PlanèteMembres  |  Mission   xlsAsset xlsAsset
Cherchez dans nos forums :

Communauté des investisseurs heureux (depuis 2010)

Echanges courtois, réfléchis, sans jugement moral, sur l’investissement patrimonial pour devenir rentier, s'enrichir et l’optimisation de patrimoine

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Flèche Consultez le cours du bitcoin et autres cryptomonnaies en cliquant ici.

1    #1 18/12/2022 20h41

Membre (2018)
Réputation :   145  

Bonsoir à tous,

Je viens de finaliser mon premier draft que j’aimerais partager avec mes proches en cas d’accident si demain, je suis dans l’incapacité de récupérer moi-même mes cryptomonnaies.

J’ai essayé de rendre ce document accessible à quelqu’un ayant des compétences limitées dans le domaine, mais qui devra malgré tout effectuer de légères recherches avant de se sentir en confiance. Car je pense qu’il est nécessaire d’avoir une certaine éducation pour pouvoir en tirer le plein bénéfice.

J’espère que cela sera utile et adapté à votre situation, j’ai conçu le mien de manière à être utile à un large public.

Merci pour vos commentaires et suggestions pour l’améliorer smile
J’ai aussi conscience que ce que j’écris aujourd’hui ne sera probablement pas adapté à l’identique dans quelques années.

Bonne lecture wink

Objectif:
Être capable de récupérer le contenu des cryptos d’un Hardware Wallet de secours ou vierge.

Prérequis et remarques:
- Hardware wallet considéré : Ledger
- Avoir un PC avec Ledger Live
- Avoir un hardware wallet
    Ledger principal ou,
    Ledger de secours ou,
    Un hardware wallet neuf ou autre appareil gérant BIP39 (si impossible d’avoir un Ledger),
    et si impossible d’avoir un hardware wallet, considérer un software wallet mais qu’en dernier recours et se renseigner AVANT pourquoi ce n’est à envisager qu’en dernier recours)
- Avoir une Yubikey (Challenge-Response Slot2)
- Récupérer le gestionnaire de mots de passe (KeepassXC)

- Le mot de passe de KeepassXC se trouve dans REDACTED, c’est le master password.
Attention KeepassXC doit s’accompagner de la Yubikey pour ouvrir la base de données. Pour info, le master password est l’information à connaître (le mot de passe) et la Yubikey à posséder. Si l’un des deux éléments est manquant impossible de consulter les mots de passe.

Note Multi-Sig
Créer un wallet multi-sig, c’est-à-dire un wallet avec plusieurs propriétaires pour renforcer la sécurité. Pour qu’une transaction soit validée, il faut que le seuil de propriétaires requis soit atteint. Par exemple, si le seuil est de 2/3 propriétaires, alors au moins 2 propriétaires doivent valider la transaction avant qu’elle puisse être effectuée.

Les propriétaires peuvent être des personnes différentes ou des appareils différents, comme un Ledger, un ordinateur et un téléphone. Le but de cette mesure de sécurité est d’ajouter une validation supplémentaire lors de transactions. Par exemple, on peut avoir une adresse Ethereum protégée avec le Ledger, une seconde adresse ethereum Metamask sur un ordinateur et une troisième adresse Ethereum Metamask sur un téléphone, avec un seuil de validation de 2.

Plusieurs wallet multi-sig devront être mis en place (ex: un pour Bitcoin, un pour Ethereum).
Pour Bitcoin update à faire pour étudier Bitgo, Casa, electrum,…

(Vidéo explicative pour ethereum : COMMENT SECURISER SES CRYPTOMONNAIES SANS LEDGER ? MULTISIG / SAFE ? - YouTube / site pour la mise en place du wallet multi-sig et aussi pour faire les validations Safe )

Mise en garde:
Il est important de faire attention lors de la mise à jour du firmware de votre Ledger principal ou secondaire.
Si vous mettez à jour le firmware, il se peut que vous deviez effectuer une récupération de votre wallet.
Cependant, la mise à jour des applications ne pose généralement pas de problèmes, à l’exception de la réinitialisation de la configuration de l’application sur le Ledger (par exemple, l’acceptation de "Blind signing" pour Ethereum. Si non activé, lors de la validation d’une transaction un message d’erreur surviendra.). Il est fortement recommandé de mettre à jour les applications lorsque cela est proposé par Ledger Live.

Il est très important de ne JAMAIS faire confiance à quiconque sur internet pour vous aider en cas de problème et de ne JAMAIS communiquer votre SEED (les 24 mots). Vous ne devriez jamais entrer ces mots sur un site web, etc. La SEED doit être entrée uniquement sur votre Ledger ou hardware wallet, jamais sur internet ou sur une application web,…

Un hardware wallet n’est pas totalement sûr et, en cas de vol, un hacker expérimenté pourrait être capable de récupérer son contenu même si la SEED est gardée secrète (d’où l’intérêt de mettre en place un wallet multi-sig).
Un manque d’attention ou de vigilance peut entraîner la perte totale et irréversible de vos crypto-monnaies. Nous sommes notre propre banque, alors faisons attention.

Must do : Se former, ex: tutos Youtube sur ce qu’est un hardware wallet et comment ça fonctionne. Bonne pratique d’ailleurs est de chercher de l’information si nous ne sommes pas sûr de quelque chose.

Etapes 1 : Récupération d’un Ledger et faire son recovery (si nécessaire).

- Pour accéder au Ledger, qu’il s’agisse du principal ou celui de secours, l’accès se fait directement en entrant le PIN sur le Ledger (qui se trouve dans Keepass, dans le champ de recherche taper "Ledger PIN").
Si le PC ne dispose pas de Ledger Live, il faut l’installer à l’adresse suivante: Ledger Live : Most trusted & secure crypto wallet | Ledger
Pour accéder au gestionnaire de mots de passe, il faut soit le lancer depuis le PC principal, soit le récupérer depuis REDACTED.
L’accès nécessite un mot de passe d’accès, appelé "master password", qui est sécurisé avec un dispositif d’authentification (la Yubikey). Le "master password" ET la Yubikey sont indispensables pour ouvrir la base de données.

