La Crypte aux monnaies

Ledger Nano S, vraiment sécure?

Répondre
Partager Rechercher
Hello,

Plutôt que laisser ses crypto sur un exchange je souhaite stocker ça sur disque dur/clé usb et pourquoi pas y mettre dans un coffre de banque?

J'ai lu que le Ledger Nano S est fait pour stocker offline même que en perdant la clé usb ou HS on peut la restaurer avec 25 mots choisis au départ :

Ok mais pour que ce soit possible ces 25 mots sont bien enregistré online quelque part? Ou alors comment expliquer qu'on restaure ses coins sur un matos neuf avec seulement 25 mots?
N'importe qui tapant ces 25 mots peut récupérer nos crypto? Soit en essayant au pif soit bruteforce ou autre?
D'ou mon doute sur sa sécurité.

N'est-ce pas mieux et plus sécure de simplement stocker ses coins sur un HDD crypté, et au cas ou dupliqué?

Je me posais un peu la même question, disons qu'il y a un équilibre à trouver entre la sécurité et le fait de quand même pouvoir retrouver ses données.
Le coup des HDD, si les trucs tombent en rade, t'es niqué, alors que le Ledger, tu peux en racheter un et le restorer avec la clé.

Mais au final, quitte à avoir une clé pour restaurer le truc, autant faire un wallet papier non ?
Que t'ai la clé de ton wallet sur un papier, ou que t'es la clé pour restaurer ton Ledger Nano S sur un papier, quelle est la différence ?
Je t'avoues que la notion du wallet papier m'échappe complètement.. si je comprend bien, on prend un exemple au pif le Ripple, c'est le site officiel qui te fourni une clé à conserver offline? Que seuls eux possèdent à part toi?
Et cette clé correspondrait à 500 Ripple, la totalité de tes Ripple?

Je n'arrive pas vraiment à voir comment ça fonctionne et comment ça peut être 100% sécure?
Citation :
Publié par Branless
Hello,

Plutôt que laisser ses crypto sur un exchange je souhaite stocker ça sur disque dur/clé usb et pourquoi pas y mettre dans un coffre de banque?

J'ai lu que le Ledger Nano S est fait pour stocker offline même que en perdant la clé usb ou HS on peut la restaurer avec 25 mots choisis au départ :

Ok mais pour que ce soit possible ces 25 mots sont bien enregistré online quelque part? Ou alors comment expliquer qu'on restaure ses coins sur un matos neuf avec seulement 25 mots?
N'importe qui tapant ces 25 mots peut récupérer nos crypto? Soit en essayant au pif soit bruteforce ou autre?
D'ou mon doute sur sa sécurité.

N'est-ce pas mieux et plus sécure de simplement stocker ses coins sur un HDD crypté, et au cas ou dupliqué?

Je pense qu'il faut repartir des bases :
- Tu ne peux pas stocker tes coins sur un HDD ;
- Tu as une clé privé (une série de chiffres et de lettres) qui te permet de les dépenser, c'est ça qu'il faut garder précieusement. N'importe qui "devinant"/obtenant ta clé privé peut utiliser tes coins ;
- La seed de 25 mots (ou 12 ? ou 24 ?) permet de régénérer la clé privé (à partir d'un calcul mathématique). Ils ne sont pas stockés en ligne, c'est à toi de les protéger (comme ta clé privée) et tu ne peux pas les choisir ;
- Il est normalement impossible de deviner à partir de rien ta clé privé ou son seed (c'est là-dessus que repose toute la sécurité des cryptos).

