Author

Topic: Sécurité informatique : tous les conseils (avec MAJ j'espère) (Read 432 times)

hero member
Activity: 1820
Merit: 775
Un petit up pour nos ami(e)s débutant(e)s dont je fais partie encore et toujours.

Un autre conseil pour sécuriser vos coins sur une plateforme, la "whitelist". C'est bien expliqué dans les tutos de binance, mais cela existe sur d'autres plateformes.

Quote
Le retrait par liste blanche est une fonctionnalité de sécurité supplémentaire proposée par Binance. Si la fonction de retrait par liste blanche est désactivée , votre compte peut effectuer des retraits vers n’importe quelle adresse. Mais lorsque cette fonction est activée, votre compte ne pourra effectuer des retraits seulement vers les adresses figurant sur la liste blanche.

https://academy.binance.com/fr/articles/withdrawal-address-whitelist

Naturellement vous avez sécurisé votre mail (une plateforme = une adresse mail), installé google authenticator etc etc ... n'est-ce pas ?

Et bien entendu n'hésitez pas à lire les explications de Asche sur la clé Titan : https://bitcointalksearch.org/topic/guidesecurite-securisation-gmail-avec-google-titan-5174312
sr. member
Activity: 812
Merit: 388
(...)

Sinon jamais entendu parler de l'UFA, les exchanges n'en parlent pas, j'imagine que c'est pas compatible.



Pardon, c'est : U2F. Pour "Universal Second Factor", voire "USB Two Authentification"...

Un article en Fr et des explications très complétes sur le site de la Yubikey...

Une autre lecture en FR Wink

Bien sûr, il n'existe pas que la Yubikey, c'est seulement la plus connue. :p
Elle peut servir à sécuriser l'accès au système d'exploitation, c'est le cas pour Linux, *BSD, et certainement les deux gros "privatifs/propriétaires"...

https://www.nextinpact.com/brief/yubico-rappelle-des-cles-de-securite---yubikey-fips-series---9037.htm

Quand tu vois leur niveau de sécu ça fait quand même fliper Cheesy
hero member
Activity: 1820
Merit: 775
Une chose absolument essentielle à rajouter pour tous les utilisateurs windows:

Créez un compte utilisateur, et utilisez ce compte à la place de votre compte administrateur.
En naviguant avec votre compte admin, vous vous exposez à des risques énormes, et la plupart des gens l'ignorent. Mac et Linux restreignent le compte administrateur depuis fort longtemps. Seul windows persiste à laisser l'utilisation du compte admin activée par défaut.

Des petite suggestions supplémentaires puisque l'on parle non seulement de sécurité, mais aussi d'argent:

- N'hésitez pas à essayer une distribution Linux (Ubuntu par exemple, très simple d'utilisation) sur un ordinateur dédié à vos cryptos / wallets. Vous pouvez même essayer Ubuntu via la clé USB d'installation, sans avoir à l'installer sur votre machine. De plus, étant beaucoup plus léger que windows, un vieil ordinateur fera très bien l'affaire.
Pour les plus paranos, voilà un lien vers les distributions linux spécialement conçue pour la sécurité (c'est en anglais par contre): https://www.techradar.com/news/best-linux-distro-privacy-security

- Essayez VeraCrypt pour encrypter vos données. Vous pouvez par exemple facilement créer un petit espace de quelques Go sur plusieurs clés USB, pour y stocker vos wallet.dat et clés privées. Vous multipliez facilement vos sauvegardes, tout en augmentant en plus leur sécurité.

- Investissez dans un hardware wallet (Nano / Trezor). Ne soyez pas radin, pas de seconde mains sur eBay hein !

- Utilisez vos marques pages pour accéder à vos sites web (typiquement MEW)

- Attention: La sécurité, c'est bien. Mais pensez aussi à vos sauvegardes, et à les garder à jour. Si vous perdez votre clé privée et que votre ordinateur n'est plus accessible, vous aurez perdu votre argent, sans même l'aide d'un hacker.


