Phrases de départ de Bitcoin : le défi de l'adoption généralisée de l'auto-garde

Il y a 2 ans Jonathan Christiani

L’un des thèmes sous-jacents de ce cycle a été de remettre en question les idées reçues sur la façon dont les gens utilisent le Bitcoin à travers le monde. De nouveaux comportements émergent et d’autres cultures utilisent cet actif d’une manière qui brise les modèles établis auparavant. Une tendance majeure émergeant de cet environnement chaotique est la résurgence des modèles de sécurité sans seed, qui adoptent une approche radicalement différente pour sécuriser les clés privées Bitcoin. Les partisans de cette tendance affirment que les pratiques de sécurité établies ne parviennent pas à répondre aux attentes d'un nombre croissant d'utilisateurs. Parallèlement à la maturation des alternatives de garde, l'émergence des produits ETF suscite des inquiétudes quant à la perspective que les futurs utilisateurs adoptent des solutions d'auto-garde plus complexes. Ce n’est pas la première fois que des spécialistes de la sécurité pointent du doigt les phrases clés lorsqu’ils sont interrogés sur les difficultés rencontrées par l’auto-conservation de Bitcoin pour franchir le gouffre. Jameson Lopp, un vétéran de l’industrie, débat depuis longtemps des défis du modèle de sécurité et reste franc sur ses pièges. Sa société, le fournisseur de portefeuilles multi-signatures Casa, a été créée, en partie, pour répondre aux problèmes créés par les méthodes de sauvegarde traditionnelles. Dans une conversation avec Bitcoin Magazine, l'actuel PDG de Casa, Nick Neuman, a fait écho aux inquiétudes de son collègue :« Nous devons réfléchir plus attentivement à la manière dont nous les utilisons en tant qu’industrie, car l’expérience utilisateur qui consiste à recevoir une phrase de départ la première fois que vous configurez un portefeuille est très difficile. »

Les dangers des phrases de semences

Malgré des progrès significatifs dans la qualité des produits et des applications Bitcoin, le paysage de l'auto-protection reste périlleux pour ceux dont le confort avec la technologie s'arrête à leur iPhone. Tous les deux jours, des récits font état de diverses attaques de phishing réussies ciblant les fonds des victimes en compromettant les phrases clés de leur portefeuille. Début janvier, le célèbre fournisseur de portefeuilles matériels Trezor a annoncé avoir des raisons de croire que des informations sensibles sur ses clients avaient été divulguées en raison d'une faille dans les systèmes d'un fournisseur de services tiers. Au cours des mois suivants, les utilisateurs de X ont signalé une nouvelle vague de tentatives de phishing dans leurs boîtes de réception. Un autre rappel de la fragilité des pratiques de sécurité de la personne moyenne est survenu en 2022 à la suite d'un exploit de sécurité qui a affecté le gestionnaire de mots de passe populaire LastPass. Après une série d'incidents curieux qui ont touché des utilisateurs de portefeuilles mobiles et matériels, les chercheurs ont finalement découvert que les phrases de départ stockées sur les serveurs du service avaient été compromises. Il y a quelques mois, les pertes ont été estimées à plus de 250 millions de dollars en diverses cryptomonnaies. Alors que les influenceurs Bitcoin les plus connus ont insisté sur l’adoption de systèmes de sécurité plus robustes impliquant des portefeuilles matériels, un grand nombre d’acteurs du marché n’ont pas encore adopté cette pratique. Shehzan Maredia, fondateur de la société de services financiers Bitcoin Lava, constate un fossé important entre les développeurs de produits de sécurité et une grande partie du marché Bitcoin. « J'ai réalisé que la plupart des gens commencent à remettre en question leur capacité à s'auto-protéger lorsqu'il s'agit de portefeuilles matériels et de phrases de départ. La moitié d'entre eux ne suivront pas bien les instructions et l'autre moitié préférera simplement utiliser des dépositaires », a-t-il fait remarquer. Les experts en sécurité sont catégoriques : les clés privées doivent rester hors ligne à tout moment, mais Maredia suggère que les enclaves sécurisées présentes dans les téléphones mobiles modernes sont suffisantes pour contrecarrer la majorité des attaques affectant les utilisateurs aujourd'hui. « Si l'on considère les causes courantes responsables de la perte de fonds des utilisateurs, il est rare de trouver des exemples de clés mobiles compromises. » Il soutient plutôt qu'il est plus probable que les utilisateurs fassent un mauvais travail de sécurisation de leur sauvegarde de phrase de départ ou la divulguent lors d'une attaque de phishing.

