A
A

Acheter du Bitcoin et des cryptomonnaies en toute sécurité : Sécuriser votre adresse mail

dim 08 Déc 2019 ▪ 15 min de lecture ▪ par Rédaction CT

Ca fait malheureusement partie de la jeunesse de l’industrie. Le domaine crypto se trouve à la croisée des chemins entre le continent financier – est sa cohorte de risques induits, d’avidité et de dangerosité – et celui de nouvelles technologies à la fois complexes et parfois mal maîtrisées.

Le cocktail peut être détonnant. Il est ainsi monnaie courante d’entendre dans le monde de la crypto des histoires peu réjouissantes où des utilisateurs se réveillent un matin et là, c’est le drame : au moment de la connection à leur plateforme d’échange de cryptomonnaies favorite, les balances de leurs actifs affichent de sinistres zéro, le compte a été siphonné par un hacker ou une personne malveillante.

C’est évidemment trop tard, mais c’est immanquablement aussi le moment d’une douloureuse prise de conscience : celle des défaillances en matière de sécurité et d’hygiène informatique qu’il n’aurait pourtant pas été si difficile de mettre en oeuvre.

Aujourd’hui, je vais reprendre quelques bases et vous exposer des habitudes simples à mettre en oeuvre afin de commencer par sécuriser votre porte d’entrée principale : l’adresse mail qu vous utilisez pour vos crypto-activités.

C’est arrivé prés de chez vous

Se faire pirater sa boite mail, c’est offrir une porte d’entrée directe permettant un accès confortable à vos crypto-actifs si vous les stockez directement sur les plateformes d’échange où vous les avez achetés (et soyons tout de suite très clair : sauf si vous êtes un day trader compulsif, laisser ses cryptos sur les plateformes c’est chercher les ennuis ! On reparle de IDAX ou tout le monde a compris ?).

Voici un exemple remontant à mai 2019 et qui avait fait du bruit car la victime n’est autre qu’un ingénieur haut placé de la société Bitgo, une solution de custody bien connue dans le monde de la crypto. Sean Coonce s’est réveillé un matin et tous ses bitcoinsl’équivalent de 100,000$ quand même – avaient disparu de l’exchange Coinbase. Pour en savoir plus sur l’histoire de Sean Conce, il a rédigé un article où il détaille sa mésaventure (« La leçon la plus coûteuse de ma vie »). Dans cet article, Sean n’incrimine pas vraiment Coinbase mais lui-même : il aurait dû faire preuve de plus de vigilance et il met en évidence une fraude à la carte SIM assez courante aux Etats-Unis.

Résultat de recherche d'images pour "Sean Coonce Bitgo"
Sean Coonce s’est pris une leçon de vie à 100 000 dollars. Ne soyez pas comme Sean, mais écoutez ce qu’il a à dire !

Preuve que se faire voler ses bitcoins peut arriver à n’importe qui et notamment à vous, estimé lecteur, je vais dans cet article vous proposer plusieurs étapes pour sécuriser votre boite mail (et dans un prochain article, je détaillerai davantage les étapes à suivre pour acheter vos bitcoins en toute sécurité #spoiler) :

1. La création d’une adresse mail dédiée

Tout d’abord, je vous recommande de vous créer une adresse mail dédiée pour vos plateformes d’échange de cryptomonnaies (ou crypto exchanges). Exemple: [email protected] (c’est un simple exemple, laissez cette adresse mail ultra-cool tranquille).

Pourquoi me demanderez-vous ? La raison est simple : nous utilisons tous une adresse mail principale avec laquelle nous avons déjà créé des dizaines voire centaines de comptes sur diverses plateformes et services tiers. Hors, parmi ces services, certains ont subi des hacks et vu les data de leurs utilisateurs (adresses mails, prénoms, noms, mots de passe, etc.) se retrouver disséminées et mises à disposition sur le dark web. Parmi les hacks de données les plus connus, on pourrait citer celui de Daily Motion qui a concerné des dizaines de millions de comptes qui ont fuité en 2016 ou plus récemment Reddit en 2018. Pour plus d’informations sur ce sujet, je vous invite à lire cet article du blog de Dashlane qui évoque les centaines de millions d’informations de comptes qui s’égaient dorénavant dans la nature.

Vous l’aurez compris, utiliser une adresse mail uniquement dédiée à vos quelques comptes sur les plateformes d’échange de cryptomonnaies limitera considérablement le risque que des hackers essaient de se connecter à votre compte en utilisant votre adresse mail puisque vous seul et la plateforme en question (si vous créez un alias, cf le point 2. ci-dessous) avez connaissance de cette adresse mail.

