Zero Crypto at Home : sans banque à l'ère des attaques Wrench et du phishing | Jameson Lopp et Beau

Ryan :
[0:00] Nous avons deux experts en sécurité dans notre podcast aujourd'hui. Outre moi-même, voici Ryan Sean Adams. David ne peut pas être avec nous aujourd'hui. Laissez-moi vous expliquer pourquoi je réalise cet épisode.

Ryan :
[0:10] On constate une augmentation des agressions physiques contre les investisseurs en cryptomonnaies. Ce phénomène s'est probablement produit au cours des deux dernières années en particulier. Je pourrais vous raconter une douzaine d'histoires, voire plus. Cela provoque de l'inquiétude au sein de la communauté crypto. En tant qu'auditeur, cela vous inquiète peut-être aussi, car vous avez vu certains de ces cas faire la une des journaux. Cet épisode est donc un moyen de reprendre le contrôle. Il porte sur les tactiques à adopter. Il s'agit de moyens de renforcer votre sécurité physique contre les attaques physiques et votre sécurité numérique contre les attaques de phishing. Il comprend une approche que j'aime bien, appelée « zero crypto at home » (zéro crypto à la maison). C'est du moins ainsi que je l'appelle. Et cela signifie à peu près ce que cela dit. Il s'agit de concevoir un système qui vous empêche d'accéder à la cryptographie à domicile en utilisant des signatures multiples, des délais et une vérification par un tiers si nécessaire. Je sais que cela ajoute une certaine friction au processus. Je sais que, d'une certaine manière, ce n'est pas idéal, mais c'est quelque chose que je conseille et qui est particulièrement important si vous êtes un investisseur en cryptographie dont l'identité a été révélée. Vous n'êtes pas pseudonyme et votre nom est connu de tous. Car s'il y a une chose que vous entendrez si vous écoutez le podcast Bankless depuis un certain temps, c'est que nous pensons que le but de la cryptomonnaie est la liberté. Vous voulez être votre propre banque, mais vous ne voulez pas être le gardien de sécurité de votre banque. Ce n'est pas de la liberté. Voyons donc comment se passer de banque à l'ère des attaques Wrench.

Ryan :
[1:37] Bankless Nation réalise cet épisode parce qu'il semble très opportun. Et la vérité, c'est que je repousse la réalisation de cet épisode depuis un certain temps déjà.

Ryan :
[1:45] car cela me rend quelque peu anxieux. Mais la raison pour laquelle je pense que nous en avons besoin maintenant est que les crypto-natifs et peut-être même l'industrie de la cryptographie ressentent une certaine inquiétude en matière de sécurité, une inquiétude accrue. J'ai donc invité deux personnes qui vont parler de cela. J'espère que nous aurons une vision claire du problème auquel sont confrontés les crypto-natifs. Et aussi, que nous en sortirons avec un certain optimisme et quelques solutions. Donc, si vous êtes un crypto-natif, si vous êtes dans cette industrie depuis un certain temps, vous allez vouloir écouter cet épisode, car nous abordons en profondeur certains sujets liés à la sécurité, à la protection et aux attaques par wrench. J'ai invité les deux meilleurs invités pour en parler. Jameson Lopp. Il est le cofondateur de Casa Security. Et Beau. Il est un ancien agent de la CIA. Il est maintenant responsable de la sécurité chez Pudgy Penguins. Jameson, Beau, merci de vous joindre à nous. Je suis ravi d'être ici.

Beau :
[2:44] Merci de m'accueillir.

Ryan :
[2:45] Très bien. Alors que nous entrons dans l'année 2026, j'aimerais connaître votre opinion sur les plus grandes menaces qui pèsent sur les crypto-natifs. Comment les classeriez-vous et qu'en diriez-vous, Jameson ?

Jameson :
[2:56] Eh bien, je pense que la plus grande menace est la même que celle qui a toujours existé, à savoir les tiers de confiance et le fait de ne pas prendre en charge la garde de vos propres actifs, car il y a un million de choses qui peuvent mal tourner dans ce domaine. Et au moins, lorsque vous prenez le contrôle de vos clés, vous limitez le nombre de personnes susceptibles de commettre toutes ces erreurs. Au-delà de cela, la confidentialité est un enjeu vraiment important. Nous y reviendrons, car je considère que la confidentialité est la couche de sécurité la plus externe. Si vous pouvez arrêter les gens au niveau de la couche de confidentialité, alors, avec un peu de chance, ils n'auront même pas l'occasion de tester vos autres couches de sécurité. Et puis, en réalité... Nous finirons probablement par passer un certain temps à discuter de ce sujet, mais je pense que c'est celui qui préoccupe le moins les gens, car c'est le moins fréquent. Cependant, les attaques physiques réelles font l'objet d'une attention croissante. Mais c'est assez nouveau dans ce domaine et elles suscitent davantage d'intérêt simplement en raison de leur nature flagrante.

Ryan :
[3:54] D'accord, j'aimerais approfondir ce point pendant une minute, Jameson. Vous pensez donc à toutes les menaces auxquelles sont confrontés aujourd'hui les détenteurs de cryptomonnaies et les natifs de la cryptographie. Certaines des menaces dont nous allons parler, comme les attaques brunch peut-être, sont beaucoup plus éloignées que la menace réelle de voir vos actifs cryptographiques volés par un tiers. Et par tiers, vous entendez par exemple une bourse, un dépositaire, un FTX ou un BlockFi dont vous n'êtes pas sûr. Vous considérez toujours ces menaces comme bien plus importantes que certaines de celles dont nous allons parler concernant le fait de se passer de banque pour vos actifs cryptographiques ?

Jameson :
[4:29] Oui, ou même la conservation autonome avec des contrats intelligents novateurs qui n'ont pas été suffisamment vérifiés et audités, etc. Le problème avec tous ces éléments est qu'ils peuvent tous entraîner des pertes catastrophiques. Mais à cette échelle, si vous regardez les statistiques totales des pertes et les types de pertes qui se sont produites ces dernières années, il s'agit encore principalement de tiers de confiance et de systèmes mal audités. Et même si les attaques de type « wrench » sont en augmentation, elles restent relativement faibles par rapport à l'ensemble des menaces qui pèsent sur l'écosystème.

Ryan :
[5:07] D'accord. Bo, que répondrais-tu à cette même question, à savoir quelles sont les plus grandes menaces auxquelles seront confrontés les crypto-natifs en 2026 ?

Beau :
[5:13] Je suis tout à fait d'accord avec les priorités de Jameson. Je pense, surtout si l'on garde à l'esprit que nous entrons peut-être dans un marché baissier. Nous sommes dans un marché baissier, quelle que soit la façon dont vous voulez le voir. Les risques que vous avez mentionnés, comme FTX ou Robinhood lors du dernier cycle, ont poussé les gens à vendre leurs jetons Solana à bas prix, n'est-ce pas ? Lorsque vous ne contrôlez pas vos propres jetons, beaucoup de mauvaises choses peuvent arriver. Cela va de...

Beau :
[5:39] Vous savez, une bourse qui essaie de faire ce qu'il faut d'un point de vue réglementaire et une bourse qui fait faillite. Jameson y a fait allusion, mais vous savez, à mesure que les entreprises de cryptomonnaie commencent à licencier leurs équipes de développement parce qu'il y a moins d'argent dans ce secteur, ces contrats intelligents ne seront plus audités aussi fréquemment. Les escrocs vont se concentrer, vous savez, potentiellement davantage sur cela que sur les investisseurs individuels, car ils savent qu'il y a moins de personnes qui protègent ce type d'actifs financiers. Je n'ai donc pas grand-chose à ajouter à cela. Je pense que c'est aussi mon avis. J'ajouterais également que, vous savez, les attaques de type « wrench » font de plus en plus parler d'elles, elles semblent effrayantes, mais, vous savez, pour l'investisseur moyen qui écoute ce podcast,

Beau :
[6:26] vous devez d'abord vous occuper de la sécurité numérique. Car, vous savez, les chances que vous soyez victime d'une attaque Wrench sont faibles par rapport aux centaines de tentatives de phishing que vous voyez chaque jour en ligne sur X, Discord ou Telegram. Vous devez vous préparer à ce que vous êtes le plus susceptible de rencontrer au quotidien. Je suis donc tout à fait d'accord avec Jameson sur ce point.

Ryan :
[6:48] En fait, Bo, c'est peut-être un excellent point de départ. Et restreignons un peu notre audience. Comme vous le savez probablement, le podcast Bankless s'adresse à ceux qui, comme nous, prônent l'idée de se passer des banques, n'est-ce pas ? C'est ce que nous défendons depuis le premier jour, pour certaines des raisons que vous avez tous deux mentionnées. Les tiers sont souvent ceux qui échouent dans la mise en place de la sécurité, et ce sont eux qui perdent vos actifs. Comment résoudre ce problème ? La solution apportée par les cryptomonnaies, le Bitcoin et l'Ethereum, c'est de se passer des banques. Mais j'ai l'impression qu'il y a de plus en plus de failles dans ce système. Parfois, l'expérience utilisateur rend cela difficile. Nous en parlerons. Mais vous pouvez surmonter tout cela et apprendre à bien conserver vos actifs cryptographiques. Ce qui m'a vraiment déconcerté, ce sont les attaques de phishing qui ont...