Défis et opportunités sans semences

Les produits Bitcoin ont connu de nombreuses améliorations depuis que Casa a lancé l'approche du portefeuille sans graines il y a des années, mais peu d'entre eux ont jusqu'à présent suivi les traces de l'entreprise. Bien que les applications d'auto-conservation soient plus robustes que jamais, certains changements ont introduit des étapes supplémentaires dans une courbe d'apprentissage déjà importante. Il convient de se demander si une attitude nihiliste à l'égard de la sécurité n'a pas catalogué cette pratique comme un rituel désagréable pour le citoyen moyen. Neuman reste optimiste. Il suggère qu'il y a eu un changement observable dans l'industrie vers des approches plus réalistes, même s'il pense que les produits Bitcoin sont à la traîne « Il y a encore pas mal de portefeuilles qui vous obligent à « Je pense que c'est une sorte de gestion des risques de leur côté, mais cela va en fait à l'encontre de l'objectif d'aider les utilisateurs à se sentir à l'aise avec leurs propres clés. »Quoi qu'il en soit, la tendance suggère que le reste de l'industrie commence à prendre conscience des risques que représentent les utilisateurs qui manipulent des informations sensibles. Les technologies récentes telles que les clés d'accès, mises en œuvre dans le nouveau « Smart Wallet » de Coinbase, offrent des alternatives intéressantes pour cette nouvelle génération de produits. Les clés d'accès sont une nouvelle norme promue par des géants de l'Internet comme Apple et Google, qui visent à remplacer les mots de passe traditionnels par des clés cryptographiques liées à l'appareil et à l'identité d'un utilisateur. Selon nos recherches, les témoignages des premiers utilisateurs indiquent que la technologie doit encore résoudre d'importants problèmes de normalisation. Maredia de Lava reconnaît qu'il y a encore matière à amélioration. Il a récemment lancé une solution sans seedless qui, selon lui, atteint les meilleurs compromis de sécurité que l'on puisse attendre des appareils mobiles.Le Lava Vault s'inspire fortement des anciennes contributions de l'ancien développeur de Spiral, Tankred Hase, appelées Photon SDK. Photon implémente une sauvegarde cloud sans seedless similaire à la première implémentation de Casa du portefeuille de clés mobiles, mais est entièrement open source bien qu'il n'ait pas été maintenu depuis un certain temps. Maredia est persuadé que la solution 2-of-2 qu'il a adaptée à partir de conceptions existantes dans l'écosystème peut résister à la plupart des attaques connues.« Nous avons étudié des solutions comme les clés d'accès, mais nous ne pensons pas qu'elles soient conçues pour sécuriser des éléments clés importants comme le Bitcoin. Elles remplacent en fait une information sensible par une autre et sont généralement stockées dans un gestionnaire de mots de passe. Dans la pratique, la plupart des gestionnaires de mots de passe ne les gèrent pas bien, ils peuvent être supprimés très facilement, même sur iCloud. » Lava sécurise les phrases clés des utilisateurs à l'aide d'une clé à haute entropie stockée sur un autre serveur. Une fois chiffrée, la clé est enregistrée dans un répertoire spécial sur le cloud de l'utilisateur, ce qui peut aider à empêcher toute suppression accidentelle ou tout accès malveillant. Les utilisateurs s'authentifient auprès d'un serveur de clés, qui applique une limitation de débit, à l'aide d'un code PIN à 4 chiffres de leur choix. Lava ne nécessite pas la création d'un compte, ce qui préserve la confidentialité des utilisateurs vis-à-vis du service et de ses serveurs. Pour les opérations quotidiennes, le portefeuille utilise une autre clé stockée sur l'enclave sécurisée de l'appareil. « Même si une personne accède à des informations chiffrées, il n'y a pas de point de défaillance unique, car elle doit connaître la clé de chiffrement. Les utilisateurs oublieux peuvent configurer une méthode de récupération du code PIN qui leur permet de modifier leur code PIN après un délai de 30 jours. »Maredia s'attend à ce que son protocole de sécurité évolue en fonction des besoins des utilisateurs et des différents profils de risque. Des politiques de portefeuille telles que la 2FA, les limites de retrait ou de dépenses et les adresses sur liste blanche sont déjà en cours de développement. « Lava Smart Key est une solution très flexible. Les utilisateurs peuvent facilement mettre à niveau leur configuration d'auto-conservation, et nous sommes ouverts à répondre aux besoins des utilisateurs qui ont des demandes spécifiques », explique-t-il. Bien que les sauvegardes sans graines aient été critiquées pour exposer les individus à des risques tiers indus, les implémentations open source comme le SDK Photon et le modèle de coffre-fort de Lava suggèrent que davantage de fournisseurs et de prestataires de services pourraient mettre en œuvre des normes similaires et atténuer ce problème. Les phrases de départ restent un élément important de la pile de sécurité, mais les deux entrepreneurs consultés pour cet article estiment qu'il est essentiel de les soustraire à la plupart des futurs utilisateurs. « Les phrases de départ en général, je pense, sont un outil très utile pour rendre vos clés plus portables entre les portefeuilles et vous donner cette option de sortie au cas où quelque chose arriverait au logiciel de portefeuille que vous utilisez », explique Nick Neuman, PDG de Casa. Pour éliminer les points de défaillance uniques, Casa promeut une combinaison de plans multi-sig impliquant des périphériques matériels, mais insiste pour s'en tenir à ses principes sans graines lorsque cela est possible.« Les logiciels de portefeuille sont conçus pour gérer les clés privées. Les humains ne sont pas faits pour gérer les clés privées. Nous devrions donc laisser cette tâche aux portefeuilles. »

