Dans cet article, on va parler de la meilleure méthode pour sécuriser vos XCH : le cold wallet. En premier lieu, faisons le point sur les risques inhérents à tout système informatique.
Rappel des risques
La blockchain en tant que telle est un joyau de sécurité. Je ne reviendrai pas sur les détails techniques dans cet article, mais la seule façon de pouvoir effectuer des transactions avec votre wallet, c'est de posséder ou d'avoir accès à votre clef privée. Vous devez impérativement accorder une attention toute particulière à celle-ci.
Cette clef privée est recréée à chaque fois que vous entrez votre phrase secrète (les 24 mots) dans l'application Chia. Elle sera stockée ensuite dans un fichier sur votre ordinateur:
Linux:
~/.chia_keys/keyring.yaml
Windows:
C:\users\<votre_compte>\.chia_keys\keyring.yamlSi vous comptez vous débarrasser de votre ordinateur, assurez-vous de supprimer ces fichiers, car ils permettent de transférer vos fonds. En vérité, vous devriez également détruire le disque dur qui les a contenus, car il reste théoriquement possible de restaurer les fichiers supprimés.
Une façon de sécuriser ce fichier est de le crypter. Chia propose de le faire dans son application, en définissant une passphrase. Ainsi, même si quelqu'un accède à votre ordinateur, il ne peut pas utiliser vos fonds.
Malheureusement, cela est insuffisant pour assurer une sécurité totale à votre installation. Bien que le fichier soit crypté, l'application Chia à besoin de votre clef privée pour effectuer le farming et les transferts, et doit donc la décrypter en mémoire (RAM). Un malware spécialisé pourrait lire votre mémoire, et envoyer votre clef sur internet.
Des moyens existent pour se protéger (isoler sa machine de farming, ne l'utiliser QUE pour du farming, la mettre sur un réseau à part...) mais au final, il y a toujours une faille. Votre clef ne sera jamais 100% sécurisée.
Pour les utilisations industrielles, une solution technique existe pour sécuriser ses clefs : les HSM (Hardware Security Module). C'est la solution retenue par les principales plateformes d'échange telles que Binance ou Kraken.
Parfois sous la forme d'une carte PCIe, ces HSM permettent de :
stocker la clef privée sur des circuits complètement isolés, impossible à accéder depuis l'ordinateur
signer les transactions
Leur fonctionnement est très comparable à un wallet hardware (Ledger), mais leur prix, et leur utilisation sont réservés aux professionnels.
Faire son propre Cold Wallet
L'idée de la cold wallet par d'un constat simple : tout est piratable. Le bios de votre carte mère, votre clavier sans fil, votre wifi, votre système d'exploitation, vos logiciels, vos ports USB... il n'y a rien qui n'ai été épargné par des techniques de piratage au fil des ans. Nous allons maintenant devenir paranoïaque, pour tenter de sécuriser au mieux vos fonds.
A noter également qu'un cold wallet est par définition peu pratique. Vous devrez trouver votre équilibre entre facilité d'utilisation et sécurité.
1. Ordinateur dédié
Dans un premier temps, vous devez vous procurer un ordinateur supplémentaire, qui ne sera utilisé que dans ce but. J'ai une préférence pour le raspberry pi 400 en ce moment, car il ne coûte pas trop cher, et car il intègre tout en un (vous n'aurez pas à utiliser un clavier externe). N'oubliez pas, théoriquement tout est piratable, même le clavier. Dans l'idéal, il vous faut une machine qui n'a pas de carte wifi.
A ce stade, vous avez encore le droit de vous connecter à internet. Installez le système de votre choix, et le logiciel Chia, mais ne pas créer de wallet pour le moment.
2. Déconnectez le de tout réseau
A partir de maintenant, vous ne devrez plus jamais le connecter au monde extérieur. Cet ordinateur est à considérer comme 'infecté' :
vous l'avez connecté à internet, il est peut-être contaminé par un malware
le fabriquant/revendeur/transporteur peut (volontairement ou non) avoir placé un malware dans un contrôleur (usb/ssd/bios...)
La bonne nouvelle, c'est qu'il ne sera plus jamais connecté à internet, et ne pourra donc jamais communiquer quelque information que ce soit.
3. Créez un nouveau wallet.
Soyez seuls dans la pièce, mettez tout appareil possédant une caméra au tiroir (smartphone), générez un nouveau wallet, et notez les 24 mots (cet article ressemble de plus en plus à un wiki-how...).
Ces 24 mots sont critiques, prenez toutes les mesures que vous jugez nécessaires pour leur sécurité et leur pérennité. Je ferais peut-être un second article "paranoïaque" sur la sécurisation de ces mots.
Ensuite, générez autant d’adresses que nécessaire. Pour ceux qui sont en ligne de commande, vous pouvez simplement taper cette commande pour en générer 100 :
chia keys derive wallet-address -i 0 -n 100 Vient maintenant le moment critique : vous devez copier ces adresses vers votre ordinateur courant. N'oubliez pas, tout contact avec le monde extérieur est interdit, donc vous ne devriez pas brancher votre clef usb pour copier ces adresses... Les puristes les noterons à la main. Personnellement, je craque à cette étape. J’utilise sur une carte microSD neuve (pour les curieux : ces cartes contiennent un microcontrôleur pour la vérification d'erreurs inhérentes à ce type de mémoire. Et devinez quoi, il est totalement possible d’exécuter du code non officiel dessus... quand je vous disais que rien n'est sur).
4. Vérification
Pour le moment, vous ne pouvez vérifier le solde de votre cold wallet qu'en vérifiant le solde de vos adresses sur xchscan.com. Le logiciel Chia devrait prochainement supporter l'affichage du solde à partir d'une clef publique, ce qui sera plus pratique dans notre cas d'utilisation.
5. Transactions
Ce n'est pas encore possible, et cela n'a pas l'air d'être prévu à cours terme. Pour transférer vos XCH, vous devez "réchauffer" votre cold wallet, en le connectant à internet. Cette opération signifie que cette clef privée n'est plus sécurisée.
Note : vous pouvez conserver votre ordinateur de cold wallet, mais vous devez y définir une passphrase. Ainsi, même en cas de vol, vos clefs seront difficilement exploitable. Cependant, si vous perdez la possession de cet ordinateur, même temporairement, vous devez considérer votre wallet comme compromise, et donc transférer vos fonds aussi tôt que possible.
N'hésitez pas à nous rejoindre sur Discord pour discuter des cold wallets !
Comments