L'objectif de ce guide d'apporter une base, avec des ressources, pour améliorer la sécurité vos wallets, pour Bitcoin mais cela peut s'appliquer j'imagine à vos shitcoins. Je vais rester un peu abstrait, si vous vouliez avoir du concret, regardez la vidéo tuto du premier lien dans la section 0.
La majorité du contenu sera sur la création d'un multi-signature wallet, et même si cela concernera une minorité élitiste, certaines choses pourront d'appliquer pour des single-signature wallet, et comme souvent avec la loi de Pareto, un minimum d'effort peu avoir un maximum d'effet.
Donc si vous pouvez prendre une ou deux choses de ce guide pour sécuriser votre wallet, lisez mon résumé en bas et faites le.

Si un modo peut épingler le topic pour aider à la sécurité des wallets de l'élite, cela serait apprécié.

• 0) Guides

Voici une liste de guides et ressources qui vous seront utiles :
- Guide video jade + sparrow : https://www.youtube.com/watch?v=XVKsaPCe260&feature=youtu.be)
- Guide Sparrow : https://www.athena-alpha.com/sparrow-wallet/?utm_source=stacker-news&utm_medium=social)
- https://www.jeuxvideo.com/forums/42-3011927-73363248-1-0-1-0-votre-seed-est-publique-pas-de-panique.htm
- https://unchained.com/blog/how-to-store-bitcoin-seed-phrase-backups/
- https://cryptolisty.com/hardware-wallets/best-crypto-metal-plates-for-recovery-seed-key-and-wallet-backups/
- https://bitcoin.org/fr/choisir-votre-porte-monnaie?step=5

• 1) Hardware Wallet

La base pour gérer votre wallet, c'est d'avoir un hardware wallet, vous ne pourrez pas contourner cela, parler sécurité sans cela n'est pas sérieux. Voici une liste non exhaustive de marque de hardware wallet qui vous serviront :
- Blockstream Jade : Open-source air-gap, peu cher
- Coldcard Mk4 : Le summum du hardware wallet, open-source air-gap, mais cher
- BitBox02 : Qualité Swiss mais un peu cher
- Passport fondation : full screen UX-friendly mais cher
- iCoin wallet : full screen UX-friendly mais cher
- Ledger : Nano X et S, pas trop cher, facile d'utilisation mais non-bitcoin-only
- Trezor : Ledger-bis mais en moins secure
- Desktop/Phone app : Vous pouvez utiliser ces solutions mais à moindre d'être un psychopathe de la sécurité je le déconseille

Note : Certains OG Wizard peuvent créer des seeds avec du papier ou des dés mais on est sur un niveau trop élevé même pour l'élite de la finance :
https://btcguide.github.io/setup-wallets/paper
https://github.com/BlockstreamResearch/codex32
https://www.swansontec.com/bitcoin-dice.html

• 2) Software wallet

Le software wallet, bien qu'ils puissent générer des wallets, ne sert ici que d'intermédiaire entre votre HW et la blockchain. La plupart des constructeurs de HW vont avoir leurs SW associés, voici une liste non exhaustive de logiciel qui vont maximiser la compatibilité, les fonctionnalités, la sécurité et qui seront open-source :
- Sparrow : très fonctionnel, facile d'utilisation, whirlpool, le meilleur SW que je connaisse.
- Electrum : très bon mais UX un peu daté et difficile d'usage.
- Bitcoin Core : le premier wallet, OG.
- Wasabi : Privacy focus, permet de faire du coinjoin.

• 3) Multi-Sig setup

Sans rentrer dans le détail, un multi-sig peut être composé de 2 signataires (M) à 20 (limité via OP_CHECKMULTISIG sur Bitcoin). Et le nombre de signataires nécessaires pour réaliser une transaction (N) peut être compris entre 2 et M.

Pour rester dans les cas simples, un multi-sig 2-2 agit comme un wallet avec une sorte de 2FA.

