(sources : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

Prologue

Tout d’abord, félicitations pour avoir trouvé ce manuel ! Peu importe qui vous êtes – si vous êtes détenteur de crypto-monnaie ou si vous souhaitez vous lancer dans le monde de la crypto-monnaie à l’avenir, ce manuel vous aidera beaucoup. Vous devriez lire attentivement ce manuel et appliquer ses enseignements dans la vie réelle.

De plus, la compréhension complète de ce manuel nécessite certaines connaissances de base. Cependant, ne vous inquiétez pas. Quant aux débutants, n’ayez pas peur des barrières de connaissances qui peuvent être surmontées. Si vous rencontrez quelque chose que vous ne comprenez pas et que vous avez besoin d'explorer davantage, Google est fortement recommandé. Il est également important de garder une règle de sécurité à l’esprit : soyez sceptique ! Quelles que soient les informations que vous voyez sur le Web, vous devez toujours rechercher au moins deux sources de référence croisée.

Encore une fois, soyez toujours sceptique 🙂 y compris les connaissances mentionnées dans ce manuel.

La blockchain est une invention formidable qui modifie les relations de production et résout dans une certaine mesure le problème de la confiance. Plus précisément, la blockchain crée de nombreux scénarios de « confiance » sans nécessiter de centralisation ni de tiers, tels que l'immuabilité, l'exécution comme convenu et la prévention de la répudiation. Pourtant, la réalité est cruelle. Il existe de nombreux malentendus à propos de la blockchain, et les méchants utiliseront ces malentendus pour exploiter cette faille et voler de l'argent aux gens, provoquant ainsi de nombreuses pertes financières. Aujourd’hui, le monde de la cryptographie est déjà devenu une forêt sombre.

N'oubliez pas les deux règles de sécurité suivantes pour survivre dans la forêt sombre de la blockchain.

1. Confiance zéro: Pour faire simple, restez sceptique, et restez-le toujours.
2. Validation de sécurité continue: Pour faire confiance à quelque chose, il faut valider ce dont on doute, et faire de la validation une habitude.

Remarque : Les deux règles de sécurité ci-dessus constituent les principes fondamentaux de ce manuel, et tous les autres principes de sécurité mentionnés dans ce manuel en dérivent.

D'accord, c'est tout pour notre introduction. Commençons par un diagramme et explorons cette sombre forêt pour voir quels risques nous rencontrerons et comment nous devons les gérer.

Un diagramme

Vous pouvez parcourir ce diagramme avant d’examiner de plus près le reste du manuel. Il s’agit des activités clés de ce monde (peu importe comment vous voulez l’appeler : blockchain, crypto-monnaie ou Web3), qui se composent de trois processus principaux : créer un portefeuille, sauvegarder un portefeuille et utiliser un portefeuille.

Suivons ces trois processus et analysons chacun d'eux.

Créer un portefeuille

Le cœur du portefeuille est la clé privée (ou phrase de départ).

Voici à quoi ressemble la clé privée :

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

De plus, voici à quoi ressemble la phrase de départ :

week-end cruel point de pointe innocent étourdi utilisation extraterrestre évoquer hangar ajuster mal

Remarque : Nous utilisons ici Ethereum comme exemple. Veuillez vérifier vous-même plus de détails sur les clés privées/phrases de départ.

La clé privée est votre identité. Si la clé privée est perdue/volée, vous avez perdu votre identité. Il existe de nombreuses applications de portefeuille bien connues, et ce manuel ne les couvrira pas toutes.

Cependant, je mentionnerai quelques portefeuilles spécifiques. Veuillez noter que les portefeuilles mentionnés ici peuvent être fiables dans une certaine mesure. Mais je ne peux pas garantir qu'ils n'auront aucun problème ou risque de sécurité, attendu ou non, lors de leur utilisation (je ne répéterai pas davantage. Veuillez toujours garder à l'esprit les deux principales règles de sécurité mentionnées dans le prologue)

Classés par application, il existe des portefeuilles PC, des portefeuilles d'extension de navigateur, des portefeuilles mobiles, des portefeuilles matériels et des portefeuilles Web. En termes de connexion Internet, ils peuvent être principalement divisés en portefeuilles froids et portefeuilles chauds. Avant de nous lancer dans le monde de la cryptographie, nous devons d’abord réfléchir à l’objectif du portefeuille. L'objectif détermine non seulement quel portefeuille nous devons utiliser, mais également comment nous utilisons le portefeuille.

Quel que soit le type de portefeuille que vous choisissez, une chose est sûre : une fois que vous avez suffisamment d’expérience dans ce monde, un seul portefeuille ne suffit pas.

Il convient ici de garder à l'esprit un autre principe de sécurité : l'isolement, c'est-à-dire ne pas mettre tous ses œufs dans le même panier. Plus un portefeuille est utilisé fréquemment, plus il est risqué. N'oubliez jamais : lorsque vous essayez quelque chose de nouveau, préparez d'abord un portefeuille séparé et essayez-le pendant un certain temps avec une petite somme d'argent. Même pour un vétéran de la crypto comme moi, si vous jouez avec le feu, vous risquez plus facilement de vous brûler.

Télécharger

Cela semble simple, mais en réalité ce n’est pas facile. Les raisons sont les suivantes:

1. De nombreuses personnes ne parviennent pas à trouver le véritable site officiel ou le bon marché d'applications et finissent par installer un faux portefeuille.
2. De nombreuses personnes ne savent pas comment déterminer si l'application téléchargée a été falsifiée ou non.

Ainsi, pour de nombreuses personnes, avant d’entrer dans le monde de la blockchain, leur portefeuille est déjà vide.

Pour résoudre le premier problème ci-dessus, il existe quelques techniques permettant de trouver le bon site officiel, telles que

• en utilisant Google
• en utilisant des sites Web officiels bien connus, tels que CoinMarketCap
• demander à des personnes et amis de confiance

Vous pouvez croiser les informations obtenues à partir de ces différentes sources, et au final il n'y a qu'une seule vérité :) Félicitations, vous avez trouvé le bon site officiel.

Ensuite, vous devez télécharger et installer l'application. S'il s'agit d'un portefeuille PC, après le téléchargement depuis le site officiel, vous devez l'installer vous-même. Il est fortement recommandé de vérifier si le lien a été falsifié avant l'installation. Bien que cette vérification ne puisse pas empêcher les cas où le code source a été complètement altéré (en raison d'une escroquerie interne, d'un piratage interne ou du piratage du site officiel, etc.), elle peut cependant empêcher des cas tels que la falsification partielle du code source, attaque de l'homme du milieu, etc.

La méthode permettant de vérifier si un fichier a été falsifié est la vérification de la cohérence du fichier. Il existe généralement deux manières :

• Vérifications de hachage: comme MD5, SHA256, etc. MD5 fonctionne dans la plupart des cas, mais il existe toujours un faible risque de collision de hachage, nous choisissons donc généralement SHA256, qui est suffisamment sûr.
• Vérification de la signature GPG: cette méthode est également très populaire. Il est fortement recommandé de maîtriser les outils, commandes et méthodes GPG. Bien que cette méthode soit un peu difficile pour les nouveaux arrivants, vous la trouverez très utile une fois que vous vous y serez familiarisé.

Cependant, il n’existe pas beaucoup de projets dans le monde de la cryptographie qui assurent la vérification. C'est donc une chance d'en trouver un. Par exemple, voici un portefeuille Bitcoin appelé Sparrow Wallet. Sa page de téléchargement indique « Vérification de la version », ce qui est vraiment impressionnant, et il existe des directives claires pour les deux méthodes mentionnées ci-dessus, que vous pouvez utiliser à titre de référence :

https://sparrowwallet.com/download/

La page de téléchargement mentionnait deux outils GPG :

• Suite GPG, pour MacOS.
• Gpg4win, pour Windows.

Si vous y prêtez attention, vous trouverez que les pages de téléchargement des deux outils GPG donnent des instructions sur la façon de vérifier la cohérence des deux méthodes. Cependant, il n'y a pas de guide étape par étape, c'est-à-dire que vous devez apprendre et pratiquer vous-même :)

S'il s'agit d'un portefeuille d'extension de navigateur, comme MetaMask, la seule chose à laquelle vous devez faire attention est le numéro de téléchargement et la note dans la boutique en ligne Chrome. MetaMask, par exemple, compte plus de 10 millions de téléchargements et plus de 2 000 notes (bien que la note globale ne soit pas élevée). Certaines personnes pourraient penser que le nombre de téléchargements et les notes sont peut-être gonflés. À vrai dire, il est très difficile de simuler un si grand nombre.

Le portefeuille mobile est similaire au portefeuille d'extension de navigateur. Cependant, il convient de noter que l'App Store propose des versions différentes pour chaque région. La crypto-monnaie est interdite en Chine continentale, donc si vous avez téléchargé le portefeuille avec votre compte App Store chinois, il n'y a qu'une seule suggestion : ne l'utilisez pas, remplacez-le par un autre compte dans une autre région comme les États-Unis, puis retéléchargez-le. il. En outre, le bon site Web officiel vous mènera également à la bonne méthode de téléchargement (telle que imToken, Trust Wallet, etc. Il est important que les sites Web officiels maintiennent une sécurité élevée. Si le site officiel est piraté, il y aura de gros problèmes. ).

S'il s'agit d'un portefeuille matériel, il est fortement recommandé de l'acheter sur le site officiel. Ne les achetez pas dans les magasins en ligne. Une fois que vous recevez le portefeuille, vous devez également vérifier si le portefeuille est inactif. Bien sûr, il y a quelques manigances sur l’emballage qui sont difficiles à détecter. Dans tous les cas, lorsque vous utilisez un portefeuille matériel, vous devez créer la phrase de départ et l'adresse du portefeuille au moins trois fois à partir de zéro. Et assurez-vous qu’ils ne se répètent pas.

S'il s'agit d'un portefeuille Web, nous vous déconseillons fortement de l'utiliser. Sauf si vous n'avez pas le choix, assurez-vous qu'il est authentique puis utilisez-le avec parcimonie et ne vous y fiez jamais.

Phrase mnémonique

Après avoir créé un portefeuille, l’élément clé que nous traitons directement est la phrase mnémonique/phrase de départ, et non la clé privée, qui est plus facile à retenir. Il existe des conventions standard pour les phrases mnémoniques (par exemple, BIP39) ; il y a 12 mots anglais en général ; il peut s'agir d'autres nombres (multiples de 3), mais pas plus de 24 mots. Sinon c'est trop compliqué et pas facile à retenir. Si le nombre de mots est inférieur à 12, la sécurité n'est pas fiable. Il est courant de voir 12/15/18/21/24 mots. Dans le monde de la blockchain, les 12 mots sont assez populaires et sécurisés. Cependant, il existe encore des portefeuilles matériels classiques tels que Ledger qui commencent par 24 mots. En plus des mots anglais, d'autres langues sont également disponibles, comme le chinois, le japonais, le coréen, etc. Voici une liste de 2048 mots pour référence :

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

Lors de la création d’un portefeuille, votre phrase de départ est vulnérable. Veuillez noter que vous n'êtes pas entouré de personnes, de webcams ou de tout autre élément susceptible de voler votre phrase de départ.

Veuillez également faire attention à ce que la phrase de départ soit générée de manière aléatoire. Les portefeuilles normalement connus peuvent générer un nombre suffisant de phrases de départ aléatoires. Cependant, vous devez toujours être prudent. Il est difficile de savoir s'il y a un problème avec le portefeuille. Soyez patient car il peut être très bénéfique de développer ces habitudes pour votre sécurité. Enfin, vous pouvez même parfois envisager de vous déconnecter d’Internet pour créer un portefeuille, surtout si vous comptez utiliser le portefeuille comme portefeuille froid. La déconnexion d'Internet fonctionne toujours.

Sans clé

Sans clé signifie pas de clé privée. Ici, nous divisons Keyless en deux scénarios principaux (pour faciliter l'explication. Une telle division n'est pas la norme de l'industrie)

• Garde. Les exemples sont l'échange centralisé et le portefeuille, où les utilisateurs doivent uniquement enregistrer des comptes et ne possèdent pas la clé privée. Leur sécurité dépend entièrement de ces plateformes centralisées.
• Non dépositaire. L'utilisateur dispose d'un pouvoir de contrôle semblable à celui d'une clé privée, qui n'est pas une véritable clé privée (ou une phrase de départ). Il s'appuie sur des plateformes Cloud bien connues pour l'hébergement et l'authentification/autorisation. La sécurité de la plateforme Cloud devient donc la partie la plus vulnérable. D'autres utilisent l'informatique multipartite sécurisée (MPC) pour éliminer un point de risque unique, et s'associent également à des plateformes Cloud populaires pour optimiser l'expérience utilisateur.

Personnellement, j'ai utilisé différents types d'outils Keyless. Les échanges centralisés avec des poches profondes et une bonne réputation offrent la meilleure expérience. Tant que vous n'êtes pas personnellement responsable de la perte du jeton (par exemple si les informations de votre compte ont été piratées), les échanges centralisés rembourseront généralement votre perte. Le programme Keyless basé sur MPC semble très prometteur et devrait être encouragé . J'ai une bonne expérience avec ZenGo, Fireblocks et Safeheron. Les avantages sont évidents :

• L’ingénierie des algorithmes MPC devient de plus en plus mature sur les blockchains bien connues, et ne doit être réalisée que pour les clés privées.
• Un ensemble d’idées peut résoudre le problème des différentes blockchains ayant des schémas multi-signatures très différents, créant ainsi une expérience utilisateur cohérente, ce que nous appelons souvent : la multi-signature universelle.
• Il peut garantir que la véritable clé privée n'apparaît jamais et résoudre le point de risque unique grâce au calcul multi-signature.
• Combiné avec le Cloud (ou la technologie Web2.0), MPC non seulement est sécurisé, mais crée également une bonne expérience.

Cependant, il existe encore quelques inconvénients :

• Tous les projets open source ne peuvent pas répondre aux normes acceptées de l'industrie. Il reste encore du travail à faire.
• De nombreuses personnes n’utilisent essentiellement qu’Ethereum (ou blockchain basée sur EVM). A ce titre, une solution multi-signature basée sur une approche de contrat intelligent comme Gnosis Safe suffit.

Dans l’ensemble, quel que soit l’outil que vous utilisez, tant que vous vous sentez en sécurité, contrôlable et que vous vivez une bonne expérience, c’est un bon outil.

Jusqu’à présent, nous avons couvert ce dont nous devons être conscients concernant la création de portefeuilles. D'autres problèmes de sécurité généraux seront abordés dans les sections ultérieures.

Sauvegardez votre portefeuille

C’est là que de nombreuses bonnes mains tomberaient dans des pièges, y compris moi-même. Je n'ai pas sauvegardé correctement et je savais que cela arriverait tôt ou tard. Heureusement, ce n'était pas un portefeuille avec une grande quantité d'actifs et des amis de SlowMist m'ont aidé à le récupérer. Pourtant, c’était une expérience effrayante que je pense que personne ne voudrait vivre un jour. Alors attachez votre ceinture et apprenons à sauvegarder votre portefeuille en toute sécurité.

Phrase mnémonique/clé privée

Lorsque nous parlons de sauvegarder un portefeuille, nous parlons essentiellement de sauvegarder la phrase mnémonique (ou la clé privée. Pour plus de commodité, nous utiliserons la phrase mnémonique dans la suite). La plupart des phrases mnémoniques peuvent être classées comme suit :

• Texte brut
• Avec mot de passe
• Multi-signature
• Le partage secret de Shamir, ou SSS en abrégé

Je vais expliquer brièvement chaque type.

