Le Cold Storage, pour garder ses bitcoins au frais

Partagez cette page

On profite de la canicule qui sévit en France pour vous proposer un billet explicatif sur le cold storage, qu’on pourrait approximativement traduire par « stockage à froid », de cryptomonnaies, et plus particulièrement de bitcoins.



 

Pourquoi le cold-storage ?

Sécuriser ses bitcoins (ou autres…) revient à sécuriser les clés privées des comptes, ou adresses, que l’on possède, car il est impossible de dépenser ses tokens sans ces clés.

De plus, il est couramment admis que les principales menaces pesant sur vos cryptomonnaies se trouvent en ligne, sur des équipements connectés susceptibles d’être compromis, sans même parler de sites internet qui pourrait être malveillants, etc.

Ce qu’on appelle le « cold storage » regroupe les différentes pratiques ayant pour but de stocker les données confidentielles liées à ses cryptomonnaies « au frais », c’est à dire hors ligne. Si on veut être plus précis, un cold storage vraiment rigoureux implique de ne jamais exposer ses clés privées à un équipement connecté.

L’intérêt de la chose est évident d’un point de vue sécuritaire, surtout si l’on dispose d’une quantité conséquente de cryptos. Cependant attention, le cold storage concerne des pratiques qui vont à l’encontre de la facilité d’utilisation. Des pratiques qu’il faut de plus bien maitriser car des erreurs ou des accidents peuvent avoir des conséquences dramatiques.

Autant vous le dire franchement, passer du temps à étudier le cold-storage rend paranoïaque, et les manipulations à effectuer ont tout d’usines à gaz bien compliquées (du moins au début). Mais le sujet se pose forcément pour toutes personnes suffisamment riches en cryptomonnaies. C’est du bon sens. De la même manière que l’on ne stocke pas des millions dans son salon, il peut arriver un moment (béni…) où l’on doit songer sérieusement à la sécurité de son patrimoine crypto.

Le tutoriel

Après quelques recherches, nous avons décidé de suivre et détailler le tutoriel vidéo suivant qu’on doit à Nicolas Anguelov, et qui est disponible initialement sur le site Bitconseil.

Au départ nous ne souhaitions pas forcément pousser les choses aussi loin, mais nous pensons que finalement, quitte à s’adonner au cold storage, autant le faire vraiment. Après tout, ne vous a-t-on pas prévenu que le sujet rendait parano ? Voici la vidéo :

Création d’un environnement logiciel « non persistant » et sécurisé

Dans le tutoriel et ce qui suit, il est question d’opérations à effectuer offline. Vous pourriez vous contenter de débrancher votre câble réseau ou de couper le wifi, mais le mieux est de travailler sur un ordinateur qui n’a jamais été connecté, et n’a donc jamais pu être infecté de vilains virus espions.

Devez-vous acheter un nouvel ordi ? Non, vous devez juste avoir une clé USB sur laquelle vous installerez un nouveau système d’exploitation ‘bootable ». Comme on n’y connait rien, on va faire confiance à l’auteur du tuto en installant, grâce au logiciel Linux Live, la dernière version de Linux Mint. Référez-vous à la vidéo pour les détails d’installation.

En « bootant » sur cette clé, c’est à dire en démarrant votre ordinateur sur le nouveau système d’exploitation qu’elle contient, plutôt que sur votre Windows habituel, vous serez dans un environnement logiciel qui ne laisse pas de trace et qui est protégé de manière étanche des programmes malveillants éventuellement présents dans votre environnement Windows.

Dès lors c’est très simple, chaque opération à réaliser « offline », car mettant en jeu votre clé privée, devra être réalisée sur votre ordinateur en mode « Linux Live » après avoir été déconnecté. En procédant ainsi, votre clé ne sera ni en ligne, ni en contact avec en environnement logiciel qui aura été en ligne et pourrait avoir été compromis.

La seule difficulté est que vous ayez du mal à faire démarrer votre machine depuis la clé. Il est possible alors que vous deviez aller faire un petit tour dans votre BIOS, afin de modifier l’ordre de vos « sources de démarrage » (c’est à dire, mettre la possibilité de démarrage à partir d’une clé avant le démarrage à partir du disque dur contenant votre système d’exploitation).

La création de compte « offline »

Maintenant que nous savons comment évoluer dans un environnement sécurisé sur notre ordinateur, nous allons y créer notre adresse bitcoin.

Dans ce but il existe des outils, notamment sous la forme de page internet que l’on peut sauvegarder et auxquelles on peut accéder hors ligne, par exemple la page BIP39 Mnemonic Code Converter (n’ayez pas peur…).

