Quelle est la prochaine étape pour la sécurité des portefeuilles Bitcoin ?

Le monde des portefeuilles Bitcoin a connu une période chargée ces derniers temps. Deux portefeuilles matériels – Trezor et BTChip – ont enfin été livrés, et la sécurité des portefeuilles continue de progresser.

Malgré tout cela, il y a des gens qui devraient être mieux informés.toujours en train d'être volé parce qu’ils ne parviennent pas à ajouter plus de protection à leurs avoirs en Bitcoin .

Pour résoudre le problème des vulnérabilités des portefeuilles Bitcoin , il est important d'examiner les protections de sécurité actuellement disponibles pour les portefeuilles et d'explorer le travail qui reste à faire à l'avenir.

Multisig

2014 devait être l'année des signatures multiples (multisig), selonGavin Andresen dans son discours sur l'état du Bitcoin en 2014, et l'activité est intense sur ce front. Le multisig offre aux détenteurs de portefeuilles une sécurité accrue en exigeant la signature d'un tiers pour les transactions avant leur finalisation.

Cela ouvre la voie à des services de gestion des risques tiers, a déclaré Gary Rowe, PDG du célèbre portefeuille Bitcoin Multibit :

« Si vous achetez une voiture à 10 000 £ ou quelque chose comme ça avec du Bitcoin, les gens pourraient envoyer un SMS pour confirmer cette transaction. »

Multibit est basé sur Bitcoinj, une implémentation Java de Bitcoin. Bitcoinj intègre désormais la prise en charge du multisig, ainsi que des signataires de transactions enfichables. Cependant, ni Multibit ni Hive, tous deux basés sur Bitcoinj, ne prennent actuellement en charge le multisig au moment de la rédaction de cet article.

D'autres portefeuilles, tels que BitGo et Armory, qui sont davantage axés sur les utilisateurs professionnels, ont intégré un support multisig.

Mais nous ne devrions T placer tous nos espoirs de sécurité dans les portefeuilles multisig.

« Tout le monde ne les acceptera pas comme faisant partie de l'éthique décentralisée du Bitcoin, on ne peut donc T compter sur eux comme étant la seule solution au problème », a déclaré Rowe, qui a ajouté que les portefeuilles multisig sont également plus complexes à utiliser que les portefeuilles déterministes.

Portefeuilles déterministes

Les premiers portefeuilles Bitcoin généraient des adresses aléatoires. Les adresses Bitcoin ne sont T censées être réutilisées ; en cas d'utilisation correcte, un seul portefeuille doit donc contenir plusieurs adresses. Il est donc difficile de récupérer ces adresses en cas de perte.

Les portefeuilles déterministes créent des adresses à partir d'une simple phrase composée de plusieurs mots, créée aléatoirement par l'utilisateur. Cette phrase crée également le même ensemble d'adresses.

Tout cela facilite la résolution du problème de sauvegarde, a déclaré Aaron Vosine, créateur de Breadwallet basé sur iOS :

Si un portefeuille est déterministe, sa graine est suffisante. Elle doit être enregistrée hors ligne, avec un mot de passe long, ou sur un périphérique sécurisé verrouillé par un code PIN facile à mémoriser.

Les portefeuilles déterministes hiérarchiques (HD) ajoutent désormais une nouvelle dimension. Ils créent des « arbres » d'adresses à partir d'une phrase de départ. Chaque branche de l'arbre peut être partagée avec un autre utilisateur, sans divulguer l'arbre entier. Cela rend les portefeuilles HD facilement échangeables avec d'autres utilisateurs sans compromettre la Politique de confidentialité, et facilement réplicables.

Ce sont là de formidables avancées, mais ONEune des plus importantes de cette année a sans doute été l'essor du portefeuille matériel. Mike Hearn, chef du projet Bitcoinj, a salué l'arrivée de Trezor:

« Il convient de le répéter : il n’existe pas de dispositif d’authentification financière plus sophistiqué au monde, à ma connaissance. La norme utilisée par les banques de l’UE et d’ailleurs (CAPUCHON) n'est T aussi facile à utiliser, et une fois que Trezor aura intégré la prise en charge du protocole de paiement, il sera également plus sécurisé que CAP. Les banques américaines n'arrivent même T à la cheville.

D'autres portefeuilles déploient rapidement la prise en charge des portefeuilles matériels. L'intégration de Trezor par Multibit devrait être opérationnelle d'ici quelques semaines, a déclaré Rowe.

Marge de progression

Malgré les progrès réalisés cette année, les portefeuilles doivent encore faire face à des défis importants.

ONEune des plus grandes préoccupations concerne les logiciels malveillants, a déclaré Vosine de Breadwallet. menace de logiciels malveillantsne devrait qu'augmenter, et Android est devenu un foyer d'activité malveillante.

Vosine a expliqué :

Je suis convaincu que les logiciels malveillants voleurs de bitcoins constituent la plus grande menace actuelle, en particulier pour les portefeuilles de bureau. Une part non négligeable des logiciels malveillants découverts actuellement sont des logiciels malveillants voleurs de Bitcoin , et pourtant, le Bitcoin reste très faible.