Je compléterai si je pense à d'autres choses. En bonus, un lien vers le "guide d'hygiène informatique" de Korben:
https://korben.info/n-guide-hygiene-informatique-particulier.html


Merci beaucoup pour ces précisions. Je ne comprends pas encore tout et j'ai encore tellement de choses à lire et à comprendre que j'ai parfois l'impression que je n'aurais jamais fait le tour. Merci encore une fois à tous les geeks aguerris qui aident les pauvres hères perdus dans ce monde cruel.
full member
Activity: 308
Merit: 110
Une chose absolument essentielle à rajouter pour tous les utilisateurs windows:

Créez un compte utilisateur, et utilisez ce compte à la place de votre compte administrateur.
En naviguant avec votre compte admin, vous vous exposez à des risques énormes, et la plupart des gens l'ignorent. Mac et Linux restreignent le compte administrateur depuis fort longtemps. Seul windows persiste à laisser l'utilisation du compte admin activée par défaut.

Des petite suggestions supplémentaires puisque l'on parle non seulement de sécurité, mais aussi d'argent:

- N'hésitez pas à essayer une distribution Linux (Ubuntu par exemple, très simple d'utilisation) sur un ordinateur dédié à vos cryptos / wallets. Vous pouvez même essayer Ubuntu via la clé USB d'installation, sans avoir à l'installer sur votre machine. De plus, étant beaucoup plus léger que windows, un vieil ordinateur fera très bien l'affaire.
Pour les plus paranos, voilà un lien vers les distributions linux spécialement conçue pour la sécurité (c'est en anglais par contre): https://www.techradar.com/news/best-linux-distro-privacy-security

- Essayez VeraCrypt pour crypter vos données. Vous pouvez par exemple facilement créer un petit espace de quelques Go sur plusieurs clés USB, pour y stocker vos wallet.dat et clés privées. Vous multipliez facilement vos sauvegardes, tout en augmentant en plus leur sécurité.

- Investissez dans un hardware wallet (Nano / Trezor). Ne soyez pas radin, pas de seconde mains sur eBay hein !

- Utilisez vos marques pages pour accéder à vos sites web (typiquement MEW)

- Attention: La sécurité, c'est bien. Mais pensez aussi à vos sauvegardes, et à les garder à jour. Si vous perdez votre clé privée et que votre ordinateur n'est plus accessible, vous aurez perdu votre argent, sans même l'aide d'un hacker.


Je compléterai si je pense à d'autres choses. En bonus, un lien vers le "guide d'hygiène informatique" de Korben:
https://korben.info/n-guide-hygiene-informatique-particulier.html
hero member
Activity: 1820
Merit: 775
(...)

Sinon jamais entendu parler de l'UFA, les exchanges n'en parlent pas, j'imagine que c'est pas compatible.



Pardon, c'est : U2F. Pour "Universal Second Factor".

Un article en Fr et des explications très complétes sur le site de la Yubikey...

Trop bien merci. Encore de la lecture instructive  Kiss
member
Activity: 70
Merit: 10
Mbr BtC/AtC
(...)

Sinon jamais entendu parler de l'UFA, les exchanges n'en parlent pas, j'imagine que c'est pas compatible.



Pardon, c'est : U2F. Pour "Universal Second Factor", voire "USB Two Authentification"...

Un article en Fr et des explications très complétes sur le site de la Yubikey...

Une autre lecture en FR Wink

Bien sûr, il n'existe pas que la Yubikey, c'est seulement la plus connue. :p
Elle peut servir à sécuriser l'accès au système d'exploitation, c'est le cas pour Linux, *BSD, et certainement les deux gros "privatifs/propriétaires"...

hero member
Activity: 1820
Merit: 775
Pour la double authentification on en a déjà parler Wink faut tester la Key  pour être sur de pouvoir récupérer sont compte.
Tu peux faire ça sur le téléphone où le 2FA est déjà activé ou bien tu es obligé de tester sur un 2e phone ?

