J’expliquais dans un article paru en juin dernier que pour s’imposer à plus grande échelle, le Bitcoin devra gagner une bataille cruciale sur le terrain du paiement simplifié. Et devenir aussi pratique et séduisant que l’est Lydia pour les jeunes utilisateurs.
Lydia, c’est cette application pour smartphone lancée en 2013 et qui fait désormais partie du vocabulaire des 18-35 ans. Au sortir d’un week-end entre amis, le fameux « Je te fais un Lydia » a remplacé le chronophage « Passe-moi ton RIB et je te rembourse dans la semaine ».
Et si les crypto-monnaies sont encore trop difficiles à utiliser pour un profane, les plateformes d’échange redoublent d’efforts pour développer des applications pour smartphones ludiques et de plus en plus ergonomiques.
À l’ère du tout numérique en effet, impossible de résister à la tentation de gérer notre portefeuille et nos échanges de cryptos directement sur notre téléphone. Une tendance qui ira en se généralisant et comporte des risques dont il faut d’ores et déjà se prémunir. À défaut de les neutraliser.
Le mythe de l’imperméabilité
Quelle mouche piqua John McAfee lorsqu’il promit la somme de 250 000 $ à quiconque arriverait à passer outre les sécurités de BitFi, son nouveau portefeuille de crypto-monnaies prétendument « inviolable » ?
Bien décidées à lui faire payer cette arrogance, les meilleures équipes de pirates et de chercheurs de la planète se sont mises sur le coup.
Il suffit de six semaines pour qu’une première faille soit révélée, mais McAfee a considéré la tentative caduque au prétexte que les pirates ne sont pas parvenus à détourner les crypto-monnaies.
Finalement, la semaine dernière, une troupe de hackers y est arrivée en exploitant la RAM. BitFi avait pourtant laissé entendre que les clés privées du portefeuille restaient stockées dans la mémoire vive durant très peu de temps – mais cela s’est avéré suffisant pour les pirater.
Cette mésaventure, qui fut également une piqûre de rappel pour l’ensemble de l’industrie, obligea BitFi à retirer la mention « inviolable » de son site officiel.
Prendre du temps pour limiter les risques
Les meilleurs experts, parmi lesquels Yul Bahat qui était intervenu lors d’une conférence organisée par Blockchain Connectors et dont je vous avais parlé il y a quelques semaines, reconnaissent que le risque zéro n’existe pas.
Encore au mois d’août, l’investisseur Michael Terpin a perdu 24 millions de dollars de cryptos après que son téléphone AT&T a été piraté par deux fois. Puis il y a quelques jours, on apprenait qu’une clermontoise avait perdu ses 200 000 euros investis sur une plateforme d’échange de crypto-monnaies frauduleuse…
Pour le second cas, vous pouvez vous reporter à plusieurs de nos articles, dont celui-ci. Pour le premier, il était temps de faire un point complet sur les précautions à prendre pour limiter les risques sur votre smartphone.
Il n’y a pas de secret : plus vous y consacrez de temps, mieux vous êtes protégé.
1. Vérifiez qu’il s’agit d’une appli sérieuse et officielle
Lors des 6 derniers mois, il y a eu 10 000 cas avérés de faux portefeuilles sur le Google Play d’Android et 5 000 sur l’App Store d’iOS, comme nous le rappelait Yul Bahat.
Assurez-vous donc de télécharger la bonne application, celle qui correspond à l’une des plateformes que nous recommandons. Et surtout, évitez les noms d’applis que vous ne connaissez pas, avec la même précaution que pour les sites Internet. Pour apprendre à distinguer les bonnes plateformes des mauvaises, relisez cet article.
2. Ne laissez jamais votre téléphone sans surveillance
Cela peut vous sembler évident mais cela peut aller très vite. En le laissant sans surveillance à la terrasse d’un café, dans un lieu public, au bureau ou même chez vous lorsque vous recevez de la visite, vous ne vous exposez pas seulement au vol, mais également au risque que quelqu’un manipule votre téléphone puis le remette au même endroit.
3. Stockez vos cryptos hors ligne
Comme sur votre PC, en stockant une majorité de vos cryptos hors ligne, vous attirez moins les voleurs potentiels.
4. Mettez en place une authentification à double facteur
Utilisez un système tel que Yubikey ou Google Authenticator. (Les employés Google sont tenus d’utiliser des clés Yubikey. Selon Google, aucun vol d’identifiants n’a eu lieu depuis la mise en place des Yubikeys pour les employés.)
De manière générale, installez Google Authenticator sur tous les comptes qui le permettent. Assurez-vous de sauvegarder vos mots de passe à utilisation unique hors ligne, en sécurité. Si vous n’avez plus accès à votre téléphone, vous pourrez les utiliser pour vous connecter à vos comptes et réinstaller Google Authenticator sur votre nouveau portable.
5. Supprimez votre numéro de téléphone dans les solutions de récupération pour votre compte Gmail
Avant cela, toutefois, mettez en place une option de récupération externe comme Yubikey avec Google Authenticator. Yubikey est un appareil physique que vous pouvez utiliser pour vous connecter à de nombreux comptes – configurez deux appareils et conservez-en un comme solution de secours hors ligne, en toute sécurité, au cas où votre premier Yubikey serait endommagé. Modifiez fréquemment votre mot de passe.
6. Ne communiquez pas le nom de votre opérateur téléphonique
Par exemple, si vous postez des captures d’écran de votre portable sur les réseaux sociaux, recadrez-les de manière à ce que l’en-tête (qui peut parfois montrer votre opérateur) ne soit pas visible.
7. Si votre opérateur permet l’utilisation d’un code PIN supplémentaire…
Profitez-en.
8. Appelez votre opérateur et renseignez-vous sur le niveau de sécurité le plus élevé qu’il propose
Indiquez que vous traitez des informations sensibles et que vous souhaitez que votre compte ne soit pas transférable, sinon en personne et avec une pièce d’identité officielle.
9. Essayez de pirater votre propre compte
Appelez votre service clients sans donner les bonnes informations et voyez si vous pouvez convaincre votre interlocuteur. Si oui, un criminel pourra en faire autant.
10. Soyez attentif à tout e-mail inhabituel
Si on vous alerte qu’un nouvel appareil a accédé à votre compte, qu’un mot de passe a été changé ou si votre téléphone s’éteint brusquement, vous êtes peut-être attaqué. Agissez immédiatement.
Retrouvez tous ces conseils et bien plus encore dans notre service Altucher Crypto Trader. Pour en savoir plus…