Posted inIT Opsec

Bitcoin – Anonymiser l’achat de vos services en ligne avec Bitcoin

No CommentsPosted inIT, Opsec
Bitcoin – Anonymiser l’achat de vos services en ligne avec Bitcoin

Difficulté : FACILE

Public cible : Toute personne cherchant à améliorer son anonymat pour l’achat de services en ligne.

Prérequis:

  • [ÊTRE MAJEUR] Vous avez besoin d’être majeur ou d’avoir la validation d’un majeur
  • [FINANCIER] Vous devez avoir de l’argent à envoyer (prévoyez toujours un peu plus)
  • [PROTECTION] Disposer d’un gestionnaire de mot de passe sécurisé (Voir l’article ici).

Principes de sécurité

La technologie et l’anonymisation

Je ne vais pas vous expliquer ce qu’est le Bitcoin, mais plutôt ce qu’il n’est pas ! Contrairement à ce que beaucoup de journalistes affirment, le Bitcoin ne garantit pas l’anonymat total ni l’intraçabilité. Sachez que c’est totalement faux !

Le Bitcoin n’est pas une monnaie intraçable, mais plutôt « anonymisante ». Cela signifie que toutes les transactions de la blockchain sont visibles depuis la création du Bitcoin, grâce à la transparence de la technologie de la blockchain. Il est donc théoriquement possible de retracer toutes les transactions depuis l’origine. L’identification repose sur la visualisation d’un numéro unique dans la blockchain, permettant de suivre les mouvements sans révéler directement l’identité des utilisateurs.

Aujourd’hui, l’ensemble des sites qui vous permettent d’acheter de la cryptomonnaie, vous demanderons une vérification de votre identité avec tout un ensemble de justificatif (en tout cas c’est une obligation en Europe et dans la plupart des Pays du monde). On nomme ce processus le KYC, ce procédé permet d’éviter le financement de guerre, le terrorisme, le blanchiment d’argent, etc.

Les escrocs sont souvent démasqués par la justice au moment où ils souhaitent retirer leurs cryptomonnaies, car ils utilisent alors des plateformes régulées et doivent fournir leur identité.

De nos jours, il existe des technologies appelées « mixage de cryptomonnaies ». Ce processus consiste à placer des fonds dans un pot commun avec ceux d’autres utilisateurs. Une fois que ce pot atteint un certain volume, les bitcoins sont mélangés puis redistribués vers différents nouveaux portefeuilles. En résumé, les fonds sont répartis de manière aléatoire en divers montants, rendant le traçage plus complexe. Cependant, malgré ces techniques, les forces de l’ordre parviennent aujourd’hui à suivre ces transactions, et l’intelligence artificielle joue un rôle important dans ces enquêtes.

Vous l’aurez compris, le tutoriel d’aujourd’hui n’a pas pour but de contourner la surveillance étatique, mais simplement d’anonymiser l’achat d’un service en ligne (comme un VPS, par exemple, mais cela s’applique à bien d’autres services !).

Il existe également d’autres cryptomonnaies, comme le Monero, qui sont bien plus difficiles à tracer que le Bitcoin et peuvent être mieux adaptées dans certains cas. Cependant…

Portefeuilles Physiques VS Numériques

Pour des raisons de praticité, nous appellerons un portefeuille numérique un « wallet ».

Pour stocker votre argent numérique il existe deux technique :

  • Utiliser un wallet physique, comme une clé Ledger, Trezor, etc. :

  • Utiliser un wallet numérique (logiciel) tel que Exodus, MetaMask, etc. :

D’un point de vue technique, il est également possible de sécuriser vos wallets logiciels en les connectant à vos wallets physiques.

Ainsi, nous pouvons nous poser la fameuse question :

Lequel de ces deux moyens est le plus sécurisé : le wallet physique ou le wallet numérique ?

Pour commencer, revenons aux bases. Que ce soit un wallet physique ou numérique, que se passe-t-il si nous perdons notre wallet ?

La blockchain est bien conçue et offre une méthode pour reconstruire un wallet en cas de perte. Cette méthode repose sur ce qu’on appelle la seed (ou « graine » en français) : une clé composée de 12 à 24 mots, permettant de restaurer votre wallet depuis la blockchain.

Ainsi, que le wallet soit physique ou numérique, il dépendra TOUJOURS d’une suite de mots. Autrement dit, si vous perdez ou vous faites voler votre wallet physique, vous aurez quand même besoin de la seed pour le restaurer. Donc, un wallet physique, à lui seul, ne suffit pas à sécuriser vos données.

Solution matérielle – Attaque contre ledger

Des attaques extrêmement avancées ont fortement impacté le leader du marché, « Ledger ».