Sinon jamais entendu parler de l'UFA, les exchanges n'en parlent pas, j'imagine que c'est pas compatible.



Tu testes sur un 2è phone ou une tablette
member
Activity: 238
Merit: 24
Pour la double authentification on en a déjà parler Wink faut tester la Key  pour être sur de pouvoir récupérer sont compte.
Tu peux faire ça sur le téléphone où le 2FA est déjà activé ou bien tu es obligé de tester sur un 2e phone ?

Sinon jamais entendu parler de l'UFA, les exchanges n'en parlent pas, j'imagine que c'est pas compatible.

newbie
Activity: 42
Merit: 0
Merci beaucoup Becassine.

En effet, la sécurisation et une bonne organisation est vraiment impératif pour pouvoir travailler sereinement.

Bien à toi.
hero member
Activity: 1820
Merit: 775
Comme je l'ai déjà dit, préférez la double authentification UFA, au lieu de 2FA, car cette dernière est faillible, à cause de protocole téléphonique non sécurisé,  ni sécurisable... voire du piratage de mails, si 2FA par mail.
La double authentification UFA permet l'usage de clés USB pour protéger les informations, et la connexion avec les sites "compatibles".
C'est un peu l'équivalent de l'usage d'une clé telle que la Ledger, mais là, non plus pour protéger l'information liée à l'usage de la cryptomonnaie, mais pour "sécuriser" la connexion des informations avec différents "partenaires".

Ne jamais faire, au grand jamais, se servir d'une connexion Wifi, pour l'usage d'informations sensibles !!!
Et, encore plus si le Wifi est ouvert, ou en mode de connexion WEP, WPA1 (TKIP)... et même si connexion WPA2 (CCMP/AES), être ABSOLUMENT sûr que le matériel informatique (station, téléphone, tablette) soit IMPÉRATIVEMENT à jour (ce qui n'est pas le cas de beaucoup de matériel que ce soit, Android, MS Windows, MacOS, etc... - cf, la faille Wifi KrackAttack qui n'est pas forcément corrigé, selon la vétusté ou le fabriquant)
Donc, TOUJOURS éviter la connexion wifi, surtout pour les informations sensibles ; et l'activité liée à la cryptomonnaie est ABSOLUMENT une activité sensible.
Il est très facile de voler TOUTES informations transitant sur Wifi, surtout si pas WPA2.



Merci beaucoup pour toutes ces précisions, je suis allée voir un peu plus et j'ai trouvé d'autres infos détaillées sur la 2FA mais nombre de sites en parlent : https://korben.info/authentification-double-facteur-2fa.html

member
Activity: 70
Merit: 10
Mbr BtC/AtC
Comme je l'ai déjà dit, préférez la double authentification U2F, au lieu de 2FA, car cette dernière est faillible, à cause de protocole téléphonique non sécurisé,  ni sécurisable... voire du piratage de mails, si 2FA par mail.
La double authentification U2F permet l'usage de clés USB pour protéger les informations, et la connexion avec les sites "compatibles".
C'est un peu l'équivalent de l'usage d'une clé telle que la Ledger, mais là, non plus pour protéger l'information liée à l'usage de la cryptomonnaie, mais pour "sécuriser" la connexion des informations avec différents "partenaires".

Ne jamais faire, au grand jamais, se servir d'une connexion Wifi, pour l'usage d'informations sensibles !!!
Et, encore plus si le Wifi est ouvert, ou en mode de connexion WEP, WPA1 (TKIP)... et même si connexion WPA2 (CCMP/AES), être ABSOLUMENT sûr que le matériel informatique (station, téléphone, tablette) soit IMPÉRATIVEMENT à jour (ce qui n'est pas le cas de beaucoup de matériel que ce soit, Android, MS Windows, MacOS, etc... - cf, la faille Wifi KrackAttack qui n'est pas forcément corrigé, selon la vétusté ou le fabriquant)
Donc, TOUJOURS éviter la connexion wifi, surtout pour les informations sensibles ; et l'activité liée à la cryptomonnaie est ABSOLUMENT une activité sensible.
Il est très facile de voler TOUTES informations transitant sur Wifi, surtout si pas WPA2.