Il faut bien comprendre au préalable le principe clé publique/clé privé (ta dernière ligne me fait croire que ce n'est pas tout à fait clair dans ta tête).
Citation :
Publié par Doudou
Que t'ai la clé de ton wallet sur un papier, ou que t'es la clé pour restaurer ton Ledger Nano S sur un papier, quelle est la différence ?
Avec le ledger tu peux dépenser facilement (et de façon sécurisée) tes cryptos. Avec le wallet papier tu galères. Puis tu as deux sécurités pour accéder à tes coins (si ton papier brule, tu as toujours le ledger).
Citation :
Publié par Branless
Je t'avoues que la notion du wallet papier m'échappe complètement.. si je comprend bien, on prend un exemple au pif le Ripple, c'est le site officiel qui te fourni une clé à conserver offline? Que seuls eux possèdent à part toi?
Je n'arrive pas à voir comment ça fonctionne et comment ça peut être 100% sécure?
Ripple ne gère plus de wallet, ils se sont séparer de cette activité, mais via Gatehub, tu peux faire ça oui, mais ça reste un wallet en ligne ça, vu que tu peux te logguer dessus.
Tu as une clé à ne pas perdre si jamais tu veux qu'ils t'envoient un lien pour régénerer ton pass, même eux ne l'ont pas, si tu as mis le 2FA, ça me semble assez difficile à pirater.

Le wallet papier ou cold storage, si j'ai bien compris c'est pareil, tu dl un client qui te permet d'accéder à ton wallet et te file une clé privée correspondant à un mot de pass que t'as choisi. Tu notes la clé privée et le mot de passe sur des papiers et personne ne peut accéder au wallet sans ça.
Pour moi, c'est le même lvl de sécurité que le Ledger qui lui a surtout le mérite d'être plus pratique comme dit juste au dessus effectivement, vu que tu n'as pas à sortir ton bout de papier contenant ta clé privée, elle est dans le Ledger. Sur le papier, tu garde le numéro pour restaurer le Ledger si tu le perds, suffit de bien le planquer.

Alors que si tu dois sortir ta clé privé à chaque fois que tu vas sur ton wallet, tu es plus susceptible de la laisser trainer et donc t'es plus vulnérable.
Perso, j'imaginerais bien un truc comme dans Cobra, tu fais trois soeur triplettes et tu leur tatoue dans le dos une partie du flashcode te permettant de récupérer ta clé privée.

Dernière modification par Doudou ; 03/01/2018 à 19h02.
Effectivement ça n'était pas clair pour moi, merci des explications Garren.
J'ai pas une confiance folle dans les trucs propriétaires, pour mon cold storage j'ai juste crypté mon wallet.dat avec un logiciel de cryptage, renomé le fichier en un truc inocent et placé ça en differents endroits onlines et offline.
Pour la part hors cold storage, je laisse sur les echanges.
Ce qui serait pas mal, c'est surtout un wallet que tu peux verrouiller temporellement, genre impossible à ouvrir avant 2 mois. Parce qu'autant tu peux te protéger du piratage, autant les mecs qui disent avoir des millions sur des wallets sur leur chaine youtube, à leur place, j'aurais un peu peur de me faire embarquer par des Tchétchènes et me faire torturer jusqu'à ce que je dis où est la clé. Avec un wallet temporel, tu peux leur donner la clé, au moins ils ne pourront pas l'ouvrir de suite et donc ils te tueront.

Ou alors encore mieux, un wallet avec 2 clés privés, la vraie de ton coffre avec les millions d'€, et une autre vers un coffre avec 1 ETH et 100 XRP qui se battent en duel.
Citation :
Publié par Doudou
Alors que si tu dois sortir ta clé privé à chaque fois que tu vas sur ton wallet, tu es plus susceptible de la laisser trainer et donc t'es plus vulnérable.
Perso, j'imaginerais bien un truc comme dans Cobra, tu fais trois soeur triplettes et tu leur tatoue dans le dos une partie du flashcode te permettant de récupérer ta clé privée.
Y a aussi le fait que tu dois vérifier à chaque fois que l'interface que tu utilises n'est pas corrompu (ex: tu veux flasher le qr code de ton paper wallet, faut s'assurer qu'il y ait pas un feed de la cam... ça peut paraître de la parano mais avec les montants en crypto faut pas trop jouer avec le feu) alors que le ledger est censé être sécurisé même en l'utilisant sur un PC infecté.
Un dernier problème est la société qui fabrique les Ledgers: comment s'assurer qu'ils n'ont pas installé une backdoor à la demande des autorités, comme sur les HDD made in USA?
Je sais que la boîte est française et nous sommes en première ligne quand il s'agit d'intrusion dans la vie privée avec l'Angleterre et les Etats-Unis.

Bref je ne leur fait pas confiance.
Citation :
Publié par Ripple Commited
Un dernier problème est la société qui fabrique les Ledgers: comment s'assurer qu'ils n'ont pas installé une backdoor à la demande des autorités, comme sur les HDD made in USA?
Je sais que la boîte est française et nous sommes en première ligne quand il s'agit d'intrusion dans la vie privée avec l'Angleterre et les Etats-Unis.

Bref je ne leur fait pas confiance.
Je pense que t'es un poil trop parano pour le coup.
Citation :
Publié par Doudou
Je pense que t'es un poil trop parano pour le coup.
En quoi c'est parano ?
Il suffit qu'ils utilisent du hard non fabriqué par eux pour s'exposer à un tel problème.
Tu achètes du hardware ou des briques unitaires de software sur étagère de marque us ou chinoise pour assembler ton équipement électronique, c'est fini tu peux considèrer que quelqu'un y a mis une backdoor.

En gros, soit tu fais TOUT et c'est ok, soit tu es une entreprise "intégratrice" et c'est mort.

Édit: scénario un peu différent de la demande étatique à la société, j'en conviens.
Citation :
Publié par Ex-voto
En quoi c'est parano ?
Il suffit qu'ils utilisent du hard non fabriqué par eux pour s'exposer à un tel problème.
Tu achètes du hardware ou des briques unitaires de software sur étagère de marque us ou chinoise pour assembler ton équipement électronique, c'est fini tu peux considérer que quelqu'un y a mis une backdoor.
Oui, c'est possible, mais tout est possible, je pense que c'est quand même parano de le penser. C'est un avis personnel qui n'engage que moi après. Autant que des boites planques des trucs dans des routeurs et les vendent à des grosses boites, ça arrive et ça se tient.
Mais qu'ils aient pensé à truffer de backdoors les microcontrôleurs vendu à une petite boite française pour chopper le contenu des wallets, les chances sont plus réduites. T'as plus de chances de te faire pomper tes crypto avec un HDD vérolé, par phishing en allant sur un wallet en ligne piraté, le hack d'un exchange, un key-logger sur ton pc etc...
Au pire si tu n'as pas confiance, il existe des alternative, je viens de voir que Lumen propose son client open-source :
Citation :
The Stellar Desktop Client is an open source desktop client. It allows you to encrypt your secret key and store it as a file locally on your computer. Easily trust, send, and trade all within the client.

Key Features
  • Login information stored locally
  • Send and receive lumens
  • Add trust from known anchors
  • Create your own asset
  • Deposit/withdraw CNY
  • Buy/sell lumens
Par contre, je viens de lire ça et c'est carrément plus possible qu'un backdoor hardware : https://www.reddit.com/r/Ripple/comm...o_ledger_scam/

En gros, un mec a acheté un Ledger Nano S, bien conditionné et tout, avec la recovery card.
Sauf qu'en fait, la recovery card était un fake et que le ledger avait déjà été utilisé. Le vendeur a donc utilisé le vrai code de recovery et a pu accéder au contenu du Wallet du mec et tout transférer ailleurs. Il a perdu 34k€

Qu'est-ce qui dit qu'il ne peut pas y avoir une merde au niveau du conditionnement du truc ? :/
Faudrait tester le code de recovery avant d'y mettre vraiment ses thunes du coup.
En fait, la meilleure protection c'est encore de foutre ses cryptos dans plusieurs supports différents.

En tout cas, n'achetez jamais de Ledger Nano S ailleurs que sur le site officiel, je pense.

Edit : Apparemment, quand on reçoit un LNS, il n'y a pas de carte papier, faut générer le code soit même à l'initialisation du truc, ça me parait logique, quelqu'un confirme ?
En tout cas, y a vraiment des ptits futés niveau enculage.

Dernière modification par Doudou ; 07/01/2018 à 00h21.
Citation :
Publié par Doudou
Edit : Apparemment, quand on reçoit un LNS, il n'y a pas de carte papier, faut générer le code soit même à l'initialisation du truc, ça me parait logique, quelqu'un confirme ?
En tout cas, y a vraiment des ptits futés niveau enculage.
Dans le package tu as un papier cartonné avec 24 emplacements vides pour noter le seed de 24 mots qui va être affiché au premier allumage du LNS.

Dans le cas du mec, ça veut dire qu'une personne a de-seal le coffret, initialisé le LNS, retirer le papier cartonné pour mettre le sien avec le seed qu'il a obtenu, re-seal le coffret et expédier le colis.

Donc le problème vient de l'usine de conditionnement ou alors du revendeur.
Y aura toujours des gars assez malin pour ruser, là je dois dire que le mec a usé d'une technique simple mais efficace. Le plus probable c'est qu'un mec a acheté un lot de clé, puis les a revendu. Parce que ça semble quand même compliquer de faire ça depuis un entrepôt, ou depuis l'usine ou alors du revendeur officielle.
Pour moi autant le mec "scammé" que la majorité des gens qui commentent sur le Reddit ne comprennent absolument rien à comment ça marche. C'est assez hallucinant.
Le mec était pas futé aussi. Il a placé une somme qu'il ne peut pas se permettre de perdre dans un outil qu'il ne comprends pas.

C'est pour ça que les cryptos c'est dangereux pour Mme Michu :/

Il aurait été à la Maison du Bticoin ou équivalent, il se serait fait ponctionné de 15% de sa somme d'office, mais au moins il aurait compris la base et pas tout perdu...

... faut vraiment que j'ouvre une Maison du Ripple à Paris
Citation :
Publié par Ex-voto
Pour moi autant le mec "scammé" que la majorité des gens qui commentent sur le Reddit ne comprennent absolument rien à comment ça marche. C'est assez hallucinant.
Les mecs sur le reddit ont grosso merdo la même réaction que sur ce forum, "fallait pas y foutre toutes tes économies", "fallait pas acheter sur eBay", "fallait réinitialiser le truc" et d'autres compatissent, du coup, je ne vois pas trop pourquoi tu fais cette réponse, à part pour critiquer les mecs gratos alors qu'y a pas vraiment de raison.
Citation :
Publié par Doudou
Les mecs sur le reddit ont grosso merdo la même réaction que sur ce forum, "fallait pas y foutre toutes tes économies", "fallait pas acheter sur eBay", "fallait réinitialiser le truc" et d'autres compatissent, du coup, je ne vois pas trop pourquoi tu fais cette réponse, à part pour critiquer les mecs gratos alors qu'y a pas vraiment de raison.
Ne pas savoir si la recovery card doit être remplie ou vide à réception, c'est pas incroyable ?
Bha pas plus incroyable que de mémoire ce japonais qui s'est fait avoir 2 fois par le même arnaqueur en donnant son numéro de carte ou numéro de compte bancaire parce qu'il avait reçu un mail disant que son compte avait été hacké et que la banque avait besoin de ces infos.

Ou encore tout ces gens qui rappellent un numéro parce qu'ils ont un message sur leur répondeur disant qu'un colis était en attente et qu'il faut rappeler.

Je veux dire souvent les arnaques les plus simple restent les plus efficace.

Et mon avis si un mec s'est fait avoir, y en a forcément d'autres c'est obligé et d'ailleurs vu que maintenant on a en parlé, je prends les paris. On va voir des Ledger sur ebay "corrompu"
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés