- >News
- >Demandez à CV : Que se passe-t-il lorsque les clés privées sont exposées ? Spoiler : C’est mauvais
Demandez à CV : Que se passe-t-il lorsque les clés privées sont exposées ? Spoiler : C’est mauvais
Si le monde des cryptos est tout nouveau pour vous, vous avez probablement rencontré deux expressions qui sont parfois utilisées comme synonymes : clés privées et phrase de récupération. Un utilisateur de cryptomonnaies expérimenté connaît l’importance de ces deux éléments, car ils sont assimilables aux données de votre carte de crédit. Cependant, les nouveaux utilisateurs, ou ceux qui sont moins familiers avec le monde de la blockchain et des cryptomonnaies, risquent de ne pas mesurer l’importance de ces deux composants de leur portefeuille.
Du fait de ce manque de compréhension, ces personnes deviennent des cibles de choix pour les escrocs, surtout lorsqu’un nouvel utilisateur poste une question ou un problème sur un forum ou un canal Discord. Cela nous amène à la discussion de ce guide : que se passerait-il si vous décidiez de mettre en ligne vos clés privées ou votre phrase de récupération ?
Que font les clés privées ?
En termes simples, les clés privées sont comparables à votre signature ou à votre code PIN. Elles sont nécessaires lorsque vous souhaitez réaliser une transaction à partir de votre portefeuille de cryptomonnaies. Sans vos clés privées, vous ne pouvez pas envoyer vos cryptomonnaies, interagir avec une application décentralisée comme une bourse décentralisée ou une place de marché de NFT, ou interagir avec un contrat intelligent.
Dans la blockchain, n’importe qui peut envoyer des fonds à n’importe quelle adresse publique et visualiser les soldes de n’importe quelle adresse. C’est la transparence d’un grand registre numérique, accessible au public. Si tout le monde peut visualiser les soldes de toutes les adresses publiques, seule la personne qui détient les clés privées de cette adresse peut déplacer le solde. Notez que l’aspect du solde visible par le public ne s’applique pas aux monnaies privées telles que Monero (XMR), où tous les soldes sont dissimulés aux autres.
En réalité, vous ne verrez probablement jamais votre clé privée, et il est difficile de la trouver délibérément. Au lieu de cela, vous créez un mot de passe pour votre portefeuille et celui-ci utilise automatiquement la clé privée en arrière-plan lorsque vous saisissez votre mot de passe pour signer une transaction.
Et ma phrase de récupération ?
Votre phrase de récupération est une suite de 12 ou 24 mots qui vous est donnée lorsque vous créez un nouveau portefeuille de cryptomonnaies. Elle permet de récupérer votre portefeuille si vous en perdez l’accès, ou de générer le même portefeuille dans une nouvelle application. Vous devez connaître ces mots dans le bon ordre pour « récupérer » votre portefeuille.
Par exemple, si vous créez un portefeuille Cardano avec Daedalus, vous recevrez une phrase de récupération. Si vous décidez par la suite que Daedalus ne vous convient pas, vous pouvez alors récupérer le portefeuille dans un autre logiciel, comme l’extension de navigateur Eternl. Lorsque vous saisissez dans Eternl la phrase de récupération qui vous a été donnée par Daedalus, le même portefeuille, y compris toutes vos transactions et vos soldes, sera alors accessible sur Eternl.
À noter qu’il ne s’agit pas de créer un nouveau portefeuille dans Eternl ou de détruire le portefeuille dans Daedalus. Vous créez simplement un accès au même portefeuille par un autre intermédiaire. La seule différence étant votre mot de passe, bien que vous puissiez utiliser le même pour les deux intermédiaires si vous le choisissez. C’est un peu comme avoir un double des clés de la maison, d’une couleur différente. Les deux clés ouvrent la porte de la maison, vous devez seulement choisir laquelle vous voulez utiliser.
Pourquoi vouloir publier (moi-même ou quelqu’un d’autre) mes clés privées en premier lieu ?
En réalité, il est peu probable que vous décidiez spontanément de publier vos clés privées ou votre phrase de récupération sur un forum. À vrai dire, il est même plutôt difficile de trouver vos clés privées (les phrases de récupération sont bien plus accessibles). En général, c’est par le biais d’une escroquerie par hameçonnage (phishing) ou d’une arnaque impliquant une fausse figure d’autorité que cela se produit. Si un novice en matière de cryptomonnaies ignore tout cela, il risque davantage d’être victime de l’une de ces deux arnaques.
Une arnaque par hameçonnage (phishing) peut se produire de plusieurs manières, mais l’une des plus fréquentes est l’envoi massif d’un e-mail à un grand nombre de personnes. Il peut s’agir d’un e-mail indiquant que votre portefeuille MetaMask (ou un autre portefeuille autonome) doit être vérifié. Lorsque vous cliquez sur les liens qu’il contient afin de lancer la vérification, il vous sera demandé de fournir votre phrase de récupération.
Ce que les nouveaux utilisateurs ne réalisent pas, c’est que l’e-mail qu’ils ont reçu a été envoyé à des milliers d’utilisateurs, qu’ils aient un compte MetaMask ou non. Les escrocs lancent simplement leur ligne et attendent que les victimes mordent à l’hameçon. Aucune équipe de portefeuille n’aura besoin de votre phrase de récupération ou de vérifier votre compte, car cela irait à l’encontre de l’objectif d’un service décentralisé.
Les arnaques impliquant de fausses figures d’autorité risquent davantage de se produire sur un forum ou sur un site comme Discord. Un utilisateur pose une question, explique que quelque chose ne fonctionne pas, se renseigne sur une date de sortie, etc. Un escroc enverra alors un message à la personne (en supposant qu’elle autorise les messages de tous les utilisateurs, ce qui est le paramètre par défaut) en se faisant passer pour une figure d’autorité. Il demandera des clés privées ou une phrase de récupération afin « d’aider » l’utilisateur qui a posé la question. Ils peuvent aussi envoyer un lien vers un faux site qui ressemble au vrai et sur lequel vous saisissez vos informations qu’ils peuvent voir car il ne s’agit pas d’une page sécurisée.
Que se passe-t-il donc si je dévoile ma phrase de récupération ou mes clés privées ?
Pour faire court, vous risquez de perdre tous vos actifs. En postant vos clés privées ou votre phrase de récupération, ou en les donnant à un tiers, vous leur donnez votre portefeuille. Ils peuvent alors récupérer votre portefeuille et transférer vos fonds ou vos NFT vers leur compte. Il vous serait impossible d’annuler ces transactions et vous n’auriez probablement aucun recours juridique à votre disposition. C’est comme si vous leur donniez votre carte de crédit, votre code de sécurité, votre adresse de facturation et la date d’expiration de votre carte, mais sous forme de cryptomonnaie.
S’il y a une chose à retenir de ce guide, c’est que vous ne devez jamais donner vos clés privées ou votre phrase de récupération à qui que ce soit, ni les poster, quelle que soit la raison. Vous leur donneriez votre argent.