Comment éviter les arnaques et les piratages sur Bitcoin ?

Accueil/Sécuriser ses bitcoins/Comment éviter les arnaques et les piratages sur Bitcoin ?

Sécuriser ses bitcoins

Comment éviter les arnaques et les piratages sur Bitcoin ?

Par sa nature numérique et ouverte, l’environnement de Bitcoin est régulièrement le théâtre d’arnaques et de tentatives de piratages. Si vous sécurisez vous-même vos fonds en self-custody, vous pouvez être la cible de différents voleurs qui vont essayer de soutirer vos bitcoins.

Pour réduire ces risques de piratage et d’arnaque, il convient de suivre quelques conseils relatifs à l’utilisation de Bitcoin. Dans cet article, nous explorons les bonnes pratiques à suivre pour réduire ces risques.

Respecter le délai d’attente des confirmations de la blockchain

Lorsque vous diffusez une transaction au réseau Bitcoin, celle-ci n’est pas immédiatement confirmée. Vous devez attendre qu’un mineur l’inclut dans un bloc valide afin qu’elle reçoive sa première confirmation. Par ailleurs, vous avez sûrement déjà entendu de la part d’un bitcoiner averti qu’il faut attendre 6 confirmations pour une transaction Bitcoin. Pourquoi est-ce important d’attendre ces confirmations pour considérer une transaction comme validée ?

La première confirmation d’une transaction intervient lorsqu’elle est ajoutée dans un bloc. Ensuite, chaque nouveau bloc construit au-dessus du bloc avec la transaction étudiée constituera une nouvelle confirmation.

Avant toute chose, il est déconseillé de considérer une transaction comme validée avant même qu’elle soit incluse dans un bloc. Cette pratique s’appelle le « zeroconf ». Elle demeure risquée puisqu’une transaction reste modifiable ou remplaçable par l’envoyeur lorsqu’elle se trouve encore dans la mempool.

La mempool (Memory Pool) est une base de données, maintenue indépendamment par chaque nœud du réseau, conservant les transactions Bitcoin en attente de confirmation.

Toutefois, l’inclusion d’une transaction dans un bloc valide ne veut pas forcément dire que celle-ci est immuable. En effet, sur Bitcoin, l’irréversibilité des transactions ne peut être que probabiliste. Chaque nouveau bloc miné par-dessus celui avec votre paiement vient un peu plus enterrer la transaction. C’est pour cela que je préfère parler d’irréversibilité probabiliste. Certes, il est toujours possible qu’une transaction confirmée soit finalement non confirmée, mais cette probabilité décroît rapidement à chaque nouvelle confirmation supplémentaire.

➤ En savoir plus sur les mécanismes de la Proof-of-Work (Preuve de travail).

À partir de la sixième confirmation pour une transaction, la probabilité qu’elle redevienne non confirmée est tellement faible que l’on peut la considérer comme nulle. C’est pour cela que l’on vous conseille d’attendre 6 confirmations pour les transactions importantes.

Tout cela est dû au modèle de Bitcoin. Pour diverses raisons, un bloc valide est parfois abandonné. C’est ce que l’on nomme un bloc périmé (« Stale block » en anglais). Or, si votre transaction se trouve dans un bloc qui s’avère être périmé, alors son statut passera de confirmée, à non confirmée. Concrètement, vous pensiez que votre transaction était bien incluse dans un bloc, mais puisque celui-ci est abandonné, votre transaction peut revenir dans la mempool.

Ces blocs périmés s’observent lorsque le réseau Bitcoin se divise. C’est ce que l’on appelle en anglais un « split » (à ne pas confondre avec un fork). Lorsque deux mineurs trouvent un bloc valide dans un laps de temps réduit, alors certains nœuds peuvent avoir accès à un bloc, et d’autres auront accès à l’autre bloc. Les deux blocs sont bien valides, mais ils sont à la même hauteur de chaîne. Par la suite, quand un mineur trouvera un bloc valide au-dessus d’un des deux blocs de même hauteur, le réseau refera consensus sur une seule chaîne. Un des deux blocs minés à la même hauteur sera abandonné par les nœuds. C’est un bloc périmé.

