Pourquoi et comment sécuriser votre adresse mail pour acheter des cryptomonnaies

Gary Benezat
Nov 1 · Unlisted

Il est monnaie courante d’entendre dans le monde de la crypto des histoires peu réjouissantes où des utilisateurs se réveillent un matin et c’est le drame lorsqu’ils se connectent à leur plateforme d’échange de cryptomonnaies : les balances de leurs cryptomonnaies affichent zéro, le compte a été vidé par un hacker ou une personne malveillante.

Se faire pirater sa boite mail représente une porte d’entrée directe pour se faire voler ses crypto actifs si vous les stockez directement sur les plateformes d’échange où vous les avez achetés.

Voici un exemple remontant à mai 2019 et qui avait fait du bruit car la victime n’est autre qu’un ingénieur haut placé de la société Bitgo, une solution de custody connue dans le monde de la crypto. Sean Conce s’est réveillé un matin et tous ses bitcoins — l’équivalent de 100,000$ — avaient disparu de l’exchange Coinbase. Pour en savoir plus sur l’histoire de Sean Conce, il a rédigé un article où il détaille sa mésaventure. Dans cet article, Sean n’incrimine pas vraiment Coinbase mais lui-même : il aurait dû faire preuve de plus de vigilance et il met en évidence une fraude à la carte SIM assez courante aux Etats-Unis.

Preuve que se faire voler ses bitcoins peut arriver à n’importe qui, je vais dans cet article vous proposer plusieurs étapes pour sécuriser votre boite mail (dans un prochain article, je détaillerai davantage les étapes à suivre pour acheter vos bitcoins en toute sécurité) :


1. Créer une adresse mail dédiée

Tout d’abord, je vous recommande de vous créer une adresse mail dédiée pour vos plateformes d’échange de cryptomonnaies (ou crypto exchanges). Exemple: cryptomaster7599@gmail.com

Pourquoi me demanderez-vous ? La raison est simple : nous avons tous une adresse mail principale avec laquelle nous avons déjà créé des dizaines voire centaines de comptes sur des plateformes et services tiers. Hors, parmi ces services, certains ont subi des hacks et vu les données de leurs utilisateurs (adresses mails, prénoms, noms, mots de passe, etc.) se retrouver publiques sur le dark web. Parmi les hacks de données les plus connus, nous pouvons par exemple citer celui de Daily Motion où il était question de dizaines de millions de comptes qui ont fuité en 2016 ou plus récemment Reddit en 2018. Pour plus d’informations sur ce sujet, je vous invite à lire cet article du blog de Dashlane.

Vous l’aurez compris, utiliser une adresse mail uniquement dédiée à vos quelques comptes sur les plateformes d’échange de cryptomonnaies limitera considérablement le risque que des hackers essaient de se connecter à votre compte en utilisant votre adresse mail puisque vous seul et la plateforme en question (si vous créez un alias, cf le point 2. ci-dessous) avez connaissance de cette adresse mail.

2. Créer un alias pour chaque plateforme d’échange de cryptomonnaies

Pour aller encore plus loin dans cette démarche et avoir une adresse mail unique pour chacun de vos comptes sur les plateformes d’échange de cryptomonnaies, je vous conseille d’utiliser un alias lorsque la plateforme le permet (ce n’est par exemple pas le cas de Binance).

Qu’est-ce qu’un alias ? Un alias est une adresse mail qui sert à rediriger les messages reçus vers votre compte de messagerie principal. Par exemple, cryptomaster7599+1@gmail.com et cryptomaster7599+test999@gmail.com sont des alias, tous les mails envoyés à ces 2 adresses mail seront renvoyés vers cryptomaster7599@gmail.com. Si vous décidez de vous créer un compte sur les plateformes d’échange Kraken et Coinbase, vous pourrez par exemple utiliser les adresses mail suivantes: cryptomaster7599+kraken@gmail.com (ou cryptomaster7599+kraken01@gmail.com ou cryptomaster7599+kra@gmail.com, peu importe vous l’aurez compris) pour Kraken et cryptomaster7599+coinbase@gmail.com pour Coinbase. Les adresses mail associées à vos comptes sur ces 2 plateformes seront uniques et vous recevrez bien tous les mails envoyés par ces 2 plateformes sur votre adresse principale cryptomaster7599@gmail.com.

