Bonjour,
Est-ce qu’il y a des risques d’acheter une clé ledger d’occasion ?
Carrément ! Franchement pour 80€ c’est pas très cher pour s’assurer la sécurité. Pour qq dizaines d’euros d’économies tu risques de perdre toute ta crypto, je pense qu’il y a pas de question à se poser
Hello
Ouai carrément, essayes plutôt d’en prendre une sur le site de Ledger, dans un premier temps et suivant ton usage, la NANO S+ sera le mieux pour toi.
Il n’y a aucun intérêt à acheter une ledger d’occasion, pour rappel nous recherchons la sécurité ici.
Je suis du même avis : faire l’économie de quelques euros en prenant le risque d’exposer ton portefeuille et d’y perdre son contenu c’est se tirer une balle dans le pied…
Voici un complément de Ledger qui donne notamment les étapes de vérification d’authenticité d’une clé :
Merci pour vos réponses !
Hello Nic, je te le déconseille fortement. C’est un risque qui n’en vaut pas la peine comme l’ont déjà dit d’autres personnes en réponse.
Lors de la configuration d’un Nano (S Plus ou X), il y en effet une étape de connexion au software de Ledger (Ledger Live) qui va procéder à une vérification que la clé est bien issue de son usine. Cela permet d’attester de son authenticité.
Par le passé il y a eu des produits d’occasion vendus avec des pièges
- fausses instructions à l’intérieur, phrase de récupération (24 mots) pré-renseignée sur le recovery sheet et code PIN fourni (en fait le Nano est déjà configuré). Si tu es novice, tu suis les instructions, tu alimentes ta clé en crypto, et au revoir tes fonds
- modification hardware avec ce qu’on appelle un « app launcher », c’est à dire que lorsque tu branches ton Nano à ton pc cela va automatiquement lancer une app web qui ressemble à Ledger et qui va t’induire en erreur pour te dérober ta phrase de récupération et plus tard tes fonds avec
- le même type d’attaque peut exister avec le cable USB trafiqué et produire le même effet
Si tu es novices, je te conseille de démarrer avec un Nano S Plus, qui fonctionnera en USB avec ton PC et aussi sur Android (USB) avec certaines application compatible dont Ledger Live, le software wallet de Ledger qui te permet d’administrer ta clé Nano
Si tu es très actifs / degen sur mobile, le Nano X sera plus adapté grâce à sa connexion Bluetooth, et depuis peu Metamask mobile est compatible. Et globalement pas mal de webapp sur mobile son compatible via wallet connect également, bien que l’expérience soit pas la plus smooth.
Aussi, je vais bien plus loin que ta question mais au cas où, si c’est la première fois que tu utilises un hardware wallet, lors de l’initialisation ton Nano va générer une suite aléatoire unique de 24 mots qui seront to back-up. On appelle ça seed phrase ou recovery phrase. C’est ton seul moyen d’avoir de nouveau accès à tes fonds en cas de dommage, perte ou vol de ton Nano, et « quiconque obtient ces 24 mots a un accès direct à tes fonds ».
C’est pourquoi cette phrase ne doit pas être prise en photo ni stockées sur ton pc ou dans ton tél. Je déconseille également d’utiliser un password manager pour la stocker. Et encore moins de se l’envoyer par email. Dès que cette phrase passe sur en device connecté à internet, tu as pris le risque qu’elle soit compromise par une trace, un malware, etc, et tes fonds avec par conséquent.
Si tu as déjà une phrase de récupération de ce type (12 ou 24 mots) c’est surement que tu as déjà un wallet metamask, ou phantom, ou autre. Surtout n’utilise pas ces mots pour configurer ton Nano.
Enfin, un jour un acteur malveillant essaiera peut être de faire du phishing, en se faisant passer pour Ledger et en prétextant un incident pour te demander cette phrase. Cela peut être un prétendu agent du support, un faux software, un faux compte twitter, etc…
Ne donne jamais ta phrase de récupération à un site, un individu ou une application - le résultat est sans appel, tes fonds se font siphonner.
Navré pour le roman qui va au delà de ta question mais ça pourra servir à d’autres lecteurs qui passent par là .
Je pensais acheter également une nano S+ et mettre mon mot de passe dans mon gestionnaire Keepass 2 (non relié à internet). En quoi un gestionnaire de mot de passe n’est pas recommandé pour stocker les 24 mots ?
Merci.
Ce n’est pas tant le gestionnaire de mot de passe , que de mettre les 24 mots au même endroit.
C’est le seul rempart , pas de MFA ou autre, les seuls 24 mots permettent de faire ce que l’on veut avec tes cryptos.