Ces attaques ont permis aux hackers de voler les données des clients, qui ont ensuite été revendues sur le dark web.

On pourrait penser que, malgré ces attaques, les impacts sont minimes. Détrompez-vous : l’être humain peut se montrer redoutable, et les escrocs sont ingénieux. Certains d’entre eux ont acheté les listes de contacts volées à Ledger et ont envoyé de faux colis à certains clients de Ledger.

Mais que contient ce colis ?

Pour commencer, le colis contient une fausse lettre d’excuses signée du président de Ledger.

Contenu de la lettre:
« Pour des raisons de sécurité, nous vous avons envoyé un nouvel appareil, vous devez passer à un nouvel appareil pour rester en sécurité. Il y a un manuel à l’intérieur de votre nouvelle boîte que vous pouvez lire pour apprendre à configurer votre nouvel appareil. Pour cette raison, nous avons modifié la structure de nos appareils. Nous garantissons désormais que ce genre de violation ne se reproduira plus jamais. »

Le colis contient également un faux Ledger : en réalité, cet appareil est modifié de façon à permettre aux pirates de récupérer la seed phrase (phrase de récupération). Celle-ci leur permet ensuite de déverrouiller le wallet et de voler vos fonds.

Plus d’information ici.

Oui, cette attaque est complètement folle !

Au moment où j’écris ces lignes, Ledger est attaqué en justice par des clients mécontents et reste empêtré dans des scandales judiciaires.

Vous l’aurez compris, les wallets physiques sont loin d’être parfaits. En cas de perte, la seed numérique sera de toute façon indispensable pour récupérer vos fonds.

D’ailleurs, pendant la rédaction de cet article, une nouvelle attaque ciblant des portefeuilles physiques a été signalée.

Solution logicielle

Il existe différentes solutions logicielles, mais concentrons-nous sur les deux plus connues : MetaMask et Exodus.

Ces deux solutions ont été auditées.

MetaMask est entièrement open source ; son code est disponible publiquement sur GitHub, permettant ainsi à la communauté de vérifier, auditer et contribuer au développement du projet.

Exodus utilise certains composants open source, mais fonctionne avec une architecture décentralisée permettant aux utilisateurs de garder le contrôle de leurs clés privées sur leurs appareils.

À ce stade, MetaMask semble être une solution intéressante.

MetaMask

MetaMask est une application mobile, mais elle peut aussi s’utiliser sous forme d’extension de navigateur sur PC. Honnêtement, avoir un portefeuille de cryptomonnaie sous forme d’extension me semble risqué. Naviguer sur le web avec un portefeuille lié au navigateur pourrait en effet exposer vos fonds à des menaces potentielles (même si votre portefeuille reste verrouillé).

En cas de faille de sécurité dans le navigateur ou dans une autre extension, vous pourriez être vulnérable aux attaques et risquer de perdre l’ensemble de vos fonds.

N’oubliez pas que les extensions de navigateur ont un accès complet à votre navigateur, y compris à vos mots de passe et à tout ce que vous saisissez.

Exodus

Bien qu’Exodus soit une application complète avec un client lourd disponible sur tous les systèmes, y compris mobiles, elle reste fermée et non open source. Cela représente un inconvénient, car personne ne peut réellement auditer le code d’Exodus de manière indépendante.

Cela dit, Exodus demeure une excellente application, offrant un nombre impressionnant de fonctionnalités et n’ayant été impliquée dans aucun scandale depuis de très nombreuses années.

Choix de la solution

Dans cet article, j’opterai pour la solution Exodus. Bien qu’elle ne soit pas parfaite, comme mentionné précédemment, l’avantage de disposer d’un client lourd, contrairement à MetaMask, permet de renforcer la sécurité de son utilisation. En d’autres termes, nous allons sécuriser notre portefeuille Bitcoin de manière à rendre son accès particulièrement difficile pour un malware ou toute autre menace.

Attention, je ne prétends pas détenir la vérité sur le choix des solutions techniques en matière de cryptomonnaie. Je ne suis pas un expert dans ce domaine, et il n’est pas question ici de vous imposer une option. Bien que j’aie choisi Exodus, rien ne vous empêche de vous tourner vers une autre solution. L’objectif de ce tutoriel est avant tout de vous initier aux étapes d’achat de crypto-actifs, et non de vous conseiller sur un quelconque investissement.

De la même manière, j’utiliserai le site Paymium, une plateforme française permettant l’achat ou l’échange d’euros contre des cryptomonnaies. Encore une fois, il existe de nombreux sites pour acheter des crypto-actifs, comme Binance ou Kraken, mais Paymium est l’un des rares à être basé en France. Cependant, ce tutoriel peut s’appliquer à d’autres plateformes d’échange, donc vous n’êtes pas obligé d’utiliser Paymium. Notez également que chacun de ces sites prélève une commission sur les transactions, laquelle peut varier au fil du temps.

Achat de bitcoin

Commencez par vous rendre sur Paymium pour créer un compte. Utilisez vos véritables informations, car votre identité devra être vérifiée (fiches d’imposition, carte d’identité, etc.).

Procédez à la vérification de compte (appelée KYC), ce qui peut prendre un à deux jours ouvrés.

Ajoutez ensuite le RIB de Paymium à votre compte bancaire. Notez que certaines banques imposent un délai de sécurité de 72 heures avant de permettre un virement vers un nouveau RIB.

Dès que possible, transférez des fonds de votre compte bancaire vers Paymium (les délais peuvent varier selon le calendrier : week-ends, jours fériés, etc.).

Une fois l’argent reçu sur Paymium, vous pourrez passer à l’étape suivante.

Préparation du wallet

Pour sécuriser notre wallet, nous allons l’installer dans un environnement virtuel. Suivez cet article pour créer une machine sécurisée ; une installation avec 15 Go de disque devrait suffire. N’oubliez pas de sélectionner l’option XFCE lors de l’installation pour un environnement léger.

Ensuite, téléchargez l’application Exodus pour Linux. Connectez-vous en tant que root, puis exécutez la commande suivante :

Bash
DOWNLOADS_DIR=$(grep "^XDG_DOWNLOAD_DIR=" /home/home/.config/user-dirs.dirs | cut -d '=' -f2 | sed 's/^"\(.*\)"$/\1/' | sed "s|\$HOME|/home/home|") && latest_exodus=$(ls -1 exodus-linux-x64-*.deb | sort -V | tail -n 1)
apt install "$DOWNLOADS_DIR/$latest_exodus"

Ouvrez maintenant Exodus ; vous devriez voir cet écran :

Sécurisation du wallet

Cliquez sur la roue crantée pour accéder aux Settings, puis sélectionnez l’onglet « Backup ».

Définissez une passphrase d’au moins 25 caractères. Nous vous conseillons de la stocker dans un gestionnaire de mots de passe tel que KeePassXC (Voir l’article ici).

L’étape suivante est cruciale : elle vous permet de sauvegarder les seeds (ou « graines »), qui seront indispensables pour recréer votre portefeuille et récupérer vos fonds si vous perdez l’accès à celui-ci.

Il est recommandé d’effectuer cette étape en toute confidentialité, en vous assurant que personne ne puisse accéder à vos seeds ni les voir. Isolez-vous avant de continuer.

Passez maintenant la souris sur chacun des 12 mots de récupération (les seeds). Sauvegardez-les dans votre gestionnaire de mots de passe sécurisé (Voir l’article ici).

Exodus vous demandera de fournir un des mots de la liste pour vérifier que vous les avez bien notés.

Votre backup est maintenant terminée, et votre application Exodus est prête à l’emploi.

Recevoir de l’argent

Cliquez sur « Make Your First Deposit » puis « Receive ». Dans la liste qui s’ouvre, choisissez Bitcoin. Vous devriez alors voir cette interface :

Copiez l’adresse Bitcoin.

Ensuite, allez dans la section « Retirer » sur Paymium, sélectionnez « Bitcoin », puis collez votre adresse. Saisissez le montant souhaité (ou cliquez sur « Max » pour retirer le montant maximum), puis cliquez sur « Retirer ».

Une fois le montant retiré, l’opération peut prendre plusieurs heures sur Paymium avant que les fonds n’arrivent dans votre wallet Exodus (généralement un peu plus de 3 heures). Soyez simplement patient.

Envoyer de l’argent

Cliquez sur « Wallet » :

Cliquez sur « Send »

Lorsqu’un site vous demande d’effectuer un paiement, il vous indiquera une adresse à laquelle envoyer un certain montant.

Collez cette adresse et entrez le montant spécifié par le service que vous souhaitez acheter. Ne saisissez jamais le paiement en euros, mais bien dans la cryptomonnaie demandée.

Enfin, cliquez sur « Send »

Une fois le paiement effectué, celui-ci est envoyé dans la blockchain. Vous pouvez suivre l’état de la transaction en cliquant sur le « Transaction ID ».

Chaque paiement est inscrit dans la blockchain, mais avant cela, un certain nombre de transactions doivent remplir un bloc (ce processus prend environ 10 minutes). Une fois le bloc rempli, il passe en phase de vérification. Un paiement est considéré comme pleinement validé après 6 confirmations.

Tags:

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire