Sécurité et cryptomonnaies : quelle authentification pour votre portefeuille crypto ?
Je viens de me faire siphonner mon wallet ! – Une phrase que vous avez peut-être (sans doute même) déjà lue sur quelques réseaux sociaux ou canaux de discussion. Un inconnu, ou une personne que vous connaissez, vient d’être victime d’un hack ou d’une escroquerie. Et, c’est naturellement que vous lui conseillez d’investir dans un hardware wallet afin de mettre cette personne à l’abri des tentatives de phishing ! Mais alors, pourquoi ne pas appliquer le même degré de sécurité à tous vos comptes ?
Le principe de la double authentification (2FA).
L’idée de ce type de clé est simple. Pour accéder à votre compte, il faut connaître votre identifiant et votre mot de passe. Afin de se prémunir d’un mot de passe faible ou d’une faille de sécurité au niveau du service auquel vous vous connectez, de plus en plus de sites et d’applications permettent d’ajouter l‘authentification à double facteur (ou 2FA en anglais et en abrégé) à votre compte. La sécurité de vos accès est ainsi optimisée.
Le lecteur avisé que vous êtes n’aura pas besoin d’une longue explication sur la 2FA. Rappelons donc seulement qu’il s’agit de renseigner un code d’authentification aléatoire fourni par un autre canal que celui que vous utilisez pour vous connecter. De sorte que, le code changeant toutes les 30 secondes, il est impossible pour un tiers d’accéder à votre compte même s’il a pu, au détour d’une brèche de sécurité, récupérer l’ensemble de vos identifiants.
C’est sur ce principe que se base « l’authentification forte » mise en place par l’ensemble des banques de la place afin de sécuriser les paiements sur Internet.
Mais, ce que beaucoup ignorent encore, c’est qu’il existent plusieurs méthodes et plusieurs degrés de sécurité dans les protocoles de 2FA.
>> La sécurité, c’est la base ! Pour conserver vos cryptos près de vous, faites confiance à Ledger (lien commercial) <<
Quels sont les principales méthodes de 2FA ?
La plus connue, car la plus ancienne, est la vérification par SMS. Le principe est simple, un code vous est adressé par SMS à chaque tentative de connexion ou de paiement. Cette méthode est facile à mettre en place, mais elle est sujette à de nombreuses failles de sécurité (simswap). Ceci justifie sa disparition progressive.
La vérification « inapp » via une application tierce qui se charge de générer le code d’authentification.
Les applications les plus connues sont Google ou Microsoft Authenticator. Cependant, la plus recommandable est Authy si vous souhaitez vous soustraire à l’œil des GAFAM.
Or, comme votre navigateur enregistre (afin d’éviter que vous ne deviez vous réauthentifier à chaque nouvelle page visitée) le token d’authentification une fois le code renseigné par l’utilisateur, les deux méthodes décrites ci-dessus sont sensibles à certaines attaques de phishing. En effet, les hackers peuvent enregistrer un nom de domaine approchant celui du site sur lequel vous comptiez vous rendre, puis vous renvoyer sur le bon site tout en captant, via un proxy (le faux site sur lequel vous avez préalablement cliqué) toutes vos informations d’authentifications. Un excellent papier sur le sujet est disponible sur le site breakdev.org pour les plus anglophones d’entre vous.
Enfin, et c’est tout l’objet de cet article, il existe des clés de sécurité « physiques » ou clé d’authentification, qui, comme votre hardware wallet préféré, requièrent une interaction avec un device « froid » (non connecté à internet). L’utilisation de ce type de clé vous protège des failles évoquées ci-dessus.
L’authentification physique est une obligation sécuritaire
Il existe de nombreuses clés d’authentification et il vous appartient de déterminer celle qui sera la plus adaptée à votre usage selon que vous cherchez une clé :
- En USB 2.0 ou USB-C ;
- Avec ou sans NFC ;
- Avec ou sans authentification biométrique ;
- Compatible avec vos exchanges crypto ou seulement d’autres applications.
En pratique, comment cela fonctionne-il ?
Mettons, par exemple, que vous avez installé une Yubikey pour vous connecter à votre compte Binance, Kraken ou Kucoin :
1/ Vous vous rendez sur la page d’authentification de Binance et branchez votre clé à votre device ;
2/ Vous renseignez votre identifiant et votre mot de passe, comme habituellement ;
3 /Il vous est demandé de renseigner un code PIN que vous aurez préalablement défini ;
4/ Une fois le PIN validé, il va falloir exercer une pression physique sur la clé (ou vous identifier via votre empreinte digitale si elle gère le contrôle biométrique) et c’est cette action qui va générer le token d’authentification qui vous permettra de vous connecter.
Cela rajoute effectivement encore une couche de sécurité, et donc de lourdeur, à l’accès à vos comptes. Mais quiconque disposant d’une somme conséquente sur un exchange crypto ou qui a enregistré des mots de passe important dans son utilitaire de gestion des MDP gagnera forcément en sécurité suite à l’adoption de ce nouvel outil.
Afin d’éviter tout blocage malencontreux de vos comptes, il est conseillé d’enregistrer plusieurs clés d’authentification pour chacun des services que vous utilisez. Vous serez plus serein en cas de perte ou de vol de votre première clé.
Évidemment, l’ajout d’une clé de sécurité physique ne fait pas disparaitre le risque de défaillance du service ou de l’exchange que vous utilisez. Je ne saurais donc trop vous conseiller de détenir à la fois une clé d’authentification physique et un hardware wallet pour protéger au mieux vos achats de cryptos.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
Source: journalducoin.com