Le but est donc de ne pas tout mettre au mĂŞme endroit, qui plus est en informatique.
Un virus qui scanne les gestionnaires locaux et c’est terminé.
Pour mieux comprendre, dans quelle configuration es-tu pour que Keypass ne soit pas connecté ?
Un jour ou l’autre il faut mettre à jour Keypaas. Si je ne dis pas de bêtises il y a eu une faille de sécurité en 2023 par exemple, qui nécessite donc la mise à jour. Tu dois bien connecter ton app à un moment, sauf à la faire tourner sur un pc qui n’a jamais été et ne sera jamais connecté mais dans ce cas tu ne le mets jamais à jour ?
Si tu utilises un gestionnaire de mot de passe je recommande par exemple d’utiliser une yubikey qui supporte “passkey” pour générer offline le master mot de passe du gestionnaire, et ne ainsi ne jamais le connaître soit même non plus (pas de risque de phishing). Et d’avoir une 2e yubikey associée en back up.
Vous n’appliquez quand même pas la technique du post-it à côté de l’écran pour vos 24 mots ?
Effectivement, je le mets à jour quand c’est nécessaire. Donc, il doit être connecté à internet pour cet aspect.
Avec un mot de passe central (très sécurisé) + un fichier clé nécessaire pour se connecter à mon Keepass, il me semble avoir une bonne sécurité quand même. J’évite d’utiliser la fonction ctrl c ctrl v, sur mes comptes de finances pour ne pas avoir de problèmes via mon presse-papiers.
Je vais creuser cette histoire de yubikey pour passkey merci !
Les mots de passe, contrairement aux 24 mots ont besoin d’etre entrés dans ton navigateur régulièrement. On parle d’un environnement « hot » car il touche un ordinateur avec une connexion internet et potentiellement tout un tas de programmes malveillants.
L’objectif du Ledger est de sortir de cet environnement « hot », on parle alors de « cold wallet ». Si tu mets ta seed sur ton ordinateur, alors autant ne pas avoir de Ledger du tout car ça ne sert à rien d’avoir une machine spécialisée dans le calcul d’operations cryptographiques en environnement sécurisé (le secure element du ledger) si un simple accès à ton ordinateur suffit à te voler.
Si tu as peur de perdre tes 24 mots alors grave les dans le metal comme ça:
Je te remercie pour ces informations, je vais prendre le temps d’y réfléchir.
et si la clef ledger se casse ou à un défaut de fabrication ? il y a une solution de secours pour sauvegarder ses crypto ? C’est pareil que les sauvegardes des bases de données ou des donnés sensibles des entreprises, la personne en charge des backup qui stocke tout sur un seul support à mon respect le plus total en terme d’irresponsabilité
rigole pas, je connais des dizaines de personnes qui font ca !
Bonjour,
Ce qu’il faut bien garder en tête c’est que tes crypto ne sont pas stockées sur la ledger. Tes cryptos sont sur la blockchain. Ta ledger te permet juste de faciliter l’accès à celles ci en sécurisant ta clé privée.
Si ta ledger est cassée tu en reprends une et au lieu de créer une nouvelle clé privée tu rentres t’es 24 mots de passe et ta ledger sera ‹ branchée › sur ton ancienne clee privée.
Alors c’est très simple, quoi qu’il puisse arriver tes fonds seront sur la blockchain, la clef n’est donc qu’un support pour sécuriser.
Quand tu auras ta première clef et que tu la configureras, elle te donnera 24 mots uniques, surtout a ne pas les partager, car c’est la seul façon d’avoir accès à tes fonds.
De plus, si ta clef se casse ou ne marche plus, tu achetes une nouvelle ledger et tu remettras ces 24 mots.
Bien Ă toi,
D’accord, je comprend mieux, ce n’est pas un periph de stockage mais comme une sorte de securid (pour ceux qui utilise des vpn en télétraval ils doivent connaitre ) qui te permets d’accéder à tes tokens, c’est ca ?
Merci pour la précision. Je vais étudier tt cela avant de me lancer
Protection Keepass : par MDP + Yubikey
une yubikey qui reste en permanence sur l’ordi : USB-C YubiKey 5C Nano | Two Factor Security Key | Yubico
Et une backup/complémentaire nomade avec fonction nfc pour la version mobile de keepass : USB-A YubiKey 5 NFC Two Factor Security Key | Yubico
Si perte d’une des 2 clés :> Tu peux reconfigurer la question réponse sur keepass et ensuite l’importer dans ta clé grà ce au configurateur de yubikey !