Ryan :
[7:42] De plus en plus sophistiquées et qui ont même réussi à dépouiller de leurs actifs des crypto-natifs chevronnés. C'est donc un aspect qui a quelque peu ébranlé la recommandation de se passer des banques pour résoudre ce problème si l'on veut une sécurité à 100 %. L'autre aspect, pour être franc, ce sont les attaques par clé angulaire. Elles sont certes rares, mais incroyablement effrayantes. Et elles ont touché des crypto-natifs dans ce domaine. Ce sont donc peut-être ces deux points sur lesquels je souhaite me concentrer. Et Beau, vous venez de nous donner quelques priorités à cet égard. Tu as dit que, de loin, la plus grande menace en termes de probabilité à laquelle tu seras confronté si tu gères toi-même tes actifs est probablement une attaque de type phishing. Et tu as dit que la sécurité numérique est, je crois, la plus importante. Peux-tu nous parler des types d'attaques qui ciblent les crypto-natifs du côté du phishing ? Et ensuite, donne-nous quelques scénarios afin que nous puissions...

Ryan :
[8:41] y réfléchir, puis nous discuterons de la manière de protéger votre sécurité numérique.

Beau :
[8:46] Bien sûr, et oui, je pense que pour mettre cela dans un cadre un peu plus large, vous savez, j'ai une formation militaire et dans le renseignement. Donc, lorsque nous planifions, nous discutons des mesures les plus probables et des mesures les plus dangereuses. Donc, pour les personnes qui s'inquiètent des menaces liées à la cryptographie, la mesure la plus probable, c'est que vous allez être confrontés à ces menaces numériques. Nous pouvons parler des détails dans un instant. Mais la ligne de conduite la plus dangereuse est l'idée que quelqu'un se présente chez vous, vous menace, vous et votre famille, et puisse potentiellement vous tuer pour tenter de s'emparer de vos cryptomonnaies, n'est-ce pas ? Il est donc important de se préparer à la fois au scénario le plus probable et au scénario le plus dangereux. Il ne s'agit donc pas de négliger complètement la menace d'une attaque par clé à molette. Mais oui, je pense que certains scénarios de tentatives de phishing que nous avons observés, vous savez...

Beau :
[9:36] En réalité, les escrocs essaient de faire l'une des deux choses suivantes.

Beau :
[9:40] Soit compromettre vos clés privées, soit vous piéger pour que vous leur donniez la permission de faire quelque chose sur la chaîne. J'ai une expérience dans le domaine des NFT, car

Beau :
[9:49] je travaille avec.

Beau :
[9:50] Pudgy Penguins. Donc, pour prendre un exemple lié aux NFT, lorsque vous échangez des NFT sur Ethereum, vous devez accorder des autorisations de contrats intelligents à des places de marché comme OpenSea afin qu'elles puissent prélever les actifs que vous vendez dans votre portefeuille et les transférer à l'acheteur. Et lorsque vous accordez ces autorisations, vous donnez la permission à ce contrat intelligent d'accéder à votre portefeuille, de prélever ces actifs et de les transférer. Les escrocs développent donc des sites de phishing qui, en substance, usurpent l'identité de marques réputées dans le domaine, telles qu'OpenSea ou Pudgy Penguins, et tentent d'inciter l'utilisateur à se rendre sur ce site. Vous pouvez donc être en train de faire défiler votre fil d'actualité sur X et voir que Pudgy Penguins lance un nouvel airdrop, et vous inviter à le réclamer immédiatement. Vous vous rendez alors sur ce site, qui ressemble en tous points à notre site web. Vous voyez un bouton « Connecter le portefeuille ». Vous connecterez votre portefeuille et le site web analysera votre portefeuille pour voir quels actifs vous détenez. Et si vous détenez les actifs de valeur qu'ils recherchent, ils vous présenteront une signature qui déclenchera le contrat intelligent que vous avez approuvé. Ils utiliseront donc les autorisations que vous avez accordées à OpenSea pour prendre un NFT Pudgy Penguin dans votre portefeuille et le transférer vers eux-mêmes. Et ils peuvent utiliser des demandes de signature sans gaz pour le faire. Ce que vous signez n'est pas très clair. Ainsi, si vous ne faites pas attention ou si vous êtes fatigué, vous pouvez très facilement céder vos actifs en quelques secondes.

Beau :
[11:18] Et puis, un autre vecteur que j'ai mentionné, c'est qu'ils veulent compromettre vos clés privées. Et donc, l'un des principaux moyens utilisés par les attaquants pour y parvenir consiste à introduire des logiciels malveillants sur les appareils qui pourraient sécuriser vos clés privées. Je suis sûr que beaucoup de gens entrent dans cet espace, tout comme je l'ai fait,

Ryan :
[11:35] C'est-à-dire vous

Beau :
[11:36] Téléchargez un portefeuille MetaMask. Vous savez, c'est un portefeuille chaud. Vos clés sont générées en ligne. Elles sont stockées localement. Et donc, si vous téléchargez un logiciel malveillant, celui-ci peut potentiellement s'emparer de vos clés privées et compromettre entièrement votre portefeuille. Et cela peut se produire de mille et une façons, par exemple en téléchargeant une modification pour un jeu si vous utilisez un PC de jeu pour des activités liées à la cryptographie. Nous avons vu de faux entretiens d'embauche où l'escroc tente d'amener la victime à télécharger un logiciel de réunion qui peut ressembler à Zoom. De fausses versions de Ledger Live ou d'autres portefeuilles matériels, des logiciels locaux. Et le but est d'obtenir l'accès à votre appareil qui sécurise ces clés privées. Je pense donc que, d'un point de vue général, ce sont là deux exemples de phishing que nous observons. Nous pourrions parler plus largement de l'ingénierie sociale, mais presque toutes ces tentatives comportent des éléments d'ingénierie sociale, qui consistent en réalité à essayer de manipuler les émotions d'une personne pour qu'elle fasse quelque chose qu'elle ne ferait pas autrement. Par exemple, en prétendant qu'il y a un airdrop, vous allez recevoir de l'argent gratuit. C'est une réponse émotionnelle que les gens vont avoir.

Beau :
[12:54] Vous savez, quelqu'un qui vous propose potentiellement un emploi suscite des réactions similaires. Je vais m'arrêter là.

Ryan :
[13:00] Jameson, qu'ajouteriez-vous aux menaces numériques ?

Jameson :
[13:03] Oui, je pense que c'est un bon résumé du paysage des menaces. Et puis je dirais que les techniques pour les combattre ne sont en fait pas si difficiles. Il s'agit surtout de simplicité et de minimiser votre surface d'attaque. Si vous effectuez régulièrement des transactions ou interagissez avec des réseaux cryptographiques sur un navigateur, un ordinateur portable ou un ordinateur de bureau, vous devez réduire au minimum le nombre de types de logiciels que vous installez. Chaque fois que vous installez un nouveau logiciel, cela représente une menace potentielle. Vous devez également séparer vos différents types de portefeuilles.

Ryan :
[13:43] Considérez cela de la même manière que votre portefeuille que vous emportez avec vous et qui contient un peu d'argent liquide, des cartes de crédit, etc. C'est votre portefeuille de dépenses. Vous ne transportez pas des dizaines ou des centaines de milliers de dollars avec vous.

Jameson :
[13:57] dans votre poche arrière. Vous ne devriez pas faire la même chose avec vos actifs cryptographiques. Vous devriez disposer d'un coffre-fort hautement sécurisé, complètement séparé, de préférence un stockage à froid, et si possible avec des clés distribuées s'il s'agit d'une somme d'argent qui pourrait changer votre vie. Et puis vous avez votre petit compte de dépenses avec lequel vous prenez plus de risques, et qui ne ruinera pas votre vie si quelque chose tourne mal.

Ryan :
[14:21] Tout cela est logique. Je pense que pour revenir à certaines des choses que vous dites, Bo, quand vous décriviez cela, j'avais presque l'impression d'être paralysé, comme si je voulais une solution facile. Et peut-être que la solution facile, c'est simplement de ne rien faire sur la chaîne.