Texte brut, Le texte brut est facile à comprendre. Une fois que vous maîtrisez ces 12 mots anglais, vous possédez les actifs du portefeuille. Vous pouvez envisager de procéder à un mélange spécial, ou même de remplacer l'un des mots par autre chose. Les deux augmenteraient la difficulté pour les pirates informatiques de pirater votre portefeuille, cependant, vous auriez un gros mal de tête si vous oubliez les règles. Votre mémoire n'est pas à l'épreuve des balles. Croyez-moi, votre mémoire s'emmêlera après plusieurs années. Il y a quelques années, lorsque j'ai utilisé le portefeuille matériel Ledger, j'ai modifié l'ordre de la phrase mnémonique de 24 mots. Après quelques années, j'ai oublié la commande et je n'étais pas sûr d'avoir remplacé un mot. Comme mentionné précédemment, mon problème a été résolu grâce à un programme spécial de décodage qui utilise la force brute pour deviner la séquence et les mots corrects.

Avec mot de passe, Selon la norme, les phrases mnémoniques peuvent avoir un mot de passe. C'est toujours la même phrase mais avec le mot de passe, une phrase de départ différente sera obtenue. La phrase de départ est utilisée pour dériver une série de clés privées, de clés publiques et d'adresses correspondantes. Vous devez donc non seulement sauvegarder les phrases mnémoniques, mais également le mot de passe. À propos, les clés privées peuvent également avoir un mot de passe et ont leurs propres normes, telles que BIP 38 pour Bitcoin et Keystore pour Ethereum.

Multi-signature, Comme son nom l'indique, il nécessite les signatures de plusieurs personnes pour accéder aux portefeuilles. C'est très flexible car vous pouvez définir vos propres règles. Par exemple, si 3 personnes possèdent la clé (mots mnémoniques ou clés privées), vous pouvez exiger qu'au moins deux personnes signent pour accéder aux portefeuilles. Chaque blockchain possède sa propre solution multi-signature. Les portefeuilles Bitcoin les plus connus prennent en charge la multi-signature. Cependant, dans Ethereum, la multi-signature est principalement prise en charge via des contrats intelligents, tels que Gnosis Safe. De plus, MPC, ou Secure Multi-Party Computation, devient de plus en plus populaire. Il offre une expérience similaire à la multi-signature traditionnelle, mais avec une technologie différente. Contrairement à la multi-signature, MPC est indépendant de la blockchain et peut fonctionner avec tous les protocoles.

SSS, Shamir's Secret Sharing, SSS décompose la graine en plusieurs partages (normalement, chaque partage contient 20 mots). Pour récupérer le portefeuille, un nombre spécifié d'actions doit être collecté et utilisé. Pour plus de détails, reportez-vous aux meilleures pratiques du secteur ci-dessous :

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

L'utilisation de solutions telles que la multi-signature et le SSS vous apportera une tranquillité d'esprit et évitera les risques ponctuels, mais cela pourrait rendre la gestion relativement compliquée et parfois plusieurs parties seront impliquées. Il y a toujours un compromis entre commodité et sécurité. C'est à l'individu de décider mais ne soyez jamais paresseux sur les principes.

Chiffrement

Le chiffrement est un concept très, très vaste. Peu importe que le cryptage soit symétrique, asymétrique ou qu'il utilise d'autres technologies avancées ; tant qu'un message crypté peut être facilement déchiffré par vous ou votre équipe de gestion des urgences, mais par personne d'autre après des décennies, il s'agit d'un bon cryptage.

Sur la base du principe de sécurité « zéro confiance », lorsque nous sauvegardons des portefeuilles, nous devons supposer que n'importe quelle étape peut être piratée, y compris les environnements physiques tels qu'un coffre-fort. Gardez à l’esprit qu’il n’y a personne d’autre que vous-même à qui on peut entièrement faire confiance. En fait, parfois vous ne pouvez même pas vous faire confiance, car vos souvenirs peuvent s'effacer ou être égarés. Cependant, je ne ferai pas tout le temps des hypothèses pessimistes, sinon cela me conduirait à des résultats indésirables.

Lors de la sauvegarde, une attention particulière doit être accordée à la reprise après sinistre. L’objectif principal de la reprise après sinistre est d’éviter un seul point de risque. Que se passerait-il si vous partez ou si l'environnement dans lequel vous stockez la sauvegarde est en panne ? Par conséquent, pour les éléments importants, il doit y avoir une personne chargée de la reprise après sinistre et il doit y avoir plusieurs sauvegardes.

Je ne m'étendrai pas trop sur la manière de choisir la personne chargée de la reprise après sinistre, car cela dépend de la personne en qui vous avez confiance. Je vais me concentrer sur la façon de faire les multi-sauvegardes. Jetons un coup d'œil à quelques formes de base d'emplacements de sauvegarde :

• Nuage
• Papier
• Appareil
• Cerveau

Nuage, Beaucoup de gens ne font pas confiance à la sauvegarde sur le Cloud, ils pensent qu'elle est vulnérable aux attaques de pirates. En fin de compte, tout dépend de quel camp – l’attaquant ou le défenseur – fera le plus d’efforts, tant en termes d’effectifs que de budgets. Personnellement, j'ai confiance dans les services cloud proposés par Google, Apple, Microsoft, etc., car je sais à quel point leurs équipes de sécurité sont solides et combien elles ont dépensé en sécurité. En plus de lutter contre les hackers externes, je me soucie également beaucoup du contrôle des risques de sécurité interne et de la protection des données privées. Les quelques prestataires de services en qui j'ai confiance font un travail relativement meilleur dans ces domaines. Mais rien n'est absolu. Si je choisis l'un de ces services cloud pour sauvegarder des données importantes (telles que les portefeuilles), je chiffrerai certainement les portefeuilles au moins une fois de plus.

Je recommande fortement de maîtriser GPG. Il peut être utilisé pour la « vérification de signature » et offre en même temps une sécurité renforcée de cryptage et de déchiffrement. Vous pouvez en savoir plus sur GPG sur :

https://www.ruanyifeng.com/blog/2013/07/gpg.html

D'accord, vous maîtrisez GPG 🙂 Maintenant que vous avez crypté les données associées dans votre portefeuille (phrase mnémonique ou clé privée) avec GPG dans un environnement sécurisé hors ligne, vous pouvez désormais lancer les fichiers cryptés directement dans ces services cloud et les enregistrer là-bas. Tout ira bien. Mais je dois vous le rappeler ici : ne perdez jamais la clé privée de votre GPG ni n’oubliez le mot de passe de la clé privée…

À ce stade, vous pourriez trouver ce niveau de sécurité supplémentaire assez gênant : vous devez vous renseigner sur GPG et sauvegarder votre clé privée et vos mots de passe GPG. En réalité, si vous avez effectué toutes les étapes mentionnées ci-dessus, vous connaissez déjà le processus et ne le trouverez pas aussi difficile ou gênant. Je n’en dirai pas plus car la pratique rend parfait.

Si vous souhaitez économiser des efforts, il existe une autre possibilité, mais sa sécurité peut être réduite. Je ne peux pas mesurer la remise exacte, mais parfois je serais paresseux lorsque j'utiliserais des outils d'assistance bien connus. Cet outil est 1Password. La dernière version de 1Password prend déjà en charge le stockage direct des données liées au portefeuille, telles que les mots mnémoniques, les mots de passe, les adresses de portefeuille, etc., ce qui est pratique pour les utilisateurs. D'autres outils (tels que Bitwarden) peuvent réaliser quelque chose de similaire, mais ils ne sont pas aussi pratiques.

Papier, De nombreux portefeuilles matériels sont livrés avec plusieurs cartes papier de haute qualité sur lesquelles vous pouvez écrire vos phrases mnémoniques (en clair, SSS, etc.). En plus du papier, certaines personnes utilisent également des plaques d'acier (résistantes au feu, à l'eau et à la corrosion, bien sûr, je ne les ai pas essayées). Testez-le après avoir copié les phrases mnémoniques et si tout fonctionne, placez-le dans un endroit où vous vous sentez en sécurité, comme dans un coffre-fort. Personnellement, j’aime beaucoup utiliser le papier car s’il est correctement stocké, le papier a une durée de vie beaucoup plus longue que l’électronique.

Appareil, Il fait référence à toutes sortes d’équipements ; les appareils électroniques sont un type courant de sauvegarde, comme un ordinateur, un iPad, un iPhone ou un disque dur, etc., selon les préférences personnelles. Nous devons également penser à la transmission sécurisée entre les appareils. Je me sens à l'aise avec les méthodes peer-to-peer telles que AirDrop et USB, où il est difficile pour un intermédiaire de détourner le processus. Je suis naturellement inquiet du fait que les équipements électroniques peuvent tomber en panne après quelques années, c'est pourquoi je garde l'habitude de vérifier l'appareil au moins une fois par an. Il existe certaines étapes répétées (telles que le cryptage) auxquelles vous pouvez vous référer à la section Cloud.

Cerveau, S'appuyer sur sa mémoire est passionnant. En fait, chacun a son propre « palais de la mémoire ». La mémoire n’est pas mystérieuse et peut être entraînée pour mieux fonctionner. Il y a certaines choses qui sont effectivement plus sûres avec la mémoire. S'appuyer uniquement sur le cerveau est un choix personnel. Mais attention à deux risques : d'une part, la mémoire s'efface au fil du temps et peut prêter à confusion ; l'autre risque est que vous ayez un accident. Je vais m'arrêter ici et vous laisser explorer davantage.

Maintenant, vous êtes tous sauvegardés. Ne cryptez pas trop, sinon vous souffrirez de vous-même au bout de plusieurs années. Selon le principe de sécurité de « vérification continue », vos méthodes de cryptage et de sauvegarde, excessives ou non, doivent être vérifiées en permanence, aussi bien régulièrement que aléatoirement. La fréquence de vérification dépend de votre mémoire et vous n'êtes pas obligé de terminer tout le processus. Tant que le processus est correct, une vérification partielle fonctionne également. Enfin, il faut également prêter attention à la confidentialité et à la sécurité du processus d’authentification.

D'accord, respirons profondément ici. Le démarrage est la partie la plus difficile. Maintenant que vous êtes prêt, entrons dans cette sombre forêt 🙂

Comment utiliser votre portefeuille

Une fois que vous avez créé et sauvegardé vos portefeuilles, vient le véritable défi. Si vous ne déplacez pas fréquemment vos actifs ou si vous interagissez à peine avec des contrats intelligents de DeFi, NFT, GameFi ou Web3, le terme populaire fréquemment évoqué de nos jours, vos actifs devraient être relativement sûrs.

LBC

Cependant, « relativement sûr » ne signifie pas « aucun risque ». Parce que « on ne sait jamais ce qui arrive en premier, demain ou les accidents », n'est-ce pas ?. Pourquoi ? Pensez-y, où avez-vous obtenu la crypto-monnaie ? Cela n’est pas venu de nulle part, n’est-ce pas ? Vous pouvez rencontrer à tout moment l’AML (Anti Money Laundering) sur toutes les crypto-monnaies que vous obtenez. Cela signifie que la crypto-monnaie que vous détenez actuellement peut être sale, et si vous n'êtes pas chanceux, elle peut même être gelée directement sur la chaîne. Selon des rapports publics, Tether a déjà gelé certains actifs de l'USDT à la demande des forces de l'ordre. La liste des fonds gelés peut être consultée ici.

https://dune.xyz/phabc/usdt—banned-addresses

Vous pouvez vérifier si une adresse est gelée par Tether du contrat USDT.

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

Utilisez l'adresse du portefeuille cible comme entrée int isBlackListed pour vérifier. Les autres chaînes qui acceptent l'USDT ont une méthode de vérification similaire.

Cependant, vos BTC et ETH ne devraient jamais être gelés. Si cela se produisait un jour dans le futur, la croyance en la décentralisation s’effondrerait également. La plupart des cas de gel d’actifs de crypto-monnaie dont nous avons entendu parler aujourd’hui se sont en réalité produits sur des plateformes centralisées (telles que Binance, Coinbase, etc.), mais pas sur la blockchain. Lorsque votre cryptomonnaie reste sur des plateformes d’échange centralisé, vous n’en possédez aucune. Lorsque les plateformes centralisées gèlent votre compte, elles révoquent en fait votre autorisation d'échanger ou de retirer. Le concept de gel pourrait être trompeur pour les débutants dans le domaine. En conséquence, certains médias imprudents propageraient toutes sortes de théories du complot sur BitCoin.

Bien que vos actifs BTC et ETH ne soient pas gelés sur la blockchain, les échanges centralisés peuvent geler vos actifs conformément aux exigences de l'AML une fois que vos actifs sont transférés sur ces plates-formes et qu'ils sont impliqués dans toutes les affaires ouvertes sur lesquelles les forces de l'ordre travaillent.

Pour mieux éviter les problèmes AML, choisissez toujours comme contrepartie des plateformes et des individus jouissant d’une bonne réputation. Il existe en fait quelques solutions à ce type de problème. Par exemple, sur Ethereum, presque tous les méchants et les personnes très soucieuses de leur vie privée utilisent Tornado Cash pour mélanger des pièces. Je n'approfondirai pas ce sujet puisque la plupart des méthodes ici sont utilisées pour faire le mal.

Portefeuille froid

Il existe différentes manières d’utiliser un cold wallet. Du point de vue d'un portefeuille, il peut être considéré comme un portefeuille froid tant qu'il n'est connecté à aucun réseau. Mais comment l’utiliser hors ligne ? Tout d’abord, si vous souhaitez simplement recevoir de la cryptomonnaie, ce n’est pas grave. Un portefeuille froid pourrait offrir une excellente expérience en travaillant avec un portefeuille de montre uniquement, tel que imToken, Trust Wallet, etc. Ces portefeuilles pourraient être transformés en portefeuilles de montre uniquement en ajoutant simplement des adresses de portefeuille cibles.

Si nous voulons envoyer des crypto-monnaies à l’aide de portefeuilles froids, voici les moyens les plus couramment utilisés :

• QR Code
• USB
• Bluetooth

Tous ces éléments nécessitent une application dédiée (appelée Light App ici) pour fonctionner avec le portefeuille froid. L'application Light sera en ligne avec le portefeuille Watch uniquement susmentionné. Une fois que nous aurons compris le principe essentiel sous-jacent, nous devrions être capables de comprendre ces approches. Le principe essentiel est le suivant : à terme, il s'agit simplement de trouver comment diffuser le contenu signé sur la blockchain. Le processus détaillé est le suivant :

• Le contenu à signer est transmis par la Light App au Cold Wallet par l’un de ces moyens.
• La signature est traitée par le portefeuille froid qui possède la clé privée puis transmise à l'application Light de la même manière.
• La Light App diffuse le contenu signé sur la blockchain.

Ainsi, quelle que soit la méthode utilisée, code QR, USB ou Bluetooth, elle doit suivre le processus ci-dessus. Bien entendu, les détails peuvent varier selon les différentes méthodes. Par exemple, le code QR a une capacité d'information limitée, donc lorsque les données de signature sont trop volumineuses, nous devrions les diviser.

Cela semble un peu gênant, mais cela s'améliore quand on s'y habitue. Vous ressentiriez même un sentiment de sécurité total. Cependant, ne considérez pas 100% comme sécurisé car il existe encore des risques ici, et il y a eu de nombreux cas de lourdes pertes à cause de ces risques. Voici les points à risque :

• L'adresse cible du transfert de pièces n'a pas été soigneusement vérifiée, ce qui a entraîné le transfert de la pièce à quelqu'un d'autre. Les gens sont parfois paresseux et insouciants. Par exemple, la plupart du temps, ils ne vérifient que quelques bits de début et de fin d’une adresse de portefeuille au lieu de vérifier entièrement l’adresse entière. Cela laisse une porte dérobée aux méchants. Ils exécuteront des programmes pour obtenir l'adresse du portefeuille avec les mêmes premiers et derniers bits que votre adresse cible souhaitée, puis remplaceront votre adresse cible de transfert de pièces par celle sous leur contrôle en utilisant quelques astuces.
• Les pièces sont autorisées à des adresses inconnues. Habituellement, l'autorisation est le mécanisme des jetons de contrat intelligent Ethereum, la fonction « approuver », un argument étant l'adresse d'autorisation cible et l'autre étant la quantité. Beaucoup de gens ne comprennent pas ce mécanisme, ils peuvent donc autoriser un nombre illimité de jetons à l'adresse cible, auquel cas l'adresse cible a la permission de transférer tous ces jetons. C’est ce qu’on appelle le vol autorisé de pièces de monnaie, et il existe d’autres variantes de cette technique, mais je n’en parlerai pas ici.
• Certaines signatures qui ne semblent pas importantes ont en fait d'énormes pièges au dos, et je n'entrerai pas dans les détails maintenant, mais j'expliquerai les détails plus tard.
• Le portefeuille froid n'a peut-être pas fourni suffisamment d'informations nécessaires, ce qui vous a amené à être imprudent et mal jugé.

Tout se résume à deux points :

• Le mécanisme de sécurité de l’interaction utilisateur « Ce que vous voyez est ce que vous signez » est manquant.
• Manque de connaissances de base pertinentes de l’utilisateur.

Portefeuille chaud

Comparé à un portefeuille froid, un portefeuille chaud présente pratiquement tous les risques qu'un portefeuille froid comporterait. De plus, il y en a un de plus : le risque de vol de la phrase secrète (ou de la clé privée). À ce stade, d’autres problèmes de sécurité doivent être pris en compte avec les hot wallets, tels que la sécurité de l’environnement d’exécution. S'il existe des virus associés à l'environnement d'exécution, il existe un risque de vol. Il existe également des portefeuilles chauds qui présentent certaines vulnérabilités grâce auxquelles la phrase secrète peut être directement volée.

En plus de la fonction habituelle de transfert de pièces, si vous souhaitez interagir avec d'autres DApps (DeFi, NFT, GameFi, etc.), vous devez soit y accéder directement avec votre propre navigateur, soit interagir avec les DApps ouvertes dans le navigateur de votre PC via le protocole WalletConnect.

Remarque : les références des DApp dans ce manuel font référence par défaut aux projets de contrats intelligents exécutés sur les blockchains Ethereum.

Par défaut, de telles interactions n’entraînent pas de vol de phrases secrètes, à moins qu’il n’y ait un problème avec la conception même de la sécurité du portefeuille. D'après nos audits de sécurité et notre historique de recherches en matière de sécurité, il existe un risque que des phrases secrètes du portefeuille soient volées directement par du JavaScript malveillant sur la page cible. Cependant, il s’agit d’un cas rare, car il s’agit en fait d’une erreur extrêmement mineure qu’aucun portefeuille bien connu n’est susceptible de commettre.

Aucune de ces préoccupations ne sont réellement mes préoccupations ici, elles sont gérables pour moi (et pour vous aussi). Ma plus grande préoccupation est la suivante : comment chaque itération d'un portefeuille bien connu garantit-elle qu'aucun code malveillant ou porte dérobée n'est implanté ? L'implication de cette question est claire : j'ai vérifié que la version actuelle du portefeuille ne présente aucun problème de sécurité et je suis à l'aise avec son utilisation, mais je ne sais pas dans quelle mesure la prochaine version sera sécurisée. Après tout, moi ou mon équipe de sécurité ne pouvons pas disposer de beaucoup de temps et d'énergie pour effectuer toutes les vérifications.

Il y a eu plusieurs incidents de vol de pièces causés par un code malveillant ou des portes dérobées comme décrit ici, tels que CoPay, AToken, etc. Vous pouvez rechercher vous-même les incidents spécifiques.

Dans ce cas, il existe plusieurs manières de faire le mal :

• Lorsque le portefeuille est en cours d'exécution, le code malveillant regroupe et télécharge la phrase secrète correspondante directement sur le serveur contrôlé par les pirates.
• Lorsque le portefeuille est en cours d'exécution et que l'utilisateur lance un transfert, des informations telles que l'adresse cible et le montant sont secrètement remplacées dans le backend du portefeuille, et il est difficile pour l'utilisateur de le remarquer.
• Corrompre les valeurs d'entropie des nombres aléatoires associées à la génération de phrases secrètes, ce qui les rend relativement faciles à déchiffrer.

La sécurité est une question d’ignorance et de connaissance, et de nombreux éléments pourraient facilement être ignorés ou négligés. Donc pour les portefeuilles qui détiennent des actifs importants, ma règle de sécurité est également simple : pas de mises à jour faciles quand c'est suffisant pour l'utiliser.

Qu'est-ce que la sécurité DeFi

Quand on parle de DApp, il peut s'agir de DeFi, NFT ou GameFi etc. Les fondamentaux de sécurité de ceux-ci sont pour la plupart les mêmes, mais ils auront leurs spécificités respectives. Prenons d'abord DeFi comme exemple pour expliquer. Lorsque nous parlons de sécurité DeFi, que voulons-nous dire exactement ? Les acteurs du secteur ne s’intéressent presque toujours qu’aux contrats intelligents. Il semble que lorsque les contrats intelligents sont bons, tout ira bien. En fait, c'est loin d'être vrai.

La sécurité DeFi comprend au moins les composants suivants :

• Sécurité des contrats intelligents
• Sécurité de la Fondation Blockchain
• Sécurité frontale
• Sécurité des communications
• Sécurité humaine
• Sécurité financière
• Sécurité de la conformité

Sécurité des contrats intelligents

La sécurité des contrats intelligents est en effet le point d'entrée le plus important pour l'audit de sécurité, et les normes d'audit de sécurité de SlowMist pour les contrats intelligents peuvent être consultées à l'adresse :

https://www.slowmist.com/service-smart-contract-security-audit.html

Pour les acteurs avancés, si la sécurité de la partie du contrat intelligent elle-même est contrôlable (qu'ils puissent s'auto-auditer ou comprendre les rapports d'audit de sécurité émis par des organisations professionnelles), alors peu importe si les autres parties sont sécurisées. Contrôlable est un concept délicat, dont une partie dépend de la force du joueur. Par exemple, les acteurs ont certaines exigences concernant le risque lié à une autorité excessive en matière de contrats intelligents. Si le projet lui-même est solide et que les personnes qui le soutiennent ont une bonne réputation, une centralisation complète n’aurait pas d’importance. Cependant, pour les projets moins connus, controversés ou émergents, si vous réalisez que les contrats intelligents du projet comportent un risque d'autorisation excessif, surtout si de telles autorisations peuvent également affecter votre capital ou vos revenus, vous serez certainement réticent.

Le risque d’une autorisation excessive est très subtil. Dans de nombreux cas, il est en place pour que l'administrateur du projet mène la gouvernance et la gestion des risques pertinents. Mais pour les utilisateurs, il s’agit d’un test sur la nature humaine. Et si l'équipe décidait de faire le mal ? Il existe donc une pratique de compromis dans l'industrie : ajouter Timelock pour atténuer les risques d'autorisation excessive, par exemple :

Compound, un projet DeFi établi et bien connu, les principaux modules de contrats intelligents Contrôleur et Gouvernance, ont tous deux un mécanisme Timelock ajouté à leur autorisation d'administrateur :
Contrôleur(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Gouvernance(0xc0da02939e1441f497fd74f78ce7decb17b66529)
L'administrateur de ces 2 modules est
Verrouillage horaire (0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

Vous pouvez directement découvrir sur chaîne que le Timelock (délai variable) est de 48 heures (172 800 secondes) :

C'est-à-dire que si l'administrateur de Compound doit modifier certaines variables clés du contrat intelligent cible, la transaction sera enregistrée après son lancement sur la blockchain, mais il faudra attendre 48 heures avant que la transaction puisse être finalisée et exécutée. Cela signifie que si vous le souhaitez, vous pouvez auditer chaque opération depuis l'administrateur et vous aurez au moins 48 heures pour agir. Par exemple, si vous n’êtes pas sûr, vous pouvez retirer vos fonds dans les 48 heures.

Une autre façon d'atténuer le risque d'autorisation excessive de l'administrateur consiste à ajouter des signatures multiples, par exemple en utilisant Gnosis Safe pour la gestion multisig, afin qu'il n'y ait au moins pas de dictateur. Il convient de noter ici que le multisig peut être « les nouveaux habits de l'empereur ». Par exemple, une personne peut détenir plusieurs clés. Par conséquent, la stratégie multisig du projet cible doit être clairement énoncée. Qui détient les clés et l'identité de chaque détenteur de clé doit être fiable.

Il convient de mentionner ici que toute stratégie de sécurité peut conduire au problème des « habits neufs de l'empereur ». La stratégie peut sembler bien faite, mais ne l'est pas en réalité, ce qui donne lieu à une illusion de sécurité. Prenons un autre exemple, Timelock a l'air bien sur le papier. En fait, il y a eu des cas où Timelock déployé par certains projets avait des portes dérobées. Généralement, les utilisateurs ne regardent pas le code source de Timelock, et ils ne le comprendraient pas nécessairement même s'ils le faisaient, donc l'administrateur y met une porte dérobée, et personne ne le remarquera vraiment pendant assez longtemps.

Outre le risque d’autorisation excessive, d’autres éléments de sécurité des contrats intelligents sont également essentiels. Cependant, je ne m’étendrai pas ici, compte tenu des prérequis à la compréhension. Voici mon conseil : vous devriez au moins apprendre à lire le rapport d’audit de sécurité, et la pratique rend parfait.

Sécurité de la Fondation Blockchain

La sécurité des fondations de la blockchain fait référence à la sécurité de la blockchain elle-même, comme la sécurité du grand livre consensuel, la sécurité des machines virtuelles, etc. Si la sécurité de la blockchain elle-même est inquiétante, les projets de contrats intelligents exécutés sur la chaîne en souffriraient directement. Il est très important de choisir une blockchain avec un mécanisme de sécurité et une réputation suffisants, et mieux avec une probabilité de longévité plus élevée.

Sécurité frontale

La sécurité frontale est vraiment le diable. Il est trop proche des utilisateurs et il est particulièrement facile de les tromper. Peut-être que tout le monde se concentre principalement sur la sécurité du portefeuille et des contrats intelligents, ce qui fait que la sécurité du front-end est facilement négligée. Je tiens à souligner à nouveau que la sécurité frontale est le diable ! Permettez-moi de creuser plus profondément.

Ma plus grande préoccupation concernant la sécurité du front-end est la suivante : comment puis-je savoir que le contrat avec lequel j'interagis à partir de cette page front-end spécifique est le contrat intelligent que j'attends ?

Cette insécurité est principalement due à deux facteurs :

• Travail intérieur
• Tierce personne

Il est simple de comprendre le travail interne. Par exemple, les développeurs remplacent secrètement l'adresse du contrat intelligent cible dans la page d'interface par une adresse de contrat dotée d'une porte dérobée, ou implantent un script de phishing d'autorisation. Lorsque vous visitez cette page frontale truquée, une série d’opérations ultérieures impliquant des cryptos dans votre portefeuille peut être effectuée dans un piège. Avant que vous ne vous en rendiez compte, les pièces auraient déjà disparu.

Le tiers fait principalement référence à deux types :

• La première est que la chaîne des dépendances est infiltrée. Par exemple, la dépendance tierce utilisée par la page frontale a une porte dérobée qui est introduite dans la page frontale cible avec l'empaquetage et la version. Voici la structure de dépendance du package de SushiSwap (à titre d'illustration uniquement, cela ne signifie pas nécessairement que le projet dans la capture d'écran présente un tel problème) :
  

• L'autre exemple concerne les fichiers JavaScript distants tiers importés par la page frontend. Si ce fichier JavaScript est piraté, il est possible que la page frontale cible soit également affectée, comme OpenSea (à titre d'illustration uniquement, cela ne signifie pas nécessairement que le projet dans la capture d'écran présente un tel problème) :
  

La raison pour laquelle nous avons dit que c'était tout simplement possible, mais pas certainement, est que le risque pourrait être atténué si les développeurs faisaient référence à un fichier JavaScript distant tiers sur la page d'interface de la manière suivante :

<script src=”https://example.com/example-framework.js« intégrité = »sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin="anonyme">

Le point clé ici est un joli mécanisme de sécurité du HTML5 : l'attribut d'intégrité dans les balises (mécanisme SRI). l'intégrité prend en charge SHA256, SHA384 et SHA512. Si les fichiers JavaScript tiers ne répondent pas au contrôle d'intégrité du hachage, les fichiers ne seront pas chargés. Cela peut être un bon moyen d’empêcher l’exécution involontaire de code. Cependant, l’utilisation de ce mécanisme nécessite que la ressource cible prenne en charge la réponse CORS. Pour plus de détails, reportez-vous à ce qui suit :

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

Sécurité des communications

Concentrons-nous sur la sécurité HTTPS dans cette section. Premièrement, le site Web cible doit utiliser HTTPS et la transmission de texte brut HTTP ne doit jamais être autorisée. En effet, la transmission de texte brut HTTP est trop facile pour être détournée par des attaques de l'homme du milieu. De nos jours, HTTPS est un protocole de transmission sécurisé très courant. S'il y a une attaque de l'homme du milieu sur HTTPS et que les attaquants ont injecté du JavaScript malveillant dans le front-end de l'application Web, une alerte d'erreur de certificat HTTPS très évidente s'affichera dans le navigateur de l'utilisateur.

Utilisons l'incident MyEtherWallet comme exemple pour illustrer ce point.

MyEtherWallet était autrefois un portefeuille d'applications Web très populaire, et jusqu'à présent, il est toujours très connu. Cependant, il ne s'agit plus simplement d'un portefeuille d'applications Web. Comme mentionné précédemment, je déconseille fortement l'utilisation de portefeuilles d'applications Web pour des raisons de sécurité. Outre divers problèmes liés à la sécurité frontale, le piratage HTTPS constitue également un risque potentiel important.

Le 24 avril 2018, il y a eu un incident de sécurité majeur de piratage HTTPS dans MyEtherWallet. Le récapitulatif de l'incident peut être trouvé ici :

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

Lors de l'attaque, le pirate informatique a détourné le service DNS (Google Public DNS) utilisé par un grand nombre d'utilisateurs de MyEtherWallet via BGP, un ancien protocole de routage, ce qui a directement conduit à l'affichage d'alertes d'erreur HTTPS dans le navigateur de chaque utilisateur lorsqu'il tentait de visiter le site. Site Web MyEtherWallet. En fait, les utilisateurs devraient s’arrêter lorsqu’ils voient cette alerte, car elle indique essentiellement que la page Web cible a été piratée. Cependant, en réalité, de nombreux utilisateurs ont rapidement ignoré l'alerte et ont continué leurs interactions avec le site piraté, car ils ne comprenaient pas du tout le risque de sécurité derrière l'alerte d'erreur HTTPS.