Pour déverrouiller KeepassXC sur le PC :
- entrer le master password,
- brancher la Yubikey
- actualiser pour détecter la clé
- déverrouiller
- mettre le doigt sur la clé
- vous avez accès à la base de données

Pour déverrouiller KeepassXC sur le téléphone :
- sélectionner mots de passe + Défi-réponse pour KeepassXC
- entrer le mot de passe
- déverrouiller
- mettre la Yubikey (pour USBC ou NFC)
- slot 2 , mettre le doigt  sur la clé
- vous avez accès à la base de données

- Si aucun des Ledgers disponibles ne fonctionne, il est nécessaire de se procurer un nouveau Ledger ou tout autre portefeuille matériel compatible avec BIP39.
Il faudra alors suivre la procédure de récupération: 24 mots sont utilisés pour récupérer la clé. Des vidéos explicatives peuvent être trouvées sur YouTube (par exemple: "Comment restaurer vos comptes Ledger avec votre phrase de récupération?", How to restore your Ledger accounts with your recovery phrase?, How to Restore a Ledger Nano X Hardware Wallet from your 24 Word Backup Phrase (Latest Version 2021) - YouTube). Dans certains cas, la mise à jour du firmware peut nécessiter une récupération sur un Ledger déjà configuré.

Ces 24 mots sont stockés de manière sécurisée dans un gestionnaire de mots de passe.
Pour accéder à la récupération, il faut chercher l’entrée "REDACTED" (utiliser le champ de recherche de Keepass).
Le gestionnaire de mots de passe se trouve au même endroit que le Ledger de secours.
Si la clé USB ne fonctionne plus, une sauvegarde de la base de données existe dans REDACTED.

Les étapes ci-dessous détaillent la procédure de récupération du Ledger Nano X. Il est possible que des modifications aient eu lieu depuis l’écriture de cette procédure (18/12/22). Donc bien chercher sur internet avant pour éviter des complications.

1) Assurez-vous d’avoir votre Ledger Nano X sous la main, ainsi que les 24 mots de votre phrase de récupération. Si vous avez perdu votre phrase de récupération, vous ne pourrez pas récupérer votre mot de passe.
2) Branchez votre Ledger Nano X sur un ordinateur à l’aide du câble USB fourni.
3) Ouvrez l’application Ledger Live sur votre ordinateur. Si vous ne l’avez pas encore installée, téléchargez-la sur le site web de Ledger.
4) Cliquez sur "Récupérer un compte" dans l’application Ledger Live.
5) Sélectionnez "Récupérer avec une phrase de récupération".
6) Suivez les instructions à l’écran pour entrer votre phrase de récupération en utilisant les boutons de votre Ledger Nano X pour sélectionner les mots. Assurez-vous de saisir chaque mot correctement.
7) Une fois que vous avez entré votre phrase de récupération, vous devrez créer un nouveau PIN pour votre compte Ledger Nano X.

Il est important de noter que la récupération d’un Ledger Nano X effacera toutes les données de votre compte et vous devrez ajouter à nouveau toutes les crypto-monnaies que vous souhaitez y stocker.
Assurez-vous donc d’avoir toutes les informations nécessaires pour ajouter vos crypto-monnaies à votre compte avant de commencer la récupération de votre mot de passe.

Il faudra réinstaller les applications permettant de faire des transactions avec les différentes blockchains. Ces applications sont REDACTED. Liste au moment de la rédaction, il est probable qu’elle ne soit pas à jour le jour où cette note devra être consulté.
Il faudra consulter le fichiers de suivi cryptos (ou Ledger live du PC si possible).

Etape 2 :
Création d’un compte sur une plateforme d’échange crypto

Il est important de faire attention lorsque vous transférez des crypto-monnaies depuis votre Ledger vers une plateforme permettant de convertir ses crypto-monnaies en monnaie traditionnelle (FIAT). Une mauvaise manipulation peut entraîner la perte définitive de vos crypto-monnaies, en particulier si vous les envoyez sur le mauvais réseau. Pour éviter ce genre de problème, il est recommandé de transférer une petite quantité de crypto-monnaies en premier lieu, afin de vérifier que tout fonctionne correctement, avant de transférer le reste de vos crypto-monnaies. Cette pratique est particulièrement importante si vous n’êtes pas sûr de vous lors du transfert.

La création d’un compte sur une plateforme d’échange est nécessaire pour pouvoir retrouver l’argent dans le système financier traditionnel. A ce jour, les plateformes recommandées sont Binance et Kraken.
Prendre le temps de se familiariser avec la/les plateformes et utiliser de faibles montants.
Il devrait y avoir une procédure de KYC (Know Your Customer) qui implique de donner pas mal d’information personnelle (vérification de l’identité), faire la connexion avec son compte bancaire,… )

Etape 3 :
Transférer des cryptos depuis son Ledger vers un compte online (abus de langage puisque les crypto ne sont pas dans le Ledger mais ça simplifie l’explication).
Ici l’idée est de chercher à pouvoir récupérer ses cryptos pour les échanger contre du FIAT (FIAT = monnaie traditionnelle, EURO, DOLLAR,…)

Etape 4 :
Conversion crypto en FIAT (ex: vendre du BTC contre des EUROS)

Etape 5 :
Pour transférer de l’argent en monnaie traditionnelle (FIAT) vers votre compte en banque standard, il est important de vérifier si votre banque est "crypto-friendly" ou non. Certaines banques sont plus enclines à accepter les transferts de crypto-monnaies que d’autres, il est donc important de vérifier avant de transférer de l’argent. Pour minimiser les risques de contrôle et de devoir fournir des preuves (car ça prends du temps et c’est pénible), il est recommandé de ne pas effectuer de virements trop importants. Il est difficile de donner un montant précis, mais en général, si vos mouvements habituels sur votre compte sont de l’ordre de quelques centaines d’euros, il est conseillé de ne pas dépasser 1 000 euros pour commencer. Si vos mouvements habituels sont de l’ordre de 1 000 euros, il est recommandé de ne pas dépasser 3 000 euros. Avec le temps, vous aurez une meilleure idée des limites à ne pas dépasser .

Il peut être judicieux de transférer de la plateforme centralisée crypto (ex: Kraken), vers une banque "crypto-friendly" type Boursorama, ensuite seulement faire un virement depuis cette banque vers une votre banque finale.

Etape 6 :
Attention à la taxation possible.
Les fichiers de suivis permettent d’avoir un décompte de tous les mouvements si nécessaire.

