SSP Editorial Team

Votre checklist OpSec crypto

·6 min de lecture·Par SSP Editorial Team
Couverture sécurité SSP avec icônes de portefeuille, clé, bouclier et puce pour une checklist OpSec crypto

L'auto-conservation n'est pas une configuration que l'on fait une seule fois — c'est une routine. Tes clés restent en sécurité parce que tu les gardes en sécurité, trimestre après trimestre. Voici ta checklist de sécurité opérationnelle (OpSec) : un audit de 15 minutes que tu réalises quatre fois par an pour repérer les petites dérives avant qu'elles ne deviennent des incidents. Les sauvegardes s'effacent, les extensions s'accumulent, les autorisations s'additionnent, et ce téléphone en qui tu avais confiance au printemps dernier finit revendu. Aucun de ces problèmes n'est une urgence à lui seul ; ensemble, après une année de négligence, c'est ainsi que de bonnes configurations pourrissent en silence. Réserve une soirée tranquille au début de chaque trimestre, imprime cette page et coche les cases une à une. Rien de tout cela n'est difficile — toute la valeur tient au fait de le faire à intervalle régulier, plutôt qu'après que quelque chose a déjà mal tourné.

L'OpSec est une discipline empruntée à des personnes dont le modèle de menace est sérieux par métier — les guides Surveillance Self-Defense de l'EFF sont une bonne introduction à cet état d'esprit. Pour la crypto, la même idée se ramène à une poignée de questions : mes clés sont-elles récupérables, mes appareils sont-ils sains, est-ce que je comprends ce que je signe, et les comptes autour de mon portefeuille sont-ils verrouillés ? Avec la configuration 2 sur 2 de SSP, chaque dépense exige déjà une seconde approbation indépendante sur ta SSP Key, de sorte qu'un seul appareil compromis ne devrait pas suffire à déplacer des fonds — mais ce filet de sécurité ne tient que si les deux moitiés restent saines et indépendantes. La checklist ci-dessous les maintient ainsi.

Réalise-la chaque trimestre. Ne coche la case que lorsque c'est réellement vrai, pas lorsque tu comptes t'en occuper.

Clés et sauvegardes

Ton matériel de récupération est la seule chose que tu ne peux pas régénérer, alors commence ici et corrige tout point fragile avant d'avancer — notre guide des bonnes pratiques pour la phrase de récupération couvre les détails de conservation. Une sauvegarde que tu supposes correcte mais que tu n'as pas regardée depuis un an est le point de défaillance unique le plus courant en auto-conservation.

  • Localise chaque sauvegarde de la phrase de récupération et confirme que chacune est physiquement lisible, complète et intacte, sans dégât d'eau, de chaleur ou d'encre effacée.
  • Confirme que les sauvegardes se trouvent dans au moins deux endroits géographiquement distincts, pour qu'un seul incendie, une inondation ou un vol ne puisse pas emporter les deux à la fois.
  • Vérifie que les deux moitiés de SSP sont sauvegardées : le portefeuille d'extension et la SSP Key peuvent être restaurés indépendamment l'un de l'autre.
  • Vérifie qu'aucune phrase de récupération n'a jamais été saisie dans un téléphone, photographiée, envoyée par e-mail ou stockée dans un gestionnaire de mots de passe ou une note cloud.
  • Confirme que toute personne à qui tu as confié un lieu de sauvegarde y a toujours accès — et, tout aussi important, devrait toujours l'avoir.

Appareils et extensions

Un appareil propre est le socle sous tous les autres contrôles, alors traite ton navigateur comme une partie de ton portefeuille — l'hygiène des extensions de navigateur pour les utilisateurs de crypto explique pourquoi une seule extension malveillante peut réécrire en silence ce que tu signes.

  • Mets à jour ton système d'exploitation, ton navigateur et l'extension SSP vers leurs dernières versions.
  • Mets à jour l'appareil SSP Key et confirme qu'il s'appaire, s'affiche et signe toujours correctement.
  • Passe en revue chaque extension de navigateur installée et supprime tout ce qui est inutilisé, inconnu ou plus maintenu.
  • Confirme que l'éditeur et l'identifiant de la boutique de l'extension SSP correspondent à la fiche officielle — aucun clone imitateur ne s'est glissé.
  • Lance une analyse antimalware fiable sur l'ordinateur et sur le téléphone que tu utilises pour transiger.

Transactions et autorisations

La plupart des pertes modernes ne sont pas des clés volées — ce sont des signatures que tu as accordées il y a des mois et oubliées, alors examine ce que tu as accordé avec un outil comme revoke.cash et relis notre explication sur les autorisations de jetons.

  • Examine les autorisations de jetons actives et révoque toutes celles qui sont obsolètes, illimitées ou liées à une dapp que tu n'utilises plus.
  • Confirme que tu lis chaque transaction sur l'écran de la SSP Key avant de l'approuver — le montant, la destination et le réseau.
  • Vérifie par sondage les transactions sortantes récentes dans un explorateur de blocs face à ce que tu voulais réellement envoyer.
  • Vérifie à nouveau que les favoris enregistrés de contrats et de dapps pointent encore vers les adresses réelles et actuelles, et non vers une adresse remplacée.

Les comptes autour de ton portefeuille

Les attaquants forcent rarement le portefeuille en premier — ils forcent le compte e-mail ou d'échange juste à côté et progressent vers l'intérieur, donc le Secure Our World de la CISA est une base en langage clair et la 2FA mobile bien faite couvre les pièges propres à la crypto.

  • Fais passer les comptes e-mail, d'échange et cloud de la 2FA par SMS au TOTP ou aux passkeys, qui ne peuvent pas être victimes de SIM swapping.
  • Confirme un mot de passe unique et solide sur chaque compte qui touche à ta crypto, généré et conservé dans un gestionnaire de mots de passe.
  • Passe en revue ton carnet d'adresses enregistré et supprime ou revérifie toute entrée dont tu ne peux plus personnellement te porter garant.
  • Vérifie les options de récupération de chaque compte — e-mail de secours, numéro de téléphone, questions de sécurité — à la recherche de maillons faibles qu'un attaquant pourrait exploiter.

Préparation au phishing

Le phishing est l'attaque à laquelle tu seras réellement confronté, et elle devient de plus en plus convaincante, alors garde les schémas frais en tête avec les attaques de phishing visant les utilisateurs de crypto et répète tes propres réflexes avant qu'un vrai appât n'arrive.

  • Remets en favori le site officiel de SSP et tes échanges, et n'y accède que par ces favoris — jamais via une annonce de recherche ou un lien en message privé.
  • Confirme que tu n'approuves jamais une transaction ni ne saisis une phrase de récupération en réponse à un message, un appel ou un « agent de support » non sollicités.
  • Passe en revue tes e-mails et messages privés récents à la recherche d'un lien que tu n'aurais pas dû cliquer — et change les identifiants concernés en cas de doute.
  • Rappelle à toute personne qui partage tes finances que SSP, et tout support légitime, ne te demanderont jamais de phrase de récupération.

Répétition de récupération et de succession

Une sauvegarde que tu n'as jamais testée n'est qu'une supposition, alors une fois par trimestre prouve que tu pourrais réellement récupérer plutôt que de le supposer — commence par récupérer SSP quand tu perds ton navigateur.

  • Fais un exercice de perte du navigateur : restaure l'extension SSP depuis la sauvegarde sur un profil propre et confirme que tes soldes apparaissent.
  • Fais un exercice de perte du téléphone : confirme que tu peux rétablir la SSP Key et mener une approbation 2 sur 2 complète de bout en bout.
  • Documente l'accès d'urgence et de succession — où sont les sauvegardes, ce qui est nécessaire et qui contacter — pour une personne de confiance.
  • Confirme que ce document est conservé en lieu sûr et que la personne de confiance sait qu'il existe, sans apprendre les secrets prématurément.

Imprime-la, planifie-la

Une checklist ne fonctionne que si elle tourne vraiment, alors rends l'audit du prochain trimestre automatique plutôt que de compter sur ta mémoire.

  • Imprime cette checklist ou enregistre-la hors ligne quelque part où tu la reverras vraiment.
  • Mets un rappel trimestriel récurrent dans ton calendrier, fixé à la même semaine chaque trimestre.
  • Note la date à laquelle tu as terminé l'audit du jour et tout ce que tu as reporté, pour que le prochain trimestre commence exactement là où celui-ci s'est arrêté.

Partager cet article

Articles connexes

Phrase de récupération de douze mots imprimée sur une carte en papier à côté d'un portefeuille matériel

Bonnes pratiques pour la phrase de récupération

Ce qu'est une phrase de récupération, comment la stocker sans la perdre ni la divulguer, et comment le multisig 2-of-2 de SSP change la donne.

7 min read
Illustration de sécurité SSP avec des icônes de portefeuille, clé, bouclier et puce, illustrant un guide sur les attaques de phishing crypto.

Les attaques de phishing ciblant les utilisateurs de crypto (et comment les repérer)

Le phishing crypto vous cible, pas la cryptographie. Repérez les schémas — draineurs, phishing d'approbation, empoisonnement d'adresses — et comment SSP aide.

7 min read
Couverture sécurité SSP avec icônes de portefeuille, clé, bouclier et puce sur une carte carrée bleu marine

Hygiène des extensions de navigateur pour les utilisateurs de crypto

Sécurité des extensions : vérifiez ce que vous installez, appliquez le moindre privilège, appuyez-vous sur LavaMoat et laissez le 2 sur 2 de SSP vous protéger.

6 min read