Dans le monde des cryptomonnaies, la sécurité est un sujet central pour les utilisateurs. L’un des éléments cruciaux à cet égard est la phrase-clé, ou « seed phrase », qui permet de protéger et restaurer ses actifs numériques. Récemment, certaines entreprises comme le français Ledger ont proposé des services controversés autour de la sauvegarde de ces phrases-clés, soulevant des questions sur leur pertinence et les risques associés.
Qu’est-ce qu’une seed phrase ?
Une seed phrase est une combinaison de mots généralement composée de 12 à 24 mots qui permettent d’accéder et de récupérer un portefeuille de cryptomonnaie. Cette phrase est générée lors de la création d’un nouveau portefeuille et doit être conservée en lieu sûr par son propriétaire. Toute personne ayant connaissance de cette phrase-clé peut potentiellement accéder aux fonds du portefeuille. Les caractéristiques d’une seed phrase sont les suivantes :
- Génération aléatoire : les mots sont choisis parmi une liste préétablie selon un processus aléatoire.
- Ordre important : l’ordre des mots dans la seed phrase est crucial pour garantir sa fonction de restauration.
- Redondance minimale : chaque mot n’apparaît généralement qu’une seule fois dans la phrase.
- Standardisation : la plupart des portefeuilles utilisent le standard BIP39 pour générer et gérer les seed phrases.
D’où viennent les inquiétudes concernant la sécurité des seed phrases ?
La sécurité des seed phrases repose sur le principe que seul le propriétaire du portefeuille doit en avoir connaissance. Cependant, certains services proposent de sauvegarder ces phrases-clés auprès de tiers pour faciliter leur récupération en cas de perte. Cette approche soulève plusieurs problèmes :
- Confidentialité compromise : confier sa phrase-clé à un tiers augmente le risque d’accès non autorisé à son portefeuille.
- Fiabilité des prestataires : les utilisateurs doivent faire confiance à la robustesse des mesures de sécurité mises en place par le prestataire pour protéger leurs données.
- Risque de piratage : un service centralisant les phrases-clés de nombreux utilisateurs peut constituer une cible privilégiée pour les cybercriminels.
Le cas Ledger : polémique autour du service de récupération des seed phrases
Ledger, spécialiste des portefeuilles matériels (hardware wallets), a récemment mis à jour son firmware, intégrant un service de récupération des seed phrases reposant sur l’identification des utilisateurs via leur passeport ou carte nationale d’identité. Ce service payant suscite une vive controverse, notamment en raison de ses implications en termes de confidentialité et de sécurité.
Comment fonctionne ce service ?
Pour utiliser le service Ledger Recover, les utilisateurs doivent fournir une pièce d’identité et payer un abonnement mensuel de 9,99$. La seed phrase est alors découpée en fragments chiffrés confiés à trois prestataires différents (Ledger, Coincover et un troisième non précisé). Il s’agit donc d’une approche de multipartisme, censée assurer la sécurité des données par leur dispersion entre plusieurs acteurs.
Quels sont les points de critique ?
Plusieurs aspects du service Ledger Recover ont été critiqués par la communauté crypto :
- Atteinte à la confidentialité : le fait de lier sa phrase-clé à son identité officielle constitue une rupture dans la protection de l’anonymat des transactions.
- Dépendance aux prestataires : la confiance accordée aux trois prestataires pour la sauvegarde des fragments de seed phrase peut être mise en cause, notamment au regard des antécédents de Ledger en matière de fuite de données.
- Contre-sens : l’utilisation d’un portefeuille matériel vise justement à sécuriser ses cryptomonnaies en gardant le contrôle total de ses clés privées. Confier celles-ci à des tiers va à l’encontre de cette philosophie.
Les alternatives pour protéger sa seed phrase
Face aux risques liés à la confiance en des services tiers, il est recommandé de prendre des mesures personnelles pour sécuriser sa phrase-clé :
- La noter sur un support physique (papier, métal) et la conserver en lieu sûr.
- Utiliser des solutions de stockage hors ligne, comme des portefeuilles matériels ou des supports cryptés.
- Mettre en place un système de sauvegarde multisig, où plusieurs clés sont requises pour autoriser une transaction.
La gestion de sa seed phrase est un enjeu majeur dans la sécurisation de ses actifs numériques. Les utilisateurs doivent rester vigilants face aux services proposant de centraliser cette information sensible et privilégier des solutions décentralisées et autosouveraines pour garantir leur protection.