C'est une autre raison de se tourner vers les portefeuilles matériels, ont déclaré les commentateurs, mais le matériel a également une marge de progression.

Thomas Voegtlin, qui a créé le populaire portefeuille Bitcoin Électrum, a déclaré qu'il supportait déjà Trezor et que l'intégration de BTChip était imminente. Il a suggéré que la prochaine étape de l'évolution des portefeuilles matériels était prête :

Les portefeuilles matériels représentent une avancée majeure par rapport aux portefeuilles web et de bureau. Cependant, la génération actuelle doit encore faire confiance à un système hôte pour les données de la blockchain et les adresses de paiement. Ce sera formidable lorsque les portefeuilles matériels pourront exécuter la vérification SPV et la validation du protocole de paiement sur l'appareil sécurisé.

Nicholas Bacca, créateur de BTChip, a créé un portefeuille de cartes à puce qui, selon lui, ne peut pas être facilement récupéré par un attaquant obtenant un accès physique à la puce.

Bacca a déclaré qu'il s'attend à voir la virtualisation jouer un rôle à l'avenir :

« Recherchez davantage de portefeuilles matériels implémentés dans des éléments sécurisés et des portefeuilles matériels virtualisés dans des environnements sécurisés tels que les TEE [Environnements d'exécution de confiance], mais je ne pense T que cette virtualisation sera disponible ou portable avant 2 à 3 ans.

L'utilisation de TEE et des modules de plateforme de confiance (TPM) associés – qui fournissent tous deux des zones matérielles protégées pour l'exécution de code sensible – pourrait finir par annuler le besoin de portefeuilles matériels, a soutenu Wendell Davis, fondateur de Hive Wallet :

« J'imagine que les téléphones portables auront une sorte de TPM à un moment donné, ce qui pourrait être le clou dans le cercueil proverbial du portefeuille matériel. »

Les gens veulent également transporter moins d’appareils, plutôt que plus, a-t-il affirmé, ajoutant qu’ils ont tendance à opter pour des options moins sûres mais plus pratiques.

Biométrie

Les compagnies de téléphonie tentent déjà de marier sécurité et commodité, sous la forme de biométrie ; Breadwallet prendra bientôt en charge TouchID d'Apple, a déclaré Vosine.

Rowe, de Multibit, n'est T un grand partisan de la biométrie. Il craint que les empreintes digitales, la reconnaissance vocale et même les scans d'iris puissent être compromis. Quoi qu'il en soit, le taux de précision n'est T parfait, a-t-il averti, ce qui complique son adoption à grande échelle.

Vosine, d'autre part, met un code PIN limite sur le téléphone pour éviter que les genscopie d'empreintes digitaleset pirater un téléphone. Hearn a également envisagé d'utiliser un « badge » NFC que l'on pourrait porter dans sa poche pour vérifier le téléphone utilisé.

Alors que toutes ces mesures de sécurité s'intègrent aux portefeuilles sous une forme ou une autre, où en est Bitcoin-Qt, le portefeuille de référence créé par les développeurs CORE ? Par le passé, le développeur principal de Bitcoin a indiqué que Bitcoin-Qt serait scindé du projet CORE .

Il est peut-être significatif que les versions récentes du démon Bitcoin – le code Bitcoin sous-jacent qui maintient le réseau en fonctionnement – ​​puissent désormais être compilées sans aucune fonctionnalité Bitcoin .

Le delta entre l'implémentation de référence et les autres portefeuilles du domaine s'accroît, a averti Hearn :

« Bitcoin-Qt n'est même T encore HD, et encore moins HD multisig enfichable, donc je pense que nous verrons ce portefeuille prendre de plus en plus de retard. »

Facilité d'utilisation

Par-dessus tout, il reste le problème de l'ergonomie. Il y a toujours un compromis à faire entre sécurité et praticité, et c'est également vrai pour les portefeuilles sécurisés, prévient Hearn :

"Par exemple Authentificateur BitcoinC'est assez simple, mais il faut quand même scanner un QR code depuis son téléphone, écrire quelques mots clés de 12 mots, etc. On peut simplifier, mais c'est un défi permanent.

ONEun des plus gros problèmes, selon Davis de Hive Wallet, est que les gens ne parviennent toujours pas à Réseaux sociaux les directives de sécurité de base avec les portefeuilles.

« Nous savons qu'un nombre effarant d'utilisateurs ignorent tout simplement les deux lignes d'instructions concernant la rédaction de leur phrase clé. Ils passent directement à autre chose et ignorent l'avertissement, marqué en rouge », a expliqué Davis.

Les portefeuilles Bitcoin sont plus sûrs que jamais et, dans de nombreux cas, déjà bien plus sûrs que le système de carte de crédit obscur du secteur bancaire, dans lequel vous donnez aux commerçants votre nom, les détails de votre carte de crédit et même votre code Secret – et souvent sur Internet.

Néanmoins, il reste encore du travail à faire. Certes, les outils peuvent être améliorés ; il y a toujours une astuce technique à ajouter. Mais à l'heure où la sécurité technique dépasse celle du secteur financier traditionnel, c'est peut-être le comportement des utilisateurs qui mérite d'être amélioré.

Image de sécurité Bitcoin via CoinDesk