Les blocs périmés sont très souvent confondus avec les blocs orphelins. Un bloc orphelin se sépare de la chaîne puisqu'il n’a pas de bloc parent, contrairement au bloc périmé qui se sépare puisqu'il n’a pas de bloc enfant. Ce sont donc deux notions différentes.

Ce processus peut se produire de façon naturelle, notamment à cause d’une latence trop importante sur le réseau, ou être causé par certaines pratiques subreptices comme le Selfish Mining (minage égoïste). Dans tous les cas, le mécanisme de la preuve de travail permet de réduire ce risque jusqu’à une probabilité dérisoire au fil de l’ajout de blocs par-dessus celui étudié.

Évidemment, il convient d’adapter son niveau de contrôle à la situation de la transaction. Si le paiement engagé est réalisé par un ami vers votre portefeuille, le zeroconf peut être suffisant. En effet, si le paiement subit un quelconque problème, vous pourrez toujours demander à votre ami de refaire la transaction. Cette vigilance sur les confirmations doit plutôt s’opérer dans les situations à risques, notamment si vous ne connaissez pas la personne avec qui vous réalisez une transaction. Par exemple, si vous vendez votre voiture d’occasion à un inconnu, et que le paiement s’opère en bitcoins, vous ne devriez pas lui laisser les clés tant que le paiement n’a pas eu 6 confirmations. 

Ne pas signer à l’aveugle

Dans mon article « 7 astuces pour améliorer la sécurité de votre portefeuille Bitcoin », je vous rappelle l’importance d’utiliser un hardware wallet pour stocker et gérer les clés de votre portefeuille Bitcoin. Ce type de dispositif permet d’isoler le stockage de vos clés cryptographiques afin de les protéger des piratages. Toutefois, les pirates informatiques n’ont pas forcément besoin d’avoir accès directement à vos clés pour vous voler vos bitcoins. C’est ce que nous allons étudier dans cette partie.


Lorsque vous utilisez un périphérique dédié pour le stockage de vos clés privées, vous devez souvent utiliser en parallèle un logiciel de gestion pour votre portefeuille (Ledger Live, Trezor Suite, Sparrow Wallet, Specter…). Ce type de logiciel ne stocke pas vos clés privées, mais il vous permet de consulter le solde de votre portefeuille, de construire des transactions non signées et de gérer votre wallet. Or, ces logiciels sont généralement installés sur un ordinateur polyvalent ou sur un smartphone, et ces machines sont forcément plus vulnérables à des attaques informatiques. Ainsi, si vous utilisez un hardware wallet, vous ne devriez pas faire confiance à ces logiciels. 

La signature à l’aveugle consiste à construire une transaction pour réaliser un paiement en bitcoins, et à ne pas vérifier les détails de la transaction sur le hardware wallet avant de la signer. C’est une pratique dangereuse puisque, dans ce cas de figure, la vérification de la transaction se fait uniquement sur l’écran de l’ordinateur. Or, le logiciel du PC peut être malveillant, l’affichage peut être modifié, ou encore, la transaction vérifiée peut être modifiée avant qu’elle soit envoyée sur le hardware wallet.

Le risque est donc de signer une transaction que l’on croit être une autre transaction. Le pirate peut, par exemple, modifier le montant de la transaction pour vider votre portefeuille et modifier l’adresse de destination. C’est ce que l’on nomme le « spoofing » d’adresse.

Il est donc essentiel de toujours vérifier les détails d’une transaction (montant, adresse de destination, frais…) sur l’écran du hardware wallet en plus du logiciel de gestion. Les fabricants de ces machines implémentent souvent des écrans directement liés à l’élément sécurisé du périphérique. Ainsi, lorsque vous vérifiez ces détails sur l’écran de votre hardware wallet, vous êtes persuadés que la transaction que vous vous apprêtez à signer contient bien les paramètres que vous désirez.

Par ailleurs, vous devriez également toujours vérifier la validité d’une adresse de réception sur votre hardware wallet avant de la transmettre à un envoyeur.

