Question sur un achat de clé Ledger

Bonjour,
Est-ce qu’il y a des risques d’acheter une clé ledger d’occasion ?

Carrément ! Franchement pour 80€ c’est pas très cher pour s’assurer la sécurité. Pour qq dizaines d’euros d’économies tu risques de perdre toute ta crypto, je pense qu’il y a pas de question à se poser

Hello
Ouai carrément, essayes plutôt d’en prendre une sur le site de Ledger, dans un premier temps et suivant ton usage, la NANO S+ sera le mieux pour toi.

Il n’y a aucun intérêt à acheter une ledger d’occasion, pour rappel nous recherchons la sécurité ici.

Je suis du même avis : faire l’économie de quelques euros en prenant le risque d’exposer ton portefeuille et d’y perdre son contenu c’est se tirer une balle dans le pied…

Voici un complément de Ledger qui donne notamment les étapes de vérification d’authenticité d’une clé :

Merci pour vos réponses !

Hello Nic, je te le déconseille fortement. C’est un risque qui n’en vaut pas la peine comme l’ont déjà dit d’autres personnes en réponse.

Lors de la configuration d’un Nano (S Plus ou X), il y en effet une étape de connexion au software de Ledger (Ledger Live) qui va procéder à une vérification que la clé est bien issue de son usine. Cela permet d’attester de son authenticité.

Par le passé il y a eu des produits d’occasion vendus avec des pièges

• fausses instructions à l’intérieur, phrase de récupération (24 mots) pré-renseignée sur le recovery sheet et code PIN fourni (en fait le Nano est déjà configuré). Si tu es novice, tu suis les instructions, tu alimentes ta clé en crypto, et au revoir tes fonds
• modification hardware avec ce qu’on appelle un « app launcher », c’est à dire que lorsque tu branches ton Nano à ton pc cela va automatiquement lancer une app web qui ressemble à Ledger et qui va t’induire en erreur pour te dérober ta phrase de récupération et plus tard tes fonds avec
• le même type d’attaque peut exister avec le cable USB trafiqué et produire le même effet

Si tu es novices, je te conseille de démarrer avec un Nano S Plus, qui fonctionnera en USB avec ton PC et aussi sur Android (USB) avec certaines application compatible dont Ledger Live, le software wallet de Ledger qui te permet d’administrer ta clé Nano

Si tu es très actifs / degen sur mobile, le Nano X sera plus adapté grâce à sa connexion Bluetooth, et depuis peu Metamask mobile est compatible. Et globalement pas mal de webapp sur mobile son compatible via wallet connect également, bien que l’expérience soit pas la plus smooth.

Aussi, je vais bien plus loin que ta question mais au cas où, si c’est la première fois que tu utilises un hardware wallet, lors de l’initialisation ton Nano va générer une suite aléatoire unique de 24 mots qui seront to back-up. On appelle ça seed phrase ou recovery phrase. C’est ton seul moyen d’avoir de nouveau accès à tes fonds en cas de dommage, perte ou vol de ton Nano, et « quiconque obtient ces 24 mots a un accès direct à tes fonds ».

C’est pourquoi cette phrase ne doit pas être prise en photo ni stockées sur ton pc ou dans ton tél. Je déconseille également d’utiliser un password manager pour la stocker. Et encore moins de se l’envoyer par email. Dès que cette phrase passe sur en device connecté à internet, tu as pris le risque qu’elle soit compromise par une trace, un malware, etc, et tes fonds avec par conséquent.

Si tu as déjà une phrase de récupération de ce type (12 ou 24 mots) c’est surement que tu as déjà un wallet metamask, ou phantom, ou autre. Surtout n’utilise pas ces mots pour configurer ton Nano.

Enfin, un jour un acteur malveillant essaiera peut être de faire du phishing, en se faisant passer pour Ledger et en prétextant un incident pour te demander cette phrase. Cela peut être un prétendu agent du support, un faux software, un faux compte twitter, etc…

Ne donne jamais ta phrase de récupération à un site, un individu ou une application - le résultat est sans appel, tes fonds se font siphonner.

Navré pour le roman qui va au delà de ta question mais ça pourra servir à d’autres lecteurs qui passent par là.

Je pensais acheter également une nano S+ et mettre mon mot de passe dans mon gestionnaire Keepass 2 (non relié à internet). En quoi un gestionnaire de mot de passe n’est pas recommandé pour stocker les 24 mots ?

Merci.

Ce n’est pas tant le gestionnaire de mot de passe , que de mettre les 24 mots au même endroit.
C’est le seul rempart , pas de MFA ou autre, les seuls 24 mots permettent de faire ce que l’on veut avec tes cryptos.

Le but est donc de ne pas tout mettre au même endroit, qui plus est en informatique.
Un virus qui scanne les gestionnaires locaux et c’est terminé.

Pour mieux comprendre, dans quelle configuration es-tu pour que Keypass ne soit pas connecté ?

Un jour ou l’autre il faut mettre à jour Keypaas. Si je ne dis pas de bêtises il y a eu une faille de sécurité en 2023 par exemple, qui nécessite donc la mise à jour. Tu dois bien connecter ton app à un moment, sauf à la faire tourner sur un pc qui n’a jamais été et ne sera jamais connecté mais dans ce cas tu ne le mets jamais à jour ?

Si tu utilises un gestionnaire de mot de passe je recommande par exemple d’utiliser une yubikey qui supporte “passkey” pour générer offline le master mot de passe du gestionnaire, et ne ainsi ne jamais le connaître soit même non plus (pas de risque de phishing). Et d’avoir une 2e yubikey associée en back up.

Vous n’appliquez quand même pas la technique du post-it à côté de l’écran pour vos 24 mots ?

Effectivement, je le mets à jour quand c’est nécessaire. Donc, il doit être connecté à internet pour cet aspect.
Avec un mot de passe central (très sécurisé) + un fichier clé nécessaire pour se connecter à mon Keepass, il me semble avoir une bonne sécurité quand même. J’évite d’utiliser la fonction ctrl c ctrl v, sur mes comptes de finances pour ne pas avoir de problèmes via mon presse-papiers.
Je vais creuser cette histoire de yubikey pour passkey merci !