Étant donné que la page Web cible a été piratée et que le pirate informatique y a injecté du JavaScript malveillant, lors de l'interaction des utilisateurs, les pirates auraient réussi à voler leur clé privée en clair et à transférer leurs fonds (principalement ETH).

Il s’agit certainement d’un cas classique où les pirates ont utilisé des techniques de détournement BGP pour voler des cryptomonnaies. C'est juste exagéré. Par la suite, plusieurs cas similaires se sont produits et je ne les évoquerai pas en détail ici. Pour l'utilisateur, il n'y a qu'une seule chose qui mérite vraiment attention : si jamais vous décidez d'utiliser un portefeuille d'application Web ou si vous essayez d'interagir avec un DApp, assurez-vous toujours d'arrêter et de fermer la page chaque fois que vous voyez une alerte d'erreur de certificat HTTPS ! Et vos fonds iront bien. Il existe une cruelle réalité en matière de sécurité : lorsqu'il y a un risque, ne laissez aucun choix aux utilisateurs. Comme si vous le faisiez, il y aura toujours des utilisateurs qui tomberont dans le piège pour quelque raison que ce soit. En fait, l’équipe du projet doit assumer la responsabilité. À l’heure actuelle, il existe déjà des solutions de sécurité très efficaces au problème de piratage HTTPS mentionné ci-dessus : l’équipe du projet doit configurer correctement HSTS. HSTS signifie HTTP Strict Transport Security ; il s'agit d'un mécanisme de politique de sécurité Web pris en charge par la plupart des navigateurs modernes. Si HSTS est activé, en cas d'erreur de certificat HTTPS, le navigateur forcera les utilisateurs à cesser d'accéder aux applications Web cibles et la restriction ne pourra pas être contournée. Maintenant, tu comprends ce que je veux dire ?

Sécurité de la nature humaine

Cette section est facile à comprendre. Par exemple, l’équipe du projet est mal intentionnée et agit de manière malhonnête. J'ai mentionné certains contenus pertinents dans les sections précédentes, je n'entrerai donc pas ici dans plus de détails. Plus d’informations seront abordées dans les sections ultérieures.

Sécurité financière

La sécurité financière doit être profondément respectée. Dans DeFi, les utilisateurs accordent la plus grande attention au prix et au retour des jetons. Ils veulent un retour sur investissement supérieur, ou du moins stable. En d’autres termes, en tant qu’utilisateur, je joue au jeu pour gagner et si je perds, je dois au moins être convaincu que c’est un jeu équitable. C'est juste la nature humaine.

La sécurité financière dans DeFi est sensible aux attaques sous les formes suivantes :

• Pratiques de lancement déloyales telles que le pré-minage ou la prévente ;
• Attaque de crypto-baleine ;
• Pomper et vider ;
• Des événements de type cygne noir, comme une chute soudaine du marché ; ou disons qu'un protocole DeFi est imbriqué ou interopéré avec d'autres DeFi/Tokens, sa sécurité/fiabilité dépendra fortement des autres protocoles
• Autres attaques techniques ou ce que nous appelons techniques scientifiques telles que les attaques frontales, les attaques sandwich, les attaques de prêt flash, etc.

Les exigences de conformité

Les exigences de conformité sont un sujet très important, la lutte contre le blanchiment d’argent mentionnée précédemment n’est qu’un des points. Il y a aussi des aspects comme le KYC (Know Your Customer), les sanctions, les risques liés aux titres, etc. En fait, pour nous, utilisateurs, ce ne sont pas quelque chose sous notre contrôle. Lorsque nous interagissons avec un certain projet, comme il peut être soumis aux réglementations en vigueur dans certains pays, nos informations confidentielles peuvent être collectées. Vous ne vous souciez peut-être pas de ces problèmes de confidentialité, mais il y a des gens qui s'en soucient.

Par exemple, début 2022, il y a eu un petit incident : certains portefeuilles ont décidé de prendre en charge le protocole AOPP (Address Ownership Proof Protocol) :

J'ai jeté un œil à la conception du protocole, il s'est avéré que les portefeuilles prenant en charge l'AOPP pourraient divulguer la confidentialité des utilisateurs. Les régulateurs pourraient découvrir l’interconnexion entre un échange cryptographique réglementé et une adresse de portefeuille externe inconnue.

https://gitlab.com/aopp/address-ownership-proof-protocol

Il n'est pas étonnant que de nombreux portefeuilles axés sur la confidentialité soient si préoccupés par les commentaires des utilisateurs et suppriment rapidement le support AOPP de leurs produits. Mais pour être honnête : la conception du protocole est assez intéressante. J'ai remarqué que certains portefeuilles n'ont pas l'intention de supprimer la prise en charge de l'AOPP, comme EdgeWallet. Leur opinion est que l’AOPP ne révèle pas nécessairement davantage de confidentialité aux utilisateurs, mais contribue au contraire à améliorer la circulation des crypto-monnaies. Dans de nombreux échanges cryptographiques réglementés, les utilisateurs ne sont pas autorisés à effectuer des retraits vers une adresse de portefeuille externe particulière, avant de pouvoir prouver qu'ils en sont propriétaires.

Au début, le célèbre portefeuille matériel Trezor a refusé de supprimer le support AOPP. Mais plus tard, il a été contraint de faire des compromis, sous la pression de la communauté et des utilisateurs de Twitter.

Comme vous pouvez le constater, il s’agit d’un tout petit incident, mais pour certaines personnes, la vie privée est très importante. Cela ne veut pas dire que nous devrions aller à l’encontre des réglementations et ignorer totalement les exigences de conformité. En fait, je crois qu'il est nécessaire de faire un certain niveau de compromis quant aux exigences de conformité. Nous ne continuerons pas à approfondir ce sujet, n'hésitez pas à digérer le contenu à votre manière.

Jusqu'à présent, nous avons couvert la majorité du contenu de la section DeFi Security.

De plus, des problèmes de sécurité sont également introduits par les futurs ajouts ou mises à jour. Nous disons souvent que « la posture de sécurité est dynamique et non statique ». Par exemple, de nos jours, la plupart des équipes de projet effectuent des audits de sécurité et présentent des rapports d'audit de sécurité clairs. Si jamais vous lisez attentivement les rapports de bonne qualité, vous remarquerez que ces rapports expliqueront clairement la portée, le calendrier et l'identifiant unique du contenu audité (par exemple l'adresse du contrat intelligent open source vérifiée, ou l'adresse de validation sur le dépôt GitHub, ou le hachage du fichier de code source cible). Autrement dit, le rapport est statique, mais si dans un projet vous avez observé des écarts par rapport à ce qui est mentionné dans le rapport, vous pouvez le signaler.

Sécurité NFT

Tous les contenus mentionnés précédemment sur la sécurité DeFi peuvent être appliqués à la sécurité NFT, et NFT lui-même comporte quelques sujets de sécurité très spécifiques et uniques, par exemple :

• Sécurité des métadonnées
• Sécurité des signatures

Les métadonnées font principalement référence aux images intégrées, aux films et à d’autres contenus. Il est recommandé de se référer à OpenSea sur les standards spécifiques :

https://docs.opensea.io/docs/metadata-standards

Deux problèmes de sécurité principaux peuvent survenir ici :

• La première est que l’URI où se trouve l’image (ou le film) peut ne pas être fiable. Il peut s'agir simplement d'un service centralisé sélectionné au hasard, d'une part il n'y a aucune garantie de disponibilité, d'autre part l'équipe du projet peut modifier les images à volonté, ainsi le NFT ne deviendra plus un « objet de collection numérique » immuable. Il est généralement recommandé d'utiliser des solutions de stockage centralisées telles que IPFS, Arweave et de sélectionner un service de passerelle URI bien connu.
• Un autre problème est le risque de fuite de données confidentielles. Un service URI sélectionné au hasard peut capturer les informations de base de l'utilisateur (telles que l'adresse IP, l'agent utilisateur, etc.)

La sécurité des signatures est une autre préoccupation majeure ici, et nous l'illustrerons ci-dessous.

SOYEZ PRUDENT lors de la signature !

La sécurité des signatures est quelque chose que je tiens à mentionner spécifiquement car il existe TELLEMENT de pièges et vous devez être prudent à tout moment. Il y a eu plusieurs incidents, notamment sur le trading de NFT. Cependant, j’ai remarqué que peu de gens comprennent comment se préparer et gérer de tels problèmes de sécurité. La raison sous-jacente est que peu de gens ont jamais exposé le problème suffisamment clairement.

Le principe de sécurité N°1 et le plus important en matière de sécurité des signatures est : Ce que vous voyez, c'est ce que vous signez. Autrement dit, le message contenu dans la demande de signature que vous avez reçue correspond à ce à quoi vous devez vous attendre après la signature. Après l’avoir signé, le résultat devrait être celui auquel vous vous attendiez plutôt que quelque chose que vous regretteriez.

Certains détails sur la sécurité des signatures ont été mentionnés dans la section « Cold Wallet ». Si vous ne vous en souvenez pas, je vous suggère de revoir cette section. Dans cette section, nous nous concentrerons sur d’autres aspects.

Il y a eu plusieurs piratages NFT bien connus sur OpenSea vers 2022. Le 20 février 2022, il y a eu une épidémie majeure. Les causes profondes sont :

• Les utilisateurs ont signé les demandes d'inscription NFT sur OpenSea.
• Les pirates ont procédé à un hameçonnage pour obtenir les signatures pertinentes des utilisateurs.

Il n’est en fait pas difficile pour les pirates d’obtenir la signature correspondante. Le pirate informatique doit 1). construire le message à signer, 2). hachez-le, 3). tromper l'utilisateur cible pour qu'il signe la demande (ce serait une signature aveugle, ce qui signifie que les utilisateurs ne savent pas réellement ce qu'ils signent), 4). obtenir le contenu signé et construire les données. À ce stade, l'utilisateur a été piraté.

J'utiliserai Opensea comme exemple (en réalité, il pourrait s'agir de N'IMPORTE QUEL marché NFT). Une fois que l'utilisateur cible a autorisé l'opération de cotation NFT sur le marché, le pirate informatique construirait le message à signer. Après l'avoir haché avec Keccak256, une demande de signature apparaîtrait sur la page de phishing. Les utilisateurs verraient quelque chose comme ce qui suit :

Regarder attentivement. Quel type d'informations pouvons-nous obtenir de cette fenêtre contextuelle MetaMask ? Informations sur le compte et solde du compte, le site Web source d'où provient la demande de signature, le message que les utilisateurs sont sur le point de signer et… rien d'autre. Comment les utilisateurs pourraient-ils soupçonner que la catastrophe est déjà en marche ? Et comment pourraient-ils se rendre compte qu’une fois qu’ils cliqueraient sur le bouton « Signer », leurs NFT seraient volés.

Il s'agit en fait d'un exemple de signature aveugle. Les utilisateurs ne sont pas tenus de se connecter sur le marché NFT. Au lieu de cela, les utilisateurs peuvent être amenés à signer le message sur n'importe quel site Web de phishing sans comprendre pleinement la signification et les conséquences réelles de ces signatures. Malheureusement, les pirates le savent. En tant qu'utilisateur, gardez simplement à l'esprit : NE JAMAIS SIGNER RIEN À L'AVEUGLE. OpenSea avait autrefois un problème de signature aveugle, et ils l'ont résolu en adoptant EIP-712 après le 20 février 2022. Cependant, sans signature aveugle, les utilisateurs pourraient toujours être négligents et piratés d'une autre manière.

La raison la plus essentielle pour laquelle cela se produit est que la signature n'est pas limitée au respect de la politique de même origine du navigateur. Vous pouvez simplement le comprendre comme suit : la politique de même origine peut garantir qu'une action ne se produit que dans un domaine spécifique et ne traversera pas les domaines, à moins que l'équipe du projet ne souhaite intentionnellement que le croisement de domaines se produise. Si la signature suit la politique de même origine, même si l'utilisateur signe une demande de signature générée par le domaine non cible, les pirates ne peuvent pas utiliser la signature pour des attaques sous le domaine cible. Je m'arrêterai ici avant d'entrer dans plus de détails. J'ai remarqué de nouvelles propositions d'amélioration de la sécurité au niveau du protocole, et j'espère que cette situation pourra être améliorée le plus rapidement possible.

Nous avons mentionné la plupart des principaux formats d’attaque pouvant survenir lors de la signature d’un message, mais il existe en réalité de nombreuses variantes. Aussi différents qu’ils soient, ils suivent des schémas similaires. La meilleure façon de les comprendre est de reproduire vous-mêmes une attaque du début à la fin, voire de créer des méthodes d’attaque uniques. Par exemple, l'attaque par demande de signature mentionnée ici contient en fait de nombreux détails, tels que la façon de construire le message à signer et qu'est-ce qui est généré exactement après la signature ? Existe-t-il des méthodes d'autorisation autres que « Approuver » (oui, par exemple : augmenterAllowance). Eh bien, ce serait trop technique si nous développions ici. La bonne nouvelle est que vous devez déjà comprendre l’importance de signer un message.

Les utilisateurs peuvent empêcher de telles attaques à la source en annulant l'autorisation/approbation. Voici quelques outils bien connus que vous pourriez utiliser.

• Approbations de jetons

  https://etherscan.io/tokenapprovalchecker
  Il s'agit de l'outil de vérification et d'annulation d'autorisation fourni par le navigateur officiel d'Ethereum. D'autres blockchains compatibles EVM ont quelque chose de similaire car leurs navigateurs blockchain sont essentiellement développés par Etherscan. Par exemple:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• Révoquer.cash

  https://revoke.cash/
  Super vieille école avec une bonne renommée et un support multi-chaînes avec de plus en plus de puissance

• Portefeuille d'extension Rabby

  https://rabby.io/
  Un des portefeuilles avec lequel nous avons beaucoup collaboré. Le nombre de blockchains compatibles EVM où elles fournissent la fonction de « vérification et annulation d'autorisation » est le plus élevé que j'ai jamais vu

⚠️Note: Si vous souhaitez une compréhension plus complète et approfondie de SIGNATURE SECURITY, veuillez vérifier les extensions dans les ajouts de référentiel suivants à titre de référence :

https://github.com/evilcos/darkhandbook
Il est vrai que la connaissance de SIGNATURE SECURITY est assez difficile pour les débutants. Le référentiel compile du contenu pertinent et une lecture attentive vous aidera à acquérir les connaissances en matière de sécurité. Ainsi, vous n’aurez plus de difficulté. (Si vous pouvez tout lire et tout comprendre, je pense que les connaissances en sécurité ne seront plus difficiles pour vous 🙂

Soyez ATTENTION aux demandes de signatures contre-intuitives !

Je voudrais particulièrement évoquer un autre risque : risque contre-intuitif.

