Seeds et passphrases Ledger - Comment augmenter la sécurité de votre hardware wallet ?

Table des matières

Nous ne faisons pas la publicité des produits Ledger ici, mais ils sont devenus une sorte de norme. Les hardware wallats Ledger vous permettent non seulement de stocker des centaines de cryptomonnaies et de tokens différents, mais aussi d’augmenter la sécurité de vos actifs numériques par rapport à un software wallet.

Un hardware wallet, ou portefeuille matériel, est basé sur le concept que les clés privées sont uniquement stockées dans le wallet qui est séparé de tout autre appareil. Bien que vous deviez connecter votre hardware wallet à votre PC, ordinateur portable ou smartphone, c’est cette séparation physique qui offre un haut niveau de sécurité. Si vous voulez signer une transaction et l’approuver, vous ne pouvez le faire qu’en appuyant sur un bouton du hardware wallet.

Par conséquent, il n’est plus aussi facile d’être victime de phishing ou d’autres attaques qu’un pirate informatique peut exécuter à distance. Bien entendu, ce raisonnement ne tient que si vous conservez soigneusement votre seed et ne le saisissez sur aucun autre appareil que le Ledger.

Quel est le niveau de sécurité d’un Ledger ?

Les appareils Ledger sont équipés de puces très modernes et particulièrement sécurisées. La plupart des composants clés disposent d’une certification, qui témoigne de leur qualité en matière de sécurité. Cela inclut ce que l’on appelle « l’élément sécurisé », qui protège les données sensibles sur le wallet matériel et empêche ainsi un attaquant ayant accès à l’appareil d’en extraire facilement les données.

À l’intérieur de l’appareil, les tâches sont strictement séparées et chaque puce est conçue soit pour éviter complètement certaines attaques, soit pour pour faire en sorte que la manipulation du dispositif et la tentative d’y accéder prennent extrêmement de temps.

Il n’y a que très peu de vecteurs d’attaque qui promettent le moindre succès. Le piratage réussi d’un appareil Ledger ne peut pas être complètement exclu, mais il nécessiterait non seulement des connaissances très spécifiques, mais aussi l’équipement adéquat pour avoir la moindre chance d’essayer. Le dernier facteur entrant en jeu est le temps, car il en faudrait beaucoup. Un bref accès au Ledger ne suffirait donc pas pour réussir à infiltrer le dispositif.

L’essentiel est que ces appareils offrent une protection optimale contre les attaques à distance ou un environnement compromis par des virus ou d’autres logiciels malveillants. En supposant qu’un hacker dispose d’un accès physique illimité à l’appareil ainsi que de l’équipement, de l’expérience et des ressources nécessaires, il pourrait néanmoins y avoir un risque.

La seed du Ledger et la phrase secrète

Chaque seed créée par le hardware wallet Ledger répond à une norme de sécurité élevée. Celle-ci est assurée par l’utilisation du BIP39 pour créer une seed composée de 24 mots, qui sont sélectionnés de manière aléatoire dans une liste de 2048 mots. Une puce spécifique est responsable de la sélection aléatoire, garantissant ainsi de très faibles chances de reproduire la même combinaison.

Ces 24 mots permettent d’accéder à tous les wallets créés sur le Ledger comme Bitcoin et Ethereum par exemple. Veuillez noter que quiconque détient la seed de sauvegarde de 24 mots peut avoir un accès immédiat à tous les actifs numériques stockés dans le wallet. Alors que le Ledger est protégé par un code PIN qui supprime les données stockées après trois entrées incorrectes, la seed reste sans aucune autre protection.

Il est également possible d’ajouter une « passphrase » ou phrase de passe (également appelée 25e mot) à la seed, que vous pouvez choisir vous-même. Ainsi, vous pouvez créer un wallet caché avec son propre PIN. Par exemple :

• Alice crée un wallet pour elle-même sous le PIN 6532 et basé sur sa seed de 24 mots pour contenir 150 € de cryptomonnaies.
• Cependant, lorsqu’elle saisit le PIN 5698, elle déverrouille son wallet caché, qui est basé sur sa seed de 24 mots et un mot supplémentaire ou une phrase secrète de son choix. Elle stocke 150 000 € de cryptomonnaies dans ce deuxième wallet.