Sauvegardez-la sur une seconde clé USB, qui va servir à transvaser des données de votre environnement « menaçant » à votre environnement « sécurisé » (votre clé à tout faire de tous les jours quoi…). En même temps, téléchargez deux versions du wallet Electrum, une version Windows à installer sur votre ordinateur, et une version Linux à sauvegarder sur votre clé USB.

Maintenant, ouvrez la page BIP39 dans votre en mode Linux sécurisé. Bien qu’effrayante, cette page va nous permettre de créer notre adresse bitcoin.

Note par rapport à la vidéo :

– la page « ab1jx » servant à générer des mots de passe et utilisée dans le tuto n’existe plus, nous nous en passerons donc.

– plutôt que de fonctionner avec, en guise de « seed », une suite de 15 mots en français, on préfère utiliser 24 mots en anglais. Et ce pour des raisons, peut-être infondées, de compatibilité.

Il y a deux manière de générer son adresse :

La manière simple, en se contentant d’appuyer tout simplement sur le bouton « generate »

Ou la manière « avec une touche personnelle ». Celle-ci consiste à cocher « show entropy details » et à ajouter ce que vous voulez dans le champ « entropy » qui vient d’apparaître, du moment que ce que vous ajoutez est vraiment aléatoire.

Quelques précisions à partir d’une capture d’écran :

Creation adresse bitcoin offline - le seed

Cliquez pour voir l’image en grand

1– Voici le champ « entropy » dans lequel vous pouvez ajouter tout ce que vous voulez d’aléatoire afin de renforcer la sécurité de votre adresse bitcoin.

2– Lorsque vous cochez « show entropy details », ce menu déroulant se place sur l’option « Use Raw Entropy (…) ». Assurez-vous, lorsque vous en avez terminez avec vos modifications, de bien re-choisir le format voulu en terme de nombre de mots pour votre « seed ».

3– C’est ici que ce trouve votre « seed », une suite de mots « lisibles » qui contient en fait les clés de votre nouvelle adresse bitcoin.

Voilà, le tour est joué, vous avez généré de façon offline et sécurisée votre adresse bitcoin.

On insiste, toutes les informations relatives à ce compte, clés privées et publiques, sont incluses dans ce qu’on appelle le « seed » (la graine) qui est la suite de mots obtenue (15 mots en français dans la vidéo même si on conseille, pour des raison de standardisation, de prendre 24 mots en anglais). L’info confidentielle à protéger, c’est elle ! Notez-la ou sauvegardez-la méticuleusement,  gardez-la ensuite précieusement sur les supports que vous aurez choisis !

Comme dans la vidéo, procédez à une première vérification que votre compte a été correctement créé. Toujours dans votre environnement provisoire, extrayez puis ouvrez la version Linux du porte-feuille Electrum de votre clé. Vérifiez bien, après y avoir entré votre « seed », que cela vous donne bien l’adresse bitcoin publique indiquée à cet endroit sur la page BIP39 (adresse soulignée de gros pointillés rouges affreux).

Creation adresse bitcoin offline - l'adresse obtenue

 

L’utilisation de votre compte sécurisé

Maintenant, il va falloir apprendre comment effectuer des transactions de manière sûre. Et là, on se dit que forcément, si on souhaite dépenser les bitcoins de notre adresse sécurisée, on va forcément devoir exposer notre clé privée. Et bien non, car un wallet logiciel versatile comme Electrum vous permet d’opérer d’intéressants tours de passe-passe, en créant et manipulant des transactions « non-signées ».

À l’étape précédente, on a vu comment on pouvait accéder, dans notre mode offline sécurisé, à un porte feuille disposant de toutes les informations nécessaire. Il suffit à chaque fois d’extraire et de lancer notre Electrum version Linux en lui indiquant notre seed.

Ce que l’on va faire maintenant, c’est installer normalement la version Windows d’Electrum dans notre environnement connecté normal. Sauf qu’au moment de l’initialiser, on ne va pas lui indiquer notre seed (ce qui exposerait notre clé privée) mais juste le paramétrer avec notre adresse bitcoin publique. Ce porte feuille sera en mode « watch only » (« observateur »), c’est à dire qu’il pourra vous donner la balance de votre compte à chaque connexion, mais ne pourra de lui-même envoyer des transactions.

C’est là qu’intervient pour Electrum la possibilité de manipuler des transactions non signées.

La ruse consiste tout simplement, sur Electrum-Windows, à créer une transaction non signée et de la sauvegarder sur votre clé USB de transit. Puis ensuite de rebooter en mode provisoire-sécurisée, afin de l’importer, et de la signer dans votre Electrum-Linux. Enfin, de retour sous Windows, de l’importer à nouveau puis de la diffuser dans le réseau puisqu’elle est maintenant signée et en ordre.

