Je vous fait part d’une situation perso et demande votre avis sur le risque.
J’ai mon Ledger wallet et sa seedphrase, (dont d ailleurs je projette de couper le mot de passe en deux dan plusieurs lieux pour plus de sécurite) avec le plus gros de ma crypto qui ne bouge pas.
Ne connaissant pas trop les hot wallet a la base, il y a un ou deux ans je me suis mis au wallet Phantom pour la blochain Solana principalement, et eth. Et en me connectant j ai chargé ma seedphrase du wallet. le meme wallet qui contien BTC, sol, eth etc, est don partagé autant par le wallet ledger physique que le phantom sur mon telephone.
J’ai commencé a regretter par la suite avec le recul, quels sont les risques ?
Phantom est il vraiment risqué ? me conseillez vous de bouger mes crypto et réinitialiser ma seedphrase du ledger ? pour un nouveau wallet, qui ne soit pas en rapport avec le phantom, ou est-ce inutile ?
Pour pousser ls question sécurité crypto, je trouve Binance pas assez sécurisé car il peut valider les transaction et connexion uniquement avec l’authentification Iphone sans formcement demander le 2FA google, mais j ai quand même des fons dessus pour leur staking interessant comme le USDC.
Que pensez-vous de l’achat d’une Yubikey ou autre pour la connexion binance ?
Le principe d’un portefeuille matériel et de générer et stocker une clé privée hors ligne, et d’afficher son back-up (seed phrase) totalement hors ligne également. L’objectif est de protéger ces informations de malwares, de vulnérabilités dans les hot wallets, ou d’attaques en ligne.
En saisissant ta seed phrase existante Ledger dans un wallet Phantom, tu vas donc à l’encontre du principe de sécurité initial pour lequel tu as un Ledger. Et tu as un wallet Phantom qui peut faire des transactions sans nécessiter de signer avec un Ledger.
Dans ce contexte, il serait plus sûr de :
bouger les fonds attachés à cette seed phrase vers un autre wallet qui ne sera pas contrôlé par un Ledger
réinitialiser ton Ledger de sorte à créé une nouvelle seed phrase
créer ensuite un wallet phantom à partir de ton Ledger directement (sans saisir la seed phrase),
puis transférer de nouveau les fonds vers tes nouvelles adresses
Concernant le split de la seed phrase en 2 morceaux, je déconseille un peu en fonction de ton expérience. Si tu perds une des deux parties tu risques de perdre l’accès à tes crypto si tu as un problème avec ton Ledger.
Je recommande plutôt de très bien caché ta seed phrase actuelle dans un endroit secret et protégé. Et eventuellement d’en fait une copie que tu caches également dans un endroit différent, pour de la redondance si tu n’as plus accès au premier endroit.
Concernant Binance, il me semble que tu peux toujours utiliser Google authenticator pour tes transactions → settings → compte → sécurité → Authentification à deux facteurs (A2F) → applis d’authentification → gérer
Pour bouger tes fonds tu peux faire plus simple. Juste réinitialiser ta ledger pour créer une nouvelle seedphrase, et tout transférer sur ce nouveau wallet
Pour les risques globalement si t’as un virus sur ton ordinateur il peut voler tes fonds de phantom et ailleurs, mais pas ceux de la ledger. C’est le seul intérêt. Après si phantom est que sur téléphone à priori c’est ok mais il y a quand même des malwares qui visent les téléphones donc autant être prudent. Je te recommanderais, de manière non urgente, de réinitialiser ton ledger et de transférer les fonds que tu veux pas toucher dessus et tu peux laisser une partie sur phantom sans problème. Et ne stock pas ta seedphrase en capture d’écran sur ton tel dans tes photos!
Merci a tous les deux pour ces réponses précises, cela confirme ce que je pensais et je vais donc bouger tout cela au plus vite.
J aimerais savoir comment créer un wallet phantom à partir de mon ledger sans entrer de seedphrase ? Je ne savais pas que cette option existait.
Le soucis d’avoir ma seedphrase entiere au même endroit, même en double, c’est qui si quelqu’un tombe dessus je suis foutu, ca ne me semble pas assez protégé.