Qu’est-ce qui est contre-intuitif ? Par exemple, vous connaissez déjà très bien Ethereum et êtes devenu un OG de toutes sortes de DeFi et de NFT. Lorsque vous entrez pour la première fois dans l’écosystème Solana, vous rencontrerez probablement des sites Web de phishing similaires. Vous vous sentirez peut-être si bien préparé que vous commencerez à penser : « J’ai vu cela des milliers de fois dans l’écosystème Ethereum et comment pourrais-je me laisser berner ? »

En attendant, les hackers seraient contents puisque vous vous êtes déjà fait avoir. Les gens suivent leurs sentiments intuitifs, ce qui les rend insouciants. Lorsqu’il y a une attaque contre-intuitive, les gens tombent dans le piège.

Ok, jetons un coup d'œil à un cas réel qui a tiré parti du caractère contre-intuitif.

Tout d’abord, un avertissement : le phishing d’autorisation sur Solana est bien plus cruel. L'exemple ci-dessus s'est produit le 5 mars 2022. Les attaquants ont largué des NFT aux utilisateurs par lots (Figure 1). Les utilisateurs sont entrés sur le site Web cible via le lien dans la description du NFT parachuté (www_officialsolanarares_net) et ont connecté leurs portefeuilles (Figure 2). Après avoir cliqué sur le bouton « Mint » sur la page, la fenêtre d'approbation est apparue (Figure 3). Notez qu'il n'y avait aucune notification ou message spécial dans la fenêtre contextuelle pour le moment. Une fois approuvés, tous les SOL du portefeuille seraient transférés.

Lorsque les utilisateurs cliquent sur le bouton « Approuver », ils interagissent en réalité avec les contrats intelligents malveillants déployés par les attaquants : 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

Le but ultime de ce contrat intelligent malveillant est d'initier le « SOL Transfer », qui transfère la quasi-totalité des SOL de l'utilisateur. D'après l'analyse des données en chaîne, le comportement de phishing s'est poursuivi pendant plusieurs jours et le nombre de victimes n'a cessé d'augmenter au cours de cette période.

Il y a deux pièges dans cet exemple auxquels vous devez prêter attention :

1. Après l'approbation de l'utilisateur, le contrat intelligent malveillant peut transférer les actifs natifs de l'utilisateur (SOL dans ce cas). Ce n'est pas possible sur Ethereum. Le phishing d'autorisation sur Ethereum ne peut affecter que d'autres jetons mais pas l'actif natif d'ETH. C’est la partie contre-intuitive qui inciterait les utilisateurs à diminuer leur vigilance.
2. Le portefeuille le plus connu sur Solana, Phantom, présente des failles dans son mécanisme de sécurité : il ne suit pas le principe « ce que vous voyez est ce que vous signez » (nous n'avons pas encore testé d'autres portefeuilles), et il ne le fait pas. fournir suffisamment d’avertissements de risque aux utilisateurs. Cela pourrait facilement créer des angles morts en matière de sécurité qui coûteraient des pièces aux utilisateurs.

Quelques méthodologies d'attaque avancées

En fait, il existe de nombreuses méthodes d’attaque avancées, mais elles sont pour la plupart considérées comme du phishing du point de vue du public. Cependant, certaines ne constituent pas des attaques de phishing normales. Par exemple:

https://twitter.com/Arthur_0x/status/1506167899437686784

Les pirates ont envoyé un e-mail de phishing avec une telle pièce jointe :

Un risque énorme de Stablecoin(Protected).docx

Pour être honnête, c'est un document attrayant. Cependant, une fois ouvert, l'ordinateur de l'utilisateur sera implanté avec un cheval de Troie (généralement via une macro Office ou un exploit 0day/1day), qui contient généralement les fonctions suivantes :

• Collecte de toutes sortes d'informations d'identification, par exemple liées au navigateur ou à SSH, etc. De cette manière, les pirates peuvent étendre leur accès à d'autres services de l'utilisateur cible. Par conséquent, après l’infection, il est généralement conseillé aux utilisateurs non seulement de nettoyer l’appareil cible, mais également les autorisations de compte pertinentes.
• Keylogger, ciblant notamment les informations sensibles apparaissant temporairement telles que les mots de passe.
• Collecte de captures d'écran pertinentes, de fichiers sensibles, etc.
• S'il s'agit d'un ransomware, tous les fichiers du système cible seraient fortement cryptés et attendraient que la victime paie la rançon, généralement par Bitcoin. Mais dans ce cas-ci, il ne s’agissait pas d’un ransomware qui avait un comportement plus évident et plus bruyant et des intentions simples.

De plus, les chevaux de Troie ciblant l'industrie de la cryptographie seront spécialement personnalisés pour collecter des informations sensibles provenant de portefeuilles ou d'échanges bien connus, afin de voler les fonds des utilisateurs. Selon une analyse professionnelle, le cheval de Troie mentionné ci-dessus mènerait une attaque ciblée sur Metamask :

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

Le cheval de Troie remplacera le MetaMask de l'utilisateur par un faux doté de portes dérobées. Un MetaMask à porte dérobée signifie essentiellement que tous les fonds que vous stockez à l’intérieur ne vous appartiennent plus. Même si vous utilisez un portefeuille matériel, ce faux MetaMask parviendra à voler vos fonds en manipulant l'adresse de destination ou les informations sur le montant.

Cette approche est spécialement conçue pour les cibles bien connues possédant des adresses de portefeuille connues. Ce que j’ai remarqué, c’est que beaucoup de ces personnes sont trop arrogantes pour empêcher de se faire pirater. Après le piratage, beaucoup tireraient les leçons de la leçon, procéderaient à des examens complets, obtiendraient des améliorations significatives et noueraient également une coopération et une amitié à long terme avec des professionnels ou des agences de sécurité de confiance. Cependant, il y a toujours des exceptions dans ce monde. Certaines personnes ou certains projets sont piratés encore et encore. Si à chaque fois c’est à cause de quelque chose que personne n’a rencontré auparavant, je les respecterais énormément et je les qualifierais de pionniers. Il y a de fortes chances qu’ils réussissent avec le temps. Malheureusement, de nombreux incidents sont le résultat d’erreurs très stupides et répétitives qui pourraient être facilement évitées. Je conseillerais de rester à l’écart de ces projets.

En comparaison, ces attaques de phishing massives ne sont pas du tout exhaustives. Les attaquants prépareraient un ensemble de noms de domaine d'apparence similaire et répartiraient les charges utiles en achetant des comptes, des abonnés et des retweets sur Twitter ou d'autres plateformes sociales. S’ils sont bien gérés, nombreux sont ceux qui tomberont dans le piège. Il n'y a vraiment rien de spécial dans ce type d'attaque de phishing, et normalement l'attaquant se contentera de forcer brutalement l'utilisateur à autoriser les jetons (y compris NFT) afin de les transférer.

Il existe d'autres types d'attaques avancées, utilisant par exemple des techniques telles que XSS, CSRF, Reverse Proxy pour fluidifier le processus d'attaque. Je ne les détaillerai pas tous ici, à l'exception d'un cas très particulier (attaque Cloudflare Man-in-the-Middle) qui est l'un des scénarios de Reverse Proxy. De véritables attaques ont entraîné des pertes financières en utilisant cette méthode extrêmement secrète.

Le problème ici n’est pas que Cloudflare lui-même soit malveillant ou piraté. Au lieu de cela, c'est le compte Cloudflare de l'équipe du projet qui est compromis. Généralement, le processus est le suivant : si vous utilisez Cloudflare, vous remarquerez ce module « Worker » dans le tableau de bord, dont la description officielle est :

Créez des applications sans serveur et déployez-les instantanément dans le monde entier, pour obtenir d'excellentes performances, fiabilité et évolutivité. Pour plus de détails, veuillez vous référer à https://developers.cloudflare.com/workers/

J'ai fait une page de test il y a longtemps :

https://xssor.io/s/x.html

Lorsque vous visitez la page, une fenêtre pop-up apparaîtra indiquant :

xssor.io, détourné par Cloudflare.

En fait, cette pop-up, et même tout le contenu de x.html, n'appartient pas au document lui-même. Tous sont fournis par Cloudflare. Le mécanisme est présenté ci-dessous :

L'indication de l'extrait de code dans la capture d'écran est très simple : si j'étais le pirate informatique et que j'ai contrôlé votre compte Cloudflare, je peux utiliser Workers pour injecter un script malveillant arbitraire dans n'importe quelle page Web. Et il est très difficile pour les utilisateurs de se rendre compte que la page Web cible a été détournée et falsifiée, car il n'y aura pas d'alertes d'erreur (telles qu'une erreur de certificat HTTPS). Même l'équipe du projet ne parviendra pas facilement à identifier le problème sans avoir à passer énormément de temps à vérifier la sécurité de ses serveurs et de son personnel. Au moment où ils réalisent qu’il s’agit de Cloudflare Workers, la perte pourrait déjà être importante.

Cloudflare est en fait un bon outil. De nombreux sites Web ou applications Web l'utiliseront comme pare-feu d'application Web, solution anti DDoS, CDN global, proxy inverse, etc. Comme il existe une version gratuite, ils ont une large base de clients. Alternativement, il existe des services comme Akaimai, etc.

Les utilisateurs doivent prêter attention à la sécurité de ces comptes. Des problèmes de sécurité des comptes surviennent avec l’essor d’Internet. C'est un sujet tellement courant dans le monde que presque tout le monde en parle partout, mais de nombreuses personnes se font pirater à cause de cela. Certaines causes profondes pourraient être qu'ils n'utilisent pas de mot de passe fort unique pour les services importants (les gestionnaires de mots de passe comme 1Password ne sont pas si populaires de toute façon), d'autres pourraient être qu'ils ne prennent pas la peine d'activer l'authentification à 2 facteurs (2FA), ou peut-être ils ne connaissent même pas ce truc. Sans oublier que pour certains services, les mots de passe doivent être réinitialisés au moins une fois par an.

Très bien, ce sera la fin de cette section. Il vous suffit de comprendre qu'il s'agit bien d'une forêt sombre et de connaître autant de méthodologies d'attaque que possible. Après en avoir vu assez sur le papier, si vous êtes tombé au moins une ou deux fois dans les pièges, vous pouvez vous considérer comme un professionnel de la sécurité amateur (ce qui vous sera de toute façon avantageux).

Protection traditionnelle de la vie privée

Félicitations, vous êtes arrivé à cette partie. La protection traditionnelle de la vie privée est un vieux sujet : voici l'article que j'ai écrit en 2014.

Vous devez apprendre quelques astuces pour vous protéger à l’ère des atteintes à la vie privée.
https://evilcos.me/yinsi.html

En relisant cet article, même s'il s'agissait d'un article d'entrée de gamme en 2014, la plupart des conseils qu'il contient ne sont pas obsolètes. Après avoir relu l'article, j'introduireai ici quelque chose de nouveau : en fait, la protection de la vie privée est étroitement liée à la sécurité. . La confidentialité traditionnelle est la pierre angulaire de la sécurité. Cette section inclut vos clés privées qui font partie de la confidentialité. Si les pierres angulaires ne sont pas sécurisées, leur intimité n'a aucun sens, alors la superstructure sera aussi fragile qu'un bâtiment dans les airs.

Les deux ressources suivantes sont fortement recommandées :

SURVEILLANCE AUTO-DÉFENSE
CONSEILS, OUTILS ET TUTORIELS POUR DES COMMUNICATIONS EN LIGNE PLUS SÉCURISÉES
https://ssd.eff.org/

SURVEILLANCE AUTODEFENSE est l'abréviation de SSD. Lancé par la célèbre Electronic Frontier Foundation (EFF), qui a spécialement publié des lignes directrices pertinentes pour vous expliquer comment éviter que votre grand frère ne vous surveille dans le monde de la surveillance Internet, parmi lesquelles figurent plusieurs outils utiles (tels que Tor, WhatsApp, Signal, PGP, etc.)

Guide de confidentialité : Combattez la surveillance avec des outils de cryptage et de confidentialité
https://www.privacytools.io/

Le site Web ci-dessus est une liste complète d’un certain nombre d’outils. Il recommande également certains échanges de cryptomonnaies, portefeuilles, etc. Cependant, il convient de noter que je n'utilise pas beaucoup d'outils répertoriés sur le site, car j'ai ma propre voie. Ainsi, vous devez également développer votre propre méthode, en comparant et en vous améliorant continuellement.

Voici quelques points saillants des outils que je vous suggère d’utiliser.

Le système d'exploitation

Windows 10 Edition (et versions ultérieures) et macOS sont tous deux des options sécurisées. Si vous en avez la possibilité, vous pouvez choisir Linux, comme Ubuntu, ou même des systèmes extrêmement axés sur la sécurité et la confidentialité comme Tails ou Whonix.

En ce qui concerne le système d'exploitation, le principe de sécurité le plus simple est le suivant : portez une attention particulière aux mises à jour du système et appliquez-les dès que possible lorsqu'elles sont disponibles. La capacité à maîtriser le système d’exploitation vient ensuite. Les gens pourraient se demander : que faut-il apprendre pour maîtriser un système d’exploitation comme Windows ou MacOS ? N'est-ce pas simplement cliquer? Eh bien, c'est en fait loin d'être suffisant. Pour les utilisateurs novices, un bon logiciel antivirus, comme Kaspersky ou BitDefender, est indispensable, et les deux sont disponibles sur MacOS.

Et puis, n’oubliez pas la sécurité des téléchargements, dont j’ai déjà parlé. Vous aurez éliminé la plupart des risques si vous ne téléchargez pas et n’installez pas de programmes de manière imprudente.

Ensuite, réfléchissez à ce que vous ferez si votre ordinateur est perdu ou volé. Avoir un mot de passe de démarrage n’est évidemment pas suffisant. Si le cryptage du disque n’est pas activé, les acteurs malveillants peuvent simplement retirer le disque dur et récupérer les données qu’il contient. Mon conseil est donc d’activer le cryptage de disque pour les ordinateurs importants.

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

Nous disposons également d'outils puissants et mythiques comme VeraCrypt (l'ancien TrueCrypt), n'hésitez pas à l'essayer si vous êtes intéressé :

https://veracrypt.fr/

Vous pouvez aller plus loin pour activer le mot de passe du BIOS ou du micrologiciel. Je l'ai fait moi-même mais cela dépend entièrement de votre propre choix. N'oubliez pas : si vous le faites, souvenez-vous très clairement du mot de passe, sinon personne ne pourra jamais vous aider. J'ai la chance d'être moi-même déjà tombé dans le terrier du lapin, ce qui m'a coûté un ordinateur portable, de la crypto et une semaine. D'un autre côté, c'est aussi une très bonne expérience d'apprentissage.

Téléphone mobile

De nos jours, iPhone et Android sont les deux seules catégories de téléphones mobiles grand public. J'étais un grand fan de BlackBerry, mais sa gloire s'est estompée avec le temps. Dans le passé, la sécurité des téléphones Android m’inquiétait beaucoup. D’une part c’en était encore à ses débuts, d’autre part les versions étaient très fragmentées, chaque marque aurait sa propre version forkée d’Android. Mais maintenant, les choses se sont beaucoup améliorées.

Sur les téléphones mobiles, nous devons également prêter attention aux mises à jour de sécurité et à la sécurité des téléchargements. De plus, faites attention aux points suivants :

• Ne jailbreakez pas/rootez votre téléphone, cela n'est pas nécessaire, sauf si vous effectuez des recherches de sécurité pertinentes. Si vous le faites pour un logiciel piraté, cela dépend vraiment de votre maîtrise des compétences.
• Ne téléchargez pas d'applications à partir de magasins d'applications non officiels.
• Ne le faites pas à moins de savoir ce que vous faites. Sans oublier qu’il existe même de nombreuses fausses applications dans les magasins d’applications officiels.
• La condition préalable à l'utilisation de la fonction officielle de synchronisation Cloud est que vous devez vous assurer que votre compte est sécurisé, sinon si le compte Cloud est compromis, le téléphone mobile le sera également.

