Ledger Nano S: protégez vos bitcoin et autres cryptomonnaies !
Comme beaucoup, je m'intéresse depuis quelques temps aux cryptomonnaies, ces monnaies virtuelles qui font tant parler d'elles: Bitcoin, Etherum, Ripple, Litecoin, etc. Je n'avais pas spécialement prévu d'en parler sur le blog, mais à la demande de nombreuses personnes sur les réseaux sociaux en voyant mon “Ledger”, je vais vous en faire une petite présentation. Je ne vous expliquerai pas ce que sont les cryptomonnaies (Bitcoins et altcoins), il y a d'autres sites spécialisés pour cela, comme par exemple CryptoActu. Et je ne vous dirai pas non plus s'il faut oui ou non investir, car même s'il y a de beaux bénéfices à faire, il y a également de gros risques. Ceux qui ont acheté leurs Bitcoin 19 000$ vous le confirmeront, avec un cours actuel aux alentour des 7500 :/ Comme tout le monde vous le dira: si vous investissez, mettez y l'argent que vous êtes prêt à perdre uniquement. Maintenant, si comme moi vous avez tenté l'aventure, peut être voudrez vous sécuriser vos placements ? La société Ledger a créé un produit pour cela: le Ledger Nano S.
Aujourd'hui, pour acheter des cryptomonnaies , il faut passer par une passerelle qui permet l'échange de fiats (euro, dollars) contre des altcoins (Bitcoin, Litecoin, Etherum, Ripple, etc…). De nombreuses sociétés se sont spécialisées dans le domaine, comme Coinbase, Kraken, Bitstamp, etc… En pratique, on dit “je veux acheter pour 100€ de Bitcoins”, par exemple à Coinbase, et la société vous échange vos euros contres des bitcoins (enfin, ici quelques centimes de bitcoin, vu la valeur de celui ci…). Ces Bitcoins sont alors enregistrés sur votre compte Coinbase. Quand il s'agit de petites sommes, les gens les laissent sur le compte de la passerelle qui leur a permis l'achat, comme ici Coinbase par exemple. Quand les sommes engagées sont plus importantes, la sécurité devient toutefois une question importante. Deux cas de figure peuvent se présenter:
- la société se fait pirater et dérober les cryptomonnaies de ses clients, comme ce fut encore le cas il y a quelques jours avec Coincheck, qui a perdu pour 600 millions de dollars de XEM :/
- la société ferme boutique
Par sécurité, il est donc plus prudent de ne pas laisser trop de cryptomonnaies sur ces sites. On peut alors les stocker dans un porte monnaie électronique, sous la forme d'un logiciel qui s'installe sur son ordinateur. Mais ca se pirate également, ou ca plante, avec les risques de pertes de données inhérent. Pour contrer cela, il existe donc des portes monnaies électroniques, sous forme physique, qui une fois débranchés de l'ordinateur, sont inaccessibles et donc en sécurité. On les appelle les cold wallet. Un Cold Wallet, c'est un dispositif physique extrêmement sécurisé (disposant généralement d’une puce de vérification d’altération des données) qui permet d’accéder à vos fonds sans jamais risquer de voir ces derniers êtres siphonnés. La clé privée qui permet d’accéder à votre argent stocké sur la blockchain est générée aléatoirement et est stockée dans une puce ultra robuste de l’appareil vérifiée cryptographiquement. Personne ne peut donc connaitre cette clé (pas même vous), et elle ne sortira jamais du cold wallet.
Plusieurs fabricants en proposent. Pour ma part, j'ai opté pour Ledger, qui malgré le nom est une société française (avec un bureau très près de chez moi, coïncidence :p), et qui s'est rapidement fait un nom dans le domaine. Jusqu'à il y a encore quelques jours, cette notion de porte monnaie était pour moi assez abstraite. Alors je vous propose de découvrir ce que c'est, et comment ça fonctionne.
Découverte du Ledger Nanos S
Ledger propose plusieurs appareils de ce type. Le plus connu est le Ledger Nano S, qui se présente sous la forme d'une clé Usb:
A l'intérieur, on y trouve donc cette “clé Usb”, un câble Usb, et deux petits cordons avec un anneau pour le fixer à son porte clés ou autour du cou.
De prime abord, le Ledger Nano S ressemble à s'y méprendre à une bête clé Usb.
Si ce n'est qu'elle dispose de deux boutons sur le dessus:
Et d'un petit écran digital qui apparait quand on déplie la clé:
Par contre, ce Ledger Nano S n'a pas de fiche USB male, mais un port Micro Usb femelle. D'où le cable livré avec. On peut se dire que c'aurait été plu pratique, mais non. Nous verrons plus loin pourquoi.
Passons à sa configuration.
I. Configuration du Ledger Nano S
Pour commencer, on branche le Ledger Nano S au port Usb de son ordinateur, via le cable fourni. Le périphérique s'allume, et nous demande d'appuyer sur les deux boutons simultanément pour démarrer la configuration.
Il nous est proposé ensuite de le configurer comme un nouvel appareil. On valide avec le bouton droit:
Il faut ensuite renseigner un code de sécurité, qui va de 4 à 8 chiffres. On utilise les boutons droits et gauches pour faire défiler les chiffres, et on valide en appuyant sur les deux simultanément.
Une fois saisi, on recommence pour le valider. Attention à bien le retenir, car sans lui, il deviendra impossible d'utiliser la clé.
Vient maintenant la phase un peu laborieuse, mais nécessaire: l'écran va vous afficher une série de 24 mots, qu'il va falloir recopier avec précaution sur le petit carton fourni. Cette série de 24 mots est ultra importante, car en cas de perte ou destruction de votre Ledger, seule cette série de mots vous permettra d'accéder à vos cryptomonnaies, en les saisissant sur une nouvelle clé. Sans elle, vous n'avez plus rien. Nada !
Recopiez donc chaque mot, puis défilez les sur l'écran jusqu'à tous les avoir recopiés. Vérifiez plutôt deux fois qu'une, car c'est le seul moment où ces mots seront affichés. Il n'y aura pas d'autre chance.
Une fois les 24 mots recopiés, le Ledger va vous demander d'en confirmer quelques uns pour être sûr que vous les ayez recopiés dans le bon ordre.
Et voilà, c'est terminé pour cette première étape !
Toutes ces opérations font que l'utilisation d'un cable Usb pour déporter le Ledger s'avère au final bien pratique ;-)
Maintenant, il va falloir installer les logiciels nécessaires. Il y a une partie software à installer sur le Ledger, qui en gros correspond à un programme = une cryptomonnaie, et une partie software sur l'ordinateur.
Le logiciel s'appuie sur les applications de Chrome. Il faut donc avoir Chrome, et se rendre à cette adresse pour installer le Ledger Manager.
Une fois installée, on retrouve l'application dans les applications Chrome:
On le lance:
Et on autorise le Ledger Manager sur la clé:
A partir de là il va être possible d'installer jusqu'à 5 programmes sur le Ledger. Certains sont déjà installés, comme Bitcoin, Etherum, et Fido U2F. Il suffit d'installer les programmes correspondant aux cryptomonnaies que vous possédez. Le choix est vaste, et de nouvelles monnaies viennent s'y ajouter régulièrement:
Il suffit de cliquer sur la flèche verte à droite pour installer le programme correspondant.
Détail important à connaitre: 5 programmes, ca peut paraitre peu. Mais il est possible d'en supprimer pour en installer d'autres. Dans ce cas, les cryptomonnaies des programmes supprimés ne sont pas supprimées, elles restent sécurisées sur la clé. Il faudra juste réinstaller le programme correspondant pour de nouveau y avoir accès.
Autre détail: c'est également le Ledger Manager qui permettra de mettre à jour le Ledger Nano S.
Dernière étape: nous avons installé ici le nécessaire sur notre Ledger Nano S. Il reste un autre programme à installer cette fois sur l'ordinateur: Ledger Wallet Bitcoin, qui permettra de gérer votre portefeuille (il en existe une autre dédiée aux Etherum et Ripple, vous les trouverez sur la page du constructeur). Comme le Ledger Manager, il s'agit d'une application Chrome:
Gestion des cryptomonnaies sur le Ledger Nano S
Pour gérer ses cryptomonnaies, il faudra donc brancher le Ledger à l'ordinateur, saisir son code, puis sélectionner la monnaie qu'on souhaite:
On valide en appuyant sur les eux boutons simultanément.
On lance ensuite l'application Ledger Wallet Bitcoin via les applications Chrome:
L'application se connecte au Ledger pour identifier la monnaie à gérer. Ici, comme j'avais sélectionné Bitcoin, l'application me propose Bitcoin et Bitcoin Cash:
On sélectionne ensuite le type d'adresse à utiliser. Les adresses sont comme le numéro de compte de votre banque, elles permettent de savoir où se trouvent les cryptomonnaies. Le format Segwit est plus sécurisé, mais n'est pas encore supporté partout, car très récent.
On arrive alors sur cette interface, vide pour le moment, aucun Bitcoin n'ayant été transféré sur le Ledger.
C'est d'ailleurs la première chose que nous allons faire. Pour transférer mes Bitcoins, je vais ici sur l'interface de Coinbase (ou la plateforme de trading que vous avez utilisée. J'ai commencé par CoinBase, étant plus facile d'accès à mon gout). Sous chaque monnaie, j'ai les boutons “send” et “receive”:
Depuis Coinbase, je vais donc chercher à envoyer, donc bouton “send”.
Sur mon Ledger, en revanche, je vais recevoir. Donc je clique sur le bouton recevoir, et un écran m'indique l'adresse bitcoin de réception:
Je copie colle cette adresse sur Coinbase, pour lui indiquer d'envoyer l'argent sur cette adresse (comme quand on indique un numéro de compte pour faire un virement). On indique ensuite le montant qu'on souhaite transférer:
Comme pour toutes les transactions, il y aura quelques frais, définis par la passerelle (et non par Ledger).