Mots-clés : amnésie, crypto, décès, succession

Hors ligne Hors ligne

 

#2 18/12/2022 23h56

Membre (2014)
Top 50 Crypto-actifs
Réputation :   36  

INTP

cikei a écrit :

Ces 24 mots sont stockés de manière sécurisée dans un gestionnaire de mots de passe.
Pour accéder à la récupération, il faut chercher l’entrée "REDACTED" (utiliser le champ de recherche de Keepass).

Il me semble qu’à cette étape on vient de créer une brèche de sécurité par rapport à une Ledger. Aucun gestionnaire de mot de passe n’est vraiment sécurisé. Ok, il y a une yubikey en plus.
Je ne suis pas un expert en sécurité informatique, mais j’ai bien compris qu’il n’y a qu’un cold wallet qui offre une sécurité maximale actuellement.

D’autre part, tout cela ME parait très complexe. Je n’ose imaginer si je faisais lire ceci à ma compagne par exemple…

Mais, vous avez raison, le problème de transmission ne semble actuellement pas avoir de solution sûre.

EDIT: Par contre, les étapes 2 à 6 me semblent claires, mais sans doute pas assez pour un novice complet en crypto. Les conseils sont judicieux et le fait de classer par étapes est intéressant.

Hors ligne Hors ligne

 

#3 19/12/2022 09h45

Membre (2018)
Réputation :   145  

ThomasAurlant a écrit :

Il me semble qu’à cette étape on vient de créer une brèche de sécurité par rapport à une Ledger. Aucun gestionnaire de mot de passe n’est vraiment sécurisé. Ok, il y a une yubikey en plus.
Je ne suis pas un expert en sécurité informatique, mais j’ai bien compris qu’il n’y a qu’un cold wallet qui offre une sécurité maximale actuellement

La sécurité à 100% n’existe pas je vous l’accorde, Keepass constitue l’une des meilleures options disponibles sur le marché et est très répandue dans le domaine de la sécurité.

La solution n’est pas cloud, les mécanismes de chiffrements sont excellents et l’ajout de l’authentification à double facteur via une clé renforce considérablement la robustesse du système.

L’analyse de risques, le modèle de menaces, la complexité (de mise en œuvre et de gestion) et les moyens nécessaires pour contourner la sécurité en place sont tous des éléments à prendre en compte pour décider de son approche.

Le cold wallet offre une sécurité considérable, mais ce n’est pas la solution ultime seule.
Lorsqu’il est combiné avec du multi-sig, le système devient beaucoup plus robuste. Pour la plupart des gens, il serait probablement plus simple de se baser uniquement sur du multi-sig d’ailleurs.

Petit aparté:
Vitalik parlait en 2021 des solutions proposées. Plusieurs ont été proposées pour améliorer la sécurité (portefeuilles papier, multisig physiques), mais elles présentent toutes des défauts qui limitent leur adoption ou leur efficacité.

Les portefeuilles de récupération sociale, une option en développement, peuvent potentiellement offrir un niveau élevé de sécurité et une meilleure facilité d’utilisation, mais il reste encore du travail à faire avant qu’ils ne soient largement déployés.

Personnellement, je n’ai pas exploré cette option. Si cela vous intéresse, je vous recommande la lecture d’un billet de Vitalik sur le sujet, qui est très intéressante :
Why we need wide adoption of social recovery wallets

ThomasAurlant a écrit :

D’autre part, tout cela ME parait très complexe. Je n’ose imaginer si je faisais lire ceci à ma compagne par exemple…

J’ai fait lire à ma compagne, vous ne vous y trompez pas, la digestion n’est pas facile. Son niveau d’éducation au niveau des cryptos est nul. Son niveau de maitrise de l’outil informatique est moyen mais avec un accompagnement modéré (et la nécessité de mener quelques recherches) ça passe.

ThomasAurlant a écrit :

Par contre, les étapes 2 à 6 me semblent claires, mais sans doute pas assez pour un novice complet en crypto

L’aspect fiscal est complexe et la régulation ne fait que commencer. Faire un travail détaillé ici me semble pas opportun. C’est une des raisons pour lesquelles je n’ai pas développé.
Concernant l’étape 2 que devrais-je détailler ?

Hors ligne Hors ligne

 

#4 19/12/2022 10h18

Exclu définitivement
Réputation :   4  

Je rejoins un peu Thomas sur le stockage de la seed dans un manager.

à moins d’avoir la DB en local sur un pc airgapped, ça me semble un peu plus sensible et complexe qu’un bout d’inox enterré chez mamie ?

Mais vous semblez mieux renseigné que moi sur le sujet, qu’est ce qui vous a fait préférer le manager ?

--

Pour le tuto, il est chouette et clair mais peut-être un peu trop succin ni vraiment noob friendly ?

Quitte à être hyper redondant, vous pourriez broder et broder, je penses que les lecteurs préférerons lire trop que pas assez dans cette situation.

J’ajouterais aussi des photos, screenshot et un lexique ^^

--

Merci en tout cas pour ce post, c’est une excellente initiative !


"Je me souviens quand j'etais petit à la maison, le plus dur c'etait la fin du mois. Surtout les 30 derniers jours" -Coluche

Hors ligne Hors ligne

 

Favoris 1    #5 19/12/2022 10h57

Membre (2018)
Réputation :   145  

PrinceVanille a écrit :

Je rejoins un peu Thomas sur le stockage de la seed dans un manager.

à moins d’avoir la DB en local sur un pc airgapped, ça me semble un peu plus sensible et complexe qu’un bout d’inox enterré chez mamie ?

Mais vous semblez mieux renseigné que moi sur le sujet, qu’est ce qui vous a fait préférer le manager ?

Le gestionnaire de mots de passe est une solution étudiée pour ce genre de chose: stocker de manière sécurisée et protéger vos informations sensibles de manière efficace.
C’est un outil incontournable dans le monde de la sécurité, je ne connais personne qui n’en utilise pas dans le monde professionnel.

Ce n’est pas complexe et beaucoup plus sécurisé. Vous ne devez connaître qu’un seul mot de passe (master password) et éventuellement ajouter de la double authentification (ajouter une clé physique n’est pas complexe en soit).

Le chiffrement est robuste (personne aujourd’hui n’a réussi à le casser) et couplé avec une clé physique réduit considérablement la possibilité de pouvoir déchiffrer et accéder à la base de données.
En faisant des sauvegardes diverses (par exemple dans un mail chiffré, sur un cloud privé chiffré, sur des clés USB) le risque de la perdre est limité.

Les plaques en titane sont une solution envisageable mais je n’aime pas cette solution.
Contrairement au gestionnaire de mots de passe, les mots inscrits sont en clairs. Si la plaque vient à être lu par quiconque c’est fini. Avec mon fichier de base de données mes données sont illisibles.

L’authentification à double facteur rend plus difficile à un hacker/voleur d’accéder aux données même s’il a connaissance du master password.

Le gestionnaire de mots de passe est mis à jour dès qu’une faille est découverte.

L’accessibilité avec la plaque de métal est potentiellement limité, le gestionnaire de mots de passe ou juste sa base de données, est accessible n’importe ou dans le monde.

En bonus le gestionnaire de mots de passe sert également dans la vie de tous les jours pour gérer toutes vos informations sensibles (ex: mots de passe sur vos sites internet, code de cartes,…)
Vous avez la possibilité de créer des mots de passe robustes et faire un suivi facile de toutes vos données. Si un compte se fait compromettre, il est aisé de mettre à jour ces données.
C’est une solution que j’utilise depuis que je navigue sur internet je ne pourrai pas faire sans.

PrinceVanille a écrit :

Pour le tuto, il est chouette et clair mais peut-être un peu trop succin ni vraiment noob friendly ?

Quitte à être hyper redondant, vous pourriez broder et broder, je penses que les lecteurs préférerons lire trop que pas assez dans cette situation.

J’ajouterais aussi des photos, screenshot et un lexique ^^

--

Merci en tout cas pour ce post, c’est une excellente initiative !

Merci ! J’ai pensé aux photos et screenshots mais y a youtube pour ca, et sera adapté aux modifications potentielles d’ici la.
C’est pourquoi je mets une mention importante au fait que la personne devra se former un minimum. Selon les montants considérés, je pense que la motivation pourra varier mais après ce n’est plus de mon ressort lol.
Dans mon cas j’accompagne mes proches avant qu’il ne soit trop tard, c’est ce qui me semble la meilleure approche en plus du guide.

Hors ligne Hors ligne

 

#6 19/12/2022 12h28

Membre (2019)
Réputation :   25  

INTJ

Bonjour;
juste une question, avez-vous identifié votre point faible dans la chaîne ?
Un mot de passe de 24 mots étant le support rempart mais vous le mettez dans un logiciel de protection de mot de passe mais a-t-il la même robustesse que vos " 24 mots".
Vous parler de chiffrement mais ou stockez-vous la clé pour déchiffrer ?
La double identification n’est pas un gage de sûreté non plus.
Une chaîne quelle qu’elle soit à la résistance de son plus faible maillon.


https://mes-bio-objets.fr Parrainage : Corum, BoursoBank JEMA6381UK, linxea

Hors ligne Hors ligne

 

1    #7 19/12/2022 13h59

Membre (2018)
Réputation :   145  

Bonjour Debcos,

debcos a écrit :

juste une question, avez-vous identifié votre point faible dans la chaîne ?

Oui je les ai identifié, je les considère comme acceptable au vu de mon analyse personnelle de gestion du risque.
Tout système quel qu’il soit n’est pas infaillible à 100%.

debcos a écrit :

Un mot de passe de 24 mots étant le support rempart mais vous le mettez dans un logiciel de protection de mot de passe mais a-t-il la même robustesse que vos " 24 mots".

Entre ces deux éléments, le point faible pourrait être le gestionnaire de mot de passe en cas de vulnérabilité logiciel par exemple.
Ce qui fait la robustesse de mon système c’est l’empilement de plusieurs composantes :
- Gestionnaire de mots de passe robuste et éprouvé utilisant des chiffrements forts (ex AES256 jamais cassé à ce jour). La NSA, l’ANSSI approuvent ce logiciel.
Petite lecture supplémentaire pour les intéressés : Keepass et la sécurité - Keepass.fr - Télécharger Keepass pour PC et Mac
- Un master password vraiment robuste (ex: plus de 30 caractères de tout type)
- De la double authentification reposant sur un mécanisme physique

debcos a écrit :

Vous parler de chiffrement mais ou stockez-vous la clé pour déchiffrer ?

Si vous faites référence au master password du gestionnaire de mots de passe, il se trouve dans quelques cerveaux fonctionnels. Mais libre à chacun de garder cette information ou bon lui semble en fonction de ce que j’ai écrit plus haut.
Si tous les cerveaux ayant possession de cette information sont morts, l’accès sera impossible hormis si un jour la quantique permet de casser tous les modèles cryptographiques existants.

debcos a écrit :

La double identification n’est pas un gage de sûreté non plus.
Une chaîne quelle qu’elle soit à la résistance de son plus faible maillon.

Je suis tout à fait en accord avec votre dernière phrase. Cependant, je ne comprends pas bien la première.
Si on reste sur le modèle gestionnaire de mots de passe protégé avec une clé physique pour la double authentification: 
En partant du postulat qu’un hacker casse le chiffrement AES256 il ne pourrait pas accéder à la base de données sans la clé de double authentification.

La clé de double authentification est un autre niveau de sécurité qui empêche l’accès non autorisé à la base de données, même si le chiffrement est cassé. Elle agit comme une sorte de passe-partout qui ne peut être utilisé que par les personnes autorisées à accéder à la base de données.

De manière générale la double authentification peut être portée par différents mécanismes :
- SMS : à proscrire de mon point de vue. Peut être facilement compromis (interception du message, téléphone piraté, sim swapping)
- Email : à proscrire aussi (compte compromis)
- Questions de sécurité : à proscrire aussi (dépend un peu des questions et de la réponse mais si facilement prévisible ou si l’attaquant vous connait bien)
- Authentification biométriques : je ne suis pas fan (fiabilité de la partie biométrique)
- Des applications spécialisées : google authenticator ou autre (bien mais risque porté par l’appareil détenant l’application, ex téléphone compromis)
- Tokens physique (risque de perte ou vol)
- Clés physiques - mon choix préféré (risque de perte ou vol)

Hors ligne Hors ligne

 

#8 19/12/2022 17h39

Membre (2019)
Top 50 Année 2023
Top 20 Année 2022
Top 5 Crypto-actifs
Top 20 Finance/Économie
Réputation :   195  

Merci d’ouvrir une file sur un sujet opérationnel (et parfois rébarbatif) mais crucial lorsqu’on conserve soi-même ses cryptos.

Deux remarques sur la forme de votre mode opératoire :
1. Certains points semblent être des notes de choses à faire et non pas appartenir à la procédure en tant que telle (comme le fait de faire du multi-signature par exemple). Est-ce que cela ne risque pas de perdre le légataire débutant et un peu stressé de devoir récupérer les cryptos sans faire de conneries ?
2. Parfois très précis (l’étape 1 par exemple) votre mode opératoire manque aussi parfois amha de précisions pour quelqu’un qui n’y connait absolument rien (les étapes 2 et 3 par exemple : quelle plateforme de confiance que vous utilisez déjà, comment faire un "virement" en crypto avec la notion d’adresse, etc.). Et comme d’autres l’ont souligné, il manque peut-être des captures d’écran pour rendre les explications plus claires

Sur le fond, sans être un expert en sécurité IT, je partage l’avis de Debcos et d’autres sur le maillon le plus fragile de la chaîne. J’ai l’intuition que cela devient effectivement le gestionnaire de mots de passe… Et j’ai toujours lu et relu (et donc pratiqué) qu’il ne fallait surtout jamais mettre la seed de 24 mots dans un ordinateur ou téléphone puisque n’importe quel support numérique peut être compromis.

cikei a écrit :

Si vous faites référence au master password du gestionnaire de mots de passe, il se trouve dans quelques cerveaux fonctionnels. Mais libre à chacun de garder cette information ou bon lui semble en fonction de ce que j’ai écrit plus haut.

Aussi, plutôt que le mot de passe maître du gestionnaire, pourquoi ne pas avoir simplement conservé la seed de 24 mots dans un cerveau fonctionnel ou autre part (sur un support non numérique) ?

Je me permets pour finir d’ajouter qu’il existe au moins un livre sur le sujet (que je n’ai pas lu) :
Cryptoasset Inheritance Planning: a simple guide for owners

Et un article sur la transmission de ses cryptos d’un vulgarisateur de Bitcoin que je juge sérieux (et dont l’article dérive entre autre de ce livre) :
Transmission de ses cryptos

Enfin, certaines boîtes comme Casa ou Unchained Capital proposent un service de gestion d’héritage dans leur package de "conciergerie" concernant Bitcoin (et désormais Ethereum pour Casa). Le problème étant que ce n’est pas forcément donné et que leur intérêt dépend donc de la valeur des actifs à sécuriser/transmettre :
Casa
Unchained Capital

Dernière modification par Concerto (19/12/2022 21h57)

Hors ligne Hors ligne

 

#9 19/12/2022 19h02

Membre (2014)
Top 20 Année 2022
Top 50 Portefeuille
Top 20 Expatriation
Top 50 Actions/Bourse
Top 50 Obligs/Fonds EUR
Top 5 Crypto-actifs
Top 20 Finance/Économie
Top 50 Banque/Fiscalité
Réputation :   563  

Une réponse peut-être à la problématique de la conservation du mot de passe « seed »: Apple.

Apparemment Apple serait prêt à mettre en œuvre un cryptage complet de son cloud, sans backdoor.
Il deviendrait possible de sauvegarder son mot de passe de façon cryptée chez un géant de la gestion de données.

Je ne me ferai jamais à la solution « mettre son mot de passe dans un coffre ou graver en différents endroits ou demander à un ami ». Je veux être 100% autonome sans avoir à apprendre par cœur le mot de passe.

Cela ne répondra pas à la problématique de la transmission de ce mot de passe en cas de mort accidentelle ou autre drame… car si Apple implémente cette mise à jour, il n’y aura aucune solution de récupération des données sur le cloud sans le mot de passe du compte iCloud.
Il est par contre probable que Apple mette en place une procédure de recovery avec des contacts de confiance.
Ce sera certainement plus « user friendly » que le multisig même si le principe est le même.

Ainsi par exemple 3 membres de la « famille Apple » qui auront accès à leurs comptes pourront d’un commun accord récupérer l’accès au compte d’un autre membre de la « famille » en quelques clics sur leur iPhone…


Le train de la vie ne s'arrête jamais deux fois à la même gare.

Hors ligne Hors ligne

 

#10 19/12/2022 21h03

Membre (2018)
Réputation :   145  

Concerto a écrit :

Merci d’ouvrir une file sur un sujet opérationnel (et parfois rébarbatif) mais crucial lorsqu’on conserve soi-même ses cryptos.

Deux remarques sur la forme de votre mode opératoire :
1. Certains points semblent être des notes de choses à faire et non pas appartenir à la procédure en tant que telle (comme le fait de faire du multi-signature par exemple). Est-ce que cela ne risque pas de perdre le légataire débutant et un peu stressé de devoir récupérer les cryptos sans faire de conneries ?

Avec plaisir si ça peut aider d’autres personnes.
Pour votre premier point, oui c’est une remarque qui n’appartient pas en tant que telle à la procédure mais qui peut faire l’objet d’une mise à jour.
J’ai souhaité vous la partager pour que vous puissiez profiter de la réflexion et faire votre propre choix lorsque vous adapterez votre procédure opérationnelle.

Concerto a écrit :

2. Parfois très précis (l’étape 1 par exemple) votre mode opératoire manque aussi parfois amha de précisions pour quelqu’un qui n’y connait absolument rien (les étapes 2 et 3 par exemple: quelle plateforme de confiance que vous utilisez déjà, comment faire un "virement" en crypto avec la notion d’adresse, etc.). Et comme d’autres l’ont souligné, il manque peut-être des captures d’écran pour rendre les explications plus claires

Je suis entièrement d’accord avec votre point de vue. Dans ma démarche, j’ai cherché à détailler les éléments les plus constants, qui devraient encore être vrais à un horizon de temps plus ou moins lointain. Les éléments plus changeants n’ont pas été détaillés de manière volontaire, mais simplement fournis avec quelques pistes de réflexion pour que la personne se renseigne elle-même. Le but, comme je l’ai déjà mentionné précédemment, est que la personne effectue un minimum de recherche et comprenne pleinement ce qu’elle fait.

Dans le cas présent, vous faites référence à une plateforme de confiance et à la manière de procéder pour effectuer un virement. Il convient de noter que de 2009 à 2014, Mt. Gox était considérée comme la plateforme d’échange de confiance par excellence, mais nous connaissons tous l’histoire qui a suivi.
Il y a quelques semaines, FTX était considérée comme la deuxième plateforme d’échange de cryptomonnaies.
Aujourd’hui, Kraken (mon premier choix) et Binance sont considérées comme des plateformes relativement fiables. Cependant, si l’on considère les choses de manière plus globale, il convient de souligner que Binance n’existe que depuis 2017 (Kraken depuis 2011).

En ce qui concerne la rédaction d’une procédure sur la manière d’effectuer un virement, il convient de souligner que l’expérience utilisateur change souvent, et que la rédaction d’une telle procédure n’aurait qu’un intérêt limité.
Si la personne doit effectuer un virement, elle pourra rechercher sur YouTube des vidéos explicatives actualisées. Enfin, mon conseil serait de ne considérer les exchanges centralisés que pour faire transiter des cryptomonnaies, mais pas pour y laisser dormir ou faire travailler ces dernières.

Concerto a écrit :

Sur le fond, ans être un expert en sécurité IT, je partage l’avis de Debcos et d’autres sur le maillon le plus fragile de la chaîne. J’ai l’intuition que cela devient effectivement le gestionnaire de mots de passe… Et j’ai toujours lu et relu (et donc pratiqué) qu’il ne fallait surtout jamais mettre la seed de 24 mots dans un ordinateur ou téléphone puisque n’importe quel support numérique peut être compromis.

Aussi, plutôt que le mot de passe maître du gestionnaire, pourquoi ne pas avoir simplement conservé la seed de 24 mots dans un cerveau fonctionnel ou autre part (sur un support non numérique) ?

Vous avez effectivement bien lu et relu, la SEED ne doit jamais être stockée sur un support numérique. Cependant, vous oubliez de terminer votre phrase, ce qui change tout. Il ne faut jamais stocker sa SEED de manière non sécurisée.

Le fait de stocker sa SEED dans un logiciel conçu spécifiquement pour garantir un niveau de sécurité élevé couplé à un mécanisme d’authentification fort résout la plupart des problèmes.
Il convient de garder à l’esprit que la probabilité que le gestionnaire de mots de passe soit piraté, que vous soyez l’une des premières victimes d’une attaque alors que le logiciel n’a pas encore été mis à jour pour corriger la vulnérabilité, et que votre système d’authentification soit volé par le même hacker est EXTREMEMENT FAIBLE.

En revanche, la probabilité d’oublier les 24 mots même par plusieurs personnes est beaucoup plus grande (dans le dictionnaire BIP39, de nombreux mots se ressemblent, à une lettre près et c’est fichu. Il faut respecter l’ordre et l’orthographe). De même, la probabilité que le papier / plaque métallique soit perdu, abîmé, etc. est également élevée.

Merci pour les liens, je ne connaissais ni le livre, ni l’article. Je vais y jeter un coup d’oeil.
Il existe en effet des services comme Bitgo et Casa mais je n’ai pas creusé le sujet.

Jef56 a écrit :

Une réponse peut-être à la problématique de la conservation du mot de passe « seed »: Apple.

Personnellement c’est le dernier endroit où j’irais mettre ce genre de donnée :p

Jef56 a écrit :

Je veux être 100% autonome sans avoir à apprendre par cœur le mot de passe.

Vous aurez toujours besoin de retenir au moins un mot de passe. L’avantage du gestionnaire de mot de passe c’est qu’il suffit d’en connaitre un seul et unique !

Jef56 a écrit :

Il est par contre probable que Apple mette en place une procédure de recovery avec des contacts de confiance […] Ce sera certainement plus « user friendly » que le multisig même si le principe est le même.

Si le prestataire à la possibilité à votre mort de faire une procédure de recovery pour des contacts de confiance, vous comprenez bien qu’Apple peut donc techniquement accéder à vos données. Pour moi c’est rédibitoire.
Le multi-sig n’est pas compliqué en 30mn : 20mn pour regarder comment ca se fait sur Youtube et 10mn pour le setup et vous avez votre multi sig en place.

Jef56 a écrit :

Ainsi par exemple 3 membres de la « famille Apple » qui auront accès à leurs comptes pourront d’un commun accord récupérer l’accès au compte d’un autre membre de la « famille » en quelques clics sur leur iPhone…

Du coup quel intérêt de passer par Apple ?
Exemple : Vous pouvez vous même créer un portefeuille multi-sig (voir lien dans mon premier message) y mettre vos fonds, y créer 4 propriétaires, vous informez vos 3 bénéficiaires en leur donnant les adresses en questions. Pour valider une transaction il faut 2/4 validateurs et basta. Risque : que 2 des 4 bénéficiaires fasse rasia sur le compte xD.
Peut-être que dans le futur il y aura une option pour modifier le nombre de validateurs nécessaires en fonction du temps. Exemple 4 propriétaires, il faut 4/4 qui valident mais dans 5 ans automatiquement ca passe a 2/4.

Hors ligne Hors ligne

 

#11 20/12/2022 00h00

Membre (2015)
Réputation :   198  

Si vous créez votre propre multisig, pourquoi utiliser le même hardware pour protéger chaque adresse, plutôt que de diversifier le risque entre différentes solutions ?

Hors ligne Hors ligne

 

#12 20/12/2022 08h51

Membre (2018)
Réputation :   145  

Hello wulfram,

Dans ma note sur le multi-sig j’écrivais :

cikei a écrit :

Les propriétaires peuvent être des personnes différentes ou des appareils différents, comme un Ledger, un ordinateur et un téléphone. Le but de cette mesure de sécurité est d’ajouter une validation supplémentaire lors de transactions. Par exemple, on peut avoir une adresse Ethereum protégée avec le Ledger, une seconde adresse ethereum Metamask sur un ordinateur et une troisième adresse Ethereum Metamask sur un téléphone, avec un seuil de validation de 2.

Plusieurs wallets multi-sig devront être mis en place (ex: un pour Bitcoin, un pour Ethereum).
Pour Bitcoin update à faire pour étudier Bitgo, Casa, electrum,…

Par souci de "simplification" des personnes peuvent souhaiter mettre toutes leurs adresses dans le même métamask mais ce n’est pas la meilleure pratique sécurité.

Concernant le fait d’inscrire sa SEED sur un papier/ plaque.
Regardez cette vidéo que j’ai vu tout à l’heure : https://twitter.com/i/status/1604599964713328640
L’horreur pour la personne qui s’est faite arrêtée !

Ça m’amène à vous parler brièvement de stéganographie ou l’art de caché un message dans un autre support.
Il existe de très nombreuses techniques et aimerai vous partager la ressource suivante :

https://incoherency.co.uk/blog/stories/ … seeds.html

Ainsi pour ceux qui préfère garder leur seed sur un support physique (papier, …) ça peut vous donner des idées pour le faire d’une manière plus subtile smile

Hors ligne Hors ligne

 

#13 20/12/2022 15h37

Membre (2018)
Réputation :   145  

ThomasAurlant, le 18/12/2022 a écrit :

mais j’ai bien compris qu’il n’y a qu’un cold wallet qui offre une sécurité maximale actuellement.

Hello ThomasAurlant,

J’ai retrouvé un article intéressant How to hack a hardware cryptocurrency wallet qui permet de mieux comprendre qu’un hardware wallet c’est bien mais loin d’être infaillible.

Hors ligne Hors ligne

 

1    #14 20/12/2022 16h05

Exclu définitivement
Réputation :   4  

Merc* de supprimer mon compte.

Dernière modification par PrinceVanille (06/03/2023 13h17)


"Je me souviens quand j'etais petit à la maison, le plus dur c'etait la fin du mois. Surtout les 30 derniers jours" -Coluche

Hors ligne Hors ligne

 

#15 21/12/2022 14h52

Membre (2021)
Réputation :   30  

Bonjour cikei, Bravo pour votre travail. C’est intéressant de rassembler les infos d’accès pour vos proches.

J’ai la même remarque que d’autres, je pense que votre document est assez compliqué pour quelqu’un qui n’est pas à l’aise avec le numérique, et il y a de grande chance que votre (vos) successeur légal soit concernés. Mais je n’ai pas de solution à ce problème, donc ce n’est pas la peine de s’étendre.

Ensuite, ça a déjà été évoqué par d’autres, mais votre phrase de récupération Ledger est compromise car vous l’avez saisie et communiquée sur un appareil connecté à Internet. Néanmoins le risque est assez faible.

Par ailleurs, il manque l’emplacement du backup de la base KeepassXC, de votre mdp maitre et du Yubikey, en cas de perte de tout votre matériel informatique lors de votre amnésie.

Enfin, vous pourriez peut-être apporter quelques infos de base sur la fiscalité des PV cryptos ainsi que sur les droits de succession en France. Votre point 3 ne peut être réalisé que par votre successeur légal ou un notaire. Et le point 4 est un évènement taxable.

Hors ligne Hors ligne

 

#16 21/12/2022 16h41

Membre (2018)
Réputation :   145  

pikaia a écrit :

Bonjour cikei, Bravo pour votre travail. C’est intéressant de rassembler les infos d’accès pour vos proches.

J’ai la même remarque que d’autres, je pense que votre document est assez compliqué pour quelqu’un qui n’est pas à l’aise avec le numérique, et il y a de grande chance que votre (vos) successeur légal soit concernés. Mais je n’ai pas de solution à ce problème, donc ce n’est pas la peine de s’étendre.

Merci pour le retour,

Il faut qu’il y ait un accompagnement sur les éléments essentiels ça permettra d’être plus efficace si demain la procédure doit être déroulée.
Et si elle reste trop compliquée les personnes devront prendre la peine de se former un minimum. L’avantage c’est que tant qu’ils ne comprennent pas par eux même ils éviteront de faire des bêtises et de sacrifier le précieux sésame par des erreurs évitables.

Nous avons tous été débutants, nous avons tous appris, s’ils veulent récupérer le butin ils devront faire de même sinon tant pis pour eux smile

pikaia a écrit :

Ensuite, ça a déjà été évoqué par d’autres, mais votre phrase de récupération Ledger est compromise car vous l’avez saisie et communiquée sur un appareil connecté à Internet. Néanmoins le risque est assez faible.

La SEED se trouve dans le gestionnaire de mots de passe qui n’est pas connecté en permanence à Internet. Elle n’est pas compromise mais elle peut l’être en effet.
La probabilité est extrêmement faible.
J’estime la probabilité que mon ledger se fasse voler bien plus grande et la probabilité d’hacker le ledger directement par ces mêmes voleurs plus grande également que d’arriver à pénétrer le gestionnaire de mots de passe.
Ce qui renforcerai de mon point de vue grandement la sécurité serait d’ajouter une couche Multi-Sig.

pikaia a écrit :

Par ailleurs, il manque l’emplacement du backup de la base KeepassXC, de votre mdp maitre et du Yubikey, en cas de perte de tout votre matériel informatique lors de votre amnésie.

Dans ma procédure il y a les emplacements des différents éléments mais sur le forum j’ai mis REDACTED, car cela variera en fonction de chacun.

pikaia a écrit :

Enfin, vous pourriez peut-être apporter quelques infos de base sur la fiscalité des PV cryptos ainsi que sur les droits de succession en France. Votre point 3 ne peut être réalisé que par votre successeur légal ou un notaire. Et le point 4 est un évènement taxable.

Merci pour la remarque de la taxation de l’étape 4 je vais faire une modification de la procédure.
Après dans mon cas très personnel : Je suis au Luxembourg, à ce jour 0 taxation après détention continue de la crypto plus de 6 mois.
Pour tous les aspects "DeFi" par contre c’est une autre paire de manche et c’est une horreur à gérer donc je ne m’embête pas avec cet aspect car ça ne représente pas une part importante du patrimoine crypto.
Pour le point 3, en théorie vous avez raison mais dans la réalité il n’y a pas de KYC sur les adresses BTC, ETH,… personne ne pourra vérifier ce point (ce n’est pas forcément vrai à 100% et peut varier d’un individus à un autre en fonction de comment il "navigue" dans cet espace (mixeur par ex))
Mais c’est une bonne remarque ! je vais réfléchir plus en profondeur à cela.

Hors ligne Hors ligne

 

#17 21/12/2022 18h27

Membre (2016)
Réputation :   116  

Bonjour,

Pour ceux qui souhaitent creuser des solutions proposées par des protocols vous avez :
    safient.io
    sarcophagus.io
    safehaven.io
    killcord.io

Vous avez également ce article en anglais qui traite du sujet : Be Prepared: How To Manage Your Digital Assets When You’re Gone. ? Steemit

Hors ligne Hors ligne

 

#18 23/12/2022 13h04

Membre (2014)
Top 50 Crypto-actifs
Réputation :   36  

INTP

cikei, le 20/12/2022 a écrit :

ThomasAurlant, le 18/12/2022 a écrit :

mais j’ai bien compris qu’il n’y a qu’un cold wallet qui offre une sécurité maximale actuellement.

Hello ThomasAurlant,

J’ai retrouvé un article intéressant How to hack a hardware cryptocurrency wallet qui permet de mieux comprendre qu’un hardware wallet c’est bien mais loin d’être infaillible.

Merci pour cet intéressant lien.
Pour Ledger, j’avais bien retenu, qu’à ce jour, personne n’a pu le hacker (dans le sens "avoir accès à une clé privée pour ses bitcoins par exemple").
Dans cet article, on parle d’une attaque très complexe, permettant de modifier le micrologiciel de la Ledger pour pouvoir rediriger les adresses sortantes vers un compte du hacker.
Ce n’est pas tout à fait la même chose, car cela signifie, qu’à moins de ne pas se rendre compte que quelqu’un a eu accès à sa Ledger (avec des moyens techniques d’élite mondiale, et qui ne prennent pas 5 minutes à être utilisés !), on ne risque rien.
Dans ce cas improbable, il suffit de prendre une autre Ledger avec sa seedphrase et de déplacer les bitcoins vers une autre adresse plus sûre.
Je parle évidemment ici d’un cas de paranoïa extrême, qui devrait surtout inquiéter un multimillionaire ciblé spécifiquement par un gouvernement !

On arrive d’ailleurs au dilemme de la sécurité (même chose dans le nucléaire par exemple):

Le fait de stocker sa SEED dans un logiciel conçu spécifiquement pour garantir un niveau de sécurité élevé couplé à un mécanisme d’authentification fort résout la plupart des problèmes.
Il convient de garder à l’esprit que la probabilité que le gestionnaire de mots de passe soit piraté, que vous soyez l’une des premières victimes d’une attaque alors que le logiciel n’a pas encore été mis à jour pour corriger la vulnérabilité, et que votre système d’authentification soit volé par le même hacker est EXTREMEMENT FAIBLE.

En revanche, la probabilité d’oublier les 24 mots même par plusieurs personnes est beaucoup plus grande (dans le dictionnaire BIP39, de nombreux mots se ressemblent, à une lettre près et c’est fichu. Il faut respecter l’ordre et l’orthographe). De même, la probabilité que le papier / plaque métallique soit perdu, abîmé, etc. est également élevée.

A un moment donné, on doit choisir entre ce qui est le moins probable d’arriver.
Et la recherche de la sécurié ultime est une quête du Graal.

Ceci dit, pour des particuliers (même très aisés), on peut arriver à quelque chose de suffisamment sûr beaucoup plus simplement, heureusement !

Hors ligne Hors ligne

 

#19 23/12/2022 13h38

Membre (2018)
Réputation :   145  

Oui je suis aligné avec ce que vous dites.
Si on vous vole votre ledger et que vous le remarquez rapidement vous pouvez toujours espérer avoir le temps de transférer vos cryptos ailleurs.
Il faut des compétences en électronique mais pas spécialement hors d’atteinte en réalité.
Bref la probabilité que cela arrive est faible.

Vous mentionnez également une phrase que j’aime bien :

ThomasAurlant a écrit :

Je parle évidemment ici d’un cas de paranoïa extrême, qui devrait surtout inquiéter un multimillionaire ciblé spécifiquement par un gouvernement !

La sécurité que nous mettons en place est juste proportionnelle aux moyens à mettre en œuvre pour la contourner / casser.

Hors ligne Hors ligne

 

#20 23/12/2022 17h08

Membre (2022)
Réputation :   0  

ThomasAurlant a écrit :

Je ne suis pas un expert en sécurité informatique, mais j’ai bien compris qu’il n’y a qu’un cold wallet qui offre une sécurité maximale actuellement

En effet, le cold wallet reste la meilleure solution pour garder des données confidentielles à l’abris des hackers !

Pour ma part j’utilise Legapass. J’ai découvert cette solution grâce à un dossier dans le journal Nice-Matin. Ils ont développé une méthode de stockage hors-ligne sécurisée (même niveau qu’un coffre-fort à la banque).

De plus je sais que s’il m’arrive quelque chose un jour ils s’occupent de tout au niveau de la restitution à mes héritiers.

Hors ligne Hors ligne

 

#21 25/12/2022 19h40

Membre (2018)
Réputation :   145  

Je parle dans ma procédure du gestionnaire de mots de passe Keepass, ce n’est pas anodin, notamment parce que la base est détenue par vous même.

Je connais de nombreuses personnes qui utilisent Lastpass.
Solution appréciée car user-friendy. Cependant la société s’est faite hackée en aout 2022 et à publié récemment que le hack est plus important que prévu puisque le hacker a récupéré les bases de données chiffrées de tous les utilisateurs (en plus des noms d’utilisateurs, noms des sociétés utilisant le service, adresses de facturation, emails, adresses IP et les numéros de téléphone des clients).

Les données contenues dans les bases de données des utilisateurs est donc à risque surtout si le mot de passe maître n’est pas suffisamment robuste. Si vous êtes concerné c’est un jeu de course contre la montre. Le brute force de mots de passe peut prendre un certain temps dépendant de la complexité du mot de passe. Changez donc tous vos mots de passe si vous êtes client Lastpass.

Une source :
Vous utilisez LastPass ? Les hackers ont maintenant vos mots de passe

Hors ligne Hors ligne

 

#22 30/01/2023 10h34

Membre (2014)
Top 50 Crypto-actifs
Réputation :   36  

INTP

Pour rebondir sur l’éternel risque de piratage. A partir du moment où il y a une donnée numérique quelque part, il y a toujours un risque de piratage.

Faille dans Keepass

Evidemment, un simple patch de Keepass et c’est déjà réglé.
Evidemment, cette faille demandait visiblement d’avoir déjà accès au PC concerné, mais cela reste faisable.
Bref, aucune sécurité logicielle n’est parfaite et encore moins lorsque c’est en ligne quelque part dans le cloud.

Hors ligne Hors ligne

 

#23 30/01/2023 11h53

Membre (2018)
Réputation :   145  

Merci d’avoir pointé sur ce lien. Cette news m’a échappé smile

En effet après du moment qu’un attaquant à accès à la machine il y a tellement d’autres possibilités de récupérer les mots de passe du Keepass que cette vulnérabilité n’est pas dramatique en soit. S’attendre à ce que KeePass (ou tout autre gestionnaire de mots de passe) soit immunisé dans de telles situations est à mon humble avis peu réaliste.

Hors ligne Hors ligne

 

Pied de page des forums