----

Réédition pour correction du sigle UFA en U2F !
hero member
Activity: 1820
Merit: 775
MAJ :

- Acheter votre ledger sur le site (le vrai) de la société et pas sur e-bay ou le boncoin.

- Vous pouvez télécharger MEW hors-ligne.
newbie
Activity: 21
Merit: 0
Merci pour le partage d'info c'est vraiment sympa   Grin
sr. member
Activity: 812
Merit: 388
Je sais pas ce que pense les autres, mais j'utilise Keepass pour mes mot de passe.
C'est crypter et tu ne retiens qu'un mot de passe et tu peux programmer le soft pour changer les mots de passes. J'ai pas encore tester la fonctionnalité.
Et la tu peux mettre 40 voir 50 caractères pour les sites, je pense que les hackers passeront par un autre chemin.

Le mieux est de prendre un pc que pour faire que la crypto Smiley
Et que seul toi touche comme ça tu es plus tranquille pas un mouflard qui va sur un site malveillant
Et surtout faire une installe propre.

Meuh pourra te le dire pour le smartphone il en prends un vers 50€ pour s'en servir de wallet et transfert ce qu'il a besoin deçu, c'est ce que j'ai compris.
A rechercher dans ses messages Wink.

Pour la double authentification on en a déjà parler Wink faut tester la Key  pour être sur de pouvoir récupérer sont compte.

hero member
Activity: 1820
Merit: 775
Bonsoir les geeks,

Quand on est débutant et pas trop au fait de la cybersécurité, on commence par essayer de comprendre le monde des crypto pour en acheter alors qu'il faudrait à mon sens avant d'en acheter, sécuriser son PC, ses mails etc ... Ce serait dommage de se voir vider son wallet aussitôt après avoir acheté ses premières crypto.

(Pour les articles en anglais, faites un clic droit si nécessaire pour avoir l'article en français).

Un lien essentiel : https://korben.info/n-guide-hygiene-informatique-particulier.html

Alors pour commencer, dans le désordre :

- sécuriser son PC + sécuriser son smartphone.=> antivirus à jour etc ... ou mieux encore prendre un pc / smartphone que l'on n'utilise que pour les cryptos.

- sécuriser son WIFI domestique (changer le mdp éventuellement) et ne pas se connecter à un réseau wifi public.

- sécuriser son ou plutôt ses adresses mail avec des mdp complexes et la double authentification (2FA).

- Testez votre adresse mail sur le site : https://haveibeenpwned.com/

- Utilisez un mot de passe différent pour chaque compte, mails etc ...

- Supprimez régulièrement les données des formulaires, les mots de passe, le cache et les cookies de votre navigateur. Utilisez Brave ou Tor plutôt que Google.

- Ne pas cliquer sur un lien inconnu.

- Exchange (CEX) : activer la double authentification pour toutes les opérations (avec google authenticator par exemple). Un CEX = une adresse mail.

- Utiliser un gestionnaire de mots de passe sécurisé et open-source comme Keepass qui se chargera de crypter vos mots de passe. Votre mot de passe maître doit être long et complexe. (lastpass a connu quelques problèmes de piratage, notamment en 2022).

- 2FA : bien noter la secret Key (clé secrète) afin de pouvoir réinstaller la 2FA (Google Authenticator par ex) sur un autre smartphone/tablette (notamment en cas de vol/perte de son smartphone).

