Vos données KYC sont une cible et les "wrench attacks" se multiplient

Je passe mes journées à observer le marché crypto, et pendant que tout le monde s'excite sur les derniers flux d'ETF ou se demande si la dominance du Bitcoin va plafonner à 60 %, on ignore une tendance bien plus flippante. On parle de "hacking" comme s'il s'agissait juste d'un gamin dans sa cave avec un script, mais il y a un aspect physique qui n'est pas assez médiatisé. Je parle de la "wrench attack" (l'attaque à la clé anglaise), où l'agresseur n'a pas besoin de casser votre chiffrement parce qu'il a un outil physique et votre adresse postale. Si vous cherchez un moyen sécurisé de stocker vos clés privées crypto, vous devez réaliser que votre plus grande vulnérabilité n'est peut-être pas un bug dans un smart contract, mais les données KYC que vous avez données à chaque plateforme d'échange utilisée. Nous avions déjà analysé la position de Blanche sur la crypto pour plus de contexte.

Le danger de la trace KYC

La plupart d'entre nous voient le KYC (Know Your Customer) comme une corvée administrative ennuyeuse. On télécharge son passeport, on prend un selfie, et on accède à son compte. Mais d'après mon expérience, on a essentiellement construit une base de données mondiale et fuitée qui indique exactement qui possède quoi. Quand une plateforme se fait pirater, ce ne sont pas seulement les mots de passe qui s'échappent. Ce sont les noms complets, les adresses et les numéros de téléphone.

Ajoutez à cela les données on-chain, et vous avez une carte. Si un acteur malveillant peut lier un portefeuille à forte valeur à une identité réelle via une base KYC fuitée, il n'a pas besoin de trouver une faille dans la blockchain. Il a juste besoin de savoir où vous habitez. C'est là qu'intervient la wrench attack. C'est la forme la plus primitive du hacking : l'extorsion physique. Vous ne combattez pas un bot, mais quelqu'un qui sait que vous avez de l'argent et qui sait où vous dormez.

Pourquoi un stockage sécurisé des clés privées ne se limite pas au logiciel

J'ai vu des gens passer des heures à débattre du logiciel de portefeuille le plus sûr, pour finalement garder leur phrase de récupération dans un fichier texte sur leur bureau ou, pire encore, en photo dans leur cloud. C'est une catastrophe annoncée. Mais même un morceau de papier dans un tiroir est un risque si quelqu'un sait qu'il est là.

Le problème, c'est qu'on nous a conditionnés à voir la sécurité comme un mur numérique. On oublie que le mur a une porte. Si vous utilisez une plateforme centralisée, vous leur confiez votre identité et vos fonds. S'ils sont piratés, votre identité devient un phare pour n'importe quel criminel en quête de cible. C'est pour ça que j'ai toujours milité pour l'auto-conservation (self-custody).

Pour vraiment vous protéger, il vous faut un signataire matériel qui garde vos clés hors ligne. Personnellement, je préfère le Ledger Nano Gen5 si vous avez un budget limité, car il apporte la technologie d'écran tactile E Ink pour 99 $. La présence d'une puce Secure Element (CC EAL6+) signifie que vos clés privées ne touchent jamais internet. Mais l'appareil n'est que la moitié du combat. La vraie sécurité réside dans la gestion de la phrase de récupération.

Là où les gens se trompent

La plus grosse erreur que je vois, c'est le "théâtre de la sécurité". Les gens achètent un portefeuille sophistiqué, mais stockent leurs 24 mots de récupération d'une manière facile à découvrir. Si un criminel sait que vous possédez un Ledger, il ne va pas essayer de hacker l'appareil. Il va chercher le morceau de papier caché sous votre matelas.

J'ai remarqué une tendance où les gens pensent qu'un VPN ou un navigateur privé suffit. Alors que nous avons déjà expliqué comment les risques du trading P2P au Royaume-Uni ont augmenté à cause des raids gouvernementaux, la menace du crime organisé est différente. Ils ne cherchent pas l'évasion fiscale, ils cherchent un gros coup.

Si vous voulez être vraiment en sécurité, vous devez découpler votre identité de votre richesse. Cela signifie utiliser des services non-custodial quand c'est possible et être extrêmement protecteur avec vos informations personnelles.

Mon avis sur la marche à suivre

Je ne dis pas qu'il ne faut jamais utiliser d'échange. C'est pratique, et pour certains, c'est la seule porte d'entrée. Mais garder toutes ses économies sur une plateforme qui exige un scan de passeport est un pari risqué. Vous pariez que la sécurité de l'échange est supérieure à la motivation d'un criminel qui trouve votre adresse dans une fuite de données.

Je pense que la seule solution réelle est une combinaison de sécurité matérielle et de secret opérationnel absolu. Ne dites pas aux gens combien vous possédez. Ne postez pas vos gains sur les réseaux sociaux. Et pour l'amour du ciel, sortez vos actifs des plateformes pour les mettre dans un cold wallet.

Si vous en avez assez du cycle KYC et que vous voulez juste échanger des actifs sans laisser de trace permanente, j'ai trouvé que StealthEX était une option solide. C'est un service d'échange non-custodial qui ne demande ni inscription ni KYC pour les swaps standards. C'est un moyen simple de garder un certain niveau de vie privée dans un monde qui essaie d'indexer chaque satoshi que vous possédez.

Tradez l'actualité sur l'échange sélectionné par notre rédaction : Gate