annonces publicitaires en ligne class\u00e9es ou lors d\u2019une vente aux ench\u00e8res en ligne. Essayez de toujours les commander sur les sites officiels des fabricants et de la marque. Lorsque votre colis arrive, v\u00e9rifiez qu\u2019il n\u2019y a aucun d\u00e9g\u00e2t (traces de colle, \u00e9gratignures ou traces qui montrent qu\u2019on a essay\u00e9 de l\u2019ouvrir) et que le dispositif correspond \u00e0 la description faite sur le site officiel, o\u00f9 l\u2019entreprise mentionne g\u00e9n\u00e9ralement les principales caract\u00e9ristiques d\u2019authenticit\u00e9 et donnent quelques conseils pour que vous puissiez reconna\u00eetre un faux.<\/p>\n

    Risque n\u00ba5 : le piratage physique avec analyse de la m\u00e9moire<\/h2>\n

    Il s\u2019agit certainement de la menace la plus exotique, mais pas de la plus improbable. De nombreuses attaques de mod\u00e8les connus de portefeuilles (un<\/a>, deux<\/a>, trois<\/a> et quatre<\/a>) reposent sur la s\u00e9paration physique de l\u2019unit\u00e9 et la connexion du syst\u00e8me de circuits \u00e0 un \u00e9quipement sp\u00e9cial pour qu\u2019une personne puisse manipuler le micrologiciel, lire la m\u00e9moire ou interf\u00e9rer avec le transfert des donn\u00e9es au sein des composants de l\u2019unit\u00e9. Par cons\u00e9quent, l\u2019escroc n\u2019a besoin que de quelques minutes pour extraire la cl\u00e9 priv\u00e9e ou sa version l\u00e9g\u00e8rement chiffr\u00e9e.<\/p>\n

    La protection contre ce risque est double. D\u2019abord, vous devez faire attention \u00e0 la s\u00e9curit\u00e9 physique de votre portefeuille. Prot\u00e9gez-le contre les vols et ne le laissez jamais sans surveillance. Ensuite, vous devriez envisager des mesures de protection suppl\u00e9mentaires, comme une phrase secr\u00e8te (passphrase<\/em>)<\/a> pour les portefeuilles Trezor.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Les portefeuilles physiques de cryptomonnaie prot\u00e8gent efficacement votre cryptomonnaie mais n\u2019emp\u00eachent pas le vol. Voyons de quels risques les propri\u00e9taires doivent se prot\u00e9ger.<\/p>\n","protected":false},"author":2722,"featured_media":20487,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9],"tags":[218,488,2555,87,2858,3241,2323,204,205,4311,4375,4378],"class_list":{"0":"post-20486","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-arnaque","9":"tag-bitcoin","10":"tag-blockchain","11":"tag-conseils","12":"tag-crypto-monnaie","13":"tag-cryptomonnaie","14":"tag-ethereum","15":"tag-menaces","16":"tag-mots-de-passe","17":"tag-nft","18":"tag-portefeuille-de-cryptomonnaie","19":"tag-portefeuille-physique"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/five-threats-hardware-crypto-wallets\/20486\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/five-threats-hardware-crypto-wallets\/25547\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/20968\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/10658\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/28153\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/five-threats-hardware-crypto-wallets\/25844\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/26308\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/five-threats-hardware-crypto-wallets\/28724\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/five-threats-hardware-crypto-wallets\/35157\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/five-threats-hardware-crypto-wallets\/11425\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/47971\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/five-threats-hardware-crypto-wallets\/21239\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/five-threats-hardware-crypto-wallets\/30109\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/five-threats-hardware-crypto-wallets\/33863\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/five-threats-hardware-crypto-wallets\/26166\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/five-threats-hardware-crypto-wallets\/31854\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/five-threats-hardware-crypto-wallets\/31538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/crypto-monnaie\/","name":"crypto-monnaie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20486"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20486\/revisions"}],"predecessor-version":[{"id":20554,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20486\/revisions\/20554"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20487"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}