Il n'est pas facile de choisir le bon moyen d’interagir avec l'environnement des Blockchains. Plus on ajoute en sécurité, plus on perd en facilité d'utilisation. Je vous donne le compromis idéal en fonction de votre utilisation !

Un peu de technique

Ce qui est important ce n'est pas l'outil que vous utilisez pour effectuer des transactions, mais la manière dont vous exposez votre clé privée !

Le "private tree" tel que l'explique MEW

On peut distinguer cinq types de clés privées :

  • Celles qui ne vous appartiennent pas (sur un échange)
  • Celles qui sont sous la forme d'une Paper Wallet (Mnemonic sur un document papier ou un QR code.)
  • Celles qui sont sous la forme d'un fichier chiffré externe (TrueCrypt ou Keepass)
  • Celles qui sont sous une forme chiffrée dans un logiciel (MetaMask, Trust Wallet, Coinbase Wallet, MEWconnect)
  • Celles qui sont contenues dans l'enclave sécurisée d'un processeur (Ledger Nano, Trezor ou le Galaxy S10)

Où est stocké ma clé privée ?

Ce qui va faire la différence c'est comment vous allez utiliser votre clé privée et comment elle sera partagée au wallet qui va effectuer la transaction.

  • Dans le cas d'un Paper Wallet, vous allez devoir scanner un QR code ou recopier des mots dans une application (ordinateur ou smartphone). Cela n'offre pas une très grande sécurité car si l'application est malicieuse ou vérolée, votre transaction pourra être détournée par un pirate.
  • Dans le cas d'une clé privée que vous auriez chiffrée via un logiciel comme TrueCrypt ou Keepass, le risque est assez similaire. Quand vous n'utilisez pas votre wallet, il est quasi inviolable. Mais lors de vos interactions avec un wallet ou un webwallet, le pirate peut réussir à l'intercepter au moment où vous allez l'utiliser, puis en prendre le contrôle.
  • Dans le cas d'une clé privée contenue dans un logiciel dédié le risque est faible. La clé ne sort pas du logiciel une fois configuré et vous n'avez pas à exposer votre sauvegarde ou votre phrase mnemonic lors de son utilisation. Il faut avoir confiance dans le logiciel qui va effectuer la transaction mais il y a peu de risque d'être intercepté par un malware.
  • La mission première d'un Hardware wallet et de ne jamais exposer votre clé privée. A vous cependant de faire en sorte de garder la phrase mnemonic dans un endroit sûr. Il ne sera pas possible de modifier la transaction à la volée car elle aura été calculée dans le processeur sécurisé et non par le logiciel qui va effectuer la transaction.

Pour sécuriser votre clé privée il vous faudra au moins deux moyens de stockage. Un moyen dit "froid" qui ne servira qu'en cas de perte ou casse du moyen de stockage "chaud".


Wallet sur ordinateur

Paper Wallet + MetaMask

Support du hot wallet : Navigateur ordinateur
Blockchain : Ethereum uniquement
Compatible avec quasiment toutes les Dapps (sur ordinateur). Pour consulter votre solde en token ou Eth, il vous faudra passer par un explorateur type etherscan. Il n'est pas conseillé d'importer votre mnemonic dans de multiples logiciels.

Force Faiblesse
Simple et utilisable partout. MetaMask n'est pas l'outil le plus ergonomique du monde.

Paper Wallet + MEWconnect + MyEtherWallet

Support du hot wallet : Navigateur ordinateur + Smartphone
Blockchain : Ethereum uniquement
Seulement utilisable avec MEW sur ordinateur, l'application smartphone ne permet que de recevoir des transactions. Il est nécessaire de passer par le site ordinateur pour envoyer des Eth ou des tokens.

Force Faiblesse
Coté sécurité, on est au top de ce qui se fait sans hardware wallet. Solution uniquement valable avec MEW sur ordinateur

Paper Wallet + Ledger Nano S + MyEtherWallet (ou autre web wallet)

Support du hot wallet : Ordinateur + Smartphone
Blockchain : Virtuellement toutes
Avantage au Ledger c'est que vous avez le choix de l'application qui effectuera les transactions. La plupart des sites proposent une connexion directe au Ledger, mais il est également utilisable via MetaMask. Cela en fait une arme très puissante mais plus lourde à utiliser pour les opérations de tous les jours.

Force Faiblesse
Coté sécurités, on est au top de ce qui peut se faire ! Assez long à utiliser, car il faut brancher le Ledger, entrer son PIN, choisir la bonne application...

Wallet sur smartphone

Paper Wallet + Ledger Nano X + Ledger Live

Support du hot wallet : Ordinateur + Smartphone
Blockchain : Virtuellement toutes
On peut espérer que l'utilisation du Ledger Nano X en bluetooth simplifier son utilisation quotidienne.

Force Faiblesse
Coté sécurités, on est au top de ce qui peut se faire ! Assez long à utiliser, car il faut allumer le Ledger, entrer son PIN, choisir la bonne application...

Paper Wallet + Coinbase Wallet (Toshi) ou Trust Wallet (Binance)

Support : Smartphone
Blockchain : BTC, BCH, ETH, ETC, LTC
Compatible avec quasiment toutes les Dapps (sur smartphone)

Force Faiblesse
Solution versatille sur smartphone, simple et rapide. Facile pour les petites transactions, ce ne sera pas adapté à la particion à des ICOs.

Deux choix pour deux utilisations

Le (très) bon compromis

Le meilleurs compromis et donc d'utiliser un stockage froid sur une feuille de papier et d'utiliser un logiciel dédié pour les actions régulières. Je conseil très fortement l'utilisation de MetaMask, en tant que wallet principal, dans le cadre de la Blockchain Ethereum. Cette extension navigateur offre un très bon niveau de sécurité et est compatible avec tous les outils décentralisés.

Pour les fanatiques de la sécurité

Difficile de se passer d'un stockage froid de type papier. Par contre pour la signature des transactions le must et d'utiliser un Hardware Wallet. Il sera ainsi quasi impossible de modifier une transaction à la volée. Par contre cela allonge considérablement le temps nécessaire à une transaction.


Note 1. Les outils smartphone partent du principe qu'il est difficile de pirater un mobile. Cependant si vous avez une version d'Android inférieur à la 8 ou une ancienne version d'IOS il est totalement possible pour un pirate d'enregistrer votre écran et recopier votre mnemonic ou seed.
Note 2. Les choses à ne pas faire :
- Ne pas s'envoyer sa clé privés par email
- Ne pas sauvegarder le fichier en clair sur du stockage cloud
- Ne pas laisser ouvert KeePass ou tout logiciel de sécurité quand vous ne l'utilisez pas
Note 3. A peu près au meme moment que la rédaction de cet article, MEW a réalisé un article similaire qui est très intéressant.