L’avantage d’Alice dans notre exemple est qu’elle peut nier de manière crédible avoir un deuxième wallet à tout moment. Un attaquant ne peut pas déterminer si elle a ajouté une phrase de passe optionnelle ou un 25e mot à la seed. Il existe même la possibilité de ne pas lier le wallet caché à un code PIN. Cela permettrait en principe de créer n’importe quel nombre de wallets supplémentaires, tous basés sur la seed originale et chacun déverrouillé avec son propre 25e mot.

Un autre avantage est la conservation de la seed. Après tout, un hacker ne pourrait qu’essayer de deviner la phrase de passe. Si vous créez une phrase secrète suffisamment complexe, il n’aura aucune chance de la deviner.

Ce que vous devez prendre en compte lors de la création d’une passphrase

Le terme « 25e mot » est couramment utilisé, mais celui de « passphrase » est plus précis et plus adapté. Lorsque vous choisissez cette phrase de passe, il est préférable de ne pas choisir un seul mot.

En revanche, une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux est recommandée, comme pour tout bon mot de passe. Le processus de saisie est certes maladroit, car un Ledger ne dispose pas d’un clavier, mais seulement de deux boutons. Cependant, le gain en sécurité est énorme.

Les erreurs suivantes doivent absolument être évitées :

• N’utilisez pas de mots courts et uniques pour la phrase secrète, surtout pas de la liste de mots BIP39.
• Ne donnez pas la phrase de passe à des inconnus.
• Ne la saisissez dans un appareil connecté à Internet. Si des sauvegardes numériques sont indispensables, veillez à les crypter.

Comment créer une passphrase

En principe, il existe deux façons de procéder. La première consiste à lier la phrase de passe à un code PIN :

• Sélectionnez « Attach to PIN » dans le menu Passphrase. Vous pouvez trouver cette option dans les paramètres de sécurité de votre Ledger.
• Confirmez que vous voulez lier la phrase de passe en appuyant sur les deux boutons
• Créez maintenant votre PIN secondaire
• Saisissez à nouveau le PIN et confirmez votre choix
• Saisissez votre phrase secrète
• Confirmez maintenant en entrant votre PIN principal (pas la phrase de passe)

Veuillez noter qu’une seule phrase de passe peut être liée au code PIN à tout moment. Elle y restera liée jusqu’à ce que vous l’écrasiez avec une nouvelle phrase secrète. La passphrase elle-même reste toujours valide en combinaison avec la seed, de sorte que votre wallet peut toujours être récupéré même si la passphrase a été écrasée, c’est-à-dire qu’elle n’est plus liée au PIN.

La deuxième option ne configure la phrase de passe que temporairement. Une fois que vous avez désactivé le Ledger, les wallets créés avec la passphrase ne sont pas automatiquement rechargés dans le Ledger. Vous devez alors entrer à nouveau la phrase de passe chaque fois que vous souhaitez accéder au wallet caché :

• Sélectionnez « Set temporary » dans le menu Passphrase, qui se trouve dans les paramètres de sécurité.
• Confirmez l’action « Set secret passphrase » en appuyant sur les deux boutons
• Saisissez votre phrase de passe
• Confirmez la configuration avec votre code PIN principal

À la fin de la procédure, vous serez connecté à votre wallet secret créé avec la phrase de passe. Dès que vous éteindrez ou déconnecterez le Ledger, la passphrase sera supprimée et vous devrez vous reconnecter au compte principal avec votre PIN. Pour retrouver l’accès à un wallet créé avec une phrase de passe temporaire, vous devez répéter la procédure à chaque fois.

Autres guides de récupération de portefeuille

• Vous avez perdu votre recovery seed Trezor ? Comment récupérer votre Trezor Wallet
• Passphrase optionnelle de Trezor : Qu’est-ce que c’est, et que faire si vous la perdez ?
• Infos clés sur KeepKey : Comment configurer et restaurer un wallet KeepKey
• Jaxx Liberty à la retraite : Comment récupérer les cryptomonnaies de votre wallet Jaxx Liberty