D’accord, il faut le reconnaître, la manipulation est franchement chiante quand on est habitué à tout faire en deux clics. Néanmoins, si cette façon de faire assure de ne jamais exposer les données confidentielles de son compte bitcoin, ces quelques minutes de perdues ne sont peut-être pas perdues en vain.

Le stockage des données

Création de compte et transactions, nous connaissons la manière de faire de celui qui veut garder ses bitcoins en cold-storage, éloigné de tout appareil connecté. La dernière question qui se pose (à tout possesseur de cryptomonnaies et pas seulement aux adeptes du cold-storage) est de savoir où et comment conserver ces données confidentielles qu’on se donne tant de mal à protéger.

Comme le dit l’expression consacrée, avec le bitcoin et les cryptomonnaies en général « vous êtes votre propre banque ». C’est très bien par certains aspects, mais ici, pour ce qui est de la sécurité de nos fonds, on doit reconnaître que la banque est quand même bien pratique au quotidien.

Il faut bien comprendre qu’en crypto-monnaies, la garde et la responsabilité de vos fonds n’incombent qu’à vous-même. Ce qui signifie que si vous perdez vos données, ou bien qu’elles ont été abimées d’une manière ou d’une autre, ou volées, personne ne pourra vous aider et votre argent sera perdu. On insiste sur les deux dimensions du problème : il faut protéger vos données de la menace extérieure tout en vous assurant de leur parfaite préservation.

Il va donc falloir que vous trouviez la meilleure solution possible pour conserver en bon état et en sécurité le papier contenant votre seed, et/ou la clé USB contenant ces données, etc. Et là, vous n’en n’avez pas terminé avec la parano, surtout si vous possédez de grosses sommes. Car le papier et l’encre, cela peut s’altérer. Un sinistre domestique ou un cambriolage, cela peut arriver. Le matériel informatique, cela peut se dégrader et ne plus fonctionner… Et dans le monde du bitcoin, un accident est sans retour, il n’y a pas d’assurance.

Nous ne savons pas s’il existe de solution idéale, par contre il y a moyen de mitiger les risques. Il peut être ainsi sage d’avoir plusieurs lieux de stockages et de diviser ses fonds. Avoir une personne sûre dans la confidence, qui serve de « back-up », peut également s’avérer de bon aloi. Et là, on ne parle même pas du cas où il puisse vous arriver quelque chose, histoire que vos sous ne soient pas perdus. Après, qu’il s’agisse de bonnes cachettes ou de la salle des coffres d’une banque, c’est à vous de voir !

Et le hardware wallet alors ?

Sans rentrez dans les détails (voir notre précédent article) un hardware wallet est un appareil dont la fonction est précisément de ne jamais exposer les données confidentielles tout en proposant une grande facilité d’utilisation. Ces petits appareils semblent donc offrir les avantages du cold-storage tout en vous en épargnant les difficultés.

Ne sont-ils donc pas la solution de conservation idéale pour vos bitcoins ? Nous sommes très près de le penser.

Néanmoins, après avoir parcouru de nombreux fils de discussion dans de nombreux forums, nous avons noté une objection majeure de la part des purs et durs du cold storage « manuel » (et chiant), à savoir qu’ils n’ont pas confiance, ou ne veulent pas avoir confiance, dans ce système, et ce à deux niveaux.

Au niveaux technique d’abord, même si nous ne sommes pas au courant de cas connus à ce jour (et croyez nous, le jour où un hardware wallet sera piraté cela fera du bruit), ils pensent que tout appareil électronique est appelé à être cassé un jour ou l’autre.

A un niveau presque philosophique ensuite, il semble que beaucoup de gens un peu libertariens montrant une forte propension à l’indépendance et à la liberté rechignent à l’idée de dépendre de start-up informatiques pour garder leurs sous qu’ils ont déjà retirés des banques.

Bon… Rien là-dedans de nature à nous faire jeter à la poubelle nos Ledger Nano (tout mignons !) dans l’immédiat.

Disons qu’en fait, tous ces moyens sont probablement bons à différents niveaux. On peut se projeter quelques années en avant et imaginer qu’alors, chacun aura ses économies en cold storage « bien bourrin », du genre son seed gravé sur une plaque de titane inaltérable conservée à Fort Knox, son compte courant sur un hardware wallet, et sa monnaie quotidienne sur la première appli smartphone venue.

Avec le temps et les habitudes des utilisateurs, chaque moyen technique devrait trouver son meilleur usage.

Mais bon d’accord, il faudrait que le bitcoin commence déjà par remonter…

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *