Conseils OPSEC pour assurer la sécurité cryptographique

Il y a 1 mois

La sécurité opérationnelle, ou OPSEC, est le processus de gestion des risques en définissant les informations que vous essayez de sécuriser, ce qui est nécessaire pour atteindre cet objectif, puis en prenant les mesures pratiques requises.

La philosophie derrière OPSEC se concentre principalement sur le fait de penser comme votre agresseur, de comprendre qui peut être cet agresseur et quelles mesures il peut prendre pour vous exploiter.

Une bonne OPSEC est particulièrement essentielle pour les dispositifs de signature de clé de crypto-monnaie, tels que les portefeuilles matériels. Les portefeuilles matériels sont considérés comme des « portefeuilles froids » car ils n’ont pas de fonctionnalité Internet directe et doivent être connectés à un autre appareil, tel qu’un smartphone ou un PC, pour se connecter à Internet et effectuer une transaction.

Conseils OPSEC pour assurer la sécurité cryptographique

Ces périphériques matériels et le pont via lequel ils se connectent sont les points de défaillance les plus cruciaux lors de l’exécution de transactions de crypto-monnaie.

Alors que 2022 devient la pire année jamais enregistrée pour les piratages de crypto-monnaie, avec 3,8 milliards de dollars volés, OPSEC n’a jamais été aussi critique. Alors que l’espace des actifs numériques devient plus courant, les attaquants recherchent de nouvelles façons d’exploiter les utilisateurs et les plates-formes.

Bien que les enjeux et le profil de risque de chaque entité utilisant des actifs numériques varient, tous les utilisateurs doivent respecter les meilleures pratiques pour protéger leur valeur.

Sécurisation de l’environnement de signature

Avant de signer des transactions, examinez votre environnement pour identifier tout ce qui pourrait servir de vecteur d’attaque.

En supposant que vous vous trouviez dans un environnement autrement privé, tel que votre domicile, cela inclut des éléments tels que des caméras ou des microphones, qui sont présents sur presque tous les ordinateurs portables et appareils mobiles modernes.

N’oubliez pas les divers produits de l’Internet des objets (IoT) tels que les téléviseurs intelligents, Alexa, etc. Chacun d’entre eux peut être potentiellement utilisé pour vous espionner pendant que vous effectuez une transaction.

En tant que tel, il est essentiel de «nettoyer» votre espace de travail de tout ce qui pourrait être potentiellement exploité – éteindre ou même supprimer complètement ces appareils de la zone de fonctionnement.

Bien que cela puisse sembler un peu paranoïaque, si des sommes importantes et critiques sont en jeu, c’est un aspect important de votre protection contre les attaquants.

La signature de transactions depuis n’importe quel espace public, comme un bureau, une bibliothèque ou un café, n’est généralement pas recommandée, mais vous n’avez parfois pas d’autre alternative. Si tel est le cas, plusieurs mesures peuvent être prises pour maximiser la sécurité.

Encore une fois, vous voudrez tenir compte de toutes les caméras de sécurité dans la zone. De nos jours, la vidéosurveillance, en particulier les caméras de résolution HD et 4K, peut facilement lire ce qui est affiché sur un écran d’ordinateur ou de téléphone portable dans le champ de vision.

Bien sûr – et j’espère que cela va sans dire – il ne devrait pas y avoir d’autres personnes à proximité directe. Il est préférable de trouver l’espace le plus isolé possible, une salle de travail vide, par exemple.

Mettre à jour tous les appareils concernés

Peut-être plus important encore, vous voudrez mettre à jour tous les logiciels et micrologiciels sur tous les appareils impliqués dans le processus de signature.

votre portefeuille matériel devra s’y connecter pour transmettre une transaction.

Théoriquement, les portefeuilles matériels sont conçus de sorte que peu importe si l’unité à laquelle ils se connectent est compromise. Tous les processus se déroulent sur le portefeuille lui-même ; Les PC ou les smartphones ne sont utilisés que pour diffuser la transaction.

Cependant, certaines formes de logiciels malveillants peuvent modifier divers aspects d’une transaction, notamment le montant et l’adresse du destinataire. Même l’adresse de changement – une adresse où le changement d’une transaction va après que le montant choisi a été envoyé au destinataire – peut être manipulée, un champ facile à négliger.

vous souhaiterez mettre à jour votre système d’exploitation avec le dernier correctif de sécurité. Le micrologiciel de votre portefeuille doit également être mis à jour réglementairement.

Bien qu’à moins que la mise à jour n’implique une menace de sécurité urgente spécifique, il est souvent préférable d’attendre quelques jours après une nouvelle version pour effectuer la mise à niveau. En effet, il est courant qu’il y ait des bogues présents dans les derniers correctifs, qui ont tendance à être résolus rapidement mais peuvent causer des maux de tête. Pour cette raison, donner un peu de place aux mises à jour non critiques pour les tester est une bonne idée.

Une dernière chose à retenir est de mettre à jour en permanence tous les logiciels et micrologiciels uniquement à partir de sources officielles, comme un site Web ou un référentiel.

Essayez d’apprendre à utiliser des outils comme GPG pour vérifier les signatures de fichiers par rapport à celles officiellement documentées pour confirmer que toutes les données correspondent à ce qui est censé s’y trouver.

Ne faites jamais confiance à aucun lien, même à ceux provenant d’un logiciel donné lui-même, car il existe bien trop de façons de les utiliser comme moyen d’attaque.

À titre d’exemple, le populaire portefeuille Bitcoin Électrum a subi une attaque en 2020 qui a permis à des acteurs malveillants de pousser un message à tous les utilisateurs via l’application elle-même, affirmant la nécessité d’une mise à jour avec un lien fourni.

Il s’est avéré que le lien était une attaque de phishing qui a installé une version corrompue d’Electrum sur la machine de la victime. Cela a donné aux attaquants le contrôle total des portefeuilles de ceux qui ont installé le logiciel malveillant, entraînant la perte de millions de dollars en fonds d’utilisateurs.

Procédures OPSEC facilement négligées

L’un des vecteurs d’attaque les plus évidents à traiter est l’erreur humaine. Même si vous pensez avoir une bonne sécurité, les humains ont tendance à développer un faux sentiment de sécurité lorsque tout va bien, ce qui conduit à des pratiques laxistes.

Les pires échecs se produisent lorsque vous baissez votre garde. Ne précipitez jamais un événement de signature ; assurez-vous d’avoir beaucoup de temps ininterrompu.

Se dépêcher ou être distrait sont d’excellents moyens d’oublier quelque chose comme revérifier vos données de transaction avant de confirmer une signature.

ces dernières ne doivent jamais être tenues pour acquises. Vérifiez deux fois et trois fois les montants et les adresses impliqués dans toute transaction, car cela pourrait vous éviter de commettre une erreur majeure.

Il y a des câbles USB apparemment inoffensifs qui circulent avec de minuscules puces à l’intérieur de la tête qui peuvent intercepter et injecter des données – détournant une transaction de crypto-monnaie et faisant des ravages.

Combiné à certains problèmes de compatibilité et d’usure de l’appareil, il est toujours préférable d’utiliser les câbles USB fournis avec n’importe quel appareil de signature externe.

Les bilans de santé peuvent fournir une confiance rapide dans vos clés

Enfin, il existe une technique offerte par certains appareils de signature qui peut être inestimable pour renforcer la sécurité. Connue sous le nom de « bilan de santé », cette technique offre un moyen simple de vérifier que vos clés sont disponibles pour signer des transactions.

Si vous deviez exécuter un bilan de santé sur un téléphone mobile, le contrôle confirmerait d’abord que votre clé est disponible localement et que l’appareil fonctionne correctement. Cela garantira également que la même clé valide est sauvegardée en toute sécurité sur le cloud.

Tout cela peut être automatisé d’un simple clic, et l’utilisateur sera alerté si quelque chose ne va pas.

Les mêmes étapes de base s’appliquent aux portefeuilles matériels, mais le périphérique externe devra être connecté à un ordinateur ou à un téléphone portable. Des contrôles de santé peuvent également être effectués pour plusieurs clés sur des portefeuilles multi-signatures.

Il est important de noter que si ces clés sont stockées sur différents appareils, la vérification de l’état doit être exécutée sur chaque unité concernée.

Alors que le monde de l’OPSEC est complexe et en constante évolution, sécuriser l’environnement, maintenir tous les appareils à jour et s’assurer qu’ils ont pris en compte les problèmes facilement ignorés sont des étapes essentielles pour garder une longueur d’avance sur les attaquants.

En combinant ces stratégies avec des contrôles de santé réguliers tous les six mois, les utilisateurs peuvent améliorer considérablement la sécurité qui protège leurs fonds de crypto-monnaie.

/h3>

Trezor émet un avertissement de sécurité

  • Ce portefeuille matériel populaire a été piraté par une entreprise de cybersécurité – Devriez-vous vous inquiéter ?
  • Les pirates informatiques et les fraudeurs ont volé 1,62 milliard de dollars au quatrième trimestre seulement
  • Web3 a perdu près de 4 milliards de dollars à cause des fraudeurs l’année dernière – Les choses s’amélioreront-elles en 2023
  • Crypto Scammer s’en tire avec 1,2 million de dollars en jetons ARB grâce à une attaque « d’empoisonnement d’adresse » – Voici ce qui s’est passé
  • Crypto Wallet Maker Ledger lève 109 millions de dollars lors du dernier cycle de financement – Le marché haussier est-il de retour ?
  • MetaMask présente plus d’options de paiement pour l’achat de crypto-monnaies – L’adoption de la crypto à la hausse ?
  • Apple approuve l’application de portefeuille iOS décentralisé Exchange Uniswap – Voici comment cela fonctionne
  • Comment choisir un portefeuille Bitcoin ?
  • 3 façons de configurer un portefeuille Ethereum

  • Ferez-vous une grosse erreur en achetant des cryptos avant mars 2023 ? C+Charge Prévente
  • UniSat Wallet subit plusieurs attaques à double dépense
  • 5 meilleures nouvelles crypto-monnaies à acheter maintenant : Août 2022 Semaine 1
  • Qu'est-ce qu'un portefeuille multisignature (MultiSig)  ?
    • Tags: , , , , ,
    Opinion : Binance poursuivi par la SEC, un jour inévitable mais inquiétant pour la crypto
    Il y a 1 heure
    Analyse des prix Tron (TRX)  : prise en charge de la tendance haussière clé Intact
    Il y a 1 heure
    BinaryX et AiGC Labs développent le premier jeu de réalité virtuelle alimenté par l'IA sur le métaverse
    Il y a 2 heures
    bitcoin
    Bitcoin (BTC) 25.137,58 4,39%
    ethereum
    Ethereum (ETH) 1.754,17 3,43%
    tether
    Tether (USDT) 0,933531 0,07%
    bnb
    BNB (BNB) 260,42 0,55%
    usd-coin
    USD Coin (USDC) 0,933580 0,01%
    xrp
    XRP (XRP) 0,494835 3,65%
    staked-ether
    Lido Staked Ether (STETH) 1.752,10 3,30%
    cardano
    Cardano (ADA) 0,323366 1,59%
    dogecoin
    Dogecoin (DOGE) 0,065090 4,36%
    solana
    Solana (SOL) 18,82 0,77%
    matic-network
    Polygon (MATIC) 0,753676 3,14%
    tron
    TRON (TRX) 0,073389 0,79%
    litecoin
    Litecoin (LTC) 84,36 2,98%
    polkadot
    Polkadot (DOT) 4,84 1,88%
    avalanche-2
    Avalanche (AVAX) 13,66 3,64%
    binance-usd
    Binance USD (BUSD) 0,933489 0,02%
    shiba-inu
    Shiba Inu (SHIB) 0,000007 0,78%
    dai
    Dai (DAI) 0,934514 0,02%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 25.149,71 4,19%
    uniswap
    Uniswap (UNI) 4,43 0,53%
    leo-token
    LEO Token (LEO) 3,28 0,03%
    chainlink
    Chainlink (LINK) 5,79 1,92%
    cosmos
    Cosmos Hub (ATOM) 9,39 0,50%
    okb
    OKB (OKB) 42,18 0,18%
    monero
    Monero (XMR) 136,75 2,65%
    ethereum-classic
    Ethereum Classic (ETC) 16,22 1,48%
    the-open-network
    Toncoin (TON) 1,55 0,38%
    stellar
    Stellar (XLM) 0,083287 0,79%
    bitcoin-cash
    Bitcoin Cash (BCH) 106,27 3,70%
    lido-dao
    Lido DAO (LDO) 2,20 8,15%
    true-usd
    TrueUSD (TUSD) 0,933540 0,02%
    internet-computer
    Internet Computer (ICP) 4,08 0,93%
    filecoin
    Filecoin (FIL) 4,05 2,36%
    quant-network
    Quant (QNT) 108,90 3,72%
    aptos
    Aptos (APT) 7,60 0,40%
    hedera-hashgraph
    Hedera (HBAR) 0,046322 1,65%
    crypto-com-chain
    Cronos (CRO) 0,055895 2,08%
    arbitrum
    Arbitrum (ARB) 1,10 3,63%
    near
    NEAR Protocol (NEAR) 1,41 0,65%
    vechain
    VeChain (VET) 0,017303 0,14%
    apecoin
    ApeCoin (APE) 2,81 1,99%
    the-graph
    The Graph (GRT) 0,109742 0,18%
    paxos-standard
    Pax Dollar (USDP) 0,933183 0,02%
    frax
    Frax (FRAX) 0,933580 0,14%
    eos
    EOS (EOS) 0,829095 4,68%
    algorand
    Algorand (ALGO) 0,126299 1,41%
    the-sandbox
    The Sandbox (SAND) 0,483972 1,53%
    optimism
    Optimism (OP) 1,37 5,34%
    rocket-pool
    Rocket Pool (RPL) 45,35 2,56%
    elrond-erd-2
    MultiversX (EGLD) 33,89 0,53%