Personnellement, je m'appuie davantage sur l'iPhone. Et vous aurez besoin d’au moins deux comptes iCloud : un en Chine et un à l’étranger. Vous en aurez besoin pour installer des applications avec différentes restrictions régionales. (ce qui semble assez bizarre mais bienvenue dans la réalité)

Réseau

Les problèmes de sécurité du réseau étaient autrefois très pénibles, mais des améliorations significatives ont déjà été constatées ces dernières années, notamment depuis l'adoption massive de la politique HTTPS Everywhere.

En cas d'attaque continue de détournement de réseau (attaque de l'homme du milieu), des alertes d'erreur système correspondantes seront émises. Mais il y a toujours des exceptions, alors lorsque vous avez le choix, utilisez l’option la plus sécurisée. Par exemple, ne vous connectez pas à des réseaux Wi-Fi inconnus, sauf si le réseau 4G/5G, plus populaire et plus sécurisé, n'est pas disponible ou n'est pas stable.

Navigateurs

Les navigateurs les plus populaires sont Chrome et Firefox, dans les domaines cryptographiques, certains utiliseront également Brave. Ces navigateurs bien connus disposent d’une équipe solide et des mises à jour de sécurité seront effectuées en temps opportun. Le sujet de la sécurité des navigateurs est très vaste. Voici quelques conseils à connaître :

• Mettez à jour le plus rapidement possible, ne prenez pas de risques.
• N'utilisez pas d'extension si cela n'est pas nécessaire. Si vous le faites, prenez vos décisions en fonction des avis des utilisateurs, du nombre d'utilisateurs, du maintien de l'entreprise, etc., et faites attention à l'autorisation demandée. Assurez-vous d'obtenir l'extension depuis la boutique d'applications officielle de votre navigateur.
• Plusieurs navigateurs peuvent être utilisés en parallèle, et il est fortement recommandé d'effectuer les opérations importantes dans un navigateur et d'utiliser un autre navigateur pour les opérations plus routinières et moins importantes.
• Voici quelques extensions bien connues axées sur la confidentialité (telles que uBlock Origin, HTTPS Everywhere, ClearURLs, etc.), n'hésitez pas à les essayer.

Dans Firefox en particulier, j'utiliserai également l'ancienne extension légendaire NoScript, qui a fait ses preuves dans la lutte contre les charges utiles JavaScript malveillantes. De nos jours, les navigateurs deviennent de plus en plus sécurisés car ils prennent en charge des éléments tels que la politique de même origine, le CSP, la politique de sécurité des cookies, les en-têtes de sécurité HTTP, la politique de sécurité des extensions, etc. Ainsi, le besoin d'utiliser un outil tel que NoScript devient de plus en plus petit et plus petit, n'hésitez pas à y jeter un œil si vous êtes intéressé.

Gestionnaire de mots de passe

Si vous n'avez pas encore utilisé de gestionnaire de mots de passe, soit vous ne connaissez pas l'utilité d'en utiliser un, soit vous disposez de votre propre palais de mémoire. Le risque lié à la mémoire cérébrale a également été mentionné précédemment. L'un d'entre eux est que le temps affaiblira ou perturbera votre mémoire ; l'autre est que vous pourriez avoir un accident. Dans les deux cas, je vous recommande toujours d'utiliser un gestionnaire de mots de passe pour accompagner votre mémoire cérébrale, d'en utiliser un bien connu comme 1Password, Bitwarden, etc.

Je n'ai pas besoin de trop aborder cette partie, il y a tellement de tutoriels en ligne qu'il est facile de commencer sans même avoir besoin d'un tutoriel.

Ce que je dois vous rappeler ici, c'est :

• N'oubliez jamais votre mot de passe principal et conservez les informations de votre compte en sécurité, sinon tout sera perdu.
• Assurez-vous que votre courrier électronique est sécurisé. Si votre courrier électronique est compromis, il se peut qu'il ne compromette pas directement les informations sensibles de votre gestionnaire de mots de passe, mais les acteurs malveillants ont la capacité de les détruire.
• J'ai vérifié la sécurité des outils que j'ai mentionnés (tels que 1Password) et j'ai surveillé de près les incidents de sécurité, les avis des utilisateurs, les actualités, etc. Mais je ne peux pas garantir que ces outils sont absolument sécurisés et aucun événement cygne noir n'est survenu. ça leur arrivera jamais dans le futur.

Une chose que j'apprécie est l'introduction et la description de la page de sécurité de 1Password, par exemple.

https://1password.com/security/

Cette page présente des concepts de conception de sécurité, des certificats de confidentialité et de sécurité pertinents, des livres blancs sur la conception de sécurité, des rapports d'audit de sécurité, etc. Ce niveau de transparence et d'ouverture facilite également la validation nécessaire dans l'industrie. Toutes les équipes de projet devraient en tirer des leçons.

Bitwarden va encore plus loin, car il est entièrement open source, y compris côté serveur, afin que tout le monde puisse valider, auditer et contribuer. Maintenant vous voyez? L’intention de 1Password et Bitwarden est très claire :

Je suis très en sécurité et je suis préoccupé par la confidentialité. Non seulement je le dis moi-même, mais des autorités tierces le disent également. N'hésitez pas à m'auditer, et afin de faciliter vos audits, je m'efforce d'être ouvert autant que possible. Si ce que je fais ne correspond pas à ce que je dis, il est facile de me mettre au défi. Et c’est ce qu’on appelle la confiance en matière de sécurité.

Authentification à deux facteurs

En parlant de sécurité de votre identité sur Internet, la première couche repose sur des mots de passe, la deuxième couche repose sur une authentification à deux facteurs et la troisième couche repose sur la capacité de contrôle des risques du projet cible lui-même. Je ne peux pas dire que l’authentification à deux facteurs soit indispensable. Par exemple, si vous utilisez un portefeuille décentralisé, une couche de mot de passe est déjà assez ennuyeuse (maintenant, ils prennent essentiellement en charge l'identification biométrique telle que la reconnaissance faciale ou les empreintes digitales pour améliorer l'expérience utilisateur), personne ne veut utiliser le deuxième facteur. Mais dans une plateforme centralisée, il faut utiliser 2FA. Tout le monde peut accéder à la plateforme centralisée, et si vos informations d'identification sont volées, votre compte est piraté et vos fonds seront perdus. Au contraire, le mot de passe de votre portefeuille décentralisé n'est qu'une authentification locale, même si le pirate informatique obtient le mot de passe, il doit toujours accéder à l'appareil sur lequel se trouve votre portefeuille.

Vous voyez maintenant les différences ?Certains outils d'authentification à deux facteurs (2FA) bien connus incluent : Google Authenticator, Microsoft Authenticator, etc. Bien sûr, si vous utilisez un gestionnaire de mots de passe (comme 1Password), il est également livré avec un module 2FA. , ce qui est très pratique. N'oubliez jamais de faire des sauvegardes, car perdre 2FA peut être compliqué.

En outre, l’authentification à deux facteurs peut également constituer un concept plus large. Par exemple, lorsqu'un identifiant de compte et un mot de passe sont utilisés pour se connecter à la plateforme cible, notre identifiant de compte est normalement un email ou un numéro de téléphone portable. À ce stade, la boîte aux lettres ou le numéro de téléphone portable peuvent être utilisés comme 2FA pour recevoir un code de vérification. Mais le niveau de sécurité de cette méthode n’est pas aussi bon. Par exemple, si la boîte aux lettres est compromise ou si la carte SIM est détournée, ou si le service tiers utilisé pour l'envoi d'e-mails et de SMS est piraté, le code de vérification envoyé par la plateforme sera également révélé.

Surf scientifique sur Internet

Pour des raisons politiques, n’en parlons pas trop, choisissons simplement l’une des solutions bien connues. Les choses seront mieux maîtrisées si vous parvenez à créer votre propre solution. Après tout, notre point de départ est de surfer sur Internet de manière scientifique et sécurisée.

Si vous n’utilisez pas une solution créée par vous-même, vous ne pouvez pas exclure totalement la possibilité d’une attaque de l’homme du milieu. Comme mentionné précédemment, la situation en matière de sécurité sur Internet n’est plus aussi mauvaise qu’avant, surtout après l’adoption massive de la politique HTTPS Everywhere. Cependant, une partie de la paix ne réside peut-être que dans la surface de l’eau, et sous la surface se trouvent déjà des courants sous-jacents qui ne sont pas facilement perceptibles. Pour être honnête, je n’ai pas vraiment de solution miracle pour cela. Il n'est pas facile de créer votre propre solution, mais cela en vaut vraiment la peine. Et si vous ne le pouvez pas, assurez-vous de vérifier en utilisant plusieurs sources et d’en choisir une fiable qui existe depuis longtemps.

E-mail

Le courrier électronique est la pierre angulaire de notre identité basée sur le Web. Nous utilisons le courrier électronique pour nous inscrire à de nombreux services. Presque tous les services de messagerie que nous utilisons sont gratuits. Cela ressemble à de l'air et vous ne pensez pas qu'il disparaîtrait. Et si un jour votre service de messagerie disparaissait, alors tous les autres services qui en dépendent se retrouveraient dans une situation plutôt délicate. Cette situation extrême n'est vraiment pas impossible s'il y a des guerres, des catastrophes naturelles, etc. Bien sûr, si ces situations extrêmes se produisent, le courrier électronique sera moins important pour vous que la survie.

En ce qui concerne les fournisseurs de services de messagerie, vous devez choisir parmi les géants de la technologie, tels que Gmail, Outlook ou QQ Email. Il se trouve que mes précédentes recherches en sécurité couvrent ce domaine. La posture de sécurité de ces boîtes aux lettres est suffisamment bonne. Mais vous devez quand même faire attention aux attaques de phishing par courrier électronique. Vous n'avez pas besoin de traiter chaque e-mail, en particulier les liens et pièces jointes intégrés, où les chevaux de Troie peuvent être cachés.

Si vous rencontrez une attaque très sophistiquée contre vos fournisseurs de services de messagerie, vous êtes livré à vous-même.

Outre les services de messagerie de ces géants de la technologie, si vous êtes très préoccupé par la confidentialité, vous pouvez jeter un œil à ces deux services de messagerie bien connus et respectueux de la confidentialité : ProtonMail et Tutanota. Ma suggestion est de séparer ces boîtes aux lettres privées de l'utilisation quotidienne et de les utiliser uniquement pour des services qui nécessitent une attention particulière en matière de confidentialité. Vous devez également utiliser régulièrement vos services de messagerie gratuits pour éviter que vos comptes ne soient suspendus en raison d'une inactivité prolongée.

Carte SIM

La carte SIM et le numéro de téléphone portable sont également dans de nombreux cas des identités de base très importantes, tout comme le courrier électronique. Ces dernières années, les principaux opérateurs de notre pays ont fait un très bon travail en matière de protection des numéros de téléphone mobile. Par exemple, il existe des protocoles de sécurité et des processus de vérification stricts pour l'annulation et la réémission des cartes SIM, et tout cela se déroule sur place. Au sujet des attaques de cartes SIM, laissez-moi vous donner un exemple :

En 2019.5, le compte Coinbase de quelqu'un a subi une attaque de port SIM (attaque de transfert de carte SIM) et a malheureusement perdu plus de 100 000 dollars américains de crypto-monnaie. Le processus d'attaque est à peu près le suivant :

L'attaquant a obtenu les informations de confidentialité de l'utilisateur cible grâce à l'ingénierie sociale et d'autres méthodes, et a trompé l'opérateur de téléphonie mobile pour lui fournir une nouvelle carte SIM, puis il a facilement repris le compte Coinbase de l'utilisateur cible via le même numéro de téléphone mobile. La SIM a été transférée, ce qui est très gênant. C'est très gênant si votre carte SIM est transférée par un attaquant, car de nos jours, de nombreux services en ligne utilisent notre numéro de téléphone mobile comme facteur d'authentification directe ou 2FA. Il s’agit d’un mécanisme d’authentification très centralisé, et le numéro de téléphone mobile devient le point faible.

Pour une analyse détaillée, veuillez vous référer à :

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

La suggestion de défense à ce sujet est en fait simple : activer une solution 2FA bien connue.

La carte SIM présente un autre risque : si le téléphone est perdu ou volé, il sera embarrassant que le méchant puisse retirer la carte SIM et l'utiliser. Voici ce que j'ai fait : Activez le mot de passe de la carte SIM (code PIN), donc chaque fois que j'allume mon téléphone ou que j'utilise ma carte SIM dans un nouvel appareil, je dois saisir le mot de passe correct. Veuillez demander à Google des procédures détaillées. Voici mon rappel : n'oubliez pas ce mot de passe, sinon ce sera très gênant.

GPG

De nombreux contenus de cette partie ont été mentionnés dans les sections précédentes, et j'aimerais ajouter ici des concepts plus fondamentaux : Parfois, vous rencontrerez des noms similaires tels que PGP, OpenPGP et GPG. Distinguez-les simplement comme suit :

• PGP, abréviation de Pretty Good Privacy, est un logiciel de cryptage commercial vieux de 30 ans, désormais sous l'égide de Symantec.
• OpenPGP est une norme de chiffrement dérivée de PGP.
• GPG, le nom complet est GnuPG, est un logiciel de chiffrement open source basé sur le standard OpenPGP.

Leurs cœurs sont similaires et avec GPG vous êtes compatible avec les autres. Ici, je recommande à nouveau fortement : en matière de cryptage de sécurité, n'essayez pas de réinventer la roue ; GPG, s’il est utilisé correctement, peut améliorer considérablement le niveau de sécurité !

Ségrégation

La valeur fondamentale derrière le principe de sécurité de ségrégation est la mentalité de confiance zéro. Vous devez comprendre que peu importe notre force, nous serons tôt ou tard piratés, que ce soit par des pirates externes, des internes ou par nous-mêmes. En cas de piratage, le stop loss devrait être la première étape. La capacité d'arrêter les pertes est ignorée par de nombreuses personnes, et c'est pourquoi elles sont piratées encore et encore. La cause profonde est qu’il n’existe aucune conception de sécurité, en particulier des méthodes simples telles que la ségrégation.

Une bonne pratique de séparation peut garantir qu'en cas d'incidents de sécurité, vous ne perdrez que ceux directement liés à la cible compromise, sans affecter les autres actifs.

Par exemple:

• Si vos pratiques de sécurité des mots de passe sont bonnes, lorsqu'un de vos comptes est piraté, le même mot de passe ne compromettra pas les autres comptes.
• Si votre crypto-monnaie n’est pas stockée sous un seul ensemble de graines mnémoniques, vous ne perdrez pas tout si jamais vous tombez dans un piège.
• Si votre ordinateur est infecté, heureusement, il ne s'agit que d'un ordinateur utilisé pour des activités occasionnelles et il ne contient rien d'important. Vous n'avez donc pas à paniquer, car la réinstallation de l'ordinateur résoudrait la plupart des problèmes. Si vous maîtrisez bien les machines virtuelles, les choses sont encore meilleures, car vous pouvez simplement restaurer l'instantané. Les bons outils de machine virtuelle sont : VMware, Parallels.
• Pour résumer, vous pouvez avoir au moins deux comptes, deux outils, deux appareils, etc. Il n’est pas impossible de créer complètement une identité virtuelle indépendante une fois qu’on s’y est familiarisé.