Tags: , ,
You may have missed
SBI Holdings a-t-il réellement acquis pour 10 milliards de dollars de XRP ? Le PDG dévoile le montant exact.
Il y a 2 mois Jonathan Christiani
Les actions de Shopify (SHOP) chutent de 11 % malgré des bénéfices élevés. Est-ce le moment d'investir ?
Il y a 2 mois Jonathan Christiani
IA chez Kraken Compliance : automatiser les tâches courantes pour améliorer l'analyse critique
Il y a 2 mois Jérémie Levy
Scott Melker : un retournement soudain du Bitcoin pourrait surprendre les investisseurs
Il y a 2 mois Jonathan Christiani
« Portefeuille Bitcoin de l’ère Satoshi : 2 milliards de dollars en BTC achetés – Que sait-on ? »
Il y a 2 mois Jérémie Levy
bitcoin
Bitcoin (BTC) $ 78,346.00 2.59%
ethereum
Ethereum (ETH) $ 2,297.04 1.69%
tether
Tether (USDT) $ 0.999818 0.03%
xrp
XRP (XRP) $ 1.39 1.66%
bnb
BNB (BNB) $ 617.31 0.24%
usd-coin
USDC (USDC) $ 0.999822 0.02%
solana
Solana (SOL) $ 83.81 1.09%
tron
TRON (TRX) $ 0.32693 0.20%
figure-heloc
Figure Heloc (FIGR_HELOC) $ 1.04 1.33%
staked-ether
Lido Staked Ether (STETH) $ 2,265.05 3.46%
dogecoin
Dogecoin (DOGE) $ 0.109255 2.59%
whitebit
WhiteBIT Coin (WBT) $ 58.49 2.17%
usds
USDS (USDS) $ 0.999799 0.01%
hyperliquid
Hyperliquid (HYPE) $ 41.05 3.73%
leo-token
LEO Token (LEO) $ 10.32 0.07%
cardano
Cardano (ADA) $ 0.248845 0.84%
wrapped-steth
Wrapped stETH (WSTETH) $ 2,779.67 3.22%
bitcoin-cash
Bitcoin Cash (BCH) $ 451.13 2.32%
monero
Monero (XMR) $ 378.44 0.02%
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 76,243.00 3.12%
chainlink
Chainlink (LINK) $ 9.12 0.18%
binance-bridged-usdt-bnb-smart-chain
Binance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 0.998762 0.02%
zcash
Zcash (ZEC) $ 388.04 11.19%
wrapped-beacon-eth
Wrapped Beacon ETH (WBETH) $ 2,466.93 3.47%
canton-network
Canton (CC) $ 0.148522 1.55%
stellar
Stellar (XLM) $ 0.160392 0.78%
usd1-wlfi
USD1 (USD1) $ 0.999772 0.05%
wrapped-eeth
Wrapped eETH (WEETH) $ 2,465.31 3.39%
dai
Dai (DAI) $ 0.999851 0.02%
litecoin
Litecoin (LTC) $ 55.62 0.84%
susds
sUSDS (SUSDS) $ 1.08 0.16%
avalanche-2
Avalanche (AVAX) $ 9.12 0.36%
memecore
MemeCore (M) $ 3.03 5.31%
ethena-usde
Ethena USDe (USDE) $ 0.999134 0.01%
coinbase-wrapped-btc
Coinbase Wrapped BTC (CBBTC) $ 76,366.00 3.12%
hedera-hashgraph
Hedera (HBAR) $ 0.088419 1.04%
rain
Rain (RAIN) $ 0.007837 0.15%
shiba-inu
Shiba Inu (SHIB) $ 0.000006 1.15%
weth
WETH (WETH) $ 2,268.37 3.40%
sui
Sui (SUI) $ 0.923258 1.91%
the-open-network
Toncoin (TON) $ 1.33 0.23%
paypal-usd
PayPal USD (PYUSD) $ 0.999892 0.01%
usdt0
USDT0 (USDT0) $ 0.998824 0.03%
crypto-com-chain
Cronos (CRO) $ 0.068581 0.22%
hashnote-usyc
Circle USYC (USYC) $ 1.12 0.00%
tether-gold
Tether Gold (XAUT) $ 4,602.15 0.33%
bittensor
Bittensor (TAO) $ 272.13 9.46%
global-dollar
Global Dollar (USDG) $ 1.00 0.03%
blackrock-usd-institutional-digital-liquidity-fund
BlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00 0.00%
pax-gold
PAX Gold (PAXG) $ 4,603.15 0.36%