J’ai evidemment le 2FA et mail et verouillage code apple sur binance, tout est activé, au maximum possible. Mais dans la pratique, lorsque je bouge des crypto il me demande une simple confirmation sur telephone et pas le 2FA google, mail , sms etc. J’ai fouillé sur Binance et je n’arrive pas a faire mieux, la 2FA est bien activée. peut être qu en desactivant « clé d’accès » ca fonctionneras mieux.
Bonjour, je me creuse la tête pour choisir un cold wallet et j’ai bien lu les différents posts sur Finary.
La seedphrase est-elle générée par le wallet (Ledger ou Tangem en l’occurrence) ou bien peut-on (doit-on) la choisir nous-mêmes ?
Cela rendrait la « cachette » beaucoup plus simple puisqu’il suffirait de prendre une phrase dans un bouquin dont on serait le seul à connaitre le titre, le chapître, le paragraphe, voire l’édition.
Cette liste de mots (12 ou 24 en général), généralement générée lors de la configuration d’un nouveau portefeuille, est votre clé « passe-partout », regroupant toutes vos clés privées.
Vous n’êtes pas obligée d’en avoir une (cf. Tangem par exemple).
Sauf que vous n’avez pas correctement lu l’article que vous citez : ce n’est pas la seed phrase qui a fuité, mais la clé privée, dans certains cas précis (en tout cas d’après ce que le sait en lisant cette communication officielle de Tangem).
Et non. C’est mieux de se renseigner avant d’essayer de corriger quelqu’un, en affirmant quelque chose de faux, surtout que j’explique déjà clairement 2 messages plus haut que seed phrase ≠ clé privée.
"Votre seed phrase contrôle plusieurs comptes, chaque clé privée n’en contrôle qu’un seul.
Chaque compte crypto de votre wallet est contrôlé par une clé privée distincte. C’est grâce à cette clé privée que vous pouvez signer des opérations, en vérifiant que vous en acceptez tous les détails. Chaque opération que vous signez est exécutée sur un compte spécifique, qui signe avec sa clé privée correspondante. Ainsi, si vous approuvez des contrats intelligents, ils ne pourront accéder qu’à vos actifs sur ce compte. Par extension, cela signifie également que si un pirate met la main sur cette clé privée, il pourra uniquement déplacer les actifs de ce compte spécifique.
Contrairement à vos clés privées, la seed phrase ne permet pas de signer directement des transactions. Cependant, toute personne qui met la main sur votre seed phrase a un accès instantané à toutes les clés privées (et donc à tous les comptes) de votre wallet crypto. Si elle tombe entre de mauvaises mains, vos cryptos courent un risque bien plus grand que la simple exposition d’une clé privée. Il est donc crucial d’apprendre à stocker votre seed phrase en toute sécurité."
Fais des recherches en cryptographie et j accepte d echanger sur le sujet.
La seed phrase est une maniere human friendly de presenter une cle privee.
De cette cle privee, tu peux deriver d autres cles privees. C est le principe d une PKi public key infrastructure.
Une seedphase est bien une cle privee. J entends dans l argument que ce n est pas celle la qui a ete leaké par tangem? Si c est ca, je vous crois, l incident est absurde et n aurait jamais du arriver… vous vous faites enfumer si vous avez gobé le contraire. Ils ont un seul job a faire bien et ils ne l ont pas fait.
J’ai l’impression que vous ne me lisez pas correctement, ou que vous ne souhaitez pas accepter que vous avez tort.
Non, clé privée n’est pas égal à seed phrase, je vous laisse relire tous les articles à ce sujet, à commencer par celui de Ledger que j’ai cité juste avant, ou un autre que je vous laisse ici:
Et je ne défends pas Tangem, c’est une grosse erreur, mais je précise juste les faits, ou en tout cas ceux qu’ils nous indiquent.
En résumé, c’est plus grave de laisser fuiter une seed phrase qu’une simple clé privée (même si c’est super grave quand même et que cela n’aurait jamais dû arriver), puisque la seed phrase est assimilable à l’ensemble des clés privées d’un portefeuille.
non je travaille juste en cyber secu et je pense que vous ne comprenez pas ce qu est une seed phrase car c est vulgarisé par ledger. ce qui n est pas bien grave.