- U2F (Yubikey et autres clés sécurisées, d'après BtornotBT) :
Quote
U2F. Pour "Universal Second Factor", voire "USB Two Authentification"...

Un article en Fr et des explications très complètes sur le site de la Yubikey...

Une autre lecture en FR Wink

Bien sûr, il n'existe pas que la Yubikey, c'est seulement la plus connue. :p
Elle peut servir à sécuriser l'accès au système d'exploitation, c'est le cas pour Linux, *BSD, et certainement les deux gros "privatifs/propriétaires"...

Le test de la clé Titan : https://bitcointalksearch.org/topic/guidesecurite-securisation-gmail-avec-google-titan-5174312

- Etre attentif et ne pas confondre la clé privée/clé publique. Ne jamais révéler votre clé privée ou phrase mnémonique (12, 18 ou 24 mots).

- Les conseils du site "MyEtherwallet" : WARNING: IF YOU CLICK A LINK to MEW from EMAIL, SLACK DM, or a FORUM, YOU WILL HAVE YOUR COINS STOLEN. Do not click.
Instead, install EAL or use MetaMask
=> Ne pas cliquer sur un lien vers MEW (MyEtherWallet) que vous trouvez dans votre boite mail ou qui vient d'un mail, d'un réseau social ou d'un forum car vous risquez de voir vos coins disparaître, utilisez EAL ou MetaMask (ou encore cryptonite)

= Ajoutez les extensions conseillées sur votre navigateur ainsi vous serez avertis en cas de tentative de phishing (https://chrome.google.com/webstore/category/extensions)

- Ne pas croire tout ce que les sites à pigeons vous promettent (Devenez riches en 30 minutes grâce à nos bots de trading par exemple).

- Méfiez-vous des pyramides de Ponzi comme Bitconnect. Elles sont repérables car elles offrent des rendements indécents (et parfois en prime des fonds bloqués et des programmes d'affiliation): https://www.youtube.com/watch?v=jYEnwYC4h14 https://journalducoin.com/altcoins/bitconnect-plus-grosse-pyramide-de-ponzi-de-temps/

- Lisez, informez-vous le plus possible sur des sites fiables, croisez vos informations. Posez des questions sur ce forum. Pour vérifier la fiabilité d'un site : https://who.is/ ou d'autres listés ici : https://info.signal-arnaques.com/bonnes-pratiques/testeurs-fiabilite/

- Soyez conscients que les CEX (Binance, Coinbase etc ...) détiennent vos bitcoins : en cas de faillite ou de n'importe quel problème, vous pourriez avoir des difficultés à accéder à vos bitcoins. FTX (novembre 2022) nous a montré que même le second exchange au niveau mondial peut fermer ses portes du jour au lendemain. Conservez vos cryptos sur un portefeuille physique comme Ledger, Trezor, Bitbox ou d'autres.

- Acheter votre wallet HD (hardware wallet) comme Ledger sur le site officiel ou chez un revendeur agréé, le produit doit être neuf et scellé (avec un holgramme). N'achetez jamais du matériel d'occasion.

- Ne sauvegardez rien d'important dans un cloud ou sur un fichier numérique (photo ou autre format numérique), désactivez la fonction de sauvegarde automatique.

- Self-control : n'agissez pas sous l'effet de la panique (imaginez tous les scénarios pour agir assez sereinement en cas de hack, d'incendie ou d'autres événements inattendus. Lisez les expériences des autres utilisateurs). Evitez de faire des manipulations (trades, paiements etc) si vous êtes fatigués, bourrés ou drogués.

Pour ceux qui comprennent l'anglais, un excellent article : https://medium.com/@myetherwallet/stop-getting-phished-heres-how-310694d8fc5f

=> La base de la base : ne cliquez jamais sur un lien sans réfléchir, sans vérifier sa provenance et sa fiabilité.

=> Toutes les mesures de sécurité peuvent vous être utiles dans tous les cas, notamment pour protégez vos données personnelles.

Jump to: