Quiconque s'est intéressé au monde des portefeuilles web3 a certainement été averti des divers risques liés à la self-custody, le premier étant de tomber sur un piratage.
Malheureusement, ce secteur est une jungle, et là dehors, il y a plein de personnages impitoyables prêts à profiter de chaque petite erreur, sans le moindre brin d'éthique et d'humanité.
Cependant, cela ne signifie pas que nous devons rester dans l'ignorance et renoncer aux avantages offerts par ces infrastructures. Il suffit d'utiliser quelques précautions et de respecter les bonnes manières de sécurité. Dans cet article, nous vous suggérons quelques conseils simples et pratiques pour réduire au minimum les risques et conserver en toute sérénité vos fonds.
Préambule
Si jusqu'à présent vous avez uniquement utilisé des échanges centralisés, vous devez savoir quelques choses : ce sont certainement les plateformes les plus simples et sécurisées pour commencer, ainsi que les plus pratiques pour ceux qui souhaitent effectuer fréquemment des opérations de trading.
Il est beaucoup plus rare qu'un échange soit piraté plutôt que votre portefeuille personnel si vous êtes novice et ne savez pas où mettre les mains, c'est pourquoi nous recommandons toujours de commencer par ici.
Après avoir fait l'expérience des échanges, vous devrez au moins commencer à vous intéresser également aux solutions non-custodiales, surtout si votre objectif est de conserver à long terme.
Les échanges servent de « banques d'échange pour cryptos » mais ne sont pas vraiment indiqués comme portefeuilles. Pour une garde plus sûre et autonome, il est bon de faire un pas de plus et de découvrir le monde des portefeuilles Web3.
La garde des clés privées : le premier pas pour éviter les piratages
Si vous êtes arrivés jusqu'ici, et que vous avez déjà téléchargé votre portefeuille non-custodial, nous partons du principe que vous avez compris l'importance du stockage de la « clé privée », mais pour plus de sécurité, rappelons les concepts fondamentaux.
Tout d'abord, un portefeuille est composé de 2 types de clés :
Clé publique: comme l'adresse IBAN de votre compte bancaire, elle sert à vous faire payer et à recevoir des cryptos. Vous pouvez la partager tranquillement avec n'importe qui, mais sachez qu'une fois votre adresse rendue publique, vous perdrez une composante de la confidentialité (tout le monde pourra jeter un œil à l'historique)
Clé privée : elle vous garantit l'accès au portefeuille. Si vous perdez le portefeuille (l'ordinateur se casse, vous perdez le Ledger), vous pouvez récupérer tout sans problème en entrant la clé privée/phrase de récupération sur un nouvel appareil. QUICONQUE LA CONNAÎT PEUT ACCÉDER AU PORTEFEUILLE ET LE VIDER.
Donc, comme première bonne manière d'éviter les piratages, nous vous conseillons d'écrire la clé privée dans un endroit sûr, de préférence sur un support métallique (le papier se dégrade avec le temps), et de la placer dans un endroit sûr que vous seul connaissez. JAMAIS partager le contenu en ligne et JAMAIS l'écrire dans une conversation.
Personne ne vous demandera jamais de lui donner votre clé privée, même pas des supports ou groupes d'assistance. Si c'est le cas, ce sont à 100% des escrocs.
Pirates et cryptos : agissez avec prudence et faites toujours des double vérifications
Après le « must » des précautions sur la clé privée, nous pouvons passer aux autres bonnes pratiques du web3 pour prévenir les piratages et les événements désagréables. Dans un monde comme celui des cryptos où tout va vite, nous, pour nous déplacer en toute sécurité, devons faire l'inverse, et agir calmement sans faire de mouvements risqués.
À quoi faisons-nous référence ? Lorsque par exemple vous cliquez sur un lien que vous trouvez sur X, même s'il provient d'un compte vérifié et fiable, faites un double contrôle en passant par DeFiLlama, Coinmarketcap ou Dexscreener. Vérifiez que le lien est le même et que le profil X n'a pas été piraté. Malheureusement, cela arrive aussi.
Ou, lorsque sur X vous lisez une opportunité comme un airdrop, une nouvelle pool d'un protocole, ou un événement intéressant, ne cliquez pas tout de suite. Pour plus de sécurité, attendez quelques minutes et vérifiez si tout est légitime (commentaires, recherche en sélectionnant « nom du compte + piraté », discussions sur Telegram et Discord).
Ne laissez pas d'approbations en attente sur les DApps
Une autre pratique de mémorisation pour diminuer le risque de piratage est de limiter au maximum les approbations des diverses DApp web3. Beaucoup ne savent pas que souvent, quand quelqu'un « entre » dans notre portefeuille, c'est parce que nous lui donnons la permission sans nous en rendre compte.
Lorsque vous effectuez des opérations sur un échange décentralisé, peut-être pour faire un échange d'ETH à USDC, la plateforme vous demandera d'approuver une limite de dépenses pour cette transaction. Par défaut, pour plus de commodité, cette valeur est presque toujours réglée de manière illimitée, afin que vous n'ayez pas à répéter l'approbation à chaque opération.
Si vous le pouvez, approuvez seulement ce que vous voulez dépenser, plutôt que la valeur maximale. Ou, une fois l'opération terminée, rendez-vous sur Revoke.cash, et éliminez toutes les approbations en attente. Il suffit de cliquer sur le bouton « révoquer » pour chaque autorisation approuvée précédemment.
Utilisez des extensions de sécurité qui vous sauvent in extremis d'un piratage
Un petit truc du métier pour avoir une couche de sécurité supplémentaire contre les piratages est d'installer des extensions comme Pocket Universe ou SafeGuard, qui vous diront en temps réel quel type de transaction vous êtes en train de signer.
Dans le cas où, par inadvertance ou erreur, vous vous retrouvez à interagir avec une application frauduleuse, ces extensions vous le signaleront avec une alerte et une bannière rouge, vous permettant de sortir avant de cliquer sur quelque chose et de causer des dommages irréparables.
Elles ne remplacent pas votre bon sens (la prudence reste le premier antivirus), mais avoir cette couche de protection supplémentaire peut littéralement vous sauver un portefeuille entier en un clic. D'ailleurs, les installer est gratuit !
Suggestion supplémentaire : Au-delà de ces extensions, évitez de télécharger tout autre programme sur l'ordinateur que vous utilisez pour conserver des cryptos. Si vous êtes gamer ou bricoleur, le meilleur choix est d'avoir un appareil séparé, dédié uniquement aux opérations Web3.
Autres matériels supplémentaires et conseils pratiques
Si vous gérez des portefeuilles « importants » avec une certaine valeur de cryptos, vous devez absolument insérer une protection supplémentaire contre les vols et piratages via un dispositif de signature numérique, également appelé « portefeuille matériel » : solutions comme Ledger, Trezor, Bitbox.