On valide la transaction:
Au bout de quelques minutes, la valeur apparaitra sur votre Ledger. Il faut plus ou moins de temps selon les transactions, pour qu'elles soient confirmées. C'est le principe de calcul de la BlockChain qui veut ca.
A noter qu'il n'est pas besoin que votre Ledger reste connecté tout ce temps. Tant que vous avez communiqué l'adresse donnée par le Ledger pour le transfert, c'est tout ce qui compte. Vous pouvez très bien le débrancher et le rebrancher le lendemain, l'opération sera mise à jour à la prochaine connexion.
Pratique, à chaque transaction correspond une adresse. Si bien que le Ledger est capable de gérer plusieurs comptes sur une même clé, puisqu'il sait identifier chaque transaction. Ici, par exemple, j'ai distingué les Litecoins m'appartenant de ceux de ma femme:
Nos cryptomonnaies sont maintenant à l'abri :) Le jour où on voudra les échanger, il suffira de les transférer sur l'adresse fournie par la plateforme de trading. C'est exactement la même méthode que pour recevoir, à ceci près que le Ledger nous demandera une confirmation physique à l'aide des boutons. C'est ce qui sécurise les transactions.
IV. Sécuriser ses accès avec son Ledger Nano S
En plus de protéger ses bitcoins, le Ledger Nano S embarque une autre fonctionnalité bien sympa: l'utilisation en tant que clé privée dans les systèmes de double authentification.
Sur certains services, comme par exemple Google, vous pouvez demander la double authentification: pour vous identifier sur le service, vous devez donc saisir un mot de passe, puis en général un code envoyé par SMS sur votre mobile. Cela réduit grandement le risque de se faire pirater son compte. Et bien certains services proposent d'utiliser non pas un code par SMS, mais l'utilisation d'une clé physique, comme par exemple ce Ledger Nano S.
Il suffit de demander à ajouter ce type de service. Le Ledger vous demande ensuite la validation de l'ajout:
A partir de là, pour vous identifier à votre compte Google, il faudra saisir votre mot de passe, et valider l'accès en appuyant sur votre Ledger. Votre compte sera ainsi difficile à pirater. De nombreux services proposent aujourd'hui ce type de double authentification.
A noter qu'il est même possible de se servir du Ledger pour déverrouiller un ordinateur. Le programme Hello à installer sur son Ledger permet ainsi de s'identifier sur un ordinateur Windows 10.
Conclusion
En terme de sécurité, le Ledger Nano S est ultra protégé. Niveau hardware, l’appareil est en effet équipé d’une puce de sécurité appelée Secure Element, qui contient vos clés privées et est conçue pour rendre impossible l’extraction de ces dernières. Et si quelqu’un venait à ajouter ou remplacer un composant, vous seriez immédiatement averti grâce à un système de vérification par signatures.
Niveau logiciel, si quelqu’un venait à voler votre clé, il lui faudrait encore réussir à deviner votre PIN en 4 essais, car une fois ces 4 tentatives épuisées, les données sont supprimées de la clé (il sera alors nécessaire de la restaurer à l’aide des mots de récupération).
Bref, une fois vos cryptomonnaies sécurisées ainsi, vous pouvez dormir sur vos deux oreilles :p Reste que la sécurité a un cout, d'autant que les prix ont augmenté avec la ruée qu'il y a eu en fin d'année sur les cryptomonnaies. Le Ledger Nano S coute ainsi maintenant 59€. Et surtout, les délais pour l'obtenir sont longs, puisqu'à ce jour il faut patienter un bon mois et demi. Mais mieux vaut patienter que de l'acheter à n'importe qui. Certains se sont en effet fait dérober leurs crypto par quelques ruses.
Attention !
Le 3 février, une vulnérabilité affectant tout particulièrement les applications Chrome du fournisseur de portefeuilles physiques français avait été rendue publique. Cette dernière permettait à un pirate de changer à sa guise les adresses de réception sans qu’il soit parfois possible pour l’utilisateur de s’en rendre compte.
Ledger aura finalement décidé de procéder aux changements proposés par les individus ayant mis au jour la faiblesse de sécurité de type man-in-the-middle publiée samedi dernier. L’attaque en question, relativement aisée et surtout particulièrement difficile à détecter dans certains cas (l’extension Ethereum de la société n’intégrait aucun moyen de vérification), rendait possible l’usurpation ou la modification du logiciel Ledger sur un ordinateur piraté, afin d’y afficher une adresse de réception fausse de manière transparente.
Source : https://cryptoactu.com/cryptomonnaies/apres-critiques-ledger-decide-de-mettre-a-jour-logiciel-contrer-lattaque-mitm/
Merci pour l’info. C’est malheureusement un risque courant en informatique, surtout quand il est question d’argent, beaucoup cherchent les failles :/ Heureusement les mises à jour sont là pour y remédier :) Ledger a rapidement communiqué sur son blog à ce sujet, car certaines annonces étaient apparemment fausses https://www.ledger.fr/2018/02/05/man-middle-attack-risk/