➤ Découvrir notre tutoriel complet sur l’utilisation du hardware wallet Ledger Nano S Plus.

Vérifier l’authenticité et l’intégrité des logiciels

Dans la partie précédente, nous avons vu qu’il existe de nombreux risques autour des logiciels que l’on installe sur un ordinateur. Une bonne pratique permettant de grandement mitiger ces risques est de toujours vérifier l’authenticité et l’intégrité des logiciels que vous téléchargez, avant de les installer sur votre machine. Cela est valable pour tout type de logiciels, et plus particulièrement pour ceux liés à une utilisation de Bitcoin. 

Pour vérifier l’authenticité d’un logiciel téléchargé, il suffit de vérifier la signature du développeur légitime avec GPG. Pour ce faire, vous devrez disposer de GPG sur votre ordinateur. Vous pourrez ensuite vérifier la signature à l’aide de l’interface en ligne de commande, ou bien à l’aide d’un logiciel spécialisé comme Kleopatra.

Pour vérifier l’intégrité d’un logiciel, il suffit de le passer dans la fonction de hachage désignée, et de comparer son empreinte avec celle fournie par le développeur. Cela permet d’être sûr que le logiciel n’a pas été modifié pour y intégrer du code malveillant. Pour ce faire, vous pouvez encore une fois utiliser un logiciel spécialisé, ou bien le faire directement en ligne de commande. Par exemple, sur Windows, il suffit d’ouvrir l’invite de commande, de taper la commande « Get-FileHash » et de glisser l’exécutable à vérifier. 

Ces procédures vous paraissent sûrement fastidieuses, mais en réalité, elles sont plutôt simples et rapides à réaliser. Elles vous permettent de vous assurer que vous êtes bien en train d’installer le logiciel légitime et que celui-ci n’a pas été modifié. En somme, cela vous permet d’éviter d’installer un virus ou un logiciel compromis, et donc de réduire les risques de piratage de vos bitcoins.

Être vigilant face aux tentatives d’hameçonnage

Les utilisateurs de Bitcoin sont souvent la cible de tentatives d’hameçonnage (phishing). Il convient de rester vigilant face à ces attaques.

L’hameçonnage est une technique utilisée pour tenter de subtiliser diverses informations personnelles en entrant en contact avec la victime par divers moyens. Dans le cas de Bitcoin, c’est généralement la phrase de récupération (24 mots) qui est visée par les voleurs.

Dans la plupart des cas, ces tentatives d’hameçonnage sont burlesques et facilement détectables. Vous recevrez peut-être des messages privés sur les réseaux sociaux ou éventuellement des textos ou des emails vous demandant de communiquer votre phrase de récupération par divers moyens. Mais parfois, ces attaques sont bien plus subtiles et organisées. 


Par exemple, en 2020, suite au piratage de la base de données d’un fleuron de l’industrie crypto, certaines personnes qui ont vu leur adresse postale fuiter ont reçu de faux hardwares wallets à leur domicile. Dans ce colis, il y avait une lettre faussement signée de la main du président de cette entreprise, expliquant qu’il fallait d’urgence utiliser ce nouveau hardware wallet. Évidemment, le faux matériel envoyé était en réalité corrompu, et les victimes l’ayant utilisé pour leurs cryptomonnaies se sont fait voler leurs fonds.

La lutte face à l'hameçonnage se fait en deux phases. Tout d’abord, il convient de limiter son exposition sur internet afin de prévenir les risques de contact. Si les pirates n’ont pas accès à vos données personnelles, ils ne pourront pas vous contacter. Si vous utilisez les réseaux sociaux, je vous conseille vivement de rester discret sur ceux-ci quant à votre utilisation de Bitcoin. Il convient également de faire attention à ne pas diffuser n’importe où vos coordonnées personnelles.

Ensuite, il faut toujours rester vigilant lorsque l’on vous contacte par tout moyen que ce soit afin de vous demander de réaliser une quelconque action. Les voleurs se font parfois passer pour des personnes de renom ou pour l’un de vos proches. Ils jouent également souvent sur la notion d’urgence, en vous demandant de réaliser rapidement une action sans quoi il y aurait de graves conséquences.