J'ai déjà mentionné une opinion plus extrême : la vie privée n'est pas à nous de protéger, la vie privée doit être contrôlée.

La raison de ce point de vue est la suivante : dans l’environnement Internet actuel, la vie privée a en fait été sérieusement divulguée. Heureusement, les réglementations liées à la vie privée ont été de plus en plus adoptées ces dernières années et les gens y prêtent de plus en plus attention. Tout va effectivement dans le bon sens. Mais avant cela, dans tous les cas, lorsque vous maîtriserez les points de connaissances que j'ai énumérés, vous pourrez contrôler facilement votre vie privée. Sur Internet, si vous y êtes habitué, vous pouvez avoir plusieurs identités virtuelles quasiment indépendantes les unes des autres.

Sécurité de la nature humaine

L’humain court toujours le risque le plus élevé et éternel. Il y a une citation du Problème à trois corps : « La faiblesse et l'ignorance ne sont pas des obstacles à la survie, mais l'arrogance le fait. »

• Ne soyez pas arrogant : si vous pensez que vous êtes déjà fort, vous vous sentez bien. Ne méprisez pas le monde entier. En particulier, ne soyez pas trop fier et pensez que vous pouvez défier les pirates informatiques mondiaux. L’apprentissage n’a pas de fin et de nombreux obstacles subsistent.
• Ne soyez pas gourmand : la cupidité est en effet la motivation pour avancer dans de nombreux cas, mais réfléchissez-y, pourquoi une si bonne opportunité vous est-elle réservée ?
• Ne soyez pas impulsif : l'impulsivité est le diable qui vous mènera aux pièges. Une action irréfléchie, c'est un jeu de hasard.

Il y a une infinité de sujets de discussion dans la nature humaine et vous ne pouvez pas être plus prudent. Veuillez accorder une attention particulière aux points suivants et voir comment les mauvais acteurs profitent de la faiblesse de la nature humaine, en utilisant diverses plateformes pratiques.

Télégramme

J'ai déjà dit que Telegram est le plus grand Web sombre. Je dois dire que les gens aiment Telegram pour sa sécurité, sa stabilité et ses fonctionnalités de conception ouverte. Mais la culture ouverte de Telegram attire également les méchants : un grand nombre d’utilisateurs, des fonctionnalités hautement personnalisables, assez simple pour créer toutes sortes de services Bot. En combinaison avec la crypto-monnaie, les expériences de trading réelles vont bien au-delà de celles des marchés du dark web de Tor. Et il y a trop de poissons dedans.

Normalement, l’identifiant unique des comptes de réseaux sociaux n’est qu’un nom d’utilisateur ou un identifiant, mais ceux-ci peuvent être complètement clonés par les mauvais acteurs. Certaines plateformes sociales disposent de mécanismes de validation de compte, comme l'ajout d'une icône V bleue ou autre. Les comptes de réseaux sociaux publics peuvent être validés par certains indicateurs, tels que le nombre de followers, le contenu publié, l'interaction avec les fans, etc. Les comptes de réseaux sociaux non publics sont un peu plus difficiles. C'est agréable de voir que Telegram a publié la fonction « Dans quels groupes nous sommes ensemble ».

Partout où il y a des failles qui peuvent être exploitées et où les gains sont considérables, une bande de méchants doit déjà être là, c'est la nature humaine.

En conséquence, les plateformes de médias sociaux regorgent de pièges à phishing. Par exemple : dans une discussion de groupe, quelqu'un qui ressemble au service client officiel est soudainement apparu et a démarré une discussion privée (any2any chat privé est la fonctionnalité de Telegram, il n'est pas nécessaire de demander un ami), puis hors de la tactique classique de spam, les poissons mordront les uns après les autres.

Les attaquants pourraient également aller plus loin et vous ajouter à un autre groupe. Tous les participants achètent que vous êtes un faux, mais cela vous semble tellement réaliste. Nous appelons cette technique le clonage de groupe dans la société clandestine.

Ce ne sont là que les méthodes de base pour manipuler la nature humaine ; les techniques avancées seront combinées à des vulnérabilités et seront donc plus difficiles à prévenir.

Discorde

Discord est une nouvelle plate-forme sociale/un logiciel de messagerie instantanée populaire créé au cours des deux dernières années. La fonction principale est celle des serveurs communautaires (et non du concept de serveur traditionnel), comme le dit la déclaration officielle :

Discord est une application gratuite de chat vocal, vidéo et textuel utilisée par des dizaines de millions de personnes âgées de 13 ans et plus pour parler et passer du temps avec leurs communautés et amis.

Les gens utilisent Discord quotidiennement pour parler de beaucoup de choses, allant de projets artistiques et de voyages en famille aux devoirs et au soutien en matière de santé mentale. C'est un foyer pour des communautés de toute taille, mais il est plus largement utilisé par de petits groupes actifs de personnes qui discutent régulièrement.

Cela a fière allure mais nécessite une norme de conception de sécurité assez stricte. Discord a des règles et politiques de sécurité spécifiques comme dans :

https://discord.com/safety

Malheureusement, la plupart des gens ne prendront pas la peine de le lire attentivement. De plus, Discord ne sera pas toujours en mesure d'illustrer clairement certains problèmes de sécurité fondamentaux, car il devra endosser le chapeau d'un attaquant, ce qui n'est pas toujours faisable.

Par exemple:

Avec autant de vols de NFT sur Discord, quelles sont les principales méthodes d’attaque ? Avant de comprendre cela, les conseils de sécurité de Discord sont inutiles.

La principale raison derrière de nombreux projets Discordhacks est en fait le jeton Discord, qui est le contenu du champ d'autorisation dans l'en-tête de la requête HTTP. Il existe dans Discord depuis très longtemps. Pour les pirates, s’ils parviennent à trouver un moyen d’obtenir ce jeton Discord, ils peuvent presque contrôler tous les privilèges du serveur Discord cible. Autrement dit, si la cible est un administrateur, un compte doté de privilèges administratifs ou un robot Discord, les pirates peuvent faire tout ce qu'ils veulent. Par exemple, en annonçant un site de phishing NFT, ils font croire aux gens qu'il s'agit de l'annonce officielle, et les poissons mordront à l'hameçon.

Certains pourraient se demander : que se passe-t-il si j’ajoute l’authentification à deux facteurs (2FA) à mon compte Discord ? Absolument une bonne habitude ! Mais Discord Token n'a rien à voir avec le statut 2FA de votre compte. Une fois votre compte piraté, vous devez immédiatement modifier votre mot de passe Discord pour rendre le jeton Discord d'origine invalide.

Concernant la question de savoir comment un hacker peut obtenir le jeton Discord, nous avons identifié au moins trois techniques principales, et nous essaierons de l'expliquer en détail à l'avenir. Pour les utilisateurs normaux, beaucoup de choses peuvent être faites, mais les points essentiels sont les suivants : ne vous précipitez pas, ne soyez pas gourmand et vérifiez à partir de plusieurs sources.

Phishing « officiel »

Les mauvais acteurs savent tirer parti des jeux de rôle, notamment du rôle officiel. Par exemple, nous avons déjà mentionné la fausse méthode de service client. En outre, en avril 2022, de nombreux utilisateurs du célèbre portefeuille matériel Trezor ont reçu des e-mails de phishing de trezor.us, qui n'est pas le domaine officiel de Trezor, trezor.io. Il existe une différence mineure dans le suffixe du nom de domaine. De plus, les domaines suivants ont également été diffusés via des e-mails de phishing.

https://suite.trẹzor.com

Ce nom de domaine a un « point fort », regardez attentivement la lettre ẹ qu'il contient, et vous constaterez que ce n'est pas la lettre e. Déroutant? Il s'agit en fait de Punycode, la description standard est la suivante :

Un codage Bootstring d'Unicode pour les noms de domaine internationalisés dans les applications (IDNA) est un codage de nom de domaine internationalisé qui représente un ensemble limité de caractères dans les codes Unicode et ASCII.

Si quelqu'un décode trzor, cela ressemble à ceci : xn-trzor-o51b, qui est le vrai nom de domaine !

Les pirates utilisent Punycode à des fins de phishing depuis des années. En 2018, certains utilisateurs de Binance ont été compromis par la même astuce.

Ces types de sites de phishing peuvent déjà faire chuter de nombreuses personnes, sans parler des attaques plus avancées telles que le contrôle de la boîte aux lettres officielle ou les attaques de falsification de courrier provoquées par des problèmes de configuration SPF. En conséquence, la source de l’e-mail ressemble exactement à la source officielle.

S’il s’agit d’un initié malveillant, l’utilisateur ne peut rien faire. les équipes de projet doivent déployer beaucoup d’efforts pour prévenir les menaces internes. Les initiés sont le plus gros cheval de Troie, mais ils sont très souvent négligés.

Problèmes de confidentialité Web3

Avec la popularité croissante du Web3, de plus en plus de projets intéressants ou ennuyeux sont apparus : comme toutes sortes d'infrastructures Web3, de plateformes sociales, etc. Certains d'entre eux ont fait des analyses massives de données et identifié divers portraits comportementaux des cibles, pas seulement sur la blockchain. côté, mais aussi sur des plateformes Web2 bien connues. Une fois le portrait sorti, la cible est fondamentalement une personne transparente. Et l’apparition des plateformes sociales Web3 pourrait également aggraver ces problèmes de confidentialité.

Pensez-y, lorsque vous jouez avec toutes ces choses liées au Web3, telles que la liaison de signature, les interactions en chaîne, etc., donnez-vous davantage de votre vie privée ? Beaucoup ne seront peut-être pas d'accord, mais au fur et à mesure que de nombreux éléments seront réunis, vous obtiendrez une image plus précise et plus complète : quels NFT vous aimez collecter, quelles communautés vous avez rejoint, sur quelles listes blanches vous appartenez, avec qui vous êtes connecté, quels comptes Web2. vous êtes obligé de le faire, à quelles périodes vous êtes actif, et ainsi de suite. Vous voyez, la blockchain aggrave parfois la vie privée. Si vous vous souciez de la vie privée, vous devrez faire attention à tout ce qui vient d’émerger et garder la bonne habitude de séparer votre identité.

À ce stade, si la clé privée est accidentellement volée, la perte n'est pas aussi simple qu'un simple argent, mais tous les droits et intérêts Web3 soigneusement conservés. On dit souvent que la clé privée, c'est l'identité, et voilà qu'on se retrouve face à un vrai problème d'identification.

Ne testez jamais la nature humaine.

Manigances de la blockchain

La technologie Blockchain a créé une toute nouvelle industrie. Que vous l’appeliez BlockFi, DeFi, crypto-monnaie, monnaie virtuelle, monnaie numérique, Web3, etc., le cœur de tout reste la blockchain. La plupart du battage médiatique était centré sur les activités financières, telles que les actifs cryptographiques, y compris les jetons non fongibles (ou NFT, objets de collection numériques).

L’industrie de la blockchain est très dynamique et fascinante, mais il existe tout simplement trop de façons de faire le mal. Les caractéristiques particulières de la blockchain donnent lieu à des maux plutôt uniques, notamment le vol de crypto, le cryptojacking, les ransomwares, le commerce sur le dark web, l'attaque C2, le blanchiment d'argent, les stratagèmes de Ponzi, les jeux de hasard, etc. J'ai fait une carte mentale en 2019. pour référence.

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

Pendant ce temps, l'équipe SlowMist maintient et met à jour SlowMist Hacked, une base de données croissante pour les activités de piratage liées à la blockchain.

https://hacked.slowmist.io/

Ce manuel a introduit de nombreuses mesures de sécurité, et si vous pouvez les appliquer à votre propre sécurité, alors félicitations. Je ne m’étendrai pas trop sur les manigances de la blockchain. Si cela vous intéresse, vous pouvez l’apprendre par vous-même, ce qui est certainement une bonne chose, d’autant plus que de nouvelles escroqueries et fraudes évoluent continuellement. Plus vous en apprenez, mieux vous pourrez vous défendre et améliorer cette industrie.

Que faire lorsque vous êtes piraté

Ce n'est qu'une question de temps avant que vous ne soyez piraté. Alors que faire alors ? Je vais simplement aller droit au but. Les étapes suivantes ne sont pas nécessairement dans l’ordre ; il y a des moments où il faut faire des allers-retours, mais l'idée générale est la suivante.

Arrêtez les pertes en premier

Le stop loss consiste à limiter vos pertes. Il peut être décomposé en au moins deux phases.

• La phase d’action immédiate. Agissez immédiatement ! Si vous constatez que des pirates informatiques transfèrent vos actifs, n’y pensez plus. Dépêchez-vous et transférez les actifs restants dans un endroit sûr. Si vous avez de l'expérience dans les transactions de premier plan, saisissez-le et exécutez-le. Selon le type d'actif, si vous pouvez geler vos actifs sur la blockchain, faites-le le plus tôt possible ; si vous pouvez effectuer une analyse en chaîne et constater que vos actifs sont transférés dans un échange centralisé, vous pouvez contacter leur service de contrôle des risques.
• La phase post-action. Une fois la situation stabilisée, vous devez vous assurer qu’il n’y aura pas d’attaques secondaires ou tertiaires.

Protégez la scène

Lorsque vous constatez que quelque chose ne va pas, restez calme et respirez profondément. N'oubliez pas de protéger la scène. Voici quelques suggestions:

• Si l'accident se produit sur un ordinateur, un serveur ou d'autres appareils connectés à Internet, déconnectez immédiatement le réseau tout en gardant les appareils allumés. Certaines personnes peuvent prétendre que s'il s'agit d'un virus destructeur, les fichiers du système local seront détruits par le virus. Ils ont raison, mais fermer la porte n’est utile que si l’on peut réagir plus vite que le virus…
• À moins que vous ne soyez capable de gérer cela par vous-même, attendre que des professionnels de la sécurité interviennent pour une analyse est toujours le meilleur choix.

C’est vraiment important car nous avons constaté à plusieurs reprises que la scène était déjà en désordre au moment où nous sommes intervenus pour faire l’analyse. Et il y a même eu des cas où des preuves clés (par exemple, journaux, fichiers de virus) semblaient avoir été nettoyées. Sans une scène de crime bien préservée, cela peut être extrêmement perturbateur pour l’analyse et la localisation ultérieures.

Analyse de la cause originelle

L’analyse de la cause a pour but de comprendre l’adversaire et de dresser le portrait du hacker. À ce stade, le rapport d’incident est très important, également appelé rapport post mortem. Le rapport d'incident et le rapport post mortem font référence à la même chose.

Nous avons rencontré tellement de personnes qui sont venues nous demander de l'aide après le vol de leurs pièces, et il était très difficile pour beaucoup d'entre elles de dire clairement ce qui s'était passé. Il leur est encore plus difficile de produire un rapport d'incident clair. Mais je pense que cela peut être mis en pratique et qu'il serait utile de se référer à des exemples. Ce qui suit peut être un bon point de départ :

• Résumé 1 : Qui était impliqué, quand cela s'est-il produit, que s'est-il passé et quelle a été la perte totale ?
• Résumé 2 : Les adresses de portefeuille liées à la perte, l'adresse de portefeuille du pirate informatique, le type de pièce, la quantité de pièce. Cela pourrait être beaucoup plus clair à l’aide d’un seul tableau.
• Description du processus : cette partie est la plus difficile. Vous devrez décrire tous les aspects de l'incident avec tous les détails, ce qui est utile pour analyser différents types de traces liées au hacker et éventuellement en tirer le portrait du hacker (y compris la motivation)

Lorsqu’il s’agit de cas particuliers, le modèle sera beaucoup plus complexe. Parfois, la mémoire humaine peut également être peu fiable, et il existe même une dissimulation délibérée d'informations clés, ce qui peut entraîner une perte de temps ou un retard dans le timing. Donc en pratique, la consommation serait énorme et nous devons utiliser notre expérience pour bien guider le travail. Enfin, nous produisons un rapport d'incident avec la personne ou l'équipe qui a perdu les pièces, et continuons à tenir à jour ce rapport d'incident.

Suivi des sources

Selon la loi de Rocca, là où il y a une invasion, il y a une piste. Si nous enquêtons suffisamment, nous trouverons toujours des indices. Le processus d’enquête consiste en fait en une analyse médico-légale et en une recherche de source. Nous allons retracer les sources selon le portrait du hacker issu de l'analyse médico-légale, et l'enrichir en permanence, ce qui est un processus dynamique et itératif.

Le traçage des sources se compose de deux parties principales :

• Intelligence en chaîne. Nous analysons les activités d'actifs des adresses de portefeuille, telles que l'entrée dans des échanges centralisés, des mélangeurs de pièces, etc., les surveillons et recevons des alertes sur les nouveaux transferts.
• Intelligence hors chaîne : cette partie couvre l'adresse IP du pirate informatique, les informations sur l'appareil, l'adresse e-mail et d'autres informations issues de la corrélation de ces points associés, y compris les informations comportementales.

Il existe de nombreux travaux de recherche de sources basés sur ces informations, et cela nécessiterait même l’implication des forces de l’ordre.

Conclusion des affaires

Bien sûr, nous souhaitons tous une fin heureuse, et voici quelques exemples d’événements rendus publics auxquels nous avons participé et qui ont donné de bons résultats :

• Lendf.Me, d'une valeur de $25 millions
• SIL Finance, d'une valeur de $12,15 millions
• Réseau Poly, d'une valeur de $610 millions

Nous avons connu de nombreux autres cas non publiés qui se sont soldés par des résultats bons ou corrects. Cependant, la plupart d’entre eux ont connu une mauvaise fin, ce qui est assez regrettable. Nous avons acquis de nombreuses expériences précieuses dans ces processus et nous espérons augmenter le taux de bonnes fins à l'avenir.

Cette partie est brièvement mentionnée comme ci-dessus. Il existe une énorme quantité de connaissances liées à ce domaine et je n’en connais pas très bien certaines. Je ne vais donc pas donner ici une explication détaillée. Selon le scénario, les capacités que nous devons maîtriser sont :

• Analyse et criminalistique de la sécurité des contrats intelligents
• Analyse et criminalistique des transferts de fonds en chaîne
• Analyse et criminalistique de la sécurité Web
• Analyse et criminalistique de la sécurité des serveurs Linux
• Analyse et criminalistique de la sécurité Windows
• Analyse de sécurité et criminalistique macOS
• Analyse et criminalistique de la sécurité mobile
• Analyse de codes malveillants et criminalistique
• Analyse de sécurité et criminalistique des périphériques ou plates-formes réseau
• Analyse de sécurité interne et criminalistique
• …

Il couvre presque tous les aspects de la sécurité, tout comme ce manuel. Cependant, ces points de sécurité ne sont que brièvement mentionnés ici à titre de guide d'introduction.

Idée fausse

Dès le début, ce manuel vous dit de rester sceptique ! Cela inclut tout ce qui est mentionné ici. Il s’agit d’une industrie extrêmement dynamique et prometteuse, pleine de pièges et de chaos de toutes sortes. Jetons ici un coup d'œil à certaines idées fausses qui, si elles sont considérées comme allant de soi, peuvent facilement vous faire tomber dans les pièges et devenir partie intégrante du chaos lui-même.

Le code est la loi

Le code est la loi. Cependant, lorsqu’un projet (en particulier celui lié aux contrats intelligents) est piraté ou robuste, aucune victime ne souhaiterait jamais que « le code soit la loi », et il s’avère qu’elle doit toujours s’appuyer sur la loi dans le monde réel.

Pas vos clés, pas vos pièces

Si vous ne possédez pas vos clés, vous ne possédez pas vos pièces. En fait, de nombreux utilisateurs ne parvenaient pas à gérer correctement leurs propres clés privées. En raison de diverses erreurs de sécurité, ils perdent même leurs actifs cryptographiques. Parfois, vous constaterez qu’il est en réalité plus sûr de placer vos actifs cryptographiques sur de grandes plateformes réputées.

Nous faisons confiance à la Blockchain

Nous lui faisons confiance parce que c'est une blockchain. En fait, la blockchain elle-même a la capacité de résoudre de nombreux problèmes fondamentaux de confiance, car elle est inviolable, résistante à la censure, etc. si mon actif et mes activités associées sont en chaîne, je peux être sûr par défaut que personne d'autre ne pourra me retirer mon actif ou altérer mon activité sans autorisation. Cependant, la réalité est souvent dure : premièrement, toutes les blockchains ne sont pas capables d’atteindre ces points fondamentaux, et deuxièmement, la nature humaine devient toujours le maillon le plus faible. De nos jours, de nombreuses techniques de piratage dépassent l’imagination de la plupart d’entre nous. Même si nous disons toujours que l'attaque et la défense constituent l'équilibre entre le coût et l'impact, lorsque vous ne possédez pas un actif important, aucun pirate informatique ne perdra de temps à vous cibler. Mais lorsqu’il y a plusieurs cibles comme vous, il sera très rentable pour les pirates de lancer l’attaque.

Mon conseil de sécurité est très simple : méfiez-vous par défaut (c'est-à-dire tout remettre en question par défaut) et effectuez une vérification continue. La vérification est ici l'action de sécurité clé, et la vérification continue signifie essentiellement que la sécurité n'est jamais dans un état statique, qu'elle est sécurisée maintenant ne signifie pas qu'elle le sera demain. La capacité de vérifier correctement est le plus grand défi pour nous tous, mais c'est assez intéressant, car vous apprendrez beaucoup de connaissances au cours du processus. Lorsque vous êtes suffisamment fort, personne ne peut facilement vous faire du mal.

La sécurité cryptographique est la sécurité

La cryptographie est puissante et importante. Sans tout le travail acharné des cryptographes, tous les algorithmes cryptographiques solides et leurs implémentations techniques, il n'y aura pas de technologie de communication moderne, d'Internet ou de technologie blockchain. Cependant, certaines personnes considèrent la sécurité cryptographique comme une sécurité absolue. Et ainsi un tas de questions étranges se posent :

La blockchain n'est-elle pas si sécurisée qu'il a fallu des milliards d'années pour casser une clé privée ? Comment se fait-il que le FBI ait pu décrypter le Bitcoin du Dark Web ? Pourquoi diable le NFT de Jay Chou pourrait-il être volé ?

Je peux supporter ces questions de novices... ce que je ne peux pas supporter, c'est le fait que de nombreux soi-disant professionnels de la sécurité utilisent des concepts de sécurité cryptographique pour tromper le public, ils mentionnent des termes tels que cryptage de niveau militaire, le meilleur cryptage au monde, cosmique. cryptage de niveau supérieur, sécurité absolue du système, inpiratage, etc.

Des pirates ? Ils s’en foutent…

Est-ce humiliant de se faire pirater ?

Il est vrai que se faire pirater peut susciter des sentiments mitigés, et il y aura parfois un sentiment de honte. Mais vous devez comprendre que le piratage est presque garanti 100%, il n'y a donc rien à avoir honte.

Une fois piraté, peu importe si vous êtes uniquement responsable de vous-même. Cependant, si vous êtes responsable de beaucoup d’autres, vous devez être transparent et ouvert lorsque vous gérez l’incident.

Même si les gens peuvent vous remettre en question ou même vous accuser d’avoir organisé le piratage par vous-même, un processus transparent et ouvert mis à jour apportera toujours chance et compréhension.

Pensez-y de cette façon : si votre projet n’est pas connu, personne ne vous piratera. La honte n’est pas d’être piraté ; la honte, c'est ton arrogance.

D'un point de vue probabilité, se faire pirater est un phénomène courant. Normalement, la majorité des problèmes de sécurité ne sont que de petits problèmes, ce qui pourrait aider votre projet à se développer. Cependant, les problèmes graves et graves doivent encore être évités autant que possible.

Mettre à jour immédiatement

Ce manuel suggère à plusieurs reprises de prêter attention à la mise à jour. Si une mise à jour de sécurité est disponible, appliquez-la immédiatement. Maintenant, réfléchissez bien : est-ce une solution miracle ?

En fait, dans la plupart des cas, « mettre à jour maintenant » est la bonne chose à faire. Cependant, il y a eu des moments dans l’histoire où une mise à jour résout un problème mais en introduit un autre. Un exemple est iPhone et Google Authenticator :

Il existe un risque avec la nouvelle mise à jour iOS 15, c'est-à-dire que les informations de Google Authenticator peuvent être effacées ou doublées après la mise à niveau de l'iPhone. Dans ce cas, ne supprimez jamais les entrées en double si vous constatez qu'elles sont doublées, car cela pourrait entraîner la perte de toutes les informations de Google Authenticator après la réouverture.

Pour ceux qui n’ont pas effectué la mise à niveau vers le système iOS 15 et utilisent Google Authenticator, il est fortement recommandé de le sauvegarder avant la mise à niveau.

Plus tard, Google a mis à jour l'application Authenticator, résolvant ce problème de manière permanente.

En outre, je ne recommande pas de mettre à jour fréquemment les portefeuilles, en particulier pour les portefeuilles riches en actifs, à moins qu'il n'y ait un correctif de sécurité majeur ou une fonctionnalité très importante qui conduit à une mise à jour inévitable. auquel cas vous devrez faire votre propre évaluation des risques et prendre votre propre décision.

Conclusion

Rappelons que ce manuel commence par ce schéma 🙂

Avez-vous remarqué que j'ai marqué en rouge la personne dans le diagramme ?, je le fais pour rappeler encore une fois à tous que les humains sont le fondement de tout (appelé « principe anthropique » en cosmologie). Qu'il s'agisse de la sécurité de la nature humaine ou de la capacité à maîtriser les compétences en matière de sécurité, tout dépend de vous. Oui, lorsque vous êtes assez fort, personne ne peut facilement vous faire du mal.

J'ai commencé à développer en me basant sur le diagramme et j'ai expliqué de nombreux points clés de sécurité dans les trois processus, la création d'un portefeuille, la sauvegarde du portefeuille et l'utilisation du portefeuille. Ensuite, j’ai introduit la protection traditionnelle de la vie privée. J'ai déclaré que ces technologies traditionnelles sont la pierre angulaire et les éléments de base qui nous permettent de rester en sécurité dans les écosystèmes blockchain. La question de la sécurité de la nature humaine ne peut pas être trop habillée. Il est bon de mieux comprendre les différentes manières de faire le mal, surtout si vous entrez dans quelques fosses, la conscience de la sécurité sur papier peut éventuellement devenir votre expérience de la sécurité. Il n’y a pas de sécurité absolue, j’ai donc expliqué quoi faire en cas de piratage. Je ne veux pas qu'un événement malheureux vous arrive, mais si cela se produit, j'espère que ce manuel pourra vous aider. La dernière chose est de parler de certaines idées fausses. Mon intention est très simple, j'espère que vous pourrez développer votre propre esprit critique, car le monde est à la fois beau et terrible.

Je n'ai pas écrit autant de mots depuis longtemps. Je pense que la dernière fois, c'était il y a 10 ans, lorsque j'ai écrit le livre "Web 前端黑客技术揭秘« . C'était assez doux-amer. Après de nombreuses années dans la sécurité web ainsi que dans la cybersécurité, j'ai dirigé une équipe pour créer ZoomEye, un moteur de recherche dans le cyberespace. Dans le domaine de la cybersécurité, j'ai touché à de nombreux domaines, mais je ne peux dire que je suis compétent dans quelques-uns seulement.

Désormais en matière de sécurité blockchain, SlowMist et moi-même sommes considérés comme des pionniers. Il y a tellement de cas que nous avons rencontrés au cours de ces années qu’on pourrait presque croire que nous sommes en transe chaque jour. Il est dommage que de nombreuses informations ne soient pas enregistrées et partagées. Et c’est ainsi que, sous l’impulsion de plusieurs amis, ce manuel est né.

Lorsque vous avez fini de lire ce manuel, vous devez vous entraîner, devenir compétent et tirer des conclusions. Lorsque vous aurez votre propre découverte ou expérience par la suite, j'espère que vous y contribuerez. Si vous pensez qu'il existe des informations sensibles, vous pouvez les masquer ou les anonymiser.

Enfin, grâce à la maturité mondiale de la législation et de son application en matière de sécurité et de confidentialité ; grâce aux efforts de tous les cryptographes pionniers, ingénieurs, hackers éthiques et de tous ceux impliqués dans la création d’un monde meilleur, dont Satoshi Nakamoto.

annexe

Règles et principes de sécurité

Les règles et principes de sécurité mentionnés dans ce manuel sont résumés comme suit. Un certain nombre de règles sont incorporées dans le texte ci-dessus et ne seront pas spécifiquement affinées ici.

Deux règles de sécurité majeures :

• Zéro confiance. Pour faire simple, restez sceptique, et restez-le toujours.
• Validation continue. Pour faire confiance à quelque chose, il faut valider ce dont on doute et faire de la validation une habitude.

Principes de sécurité :

• Pour toutes les connaissances issues d’Internet, référez-vous à au moins deux sources, corroborez-vous et restez toujours sceptique.
• Séparer. Ne mettez pas tous les œufs dans le même panier.
• Pour les portefeuilles contenant des actifs importants, n’effectuez pas de mises à jour inutiles.
• Ce que vous voyez, c'est ce que vous signez. Vous devez être conscient de ce que vous signez et du résultat attendu une fois la transaction signée envoyée. Ne faites pas des choses qui vous feront regretter par la suite.
• Faites attention aux mises à jour de sécurité du système. Appliquez-les dès qu’ils sont disponibles.
• Ne pas télécharger et installer de programmes de manière imprudente peut en fait prévenir la plupart des risques.

Contributeurs

Grâce aux contributeurs, cette liste sera continuellement mise à jour et j'espère que vous pourrez me contacter si vous avez des idées pour ce manuel.

Parce que Twitter (@evilcos)、即刻 (@余弦.jpg)

Contributeurs

Ma femme SlowMist, Twitter (@SlowMist_Team), par exemple Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... Jike app Quelques amis anonymes... Plus : https://darkhandbook.io/contributors.html

Si votre contribution est acceptée pour inclusion dans ce manuel, vous serez ajouté à la liste des contributeurs.

Par exemple: fourni des suggestions ou des cas spécifiques de défense de sécurité ; participé à des travaux de traduction; correction d'erreurs plus importantes, etc.

Sites officiels

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https : //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Composé https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ SURVEILLANCE AUTODEFENSE https://ssd .eff.org/ Guide de confidentialité https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https : //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Parallels https://www.parallels.com/