Confidentialité sur le Web 3 : Protégez vos données

Modifié le

Si vous pensez que vous êtes en sécurité sur la blockchain, détrompez-vous. Vous êtes constamment surveillé et ce n’est pas sûr. Si vous vous souciez de votre vie privée et de la sécurité de vos données et de vos actifs, alors lisez cet article.

 

3 outils pour acheter du Bitcoin

L’attaque sandwich

Une façon de se faire démolir on-chain est ce qu’on appelle une attaque sandwich. Lorsque vous tradez sur les DEX (Decentralized Exchanges), vous êtes toujours perdant face aux bots. Lorsque vous exécutez une transaction, un robot s’occupe de votre transaction en achetant les tokens juste avant que votre transaction ne soit minée. Cela augmente le prix, vous obligeant à acheter à un prix plus élevé. Le résultat est que vous payez plus cher pour vos tokens et que les bots ont profité de la vente des tokens une fois que votre transaction d’achat est minée.

C’est ce qu’on appelle une attaque sandwich car votre transaction originale en attente est prise en sandwich entre les ordres des bots. Chaque transaction est envoyée à une “mempool” que tout le monde peut voir. Et les bots qui sont assez rapides peuvent exploiter cela. Une “mempool”, ou memory pool, est une liste de transactions en attente de validation d’un nœud avant qu’elle ne soit engagée dans un bloc de la blockchain.

Il n’y a pas grand-chose que nous puissions faire à ce sujet, car c’est la nature des blockchains. À moins que votre portefeuille n’ait une sorte de protection intégrée pour éviter cela.

L’accès à nos données privées

Saviez-vous que vos données personnelles sont exposées dès que vous vous connectez à un dApp ? Voici comment cela fonctionne. Votre portefeuille ne peut pas interagir directement avec la blockchain. Il ne peut le faire qu’à travers les nœuds (nodes). Ainsi, chaque étape que vous franchissez passe par les entreprises qui gèrent ces nœuds. Chaque fois que vous vous connectez à un dApp, effectuez une transaction ou déposez des fonds dans un protocole, la demande est envoyée à un nœud qui vérifie et exécute la transaction.

Mais ce que vous ne savez pas, c’est que ces requêtes de nœuds sont pleines de données privées, comme votre adresse IP, la version de votre navigateur Web, etc. Les fournisseurs de nodes qui déploient et exécutent les nœuds peuvent voir toutes ces données. Ils savent pratiquement où vous êtes en ce moment.

J’ai été choqué d’apprendre que les fournisseurs de nodes puissent accéder à nos informations personnelles. Le pire, c’est qu’ils n’en ont même pas besoin pour exécuter la transaction. En tous cas jusqu’à ce jour, vos données restent chez le fournisseur.

Ils ont pour politique de ne pas les partager avec des tiers, et c’est généralement sans danger. Mais que se passe-t-il si cette entreprise est piratée ? Et si le gouvernement s’en mêle ? Et si l’entreprise est rachetée par une organisation louche ? C’est à ce moment-là que vos informations personnelles sont exposées au grand jour et qu’ils peuvent vous interdire l’accès à la blockchain puisqu’ils contrôlent les nodes.

Plutôt effrayant, non ? Les portefeuilles de crypto-monnaies ne sont peut-être pas aussi décentralisés que vous le pensez. Sauf pour les portefeuilles axés sur la vie privée comme BlockWallet.

Le pishing

Parlons des attaques de phishing (hameçonnage) maintenant. C’est la plus vieille tactique du monde. Le petit lait des escrocs du Web 3. Elles fonctionnent en trompant les victimes avec de faux messages d’erreur, des pop ups de portefeuilles, ou en se faisant passer pour des marques connues pour vous demander de vérifier vos informations d’identification. Ils vous conduisent ensuite vers des sites Web non officiels ou des extensions qui pourraient exposer la phrase secrète de votre portefeuille (wallet seed phrase) ou d’autres informations sensibles.

Vous pensez peut-être que les gens devraient être plus prudents lorsqu’ils se connectent à des sites Web louches, mais la vérité est que les débutants aussi bien les vétérans de la crypto-monnaie en sont encore victimes aujourd’hui. Rien qu’en 2021, les pirates utilisant le phishing auraient volé pour 14 milliards de dollars de fonds, soit deux fois plus que les 7,8 milliards de 2020.

Prenez Todd Kramer et Larry Lawliet, par exemple. Tous deux des NFT whales (baleines). Ils se sont faits tous deux voler des millions de dollars à cause d’une arnaque de phishing. Mais comme la crypto évolue, les pirates et les escrocs aussi. Ils peuvent faire en sorte que des sites de phishing aient l’air incroyablement légitimes. Ils peuvent même copier les domaines de portefeuilles et de dApps bien connus juste avec une légère différence, que vous ne remarquerez même pas, c’est pourquoi vous devez toujours vérifier deux fois le lien sur lequel vous cliquez pour vous assurer que c’est bien le bon.

 

Vous utilisez un ENS ou affichez un profil NFT sur Twitter?

C’est cool de faire ceci, mais … attention.

Avez-vous envisagé que vous pouvez exposer toutes les adresses de votre portefeuille si vous n’êtes pas prudent. Si vous ne le savez pas, l’Ethereum Name Service, alias ENS, est un nom simple qui remplace l’adresse compliquée de votre portefeuille Ethereum, facilitant ainsi l’envoi et la réception de crypto-monnaie.

Bien qu’ils soient considérés comme des technologies de pointe, la crypto-monnaie et les NFT utilisent toujours un protocole de recherche similaire à l’ancien modèle de recherche IP. Chaque fois que vous devez envoyer des ETH au portefeuille d’un ami, par exemple, vous scannez son code QR ou copiez une adresse de portefeuille incroyablement longue (0x9e735f012db8nb…).

Semblable au Domain Name System (DNS), un ENS est un protocole qui relie les codes générés par la machine à des noms conviviaux. Cependant, contrairement au système de noms de domaine, ENS est un système de nommage complètement ouvert, décentralisé et à but non lucratif, compatible Web3. Il est alimenté par la blockchain Ethereum et les noms de domaine sur ENS sont sécurisés à l’aide de contrats intelligents.

Cependant, n’importe qui peut utiliser votre nom Ethereum ou NFT pour fouiner dans vos finances. C’est la différence entre envoyer un e-mail à quelqu’un et être capable de regarder toute votre boîte de réception. C’est très simple. Chaque domaine ENS et NFT a une adresse de portefeuille qui lui est attachée. Même si vous n’utilisez pas votre adresse de portefeuille principale pour enregistrer votre ENS ou créer ce NFT, il est très facile de remonter à cette adresse depuis vos autres adresses.
Le problème est que lorsque vous faites savoir aux autres que cet ENS ou ce nom NFT vous appartient, vous risquez d’attirer une attention non désirée, par exemple de la part d’escrocs. Par exemple, si vous affichez votre super NFT valant une fortune sur votre photo de profil Twitter, vous vous mettriez une cible dans le dos, et s’ils voient qu’il y a des choses à vous voler, ils peuvent se donner beaucoup de mal pour y parvenir.

Bon, tout cela est assez effrayant, alors si vous utilisez les DEX ou les protocoles DeFi, vous devez être prudent pour rester en sécurité sur la chaîne.

Il s'agit d'une page informative. Pour bénéficier de conseils d'experts en investissement et surtout de personnes agréées par l'Orias, vous pouvez consulter notre conseiller financier.

Votre conseiller financier
Par Tony L.

Passionné de technologie, Tony vous propose des articles et des dossiers exclusifs dans lesquels il partage avec vous le fruit de ses réflexions et de ses investigations dans l'univers de la Blockchain, des Cryptos et de la Tech.

Les autres établissements de notre comparatif