2. Créer un alias pour CHAQUE plateforme d’échange de cryptomonnaies

Pour aller encore plus loin dans cette démarche et avoir une adresse mail unique pour chacun de vos comptes sur les plateformes d’échange de cryptomonnaies, je vous conseille d’utiliser un alias lorsque la plateforme le permet (ce n’est par exemple pas le cas de Binance).

Qu’est-ce qu’un alias ? Un alias est une adresse mail qui sert à rediriger les messages reçus vers votre compte de messagerie principal. Par exemple, [email protected] et [email protected] sont des alias.

Autrement dit, tous les mails envoyés à ces 2 adresses mail seront renvoyés vers [email protected]. Magique. Si vous décidez de vous créer un compte sur les plateformes d’échange Kraken et Coinbase, vous pourrez par exemple utiliser les adresses mail suivantes:

Les adresses mail associées à vos comptes sur ces 2 plateformes seront uniques et vous recevrez bien tous les mails envoyés par ces 2 plateformes sur votre adresse principale [email protected].

Avec une adresse mail Gmail, il vous suffit ainsi lors de l’inscription sur un crypto exchange (comme Kraken par exemple) de saisir votre adresse mail avec votre alias en ajoutant « + » à la suite de l’adresse mail. Exemple: [email protected]

Vous recevrez bien tous vos mails (dont le mail de confirmation de création de compte) sur [email protected]. Cela fonctionne aussi pour ProtonMail. Pour les autres services de messagerie, cela reste à vérifier.

3. Associer des numéros de téléphone ou adresses mail de récupération n’est PAS une bonne idée

Même s’il s’agit d’une pratique courante et que nombre de services vous y pousse, je vous déconseille d’associer un numéro de téléphone de récupération à votre adresse mail créée pour gérer vos comptes sur les différentes plateformes de cryptomonnaies. De la même manière, je vous déconseille d’associer une autre adresse mail de récupération. Cela représente autant de portes d’entrée à votre adresse mail pour des hackers et autres personnes mal intentionnées.

A quoi servent le numéro de téléphone/l’adresse mail de récupération ? Si vous avez oublié le mot de passe de votre adresse mail, il vous sera envoyé à votre numéro de téléphone de récupération ou à votre adresse mail de récupération. Cela signifie que si vous vous faites voler votre téléphone ou si vous vous faites pirater l’adresse mail de récupération, alors la sécurité de votre adresse mail est compromise. Et si la sécurité de votre adresse mail est compromise, alors la sécurité de vos comptes sur les différentes plateformes d’échange de cryptomonnaies l’est tout autant.

Si vous stockez bien à l’abri le mot de passe de votre adresse mail ou que vous l’apprenez par cœur, alors le numéro de téléphone et l’adresse mail de récupération deviennent inutiles.

Si vous souhaitez malgré tout associer une adresse mail de récupération à votre compte principale, pensez à bien répéter les autres étapes de cet article pour l’adresse mail de récupération en question. Si vous souhaitez associer un numéro de téléphone de récupération, pensez à activer un mot de passe pour accéder à votre smartphone (et également pour accéder à votre desktop/tablette).

Enfin, pensez à bien vous déconnecter lorsque vous ouvrez votre boite mail sur un appareil qui n’est pas le votre.

4. Choisir un mot de passe compliqué

Choisissez un long mot de passe d’au moins 16 caractères si possible, avec au moins 2 caractères spéciaux à la suite (exemple: « @# »).

Comment retenir ce mot de passe ? Pour répondre à cette question, 2 grands choix s’offrent à vous (d’autres options plus techniques sont également possibles mais je ne vais pas entrer dans ce niveau de détail) :

  • Utiliser un gestionnaire de mot de passe : il s’agit de logiciels simples à télécharger, faciles à utiliser et qui encryptent tous vos mots de passe. Il vous suffit de retenir un seul mot de passe – ?votre mot de passe maître (je vous recommande un mot de passe d’au moins 16 caractères, avec au moins 2 caractères spéciaux à la suite)? – et tous les autres mots de passes sont mémorisés par votre gestionnaire de mot de passe. Personnellement, j’utilise Dashlane et je le recommande vivement : c’est français, ça fonctionne bien depuis des années et ils proposent une application desktop et sur mobile (ainsi qu’une extension pour le navigateur Chrome). Lorsque vous vous inscrivez à un nouveau service en ligne (comme une plateforme d’échange de cryptomonnaies), Dashlane peut vous générer automatiquement un mot de passe “compliqué” si vous le souhaitez (vous pouvez d’ailleurs décider de la longueur du mot de passe et plusieurs caractères spéciaux sont à la suite).

Voici un lien d’inscription pour vous créer un compte sur Dashlane.

  • Notez tous vos mots de passe sur une feuille de papier et la mettre dans un coffre-fort. Ce n’est pas pratique mais ça a le mérite de bien fonctionner si vous avez des réticences à utiliser un gestionnaire de mots de passe comme Dashlane.