Avec une adresse mail Gmail, il vous suffit lors de l’inscription sur un crypto exchange (comme Kraken par exemple) de saisir votre adresse mail avec votre alias en mettant ‘+’ à la suite de l’adresse mail. Exemple: cryptomaster7599+kraken01@gmail.com
Vous recevrez bien tous vos mails (dont le mail de confirmation de création de compte) sur cryptomaster7599@gmail.com. Cela fonctionne aussi pour ProtonMail. Pour les autres services de messagerie, cela reste à vérifier.

3. Ne pas associer de numéro de téléphone / adresse mail de récupération

Je vous déconseille d’associer un numéro de téléphone de récupération à votre adresse mail créée pour gérer vos comptes sur les différentes plateformes de cryptomonnaies. De même, je vous déconseille d’associer une autre adresse mail de récupération. Cela représente autant de portes d’entrée à votre adresse mail pour des hackers et autres personnes mal intentionnées.

A quoi servent le numéro de téléphone/l’adresse mail de récupération ? Si vous avez oublié le mot de passe de votre adresse mail, il vous sera envoyé à votre numéro de téléphone de récupération ou à votre adresse mail de récupération. Cela signifie que si vous vous faites voler votre téléphone ou si vous vous faites pirater l’adresse mail de récupération, alors la sécurité de votre adresse mail est compromise. Et si la sécurité de votre adresse mail est compromise, alors la sécurité de vos comptes sur les différentes plateformes d’échange de cryptomonnaies est également compromise.

Si vous stockez bien à l’abri le mot de passe de votre adresse mail ou que vous l’apprenez par coeur, alors le numéro de téléphone et l’adresse mail de récupération sont inutiles.

Si vous souhaitez associer une adresse mail de récupération, pensez à bien répéter les autres étapes de cet article pour l’adresse mail de récupération en question. Si vous souhaitez associer un numéro de téléphone de récupération, pensez à bien activer un mot de passe pour accéder à votre smartphone (et également pour accéder à votre desktop/tablette).

Enfin, pensez à bien vous déconnecter lorsque vous ouvrez votre boite mail sur un appareil qui n’est pas le votre.

4. Choisir un mot de passe compliqué

Choisissez un long mot de passe d’au moins 16 caractères si possible, avec au moins 2 caractères spéciaux à la suite (exemple:”@#”).

Comment retenir ce mot de passe ? Pour répondre à cette question, 2 grands choix s’offrent à vous (d’autres options plus techniques sont également possibles mais je ne vais pas entrer dans ce niveau de détail) :

  • Utiliser un gestionnaire de mot de passe : il s’agit de logiciels simples à télécharger, faciles à utiliser et qui encryptent tous vos mots de passe. Il vous suffit de retenir un seul mot de passe — votre mot de passe maître (je vous recommande un mot de passe d’au moins 16 caractères, avec au moins 2 caractères spéciaux à la suite) — et tous les autres mots de passes sont mémorisés par votre gestionnaire de mot de passe. Personnellement, j’utilise Dashlane et je le recommande vivement : c’est français, ça fonctionne bien depuis des années et ils proposent une application desktop et sur mobile (ainsi qu’une extension pour le navigateur Chrome). Lorsque vous vous inscrivez à un nouveau service en ligne (comme une plateforme d’échange de cryptomonnaies), Dashlane peut vous générer automatiquement un mot de passe “compliqué” si vous le souhaitez (vous pouvez d’ailleurs décider de la longueur du mot de passe et plusieurs caractères spéciaux sont à la suite).

Voici un lien d’inscription pour vous créer un compte sur Dashlane.

  • Noter tous vos mots de passe sur une feuille de papier et la mettre dans un coffre-fort. Ce n’est pas pratique mais ça a le mérite de bien fonctionner si vous avez des réticences à utiliser un gestionnaire de mots de passe comme Dashlane.

NB 1 : ne notez pas votre mot de passe sur un fichier (Word, Excel ou peu importe) stocké sur votre ordinateur ou sur une application hébergée dans le cloud comme Evernote ou Note. Pourquoi ? Nous ne sommes jamais à l’abri d’un virus sur notre propre ordinateur ou smartphone (d’ailleurs, je vous conseille vivement de télécharger un antivirus sur votre ordinateur et sur votre smartphone/tablette) ou même d’un vol de cet ordinateur. Il convient donc de chiffrer les données sensibles comme vos identifiants.

NB 2 : choisissez un mot de passe unique que vous ne réutiliserez pas pour une autre boite mail ou autre compte en ligne (imaginez que vous utilisez le même mot de passe pour tous vos comptes en ligne et que l’un de ces comptes fuite suite à un hack…).

5. Activer votre 2FA

Activer le 2FA (il s’agit de la double authentification, “two-factor authentication” en anglais) pour accéder à votre adresse mail. Concrètement cela permet d’avoir une sécurité supplémentaire dans le cas où une personne mal intentionnée aurait découvert le mot de passe de votre adresse mail.

Le 2FA (vérification en deux étapes) permet d’ajouter un code pour accéder à votre boite mail : à chaque connexion, vous devrez saisir un code à 6 chiffres. Ce code s’affiche sur une application mobile ou desktop, il change toutes les 30 secondes. Il est vivement conseillé d’activer votre 2FA pour votre boite mail ainsi que pour tous vos comptes sur les différents crypto exchanges.

Lorsque vous activez le 2FA sur vos différents comptes de crypto exchanges, privilégiez le 2FA via application mobile que par SMS (si l’option SMS est proposée).

Une clé secrète (suite de caractères) vous sera communiquée lors de l’activation de votre 2FA. Il est très important de ne pas stocker cette clé secrète sur votre ordinateur (que ce soit un fichier Word, Excel ou sur une application type Evernote ou Note). Je vous recommande de noter cette clé secrète sur une feuille de papier que vous mettrez en lieu de sûr dans un coffre.

Pour saisir la clé secrète ou scanner le QR code communiqué lors de l’activation de votre 2FA, il vous faut une application smartphone ou desktop. Les plus utilisées sont Authy 2-Factor Authentication et Google Authenticator (tous 2 disponibles sur desktop et smartphone). Une fois la clé secrète enregistrée via l’une de ces 2 applications, un code à 6 chiffres apparaîtra sur l’application et changera toutes les 30 secondes.

Voici un tutoriel pour activer le 2FA sur une boite mail Gmail ou sur une boite mail ProtonMail.

Bonus : Utiliser un VPN

Afin de garder votre anonymat lorsque vous vous connectez à une plateforme d’échange de cryptomonnaies et protéger vos données à caractère sensible, il est conseillé d’utiliser un VPN (Virtual Private Network). Plusieurs solutions s’offrent à vous : Dashlane propose désormais une option VPN, vous pouvez autrement opter soit pour un logiciel SaaS payant comme NordVPN ou un logiciel open source gratuit comme Tunnelblick.


J’espère que les étapes proposées vous permettront de mieux protéger votre boite mail. Si vous avez des questions ou d’autres recommandations, n’hésitez pas à me les poser en commentaires !

Disclaimer : les étapes énoncées dans cet article visent à considérablement réduire le risque de piratage de votre boite mail. Cependant, gardez en tête que le risque zéro n’existe pas en sécurité informatique.

Unlisted

Gary Benezat

Written by

Ex-Product Manager de Paymium et Blockchain.io, 2 plateformes d’échange de cryptomonnaies basées en France #BitcoinIsTheNewGold

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade