SSP Editorial Team

Que se passe-t-il si une clé de portefeuille crypto est compromise

·6 min de lecture·Par SSP Editorial Team
Couverture SSP Academy avec icônes de cadenas, œil barré, bouclier et clé intitulée Si une clé est compromise

Une clé compromise donne l'impression d'être le pire moment de l'auto-conservation. Ce n'est pas le cas — mais c'est une urgence, et la manière dont vous réagissez dans les prochaines heures compte plus que ce que vous ressentez à ce sujet. Cet article explique ce qu'une compromission signifie réellement dans un portefeuille multisig 2 sur 2, comment la reconnaître et comment resécuriser vos fonds en faisant tourner les clés.

Si vous n'avez pas encore lu Récupération 101 : ce dont vous avez vraiment besoin pour restaurer un portefeuille, commencez par là. Il explique la différence entre les clés, les phrases de récupération et les métadonnées — le vocabulaire que le reste de cet article suppose acquis.

Une clé compromise n'est pas des fonds volés

Voici la mise en confiance, dite sans détour : dans un multisig 2 sur 2, une clé compromise ne permet pas à un attaquant de déplacer votre argent.

SSP utilise une configuration 2 sur 2 — deux clés indépendantes, sur deux appareils distincts, et les deux signatures sont requises pour autoriser une transaction. Une clé réside dans l'extension de navigateur ; l'autre réside sur votre téléphone, dans SSP Key. Si vous n'êtes pas sûr du fonctionnement de cette répartition, Qu'est-ce que le multisig 2 sur 2 le traite en détail.

La conséquence pratique est directe. Un attaquant qui vole, hameçonne ou extrait une seule clé détient exactement la moitié de ce dont il a besoin. Il ne peut pas signer une transaction valide. Il ne peut pas vider votre portefeuille. Il a une clé qui, à elle seule, ne signe rien.

C'est tout le sens du multisig, et c'est pourquoi une seule clé compromise est un événement surmontable plutôt que catastrophique. Avec un portefeuille à clé unique, une clé volée, ce sont des fonds volés — instantanément, irréversiblement. Avec le 2 sur 2, vous obtenez quelque chose qu'un détenteur de clé unique n'a jamais : du temps pour réagir.

Pourquoi c'est tout de même une urgence

La mise en confiance n'est pas de la complaisance. Une clé compromise est véritablement urgente pour une raison : elle supprime votre marge de sécurité.

Un portefeuille 2 sur 2 a un second facteur intégré. À l'instant où une clé est compromise, cette protection disparaît. Vous utilisez désormais, de fait, un portefeuille à clé unique — sauf que l'attaquant détient peut-être déjà cette clé unique. Si votre seconde clé est ensuite compromise, perdue ou hameçonnée, l'attaquant possède les deux moitiés et vos fonds disparaissent.

Voyez cela comme de la redondance dépensée. Le multisig vous a donné deux serrures. Un attaquant vient d'en crocheter une. Le portefeuille est encore sûr aujourd'hui, mais il n'a plus de marge. La tâche est désormais de restaurer la redondance avant que quoi que ce soit ne touche la seconde clé.

Il y a aussi un risque plus discret. Un attaquant qui détient une clé valide peut ne pas abandonner. Il peut pivoter — vous hameçonner pour obtenir la seconde signature, vous envoyer une demande de transaction malveillante à approuver, ou manipuler les canaux de support par ingénierie sociale. Une compromission n'est pas un événement isolé ; c'est le début d'une campagne. Agir vite met fin à cette campagne.

Comment reconnaître une clé compromise

La compromission s'annonce rarement. Elle se manifeste généralement comme un schéma que vous pouvez apprendre à repérer. Les plus courants :

  • Un logiciel malveillant sur l'appareil. Votre ordinateur ou votre téléphone se comporte étrangement — fenêtres surgissantes inattendues, extensions de navigateur que vous n'avez pas installées, une interface de portefeuille qui réclame votre phrase de récupération alors qu'elle ne l'a jamais fait. Un logiciel malveillant atteignant l'appareil où réside une clé doit être traité comme une compromission de cette clé.
  • Une transaction approuvée par hameçonnage. Vous avez approuvé une transaction qui n'était pas ce que vous pensiez — une fausse page « vérifiez votre portefeuille », une connexion malveillante à une dApp, une transaction dont les détails ne correspondaient pas à l'écran attendu. Si vous avez signé quelque chose sous de faux prétextes, supposez que la clé signataire est exposée.
  • Un appareil perdu mais non effacé. Vous avez perdu un téléphone ou un ordinateur portable et ne pouvez pas confirmer qu'il était verrouillé, chiffré ou effacé à distance. Un appareil non récupéré contenant une clé est une clé entre des mains étrangères jusqu'à preuve du contraire.
  • Une sauvegarde divulguée. Une photo de votre phrase de récupération synchronisée vers un compte cloud, un fichier de sauvegarde sur un disque partagé, une phrase écrite que quelqu'un d'autre a pu voir. Tout ce qui expose le matériel dont une clé est dérivée est une compromission de cette clé.

Le test honnête est simple : si vous ne pouvez pas affirmer avec assurance qu'une clé est encore exclusivement la vôtre, traitez-la comme compromise. L'auto-conservation récompense l'action sur le soupçon, pas l'attente de la preuve. Pour en savoir plus sur l'état d'esprit qui sous-tend cela, voyez Pourquoi l'auto-conservation compte maintenant.

Agir vite : la première heure

Lorsque vous soupçonnez une compromission, l'ordre des priorités est fixe.

  1. Isolez l'appareil suspect. Déconnectez-le d'Internet. Ne « testez » pas le portefeuille dessus. Ne vous connectez pas pour vérifier. Chaque action sur un appareil compromis peut en divulguer davantage.
  2. Confirmez vos fonds avec la clé saine. Utilisez votre autre appareil — celui en lequel vous avez confiance — pour vérifier les soldes. Dans un 2 sur 2, vous pouvez toujours voir votre portefeuille ; vous n'autoriserez simplement encore rien.
  3. N'approuvez rien. C'est l'heure critique pour les relances d'hameçonnage. Traitez chaque demande de transaction, message de support ou invite de « vérification urgente » comme hostile jusqu'à ce que votre portefeuille soit resécurisé.
  4. Planifiez la rotation. Décidez quelle clé est compromise et comment vous la remplacerez. N'improvisez pas en cours de processus.

La rapidité compte parce que l'attaquant vous dispute la seconde clé. Plus vous faites tourner les clés vite, plus sa fenêtre est étroite. Les orientations générales de réponse aux incidents — par exemple le Guide de traitement des incidents de sécurité informatique du NIST (SP 800-61) — soulignent le même point dans un contexte d'entreprise : le confinement avant l'éradication, et l'éradication avant la restauration. L'ordre n'est pas arbitraire.

Comment la rotation des clés resécurise le portefeuille

La rotation est le correctif. Le principe : une clé compromise est définitivement brûlée. Vous ne la « nettoyez » pas et ne lui faites plus confiance. Vous la remplacez et déplacez vos fonds vers un portefeuille que l'attaquant n'a jamais touché.

Concrètement, cela signifie :

  • Générer un portefeuille neuf sur des appareils en lesquels vous avez confiance — des appareils vérifiés contre les logiciels malveillants, ou idéalement un appareil entièrement sain. Cela produit deux nouvelles clés et une nouvelle paire 2 sur 2, sans aucun lien avec celle compromise.
  • Déplacer vos fonds de l'ancien portefeuille vers le nouveau. Comme vous contrôlez encore les deux clés de l'ancien 2 sur 2, vous pouvez toujours signer ce transfert — l'attaquant, ne détenant qu'une clé, ne peut ni l'arrêter ni le devancer vers sa propre adresse.
  • Mettre l'ancien portefeuille entièrement hors service. Une fois les fonds déplacés, l'ancien portefeuille — et la clé compromise qu'il contient — est mort. Il ne détient rien et ne signe rien qui compte.
  • Rétablir vos sauvegardes. Votre nouveau portefeuille a une nouvelle phrase de récupération BIP39. Sauvegardez-la avec la même discipline que vous appliqueriez à une configuration neuve, et assurez-vous que la sauvegarde divulguée à l'origine de cet incident est détruite.

La raison pour laquelle cela fonctionne est la même que celle qui a rendu la compromission surmontable : l'attaquant n'a jamais eu les deux clés. Cela vous a donné une majorité de signature que l'attaquant ne pouvait égaler — assez de temps pour évacuer vers la sécurité. La rotation transforme un avantage temporaire en un avantage permanent.

À retenir

Une clé compromise est une urgence, pas un désastre. L'architecture 2 sur 2 vous achète un temps qu'un portefeuille à clé unique n'offre jamais — mais ce temps est une marge à dépenser délibérément, pas une raison de se relâcher. Reconnaissez tôt les schémas de compromission, isolez vite, refusez chaque invite d'approbation et faites tourner vers un portefeuille sain avant que la seconde clé ne soit jamais en danger. Faites cela, et une clé volée restera exactement ce que le multisig en fait : la moitié d'une serrure qui n'ouvre rien.

Partager cet article

Articles connexes

Couverture de Wallet Recovery 101 avec icônes de clé, bouclier, base de données et portefeuille

Récupérer un portefeuille crypto : clés et graines

Guide clair de la récupération d'un portefeuille crypto : le rôle de la phrase de récupération, des clés dérivées et des métadonnées, et ce qu'il faut.

7 min read