Évidemment, je ne peux pas vous décrire ici tous les modes d’opération utilisés par ces voleurs puisqu’ils sont en constante évolution. Il convient donc de rester très vigilant lorsque l’on vous contacte par tout moyen que ce soit (même par la poste).

Dans tous les cas, gardez à l’esprit que c’est généralement votre phrase de récupération qui est visée. Pour rappel, vous ne devez jamais communiquer votre phrase de 24 mots.

➤ En savoir plus sur la phrase mnémonique des portefeuilles HD.

Soigner sa sécurité numérique au quotidien

De manière plus générale, il est important de conserver une bonne hygiène numérique. Si vous utilisez un portefeuille Bitcoin sur une machine compromise, il est possible que vos fonds soient bloqués ou piratés. En effet, il existe de nombreuses attaques possibles sur un portefeuille Bitcoin, et ce même sur les hardwares wallets. Conserver un environnement numérique sain, avec l’utilisation de quelques bonnes pratiques, vous permet de limiter ces risques.

La base de la sécurité informatique, c’est sûrement la gestion des mots de passe. Il convient d’utiliser des mots de passe forts et différents pour chacun de vos logiciels et de vos comptes. Un mot de passe fort, c’est une suite la plus longue et diversifiée possible. Elle doit également provenir d’une source la plus aléatoire possible. Ainsi, je vous conseille de consulter le tableau Hive Systems Password Table, qui vous donne un ordre de grandeur sur le temps nécessaire pour brute forcer votre mot de passe.

Une attaque par brute force consiste à essayer toutes les combinaisons possibles pour un mot de passe.

Si la source de vos mots de passe n’est pas suffisamment aléatoire, un attaquant pourra facilement les casser. Il ne faut donc pas utiliser le nom de son animal de compagnie, une date de naissance, un code postal ou encore une de ses passions… Il est par ailleurs déconseillé d’avoir une base de mot de passe et de la décliner sous toutes ses formes. Dans cet objectif, l’utilisation d’un gestionnaire de mots de passe est souvent pertinente.

Par ailleurs, l’utilisation de Bitcoin implique bien souvent la manipulation de logiciels de portefeuilles et d’implémentations de nœuds. Il est important de tenir à jour ces nombreux outils. Les mises à jour sont fréquemment publiées pour corriger des failles de sécurité ou des vulnérabilités qui pourraient être exploitées pour voler vos bitcoins. 

Évidemment, il existe de nombreuses autres recommandations élémentaires à suivre pour optimiser la sécurisation de vos appareils numériques. Pour en savoir plus, je vous conseille vivement de consulter ces deux ressources de la CNIL qui traitent ce sujet de manière plus large : 

Conclusion

Cette liste de bonnes pratiques à suivre pour éviter les piratages et les arnaques sur Bitcoin est bien sûr non exhaustive. Les techniques des voleurs évoluent constamment au fur et à mesure de l’amélioration des systèmes de sécurité. Il convient donc de se tenir informé de l’évolution des bonnes pratiques.

Le risque de vol de vos bitcoins ne peut jamais être complètement annihilé. Même les meilleurs systèmes de sécurisation peuvent comporter des failles. L’objectif de la sécurisation des bitcoins est d'agir pour que le coût d’une attaque sur votre système soit bien plus élevé que les gains potentiels.

Dans cet objectif, vous devez placer le curseur entre le risque de vol et le risque de perte de vos bitcoins. Il faut certes être conscient du risque de vol et agir pour le réduire, mais sans pour autant augmenter la complexité de votre portefeuille de manière déraisonnable, sans quoi vous risquez de perdre vous-même l’accès à vos bitcoins.

Vous avez aimé cet article ?

Inscrivez-vous à notre newsletter pour recevoir les prochaines publications.

Ces articles pourraient vous plaire

Découvrez les derniers articles publiés.

Envie de lancer votre épargne en Bitcoin ?

Découvrez Bitstack, l’application la plus simple d'Europe pour investir dans le Bitcoin !

Télécharger Bitstack