NB 1 : ne notez pas votre mot de passe sur un fichier (Word, Excel ou peu importe) stocké sur votre ordinateur ou sur une application hébergée dans le cloud comme Evernote ou Note. Pourquoi ? Nous ne sommes jamais à l’abri d’un virus sur notre propre ordinateur ou smartphone (d’ailleurs, je vous conseille vivement de télécharger un antivirus sur votre ordinateur et sur votre smartphone/tablette) ou même d’un vol de cet ordinateur. Il convient donc de chiffrer les données sensibles comme vos identifiants.

NB 2 : choisissez un mot de passe unique que vous ne réutiliserez pas pour une autre boite mail ou autre compte en ligne (imaginez que vous utilisiez le même mot de passe pour tous vos comptes en ligne et que l’un de ces comptes fuite suite à un hack…).

5. Activer votre 2FA

Activer le 2FA (il s’agit de la double authentification, « two-factor authentication » en anglais) pour accéder à votre adresse mail.

Concrètement cela permet d’avoir une sécurité supplémentaire dans le cas où une personne mal intentionnée aurait découvert le mot de passe de votre adresse mail.

Résultat de recherche d'images pour "2fa"

Le 2FA (vérification en deux étapes) permet d’ajouter un code pour accéder à votre boite mail : à chaque connexion, vous devrez saisir un code à 6 chiffres. Ce code s’affiche sur une application mobile ou desktop, il change toutes les 30 secondes. Il est vivement conseillé d’activer votre 2FA pour votre boite mail ainsi que pour tous vos comptes sur les différents crypto exchanges.

Lorsque vous activez le 2FA sur vos différents comptes de crypto exchanges, privilégiez le 2FA via application mobile, plutôt que par SMS (si l’option SMS est proposée).

Une clé secrète (suite de caractères) vous sera transmise lors de l’activation de votre 2FA. Il est très important de ne pas stocker cette clé secrète sur votre ordinateur (que ce soit un fichier Word, Excel ou sur une application type Evernote ou Note). Je vous recommande de noter cette clé secrète sur une feuille de papier que vous mettrez en lieu de sûr dans un coffre.

Pour saisir la clé secrète ou scanner le QR code communiqué lors de l’activation de votre 2FA, il vous faut une application smartphone ou desktop. Les plus utilisées sont Authy 2-Factor Authentication et Google Authenticator (tous 2 disponibles sur desktop et smartphone). Une fois la clé secrète enregistrée via l’une de ces 2 applications, un code à 6 chiffres apparaîtra sur l’application et changera toutes les 30 secondes.

Voici un tutoriel pour activer le 2FA sur une boite mail Gmail ou sur une boite mail ProtonMail.

Résultat de recherche d'images pour "google authenticator"

Bonus 1 : Vérifier si votre adresse mail n’a pas fuité

Dashlane propose une fonctionnalité appelée « Surveillance du dark Web » (uniquement disponible avec la version payante de Dashlane Premium) qui permet d’analyser le web en continu et vérifier que vos adresses mails n’aient pas été compromises.

Vous pouvez également taper votre adresse mail entre guillemets sur Google, (ex: « [email protected] ») et regarder si votre adresse mail n’apparaît pas dans des bases de données ayant fuité.

Bonus 2 : Utiliser un VPN

Afin de garder votre anonymat lorsque vous naviguez sur internet et protéger vos données à caractère sensible, il est conseillé d’utiliser un VPN (Virtual Private Network). Plusieurs solutions s’offrent à vous : Dashlane propose désormais une option VPN, vous pouvez autrement opter soit pour un logiciel SaaS payant comme NordVPN ou un logiciel open source gratuit comme Tunnelblick.

Nous arrivons à la fin de ce petit tour d’horizon des quelques standards de prudence à appliquer pour sécuriser vos adresses mail et faire en sorte que leur compromission n’aboutissent pas au siphonnage de vos précieuses crypto !

J’espère que vous aurez appris appris quelques petites choses. Sachez qu’à 99%, une sécurité informatique efficace passe par le respect de simples règles de bon sens. On se revoit bientôt sur TheCoinTribune pour continuer à arpenter en toute sécurité, les terres vierges de l’univers crypto !

Mise en garde : le propos de cet article vise à considérablement réduire le risque de piratage de votre boite mail. En revanche, conservez en tête que le risque zéro n’existe pas en matière de sécurité informatique.

Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.


A
A
Rédaction CT avatar
Rédaction CT

Derrière la signature générique « Rédaction CT » se trouvent de jeunes journalistes et des auteurs aux profils particuliers qui souhaitent garder l’anonymat car impliqués dans l’écosystème avec certaines obligations.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.