Sachez juste que dans le domaine du paiement ou des PKI, il y a des boites qui ont faillit disparaitre juste avec la fuite de clés derivées. Il ne faut pas sous estimer le probleme meme si ce n est pas la clé racine.
Ce que je peux reconnaitre est que j ignorais qu un wallet crypto fonctionnait sur des derivés de clés.
Ai-je dit qu’une seed phrase n’est pas une forme simplifiée et accessible de clé privée?
Non, je vous disais juste que ce n’était pas la même chose, puisqu’une seed phrase représente un ensemble de clés privées, mais sous une forme de séries de mots mnémoniques simple à lire.
Et je n’ai jamais sous-estimé le souci de Tangem, encore une fois, vous interprétez très mal ce que j’écris. Je précisais juste la fuite telle qu’elle a été officiellement présentée par Tangem, à savoir une fuite de clés privées dans certains cas, pas de seed phrase, ce qui n’est pas pareil.
ok mais ce n est pas ce que dit tangem. Ils ne disent pas quelle cle privee a ete leaké (j ai relu l article rapidement) .
il y a la cle racine du hard/cold wallet (representée par la seedphrase) et celles de chaque wallet de chaque blockchain. Si c est la version binaire de la seedphrase, c est pareil. Si c est les cles privees de chacun des wallet blockchains… c est certains differents mais le resultat a l instant T est le meme.
Par rapport aux articles partagés,
Pour etre complet, Il manque l aspect mathematique pour etre vraiment precis, notamment le lien mathematique entre la seed phrase et la clé privee du wallet bitcoin derivée de cette seed phrase.
L’ensemble des mots utilisés quasi universellement aujourd’hui pour les cold wallets est issu d’un standard, le BIP-39.
Il est composé de 2048 mots, disponible en plusieurs langues (ce qui importe pour l’algorithme c’est la position du mot dans la liste).
Ensuite tu choisis une suite de 12 / 18 / 24 mots, ça permet de reconstituer la paire de clef privée/publique et in fine de signer les transactions (donc de posséder le compte).
À ce sujet, je t’invite à lire Peut on avoir voir/acces à notre clé Privé sur Ledger ?! - #28 par RogerRabbit
Sans trop entrer dans les détails, tu ne peux pas choisir arbitrairement ta suite de mots parmi les 2048 pour faire un wallet valide. Cela dit sauf erreur il devrait être possible de choisir arbitrairement N-1 mots (donc 11 / 17 / 23 par exemple), de calculer le dernier mot (qui fait entre autres office de checksum) et de se rappeler par coeur de ce dernier.
Mais c’est une mauvaise idée pour plusieurs raisons :
tu vas devoir utiliser un algo, donc à priori écrire ta seed phrase sur un ordi, ce qui est à proscrire pour un cold wallet.
tu réduis drastiquement l’entropie (donc la robustesse) puisque certains mots reviennent beaucoup plus souvent que d’autres dans les bouquins (la répartition n’est pas équipondérée, contrairement à la liste de 2048 mots où tu en prends un au pif)
Par ailleurs en matière de sécurité, c’est quasi tout le temps une bonne idée de s’en remettre aux standards éprouvés. On a vite fait d’avoir une fausse bonne idée qui fout par terre la robustesse d’un setup.
La clé privée maîtresse, ou master private key permet ensuite de dériver / engendrer des clés privées filles qui elles seront spécifiques à une crypto (Bitcoin, Ethereum, Solana, etc.) données. Et si on va plus loin, il y aura des clés privées petites filles pour chaque compte dans une crypto données (on peut avoir 2 comptes ETH, 3 comptes BTC, etc…).
Ce que Tangem aurait pu stocker dans les fichiers de journaux de son app :
la Seed Phrase
la Seed
ou la Master Private Key
Le plus important, c’est de comprendre qu’il suffit de connaitre l’une des 3 pour accéder à TOUTES les crypto d’un utilisateur.
Pour les plus avancés je crois ne pas me tromper avec ce schéma plus détaillé :
Dans leurs communications Tangem parlent de Seed Phrase (12 ou 24 mots).