La où ça devient plus intéressant c'est avec un 2-3 et ce que je conseille d'utiliser.
Avec 2 clés nécessaires sur 3, vous pouvez en perdre une sans perdre le contrôle de votre wallet.
Et même si une entité arrive à capturer 2 de vos 3 clés, ils ne pourront pas accéder à votre wallet car pour y accéder il faut remplir l'une des deux conditions :
- Posséder chaque private key M du multi-sig wallet
- Posséder N private key + chaque public key
Donc en plus d'avoir une solution qui vous évite la perte de votre wallet, il évite aussi qu'une entité puisse vous le voler.

Précision importante, à partir d'une seed (12 mots), en rajoutant une passphrase, vous générez une nouvelle clé privée et donc un nouveau wallet différent de la seed seule.
Chaque variation de la passphrase donne accès un wallet différent.
Dans la mesure où utiliser une passphrases est simple d'utilisation et offre un bon gain de sécurité tel un 2FA, chaque wallet doit être issue d'une seed + passphrase.
Votre passphrase doit être généré idéalement aléatoirement, typiquement en prenant 6 mots de la liste BIP-39 (https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md) servant pour la seed. Votre passphrase doit être suffisamment forte (entropie), pas lié à vous, facilement mémorisable et difficilement trouvable.
https://www.bitplates.com/how-secure-is-your-passphrase

D'ailleurs niveau seed, 24 mots ce n'est pas plus sécurisé que 12 : https://foundationdevices.com/2023/06/make-12-words-the-standard/

Plus concrètement vous pouvez utiliser
- 2 HW avec chacun une clé privée différente + une clé privée backup.
- 1 HW et switcher entre les clés privées (mais cela implique dès les connaitre par cœur, vos backups ne doivent pas être facilement accessible)
- 1 HW avec une même seed mais avoir M passphrases

Une fois que vous avez vos HW, un ordi safe et un OS non vérolé, idéalement vous pouvez utiliser Tails sur une clé USB, vous pouvez installer Sparrow, vous connectez à votre propre nœud Bitcoin via Tor (opt-in Sparrow) et créer votre multi-sig qui sera remplie par les M public keys que vous aller générerez avec vos HW. Faite une transaction de test si cela vous rassure, pour la receptions et l'envoie, vous pouvez aussi sur Sparrow vous faire la main avec la manip en passant le logiciel sur le Testnet de Bitcoin, ça vous évitera les fees du test (un lien pour des faucets BTC testnet : https://bitcoinfaucet.uo1.net/send.php)

Pour ceux qui vont utiliser le Blockstream Jade en mode Air-Gap, ce que je recommande, un concept un peu déroutant au début c'est que pour déverrouiller (https://help.blockstream.com/hc/en-us/articles/10731523559193-Which-unlock-method-should-I-choose-to-access-QR-Mode-) votre virtual secure element (seed + code PIN), vous devez échanger des QR code avec une blind oracle (https://help.blockstream.com/hc/en-us/articles/9639949755673) sur QRPin (https://jadefw.blockstream.com/pinqr/qrpin.html) de Blockstream. Votre clé privée ne quitte évidemment pas votre HW, mais je vous invite à lire la doc ci-dessus. Et pour ce qui est de l'export de vos public keys pour les transmettre à sparrow, ça se fait dans les paramètres (regardez les guides vidéo)

Une fois que votre wallet Multi-sig est généré et fonctionnel, protégez votre wallet avec un password via Sparrow, cela va chiffrer votre wallet, rendant vos public keys plus sécurisés. Exportez le si vous utilisez Tails pour le sauvegarder ailleurs. Il peut être une bonne idée de dupliquer ce wallet sparrow pour ne pas risquer de perdre vos clés publiques si votre ordinateur est perdu/détruit.
Chiffré et stocké dans un Keepass (https://keepassxc.org/), c'est le seul moment où vous pourrez utiliser un cloud pour stocker quelque chose en rapport avec wallet. Mais même cela est évitable avec SyncThing (https://syncthing.net/).

Ensuite occupez vous de transitionner vos backups papiers vers des backups solides et durables, puis ensuite faite la migration de vos BTC, de votre actuel wallet vers votre nouveau Multi-Sig.

• 4) Backup physique

Vos backups doivent être durables, séparés, bien cachés, si possible difficiles à comprendre pour une personne extérieur. En pratique des plaques de métal caché feront bien l'affaire. Il va falloir trouver l'équilibre entre maximiser votre facilité de restoration de wallet et la difficulté qu'une entité puisse vous le voler.

Apprendre par cœur (https://fr.wikipedia.org/wiki/M%C3%A9thode_des_loci) vos seeds+passphrases est une sécurité supplémentaire qui n'est pas un luxe.
Vous pouvez laisser trainer des fake seeds backups pour leurrer d'éventuel voleur mais attention ne pas vous mélanger.
D'ailleurs garder en tête avant de faire des usines à gaz que votre wallet doit aussi pouvoir se faire restorer par un proche/famille en cas de votre décès.

Voici quelques idées pour que vous puissiez créer votre backup sur-mesure.
- https://en.wikipedia.org/wiki/Steganography
- https://fr.wikipedia.org/wiki/S%C3%A9miotique
- https://fr.wikipedia.org/wiki/Th%C3%A9orie_de_l%27information
- Dissimulation : Caché, enfouis, encastré, mélangé au milieu d'objets anodins, stocké en ligne
- Support : plaque de métal (https://seedplate.com/), vis avec rondelle DIY (https://www.econoalchemist.com/post/backup), jeu de cartes, livre, tableau, pelote de laine, sudoku
- Encodage : mots directement, XOR (https://seedxor.com/), SeedQR (https://store.blockstream.com/products/seedqr-template-pack), couleur (https://enteropositivo.github.io/bip39colors/#biptocolors), morse, chiffre, équation
N'oubliez pas que vos 12 mots ne servent chacun qu'à symboliser un chiffre (1~2048) pour générer votre private keys, vous pouvez stocker ce chiffre plutôt que des lettres comme pour Tinyseed (https://tinyseed.io/)

• 5) Résumé

- Utilisez un hardware wallet
- Vos clés privées doivent être issue d'une seed de 12 mots + passphrase 6 mots
- Utilisez un multi-sig si vous n'êtes ni pauvre ni simplet
- Vos seeds + passphrases ne doivent pas toucher l'internet, idéalement aucun appareil electronique hors votre HW
- Ayez des backups solides, durables et séparés
- Ne vendez pas vos BTC

Partagez ici si vous avez des guides/astuces en plus, des bonnes idées pour sécuriser nos pièces dans le cyberespace, ou des critiques.

Moi je pense juste que les HW sont useless, electrum suffit, c'est open source, le logiciel est là depuis 2011, suffit juste d'y accéder depuis un pc sécurisé, une vm par exemple

merci pour le pavé ... sachant que j'utilise Electrum depuis 2017, merci d'indiquer d'autres wallets, je vais me pencher sur Sparrow (dont j'apprends l'existence sur ce post).

et merci pour toutes les explications.

Le 05 décembre 2023 à 20:29:31 3Virgule141592 a écrit :
Moi je pense juste que les HW sont useless, electrum suffit, c'est open source, le logiciel est là depuis 2011, suffit juste d'y accéder depuis un pc sécurisé, une vm par exemple

Non le HW c'est un vrai plus pour la sécurité, j'ai donné une liste de HW au début, tous ne sont pas hors de prix, le Jade est vraiment abordable pour la sécurité apportée.

Le 05 décembre 2023 à 20:30:58 C-O-S-M-O-S a écrit :
merci pour le pavé ... sachant que j'utilise Electrum depuis 2017, merci d'indiquer d'autres wallets, je vais me pencher sur Sparrow (dont j'apprends l'existence sur ce post).

et merci pour toutes les explications.

Sparrow c'est god-tier

Par contre tinyseed c'est vraiment une super idée de trier les nombres dans l'ordre alphabétique, de convertir le nombre en binaire et d'associer son écriture binaire
je connaissais pas cette méthode

Merci pour le topoc

Je reste qvec mon single wallet + passphrase pour le moment, je réfléchirai à plus de sécurité quand je passerai les 6 chiffres

Le 05 décembre 2023 à 20:35:58 surlachainedeb a écrit :
Merci Qz

Le 05 décembre 2023 à 20:36:36 3Virgule141592 a écrit :
Par contre tinyseed c'est vraiment une super idée de trier les nombres dans l'ordre alphabétique, de convertir le nombre en binaire et d'associer son écriture binaire
je connaissais pas cette méthode

Oui j'ai trouvé l'idée très intéressante aussi, l'idée d'une matrice avec du binaire est un bon exemple de ce que l'on peut faire avec de l'encodage sans tomber dans des usines à gaz

Le 05 décembre 2023 à 20:41:08 Aliteration a écrit :
Merci pour le topoc

Je reste qvec mon single wallet + passphrase pour le moment, je réfléchirai à plus de sécurité quand je passerai les 6 chiffres

C'est déjà bien un single wallet + passphrases sur un HW, tu pourras effectivement améliorer cela plus tard.
Mais pense à avoir de bonnes backups et d'être au top pour ta sécurité

Rien compris, ou est ce qu'on all in ?

Merci pour ce très beau guide !!

Le 05 décembre 2023 à 21:12:18 Magalaxie7 a écrit :
Rien compris, ou est ce qu'on all in ?

BTC

Le 05 décembre 2023 à 20:52:51 A-la-Peche a écrit :

Le 05 décembre 2023 à 21:16:40 PriceAgnostic a écrit :
Merci pour ce très beau guide !!

Merci le modo pour l'épingle.
Si vous voulez d'autres bonnes ressources Bitcoin, mon topic sur cela peut vous être utile : https://www.jeuxvideo.com/forums/42-3011927-73056081-1-0-1-0-bitcoin-sites-et-liens-utiles.htm

Là en gros ça revient à utiliser le multi-sig pour se faire un backup façon Shamir. Autant utiliser Shamir directement si son hardware wallet le permet, c'est plus pratique.

Pour la passphrase je suis mitigé. Idéalement il faudrait la noter car ça peut arriver de l'oublier et du coup elle perd beaucoup de son intérêt
Autant dire que si tu décèdes personne ne pourra récupérer tes cryptos si tu mets tout ça en place, c'est là la limite du truc

OMG OMG OMG Je suis cité
Très bon topic les clés, je vous conseille a TOUS a partir de 2k € de vous intéresser très sérieusement a la sécurité de vos cryptosous

Le 05 décembre 2023 à 22:48:03 bellgrou a écrit :
Là en gros ça revient à utiliser le multi-sig pour se faire un backup façon Shamir. Autant utiliser Shamir directement si son hardware wallet le permet, c'est plus pratique.

Pour la passphrase je suis mitigé. Idéalement il faudrait la noter car ça peut arriver de l'oublier et du coup elle perd beaucoup de son intérêt
Autant dire que si tu décèdes personne ne pourra récupérer tes cryptos si tu mets tout ça en place, c'est là la limite du truc

C'est pour ça qu'il faut bien penser la chose, avec un 2-3 multi-sig tu peux donner une clé différente à deux membres de ta famille dans lesquels tu as vraiment confiance. Si tu game over de la vie, tes proches pourront toujours avoir accès à tes pièces encryptées.

Le 05 décembre 2023 à 22:49:34 DabMan-Return a écrit :
OMG OMG OMG Je suis cité
Très bon topic les clés, je vous conseille a TOUS a partir de 2k € de vous intéresser très sérieusement a la sécurité de vos cryptosous

Merci Dab

Je vais me pencher sur ça, merci pour le topic d'intérêt public khey.

Le 06 décembre 2023 à 09:13:15 Ridahdream a écrit :
Je vais me pencher sur ça, merci pour le topic d'intérêt public khey.

J'ai trainé pour le faire, à la base je voulais le poster avant le bullrun pour que les kheys puissent avoir leur multi sig safe avant les high fees. C'est raté mais vaut mieux tard que jamais