Ryan :
[14:42] Vous dites que les contrats intelligents, par exemple, pourraient me pousser à cliquer sur le mauvais lien et à conclure une sorte de contrat intelligent de phishing. Eh bien, peut-être que j'ai simplement arrêté de faire quoi que ce soit sur la chaîne. Est-ce une réponse ? Parce que je pense que cela fait partie du défi auquel les auditeurs de Bankless seront confrontés lorsqu'ils entendront parler de certains de ces scénarios, à savoir que la réponse est peut-être que je devrais arrêter de faire quoi que ce soit sur la chaîne. Vous allez encore plus loin. Peut-être que la réponse est que je devrais simplement placer mes actifs cryptographiques dans des ETF de garde et laisser faire les choses. Bo, y a-t-il des moyens de contourner cela ? Parce que je crains que les attaques deviennent plus sophistiquées. Je ne serai pas toujours sur mes gardes. Vous savez, il pourrait y avoir le compte Telegram d'un collègue qui se ferait pirater et qui analyserait en quelque sorte l'historique de nos conversations. Ils ressemblent exactement à la personne à qui je parlais. Je suis un peu somnolent, un peu groggy. Je clique toujours sur ce lien Zoom, puis je clique sur le lien Zoom et je me connecte, et c'est un deepfake. Il ressemble à la personne avec laquelle j'ai interagi et il parvient d'une manière ou d'une autre à me soutirer mes clés privées par ingénierie sociale. Eh bien, je ne veux tout simplement pas cliquer sur des liens sur Internet. Je ne veux tout simplement pas participer à des réunions Zoom. Quelles sont les mesures de protection pratiques que nous pouvons prendre en matière de sécurité numérique, qui soient réalisables, mais qui nous permettent tout de même de vivre notre vie quotidienne et de faire des choses dans le domaine de la cryptographie ?

Beau :
[16:11] Oui, je pense que c'est une excellente question. Et je ne vais pas voler la vedette à Jameson sur les ETF, car je sais qu'il en possède et qu'il en a beaucoup parlé. Mais je ne pense pas que la réponse soit simplement de ne rien faire sur la chaîne, ou de ne pas détenir de bitcoins, mais plutôt de posséder un ETF, n'est-ce pas ? Je pense que, surtout dans le monde des NFT, vous possédez ces actifs parce qu'ils vous donnent accès à certaines choses. Donc, les acheter et les laisser dans un portefeuille sans jamais rien en faire, c'est un peu contraire à l'objectif recherché. C'est un peu comme si vous vous intéressiez à la DeFi, n'est-ce pas ? Et que vous vouliez ouvrir des positions de liquidité ou prêter votre argent ou faire tout autre chose, vous vous privez d'une multitude d'options si vous vous contentez de dire :

Ryan :
[16:58] Je ne vais pas participer.

Beau :
[17:00] Et donc, vous savez, je pense que ce dont Jameson parlait à propos de la séparation des portefeuilles est extrêmement important dans la pratique. Vous savez, j'ai ce que je décris comme un système à trois portefeuilles, où j'ai un portefeuille quotidien que j'emporte avec moi pour les petites dépenses. J'ai des portefeuilles que j'utilise pour les activités plus risquées. Donc, si je veux vendre un actif ou interagir avec un contrat intelligent,

Ryan :
[17:25] Accorder des autorisations, ce genre de choses, je le fais principalement sur un portefeuille dédié

Beau :
[17:29] ensemble de portefeuilles. Et puis j'ai des portefeuilles sur lesquels je n'accorde jamais d'autorisations.

Beau :
[17:34] Et je ne fais jamais rien d'autre que transférer des actifs vers et depuis ces portefeuilles. Cela m'aide à savoir que mes activités les plus risquées sont loin de mes actifs les plus précieux. Et en réalité, ce système revient à parier contre moi-même, dans une certaine mesure, car si je finis par faire une erreur, je sais que je ne l'aurai pas commise sur un portefeuille contenant mes actifs les plus précieux. Je pense donc qu'il est important d'avoir un système simple qui vous permette de savoir ce que vous faites avec chaque portefeuille et de comprendre ce que vous vous autorisez à faire. C'est vraiment important. Et l'autre chose que je dirais de manière générale, c'est que les fournisseurs de portefeuilles se sont améliorés. Les options de portefeuilles se sont améliorées.

Beau :
[18:23] Tant au niveau de la détection des escroqueries.

Beau :
[18:25] Et pour sécuriser vos clés privées. Je pense que la société de Jameson, Casa, en est un bon exemple. Il existe de nombreuses alternatives à « oh, j'ai cliqué sur ce lien Zoom et tout à coup, tous mes actifs ont disparu ». Et ce n'est pas vraiment comme ça que ça marche de toute façon. Mais il existe toute une série d'alternatives, oui, si je télécharge un logiciel malveillant sur mon MacBook maintenant, je risque de perdre quelques centaines de dollars dans un portefeuille chaud. Mais je sais avec certitude que la façon dont j'ai stocké mes clés privées, la façon dont j'ai conservé mes phrases de départ hors ligne, elles ne se trouvent pas dans l'application Notes de mon iPhone ou de mon MacBook, donc elles ne risquent pas d'être compromises. Donc, je ne m'inquiète pas trop de ce qui se passerait si je téléchargeais un logiciel malveillant. Est-ce que cela aurait un impact sur mes crypto-actifs ? Parce que le système que j'ai mis en place me permet d'avoir une certaine confiance et de ne pas trop m'inquiéter de ces escroqueries. Je pense donc qu'il est extrêmement important, lorsque nous accueillons de nouvelles personnes dans cet espace, de les aider à comprendre les conséquences de certaines décisions.

Beau :
[19:29] Beaucoup de gens utilisent le même portefeuille pour toutes leurs opérations sur la chaîne et ne pensent jamais aux risques liés au fait de mettre tous leurs œufs dans le même panier. Aussi simple que cela puisse paraître, le simple fait d'avoir un portefeuille sur une phrase de départ distincte qui est écrite et d'utiliser un portefeuille matériel ou des signataires distribués, cela va protéger une grande partie de votre pile par rapport à si vous gardiez tout sur un seul portefeuille MetaMask, par exemple, ou un seul portefeuille chaud. Je pense donc que...

Beau :
[20:03] Je conclurai en disant : ne mettez pas tous vos œufs dans le même panier. Tirez parti des avantages des portefeuilles matériels qui stockent vos clés hors ligne. C'est quelque chose que toute personne qui possède plus de 1 000 dollars en cryptomonnaies devrait envisager. Allez acheter un portefeuille matériel pour 100 dollars et commencez à transférer vos actifs depuis le portefeuille de votre extension de navigateur ou de votre application iPhone vers un autre support.

Beau :
[20:30] un peu plus sécurisé.

Ryan :
[20:32] D'accord, donc la ségrégation des portefeuilles. Je pense que nous avons trouvé notre première tactique à mettre en œuvre dans cet épisode. Maintenant, développons un peu plus cette idée. Bon, ce que je veux, c'est une approche de séparation des portefeuilles que vous évalueriez tous les deux à 9 sur 10, par exemple. À l'heure actuelle, il semble que la pire chose à faire soit de conserver tous vos actifs cryptographiques dans un seul portefeuille sur l'extension de navigateur MetaMask. Ne faites pas cela. C'est la pire chose que vous puissiez faire. Mais quelle est l'approche de séparation qui convient à la grande majorité des gens ? S'agit-il d'un portefeuille chaud, d'un portefeuille froid ? Y en a-t-il deux types ? Et dans le portefeuille froid, s'agit-il d'un portefeuille multi-signature ? Est-il soutenu par du matériel ? Et comment délimitez-vous ce que vous conservez dans le portefeuille chaud par rapport au portefeuille froid ? Y a-t-il quelque chose entre les deux ? Existe-t-il une idée de portefeuille tiède ? Jameson, vous pourriez peut-être préciser à quoi ressemblerait une approche de segmentation des portefeuilles assez bonne pour quelqu'un qui nous écoute.

Jameson :
[21:35] Eh bien, je dis généralement qu'il ne faut pas conserver dans un portefeuille chaud plus de valeur que ce que vous transporteriez en espèces dans un portefeuille que vous gardez dans votre poche. Pour moi, cela correspondrait à environ 1 000 dollars. C'est très pratique, mais cela expose également à de nombreux risques de perte. Vraiment, si vous avez plus de quelques milliers de dollars d'actifs, il devient logique de dépenser 100 dollars pour acheter l'une des marques de matériel de portefeuille froid bien connues et réputées, que ce soit Trezor, Ledger, Bitbox, etc. Il en existe beaucoup. Il ne faut pas faire beaucoup de recherches pour trouver celles qui existent depuis longtemps et qui ont une bonne réputation.

Beau :
[22:20] Et c'est une bonne chose, car vous pouvez l'emporter avec vous si nécessaire.

Jameson :
[22:24] Ce sont des appareils incroyablement petits que vous branchez simplement à votre téléphone, votre ordinateur portable ou tout autre appareil si vous avez besoin d'interagir avec un réseau d'actifs cryptographiques pour effectuer une opération. Cela vous protège contre environ 95 % des risques qui existent. La seule chose que vous devez comprendre à ce stade, c'est que vous ne devez jamais, au grand jamais, saisir cette phrase de départ dans autre chose que le minuscule appareil de stockage à froid lui-même, car c'est là qu'intervient l'ingénierie sociale. Nos meilleures pratiques en matière de sécurité se sont tellement améliorées au cours de la dernière décennie que l'ingénierie sociale est aujourd'hui la forme d'attaque la plus courante, car les acteurs malveillants savent qu'ils ne pourront pas compromettre ces appareils incroyablement robustes, simples et difficiles à infecter par des logiciels malveillants, car ils sont conçus pour résister à ces derniers. Au lieu de cela, le point faible de la plupart des gens aujourd'hui se trouve entre vos deux yeux : ils vont essayer de vous tromper et utiliser des tactiques très courantes, comme la peur, le doute ou l'urgence, pour vous faire croire qu'il y a une sorte d'urgence qui nécessite que vous agissiez, et vous allez vous précipiter sans vraiment réfléchir. Je pense que les gens doivent surtout comprendre que dès qu'ils prennent possession de leurs actifs,

Beau :
[23:51] Un grand pouvoir implique de grandes responsabilités.

Jameson :
[23:53] Vous assumez un grand pouvoir, car vous n'avez plus à demander la permission d'utiliser vos actifs comme vous le souhaitez. Mais maintenant, vous êtes la banque. Et les banques consacrent beaucoup d'efforts à leur sécurité pour une bonne raison. Les banques existent pour une raison. C'est parce que les gens préfèrent généralement externaliser toutes les complexités liées à la sécurité. Une façon dont j'aime voir les choses, c'est qu'il existe de nombreux médicaments dont l'étiquette indique « ne pas utiliser de machines lourdes pendant la prise de ce médicament ». Je pense que vous devriez considérer que vous ne devriez jamais utiliser un portefeuille cryptographique lorsque vous n'êtes pas en pleine forme cognitive. Si vous êtes sous l'influence de quoi que ce soit, si vous êtes fatigué, si vous êtes malade, cela peut vous empêcher d'être aussi vigilant et de repérer les tentatives d'arnaque d'un pirate. Donc, vous savez, j'interagis généralement le moins possible avec les réseaux cryptographiques. Et quand je le fais, je ne le fais que lorsque je suis bien réveillé et que je n'ai aucun problème qui pourrait me faire manquer quelque chose. Au milieu de la journée, lorsque je suis bien réveillé et que je n'ai aucun problème susceptible de me faire manquer quelque chose. Vous devez donc être très prudent lorsque vous interagissez avec votre portefeuille, car il s'agit d'une opération potentiellement catastrophique : si vous faites une erreur, si vous tombez dans le piège, personne ne pourra revenir en arrière.

Ryan :
[25:17] Je pense donc qu'il faut peut-être suivre son instinct. Si vous ressentez une sorte d'urgence, quelle qu'en soit la cause, à effectuer cette transaction immédiatement, vous devriez vraiment faire une pause, prendre une grande respiration et essayer d'attendre au moins 24 heures pour que cette panique s'estompe. Vous ne devriez rien faire dans la précipitation ou la panique lorsqu'il s'agit d'actifs sur la chaîne. Du côté de l'ingénierie sociale, que diriez-vous de réduire les canaux ? Vous savez, je pense que beaucoup d'auditeurs crypto, d'auditeurs sans banque, reçoivent probablement des SMS, reçoivent probablement des appels indésirables provenant de fuites de données passées, prétendant être Google, prétendant être peut-être le support Coinbase. La règle est-elle simplement de ne répondre à aucun de ces messages ? Ou sur Telegram, par exemple, vous recevez des messages privés et cela arrive tout le temps. Les gens disent : « Hé, untel est-il un employé de Bankless ? Ils m'ont demandé de rejoindre ce canal pour une interview. » Et la réponse est toujours « non ». Ce n'est pas ainsi que nous vous contactons. Mais est-ce que la réponse est simplement de ne pas répondre à un message privé ou à un message Telegram provenant d'une source que vous ne connaissez pas ou que vous n'avez pas authentifiée via plusieurs canaux ? Avez-vous des règles générales à ce sujet ?

Ryan :
[26:35] Pour vous protéger et vous prémunir contre le piratage psychologique par e-mail, lien, message texte ou autre moyen en ligne ?

Jameson :
[26:45] Oui, le mot clé que vous avez utilisé est « authentifier ». En résumé, presque tous les canaux de communication existants ne sont pas authentifiés. Il y en a très peu, peut-être, donc essentiellement les canaux cryptés de bout en bout, comme si vous aviez un chat Signal préétabli avec quelqu'un dont vous avez déjà vérifié l'historique, peut-être WhatsApp, mais au-delà de cela, les e-mails, les SMS, Discord, Telegram, tous ces autres moyens ne sont pas authentifiés et il est très facile pour les gens de se faire passer pour quelqu'un d'autre. Donc, en résumé, je ne fais confiance à aucun message entrant. Si vous recevez un message qui vous semble suspect, vous devriez alors trouver vous-même comment contacter cette personne, de préférence via un autre canal de communication, et lui demander : « C'est bien vous ? Pouvez-vous confirmer ou infirmer ? »

Ryan :
[27:43] Ce genre de situation donne lieu à un jeu du chat et de la souris. Certaines attaques sont de plus en plus sophistiquées. Imaginez par exemple qu'un proche vous appelle, que sa voix semble être la sienne et qu'il vous demande de l'argent pour une urgence. Il a exactement la même voix que d'habitude. Le numéro de téléphone semble même être le sien. J'ai entendu parler de l'instauration de mots de sécurité pour les proches, qui sont une sorte de signal ou un moyen de demander à l'un de vos proches, votre individu, de vous donner un mot de sécurité convenu à l'avance, ce qui vous permet de vous authentifier. Quelles sont les meilleures pratiques dans ce domaine, Jameson ?

Jameson :
[28:25] Oui, je veux dire, la principale raison pour laquelle je ne suis pas fan des mots de sécurité, c'est que, à moins que vous ne choisissiez quelque chose d'unique et que vous ne le pratiquiez régulièrement, lorsque vous vous retrouvez dans une situation où quelqu'un est sous la contrainte, vous risquez fort de l'oublier. Je préfère utiliser des connaissances communes. Ainsi, si vous et un ami ou vous et un être cher avez une longue histoire commune, vous ne manquerez pas d'événements mémorables que vous partagez et qui ne sont pas publics, et que vous pouvez vous rappeler l'un à l'autre. Et bien sûr, vous pouvez en discuter à l'avance. Mais je pense que c'est quelque chose de plus facile à retenir et qui vous permet d'être sûr que vous ne serez pas à court d'idées si vous vous retrouvez dans une situation difficile. Vous ne voulez pas qu'il y ait un mot aléatoire dont vous n'avez parlé qu'une seule fois il y a cinq ans et que vous avez complètement oublié.

Ryan :
[29:16] Donc, si vous utilisez un mot de sécurité, assurez-vous de vous entraîner régulièrement, ou sinon, vous pouvez simplement vous authentifier en appelant, vous savez, en vous rappelant une sorte de souvenir commun, une sorte de chose que vous êtes les seuls à connaître. Et j'espère que ça marchera. Mais Bo, as-tu quelque chose à ajouter sur le front de l'ingénierie sociale ?

Beau :
[29:35] Oui, je pense, tu sais, juste rapidement sur les mots de sécurité, c'est un concept qui, dans le monde du renseignement, est évidemment très courant, tu sais, quand tu rencontres quelqu'un dans la vie réelle, tu veux établir une relation de confiance, tu veux t'assurer que c'est bien la personne que tu es venu rencontrer, n'est-ce pas ? Et James a tout à fait raison, cela demande de la pratique, n'est-ce pas ? Il est donc beaucoup plus efficace de faire quelque chose de plus naturel, comme partager des souvenirs communs, plutôt que d'essayer de forcer votre proche à parler de bananes dans une conversation, n'est-ce pas ? Surtout s'il s'agit d'un scénario d'attaque à la clé à molette où la personne est sous la contrainte, ce genre de chose. En ce qui concerne l'ingénierie sociale en général, je pense que ma règle d'or est la suivante : si je reçois un message provenant d'un site web cryptographique ou de tout autre site lié à la cryptographie, un site web d'échange, une application, si je me sens très concerné par ce message, je me connecte directement à ce site web. Je ne clique pas sur le lien contenu dans l'e-mail ou le SMS. Je n'appelle pas le numéro de téléphone indiqué dans le SMS.

Beau :
[30:40]

Beau :
[30:41] Je peux toujours me connecter à mon compte Coinbase et vérifier s'il y a une connexion suspecte. Il y a un endroit où vous pouvez voir cela dans les paramètres de sécurité de votre compte Coinbase. Donc, vous savez, en faisant directement confiance à cette source, en authentifiant que les informations que vous recevez de Coinbase proviennent bien de Coinbase, vous pouvez le faire en vous connectant à Coinbase, n'est-ce pas ? Bien sûr, cela dépend de vous, vous devez le faire de manière indépendante, en tapant le bon site web dans votre navigateur, en vous connectant et en vous assurant que c'est le bon site web, n'est-ce pas ? Vous savez.

Beau :
[31:20] Ce message qui dit « Bonjour, votre compte Coinbase a été piraté, cliquez ici pour réinitialiser votre mot de passe » ne vous aidera jamais.

Jameson :
[31:28] Oui. Une autre chose très courante que très peu de gens, je pense, apprécient, c'est le nombre de types d'attaques dont un simple gestionnaire de mots de passe vous protège. Et la raison en est, comme le disait Bo, que souvent, ces messages entrants contiennent des liens et que les hameçonneurs essaient essentiellement de vous inciter à saisir vos identifiants sur leur portail web, qu'ils récupèrent ensuite pour se connecter à votre compte et tout vider. Mais si vous utilisez un gestionnaire de mots de passe, vous ne devez cliquer que sur le gestionnaire de mots de passe pour qu'il remplisse automatiquement votre nom d'utilisateur et votre mot de passe. Et la raison pour laquelle cela est si efficace est qu'il existe des pratiques telles que le typo squatting, qui consiste à acheter des domaines qui...

Beau :
[32:13] L'œil humain.

Jameson :
[32:13] ressemblent exactement au domaine cible, comme coinbase.com ou autre, mais le gestionnaire de mots de passe peut faire la différence et si vous finissez par cliquer sur l'un de ces liens de phishing vers un domaine qui semble identique, le gestionnaire de mots de passe ne le remplira pas automatiquement, ce qui est un autre signal d'alarme important, d'accord ?

Ryan :
[32:29] Une autre recommandation est donc d'utiliser des gestionnaires de mots de passe. Allez-y, Bo.

Beau :
[32:33] Oui, et je pense que c'est un concept très similaire à celui décrit par Jameson avec l'authentification à deux facteurs (2FA) et l'authentification multifactorielle. Vous savez, lorsque vous utilisez une clé comme une YubiKey ou même la plupart des clés d'accès, celles-ci ne s'authentifient pas sur ces faux sites web de phishing. En revanche, si vous utilisez Google Authenticator et qu'il vous donne un code à six chiffres, vous êtes vulnérable dans la mesure où vous pouvez fournir ce code à six chiffres sur un site web de phishing si vous ne faites pas attention. Et à ce moment-là, votre 2FA ne vous a été d'aucune utilité, car ces sites web exécutent un script en arrière-plan pour récupérer immédiatement votre code 2FA et le saisir sur le véritable site web de Coinbase, par exemple. Donc, un point positif pour les gestionnaires de mots de passe. Et quand on pense à la 2FA, je pense qu'acheter une YubiKey pour 50 dollars est un excellent investissement pour tout le monde, point final. Mais surtout pour les personnes qui s'intéressent à la cryptomonnaie. C'est donc quelque chose que vous pouvez ajouter à votre compte Coinbase. C'est quelque chose que vous pouvez ajouter à la plupart des autres plateformes d'échange.

Ryan :
[33:36] Donc, un grand, grand plus pour les gestionnaires de mots de passe, plus la 2FA pour tous vos comptes en général. Et la norme d'excellence pour la 2FA consiste à s'habituer à utiliser une YubiKey physique à un certain niveau, à la stocker, à la protéger et à la sauvegarder de manière appropriée. Les SMS pour la double authentification ? Non merci.

Beau :
[33:58] Oui, nous n'aimons pas les SMS,

Ryan :
[34:00] N'est-ce pas ? La raison, bien sûr, est que si vous recevez un SMS, vous pourriez être victime d'un échange de carte SIM. C'est extrêmement peu sûr. N'utilisez pas les SMS. Les codes d'authentification sont préférables aux SMS si vous n'avez pas d'autre choix, mais la norme d'excellence serait une clé YubiKey. Il semble que ce soit la recommandation.

Jameson :
[34:16] Oui, je vais vous dire. Voici ce que nous demandons précisément à nos employés de faire chez CASA... La préférence va à la YubiKey, comme FIDO2, TAP ou Passkey sur YubiKey, la nouvelle YubiKey qui prend en charge les Passkeys. Et comme l'a dit Bo, les Passkeys constituent une grande amélioration par rapport à tous les autres types de 2FA, car elles sont liées au nom de domaine.

Jameson :
[34:41] Vient ensuite le TOTP, les mots de passe à usage unique basés sur le temps, qui sont des mots de passe à six chiffres changeant régulièrement. Beaucoup de gens parlent simplement de Google Authenticator, car c'est le logiciel le plus courant. Mais je déteste Google Authenticator, car par défaut, il télécharge tous vos secrets dans le cloud, sur votre Google Drive. Ainsi, si votre compte Google est piraté, ils peuvent récupérer toutes ces informations. Ce qui est génial avec YubiKey, et que beaucoup de gens ignorent, c'est que même si un service ne prend pas en charge le FIDO U2F ou la clé d'accès sur YubiKey, il existe en fait un logiciel pour YubiKey appelé Yubico Authenticator. Il est similaire à Google Authenticator, sauf qu'il stocke les informations confidentielles sur le dispositif matériel lui-même. Une fois encore, vous bénéficiez d'une sécurité physique totale : à moins qu'un pirate ne prenne le contrôle physique de la YubiKey, il ne peut rien faire. Au-delà de cela, les derniers vestiges de la 2FA sont les e-mails et, éventuellement, les SMS. Il existe encore souvent des banques qui ne prennent en charge que la 2FA par SMS, et vous ne pouvez pas y faire grand-chose. Personnellement, j'ai une multitude de numéros de téléphone virtuels différents, et ces services de numéros de téléphone virtuels sont séparés et configurés de manière indépendante.

Jameson :
[36:07] Les identifiants ne peuvent pas être transférés. C'est donc à peu près le meilleur système de sécurité par SMS que l'on puisse trouver, à mon avis.

Ryan :
[36:14] Pouvons-nous dire un mot sur la sécurité numérique en ce qui concerne les e-mails ? Parce que, comme l'a récemment déclaré le fondateur de ProtonMail, les e-mails ne sont plus seulement des e-mails. Les e-mails sont en fait une identité. Le défi ici est que si votre e-mail est piraté, de nombreux auditeurs utilisent Gmail et Gmail présente de nombreux défis. Je préconise une protection avancée, par exemple, supprimer le numéro de téléphone et l'adresse e-mail de récupération. Ces paramètres par défaut sont tout aussi néfastes que ceux de Google Authenticator. Et puis, dans la mesure du possible, n'utilisez pas Gmail, d'accord ? Vous pouvez utiliser ProtonMail. Vous pouvez en fait configurer des alias et des identités pour différents comptes. Jameson, que pensez-vous de ce conseil et qu'ajouteriez-vous à cette conversation sur les e-mails ?

Beau :
[37:02] Oui.

Jameson :
[37:02] Ce que nous observons le plus souvent avec l'ingénierie sociale, c'est qu'ils essaient d'accéder à votre compte de messagerie, car la plupart des gens n'ont souvent pas d'authentification à deux facteurs forte. Et si vous possédez le compte de messagerie de quelqu'un, vous pouvez réinitialiser ses mots de passe et son 2FA, puis accéder à tous les services tiers qu'il souhaite. Je dirais donc que le compte de messagerie est, pour la plupart des gens, l'aspect le plus important de leur vie numérique. Je répète donc que la solution réside dans la YubiKey. Vous pouvez acheter plusieurs Yubikys. Il n'est pas nécessaire de n'en acheter qu'une seule, car si vous la perdez ou si elle tombe en panne, cela pose évidemment un gros problème. Vous pouvez en acheter trois, quatre, cinq, et en avoir plusieurs en réserve. Vous pouvez même en mettre une dans un coffre-fort bancaire, par exemple. Vous savez ainsi qu'il ne sera pas perdu, et il s'agit là d'un scénario de récupération extrême. Mais c'est un niveau très, très élevé, comme tout ce dont nous parlons, tous les types de cybersécurité, la puissance la plus forte. Le modèle de sécurité que vous pouvez créer est celui où vous pouvez réellement prendre toutes ces questions de sécurité numérique et les transposer dans l'espace physique, les transformer en un problème de sécurité physique. Et généralement, pour ce faire, vous utilisez un dispositif matériel de sécurité physique, qu'il s'agisse d'un registre comptable ou de tout autre élément lié à la cryptographie, ou encore des clés ou d'autres gestionnaires de secrets numériques utilisés pour divers mécanismes d'authentification. Je veux juste...

Ryan :
[38:32] Jeter un mot d'encouragement aux auditeurs à ce stade de la conversation, qui est l'investissement que vous feriez dans les clés d'accès, dans les YubiKeys, dans la sécurisation de vos comptes. C'est en quelque sorte un investissement pionnier, car je suis convaincu que les attaques qui visent la cryptographie, la cryptographie est comme la pointe de la lance. Les attaques sophistiquées qui visent la cryptographie touchent tous les domaines, et tout le monde devra disposer de ce type de protections et de sécurités à l'avenir, car ce sera tout simplement indispensable. Sinon, vous serez complètement piraté. Ce que je veux dire, c'est que cet investissement que vous faites pour protéger vos comptes, dans les clés d'accès, les YubiKeys, les gestionnaires de mots de passe et tous les investissements en matière de sécurité,

Ryan :
[39:19] cela vous donnera une longueur d'avance sur tout le monde. Mais tout le monde devra également s'adapter à ce monde. Ce n'est donc pas une perte de temps. Ce n'est pas seulement une niche dans le domaine de la cryptographie. Tout le monde aura besoin de ce type de sécurité à l'avenir, que le reste du monde mette trois à cinq ans pour rattraper son retard.

Jameson :
[39:35] L'aspect regrettable de la sécurité en général, c'est qu'il y aura toujours des attaquants. Vous n'aurez donc jamais une sécurité parfaite. Tout ce que vous voulez, c'est avoir une meilleure sécurité que les autres, car ce sont eux qui seront pris pour cible. L'attaquant va étudier le paysage des cibles potentielles et se dire : « Oh, ça a l'air trop difficile. Je vais plutôt m'attaquer à votre voisin. »

Ryan :
[39:57] Dernière chose avant de quitter le sujet de la sécurité numérique, j'ai vu des cas où quelqu'un a cliqué sur le lien, disons, et téléchargé le logiciel malveillant Zoom, et où toute sa machine a été complètement piratée, avec un accès root à tout. Et bien sûr, la solution est de ne pas laisser cela se produire, mais cela peut quand même arriver. Je voudrais poser une question sur une autre pratique que j'ai entendue chez certains adeptes de la cryptographie, et qui est peut-être un peu plus avancée, donc ne convient pas à tout le monde. En plus des signatures multiples, des portefeuilles matériels et de la ségrégation dont nous avons parlé, que diriez-vous d'un ordinateur entièrement dédié à la signature, qui ne serait même pas connecté à votre Wi-Fi public ? Que pensez-vous de cette méthode infaillible qui consiste à ne faire aucune transaction cryptographique sur votre machine habituelle ? Si vous en faites, vous les faites sur une machine de signature de transactions qui est séparée, qui ne clique pas du tout sur les liens Zoom, qui n'ouvre pas les e-mails, et qui n'a qu'un seul but. Et ce but est de signer une transaction cryptographique importante.

Jameson :
[41:02] Oui, cela relève de la minimisation de la surface d'attaque. Auparavant, Trezor était le premier appareil matériel cryptographique à avoir été lancé, en 2014, et avant cela, les ordinateurs portables isolés étaient vraiment la norme pour tout faire.

Ryan :
[41:19] D'accord. Oui. Nous avons donc peut-être bouclé la boucle. Très bien. James, vous venez de souligner que ce que vous voulez essayer de faire, c'est de transférer une partie du numérique vers le domaine physique.

Ryan :
[41:29] Vous avez donc des dispositifs matériels, des YubiKeys et peut-être des ordinateurs portables isolés et ce genre de choses. Mais parlons davantage du domaine physique, car les attaquants se sont également déplacés vers ce domaine. Parlons de ce que vous avez qualifié, Bo, de type d'attaque le plus dangereux. Nous avons abordé les plus probables. J'espère que vous avez maintenant quelques conseils, chers auditeurs, sur la manière de gérer cela, de vous protéger. Parlons d'une forme particulière d'attaque préoccupante, peut-être la plus dangereuse.

Ryan :
[41:56] type d'attaque, à savoir les attaques violentes en personne. Bo, qu'en pensez-vous ? Pouvez-vous nous donner quelques chiffres sur ce type d'attaques, les attaques à la clé, des chiffres comme un profil de ce qui se passe généralement, qui sont les cibles. Donnez-nous simplement un aperçu de ce à quoi ressemblera la situation en 2026.

Beau :
[42:17] Oui, je pense qu'il y a eu un peu plus de 70 attaques l'année dernière, d'après ce que nous savons, n'est-ce pas ? Nous supposons que beaucoup de ces attaques ne sont pas signalées, ou si elles le sont, il est possible qu'aucun lien avec la cryptographie ne soit identifié. Oui. À l'approche de 2026, je pense que nous en avons vu 10 ou 11 jusqu'à présent cette année, peut-être deux ou trois de plus. Donc, vous savez, il y a certainement, encore une fois, quand on pense à l'échelle de l'humanité, n'est-ce pas ? Il y a 8 milliards de personnes sur la planète, et nous parlons d'environ 100 incidents au cours des 12 derniers mois dont nous avons connaissance, n'est-ce pas ? C'est donc à une échelle relativement petite, mais très ciblée. Tout commence donc par votre sécurité numérique et votre vie privée, n'est-ce pas ? Ces attaquants cherchent à identifier les personnes dans le monde réel qui contrôlent ces actifs numériques. Ils examinent donc les comptes Twitter des gens. Ils examinent les portefeuilles en chaîne des gens. Ils recherchent les personnes qui affichent leur richesse. Et vous pouvez évidemment voir que cette personne a de l'argent. Elle pourrait être une cible intéressante. À partir de là, ils essaient de déterminer qui est cette personne. Beaucoup d'entre nous utilisent des pseudonymes. Je ne dirais pas anonymement, car aucun d'entre nous n'est vraiment anonyme, mais beaucoup d'entre nous utilisent des pseudonymes en ligne pour cacher notre vrai nom.

Beau :
[43:39] S'ils parviennent à franchir cet obstacle et à identifier cette personne, ils vont commencer à faire ce que nous appelons de la recherche open source ou OSINT, c'est-à-dire rechercher des informations sur cette personne en ligne. Concrètement, cela consiste à acheter des données sur le dark web ou à utiliser des moteurs de recherche en ligne bon marché ou gratuits qui permettent de rechercher des adresses e-mail, des numéros de téléphone et des adresses personnelles afin d'identifier où cette personne pourrait se trouver physiquement, n'est-ce pas ? Vous seriez surpris de savoir dans combien d'États américains il est possible de trouver l'adresse personnelle d'une personne à partir des registres électoraux ou des contraventions pour excès de vitesse ou des comparutions devant les tribunaux. Notre système n'est pas conçu pour protéger la vie privée à l'ère numérique. Et donc, tout le monde est concerné par ce problème si vous êtes en ligne depuis plus de 10 ans. Tous les comptes auxquels vous vous êtes inscrit... Il y a quelques semaines, j'ai aidé quelqu'un victime d'une violation de données. Son adresse personnelle avait été divulguée dans le cadre d'une violation de données d'une compagnie aérienne, où il avait dû fournir sa date de naissance, son adresse personnelle, son lieu de résidence, sa nationalité et son numéro de téléphone. Toutes ces données ont été rassemblées pour permettre à un pirate potentiel d'identifier précisément où se trouvait cette personne.

Beau :
[45:06] personne qu'il a trouvée en ligne pourrait se trouver dans le monde réel. Et parfois, nous voyons cela lorsque les gens font leurs propres recherches. C'est comme une organisation sophistiquée qui a des gens qui font ces recherches, qui a des gens sur le terrain. D'autres fois, nous voyons des personnes dans l'espace numérique vendre ces données à des personnes qui sont prêtes à mener ces attaques dans le monde réel. Les attaques sont un peu différentes selon la situation, mais nous les voyons souvent se produire à domicile. Quelqu'un se présente à votre porte en se faisant passer pour un livreur ou un policier, avec une raison plausible pour être chez vous. Il frappe à la porte, vous ouvrez, puis il essaie soit de vous convaincre de le laisser entrer, soit il s'introduit de force dans votre domicile, en brandissant une arme ou en vous poussant physiquement. Et puis, vous savez, nous avons souvent vu des agresseurs retenir des personnes, les attacher à une chaise, par exemple, les menacer, essentiellement pour les forcer à révéler où elles se trouvent.

Beau :
[46:17] Vous savez, les portefeuilles cryptographiques contiennent leurs phrases de départ. À ce stade, leur objectif est de trouver ces informations et de s'enfuir le plus rapidement possible. Nous avons également vu des cas où cela se transforme en une sorte de situation d'enlèvement contre rançon, où, disons, ils font irruption dans une maison et, vous savez, les clés ne sont pas rangées là ou la mauvaise personne est à la maison, etc. Alors, ils peuvent contacter la personne qui contrôle les fonds et lui dire : « J'ai votre proche, envoyez-moi 10 millions de dollars en bitcoins, d'accord ? Voilà donc quelques-unes des tactiques que nous avons observées. Cela varie un peu en fonction de la situation. Nous avons vu des personnes se faire agresser dans la rue, nous avons vu des personnes se faire encaisser, n'est-ce pas ? Ils entrent et sortent des immeubles de bureaux, et la plupart du temps, ils ciblent des personnalités connues dans le milieu, des influenceurs, des dirigeants de sociétés de cryptomonnaie, des membres de leur famille, etc. Voilà en gros comment ça se passe, de A à Z. Je laisse Jameson ajouter quelque chose s'il le souhaite.

Ryan :
[47:23] Oui. Et Jameson, pendant que tu ajoutes quelque chose, peux-tu nous dire ce qui se passe en France en ce moment ? Parce qu'il semble y avoir un groupe très actif en France. Les membres de la communauté crypto en France sont donc vraiment confrontés à ce problème, mais cela ne se limite pas à la France. Je veux dire, ce type d'attaques se produit partout en Europe. Elles ont certainement lieu, elles se produisent aux États-Unis et elles se sont produites en 2025 aux États-Unis, exactement comme Beau l'a décrit. Mais il semble y avoir un certain cluster en France. Quel est le schéma là-bas et pourquoi ?

Jameson :
[47:54] Je pense qu'il y a plusieurs facteurs en jeu, mais je tiens à préciser que j'ai fait une analyse approfondie de cette question dans une présentation que j'ai donnée l'année dernière. Et par habitant, la France ne figurait toujours pas parmi les pays les plus touchés. C'est en fait Dubaï qui, par habitant, a connu le plus grand nombre d'attaques de type « wrench ». Et si je me souviens bien, la quasi-totalité d'entre elles étaient dues à des personnes qui effectuaient des transactions OTC en face à face pour des montants élevés. En gros, quelqu'un se présentait généralement dans une chambre d'hôtel avec une mallette remplie d'argent liquide et voulait effectuer un échange d'une manière ou d'une autre. Mais l'autre élément intéressant est que Dubaï affiche également le taux le plus élevé de condamnation des criminels, avec un taux de capture de 100 %, probablement grâce à son niveau élevé de surveillance dans toute la ville. Que se passe-t-il donc en France ? Je veux dire, je pense que...

Beau :
[48:45] Il y en a eu.

Jameson :
[48:45] Plusieurs gangs organisés ont opéré. Je sais qu'il y en avait un dont le cerveau opérait depuis le Maroc, et je pense qu'il a été arrêté l'année dernière. Nous savons également qu'un fonctionnaire des impôts corrompu vendait les données privées des gens. Ainsi, les informations relatives aux cryptomonnaies figurant dans les déclarations fiscales des gens étaient vendues à des groupes criminels organisés.

Ryan :
[49:11] C'est fou. Donc, en gros, le gouvernement a été soudoyé pour savoir qui possède des cryptomonnaies et qui est susceptible d'avoir cette valeur. En France, ces informations doivent être déclarées au gouvernement. Ils ont donc simplement soudoyé un fonctionnaire, qui leur a donné des noms et des adresses.

Jameson :
[49:24] Oui. Et il y a eu un problème similaire en Suède, où vous devez rendre publiques toutes vos informations fiscales. Il y a donc eu un certain nombre d'attaques de type « wrench » en Suède, car vous deviez en gros dire au monde entier : « Hé, je déclare des cryptomonnaies dans ma déclaration d'impôts. Je ne sais pas, je veux dire, je ne suis pas allé en France depuis longtemps, mais je vois beaucoup de commentaires sur ces publications de personnes qui dénoncent en quelque sorte un déclin culturel en France, où il y a un manque d'application de la loi. Il semble qu'ils arrêtent un certain nombre de personnes, mais il semble également que bon nombre de ces personnes arrêtées ne reçoivent pas de sanctions particulièrement sévères. Et pour revenir à votre point,

Ryan :
[50:04] Jameson, le schéma est souvent le même : il y a un cerveau externe qui peut être complètement distant. Il essaie d'analyser les données cibles, puis il recrute, travaille avec, se sépare et poursuit son action avec un groupe de voyous plus local, des jeunes voyous qui n'ont rien à perdre, vous voyez, ou peut-être pas, qui n'ont pas les capacités nécessaires pour mener à bien toutes les opérations de renseignement afin de cibler des personnes. Et ce cerveau peut parfois être très difficile à identifier, même si les voyous locaux sont effectivement arrêtés. Oui.

Jameson :
[50:39] Et puis, n'oubliez pas que Ledger est basé en France. Je suis sûr qu'ils ont beaucoup de clients français et qu'ils ont subi un certain nombre de violations de données au fil des ans, même si je ne pense pas que nous ayons d'informations permettant de relier directement ces violations de données aux attaques, mais il semble tout à fait plausible que ce soit là un autre facteur. En ce qui concerne les groupes criminels organisés, nous avons observé un autre schéma, principalement en Asie du Sud-Est, où des gangs criminels organisés d'un pays partent à la recherche de ressortissants de ce pays. Puis, lorsque ces ressortissants partent en vacances dans un autre pays, généralement en Asie du Sud-Est, ils envoient des personnes sur place, les attaquent et rentrent ensuite chez eux. Je pense qu'il s'agit là d'un type d'activité criminelle organisée transfrontalière intéressante, qui relève de l'arbitrage juridictionnel.

Beau :
[51:30] C'est particulièrement vrai dans l'Union européenne, où l'on peut se rendre de la France à la Suisse sans présenter son passeport, ou de la France à l'Espagne. On peut très rapidement se retrouver dans une autre juridiction. Je pense que lors d'une des attaques les plus récentes en France, les assaillants ont fini par se faire attraper dans un train qui les emmenait de Paris vers le sud de la France, près de la frontière suisse. Donc, vous voyez, l'idée de mener l'attaque puis de se déplacer rapidement vers une autre juridiction ou loin, je pense que c'est ce qui rend l'Europe si attrayante.

Ryan :
[52:01] D'accord, donc la version la plus effrayante de tout cela, je pense, pour beaucoup de gens qui écoutent peut-être, n'est pas celle où ils rencontrent quelqu'un dans un parking ou où ils affichent leurs atouts sur les réseaux sociaux. À un certain niveau, je pense que la plupart des auditeurs sont suffisamment avisés pour ne pas faire ce genre de choses. La version la plus effrayante, si vous pensez à la catégorie la plus dangereuse, Beau, c'est... Un cerveau a localisé votre adresse physique et, comme vous l'avez souligné, c'est incroyablement facile à faire de nos jours. Je veux dire, nous pourrions peut-être voir s'il existe un moyen de protéger votre adresse physique et de la garder privée. Mais ils connaissent votre empreinte géographique et ils ont peut-être aussi une idée du fait que vous êtes détenteur de cryptomonnaies grâce à des fuites de données, peut-être une fuite de données de portefeuille matériel, peut-être une fuite de données d'échange. Peut-être même du logiciel fiscal que vous utilisez. Je pense que cela a également joué un rôle dans certaines attaques en France. Vous savez, vous utilisez un logiciel fiscal pour soumettre vos déclarations, si celui-ci est automatisé, vous soumettez vos adresses, et que se passe-t-il si ces informations sont divulguées ? Toutes ces informations sont donc accessibles. Imaginons ensuite que vous soyez localisé et qu'un pirate connaisse vos adresses.

Ryan :
[53:14] Il sait combien vous possédez d'actifs cryptographiques, il a une idée de la façon dont vous détenez ces actifs, il s'introduit chez vous, vous menace, vous et votre famille. Je veux dire, c'est un véritable cauchemar pour beaucoup de gens qui nous écoutent. Nous avons déjà précisé que cela reste extrêmement rare et que ce n'est pas le vecteur d'attaque dont la plupart des auditeurs devraient se préoccuper.

Ryan :
[53:41] Cependant, je pense que c'est l'attaque qui suscite le plus de panique et d'inquiétude. Pouvons-nous donc parler des moyens d'atténuer ce risque ? Je sais qu'il n'existe pas de garantie de sécurité à 100 %,

Ryan :
[53:55] Mais après avoir fait des recherches sur le sujet et discuté avec vous deux, je suis convaincu qu'il existe un certain nombre de mesures que les auditeurs peuvent prendre pour réduire la surface d'attaque de ce type, non pas pour l'éliminer, mais pour s'en prémunir. Parlons-en. Jameson, comment les auditeurs peuvent-ils se prémunir contre les effractions physiques et les attaques à la clé à molette ?

Jameson :
[54:22] Eh bien, comme je l'ai dit au tout début, la chose la plus importante, ou plutôt la plus simple que vous puissiez faire, c'est de protéger votre vie privée, c'est-à-dire d'éviter de devenir une cible. Mais comme vous l'avez remarqué, cela peut s'avérer très délicat, surtout selon la juridiction dans laquelle vous vivez. Vous disposerez de différents outils, différentes informations que vous devrez peut-être divulguer. Aux États-Unis, au moins, nous disposons d'excellents outils juridiques, tels que les fiducies et les sociétés à responsabilité limitée, qui vous permettent de dissimuler la véritable propriété, les actifs enregistrés publiquement, comme les maisons, les véhicules, etc. Et je tire parti de tous ces outils. Ensuite, vous devez vous habituer à ne pas inscrire votre adresse résidentielle dans une base de données étrangère ou autre. Vous devez partir du principe que cette information finira par être divulguée. C'est pourquoi j'ai plusieurs boîtes postales réparties un peu partout, que j'utilise chaque fois qu'on me demande une adresse physique.

Jameson :
[55:23] Mais je tiens également à souligner que le problème des attaques de type « wrench » ne se limite pas à la conservation autonome. Je vois beaucoup de gens qui financent la conservation autonome, en se disant que si vous n'êtes pas le dépositaire de vos actifs, vous n'avez pas à vous soucier des attaques de type « wrench ». Mais dans un certain nombre de ces cas, les gens conservaient en fait leurs actifs auprès d'un dépositaire. Et l'attaquant dit simplement : « OK, authentifiez-vous auprès de ce dépositaire et retirez tous les actifs. » Cela ne fait donc pas vraiment de différence pour l'attaquant lui-même, car tout se résume à des points de défaillance uniques. Et c'est là que les choses se compliquent, car très peu de gens ont une vision critique de leur posture de sécurité. En résumé, la raison pour laquelle les attaques de type « wrench attack » sont si efficaces, c'est qu'elles ont généralement un taux de réussite supérieur à 50 %. D'après les chiffres dont nous disposons sur une base annuelle, elles permettent de dérober des dizaines de millions de dollars. Et cela ne concerne que les attaques dont le montant est divulgué. Dans la plupart des cas, le montant n'est jamais divulgué.

Jameson :
[56:31] Mais pensez-y de cette façon. Si vous êtes capable de transférer des montants importants sans quitter votre domicile, vous avez alors un point de défaillance unique, car vous devez essentiellement considérer un scénario d'attaque Wrench comme une situation dans laquelle votre corps ou celui d'un de vos proches est soumis à une contrainte physique. Et toutes vos procédures d'authentification normales peuvent être contournées, car vous savez comment le faire. Donc, la seule façon de vraiment poser problème...

Beau :
[57:12] Une attaque par clé angulaire.

Jameson :
[57:15] S'ils ont déjà contourné toutes vos protections de confidentialité, c'est de vous retirer de l'équation en tant que point de défaillance unique. Ce qui signifie essentiellement que vous ne devriez pas configurer, au moins pour vos économies à long terme, un stockage à froid, de manière à pouvoir authentifier et transférer cette valeur sans avoir à vous rendre physiquement à plusieurs endroits et à passer par plusieurs procédures d'authentification physique.

Jameson :
[57:45] C'est l'une des choses que nous aidons les gens à mettre en place chez CASA, qui est essentiellement un système de clés distribuées où vous disposez de dispositifs matériels physiques répartis géographiquement et provenant de plusieurs fabricants différents afin de prévenir des attaques telles que celles visant la chaîne d'approvisionnement. Il s'agit simplement de s'assurer que vous disposez d'une force grâce à la diversité. C'est un aspect très intéressant de la sécurité lorsque vous pouvez disposer de plusieurs clés ayant des propriétés de sécurité différentes. Vous bénéficiez ainsi d'un aspect de sécurité supplémentaire très intéressant pour votre configuration, dont très peu de gens ont conscience, je pense. Et la raison pour laquelle je trouve tout cela fascinant et pourquoi je m'y consacre depuis plus de dix ans, c'est parce que je pense que si l'on utilise correctement des réseaux cryptographiques publics sans autorisation, on peut obtenir des modèles de sécurité qui dépassent largement ce que peut faire une banque ou même Fort Knox. Même Fort Knox est un point de défaillance unique, et vous pouvez répartir vos clés et votre sécurité sur plusieurs continents si vous le souhaitez. Nous avons par exemple des clients qui se trouvent dans des situations extrêmes et qui doivent littéralement prendre l'avion et passer par toutes les mesures de sécurité physiques de la TSA, de l'aéroport, etc. Vous savez que personne ne va vous retenir de force et que vous pouvez passer par ce niveau de sécurité physique afin d'accéder à vos autres clés.

Ryan :
[59:10] Zoomez sur ce point, car j'ai en fait écrit un article à ce sujet et l'ai publié

Ryan :
[59:15] sur X et sur Bankless. Il s'agissait essentiellement de l'idée de ne pas conserver de cryptomonnaies chez soi. Et c'est en quelque sorte la révélation après avoir écouté les spécialistes de la sécurité pendant un certain temps que la norme d'excellence pour se défendre contre une attaque réussie est en fait, Jameson, comme vous le dites, d'avoir presque zéro, zéro, zéro crypto à la maison. Donc, la façon dont je définis cela dans un format mémétique est de ne pas avoir de portefeuille chaud à la maison avec des fonds supérieurs à 1 000 dollars. Vous ne transporteriez pas cela chez vous ou sur vous. Pas de portefeuille froid à la maison, point final.

Ryan :
[59:52] Et pas d'échange, c'est essentiel, qui permette de transférer des fonds sans vérification ni délai. Donc, zéro crypto à la maison, vous savez que vous en avez quand vous n'avez pas la possibilité d'accéder à vos fonds sans délai. Sans plusieurs emplacements, sans éventuellement une sorte d'authentification par un tiers, par exemple un coffre-fort ou un autre emplacement où vous accédez à l'un des éléments de votre multi-signature et où vous en faites une réalité. Vous en faites votre position. Vous pouvez toujours vous passer de banque, bien sûr, mais vous n'avez tout simplement pas accès à vos actifs cryptographiques. Et pour moi, alors que je découvrais cela, nous allons peut-être approfondir un peu plus la question, en fait, Jamison. Donc, si quelqu'un veut mettre en œuvre ce que vous dites et ce que j'ai écrit, c'est-à-dire zéro crypto à la maison, de quels outils a-t-il besoin pour y parvenir ? Je pense que le cœur du problème réside dans une sorte de portefeuille multi-signature, éventuellement avec des délais et un moyen de... Et si cette personne conserve des actifs cryptographiques sur des plateformes d'échange, il faudrait également configurer le système de manière à ce qu'une action soit requise avant de pouvoir accéder à ces fonds, peut-être un délai avant d'ajouter un portefeuille ou quelque chose de ce genre. Pouvez-vous expliquer en détail ce qu'est une stratégie « zéro crypto à la maison » pour l'auditeur moyen qui essaie de faire les choses de manière un peu plus « sans sac » ?

Jameson :
[1:01:21] Oui, comme je l'ai dit, notre objectif principal chez Casa est d'éliminer les points de défaillance uniques. Et cela inclut Casa elle-même en tant qu'entreprise. Si Casa fait faillite, nous pourrons toujours dormir tranquilles en sachant que nos clients peuvent nous contourner et continuer à accéder à leurs fonds. Mais la première étape, qui est fondamentale, consiste à utiliser ces appareils isolés, les registres, les trésoriers et tout le reste, pour retirer ces clés d'Internet. Car, comme je l'ai dit, cela vous protège contre 95 % des attaques. Dès que vous faites quoi que ce soit sur un appareil connecté à Internet, vous ouvrez en quelque sorte la porte à 8 milliards de personnes qui peuvent frapper et essayer de passer. Au-delà de cela, une fois que vous avez mis ces clés hors ligne et que vous les conservez vous-même, les plus gros problèmes que vous allez rencontrer sont les suivants

Jameson :
[1:02:09] Ce sont généralement des erreurs commises par vous-même, lorsque vous faites une erreur, que quelque chose ne va pas, qu'il y a une sorte de défaillance environnementale, par exemple un incendie domestique, et vous ne devriez pas tout stocker chez vous, car c'est un point de défaillance unique. Il s'agit donc moins d'un problème de pirates informatiques et d'attaquants que d'un problème de redondance et de résilience suffisantes, afin que lorsque quelque chose tourne mal, car quelque chose finira par tourner mal, ce ne soit pas une défaillance catastrophique. Et c'est là, encore une fois, que la multi-signature entre vraiment en jeu. C'est formidable, car vous avez la possibilité de créer un coffre-fort numérique doté de nombreuses clés différentes. Il peut y avoir trois clés, cinq clés, dix clés, autant que vous le souhaitez.

Jameson :
[1:03:00] Vous disposez alors d'une flexibilité suffisante pour que, si vous perdez une, deux ou trois clés, vous ayez très probablement d'autres clés à votre disposition. Mais bien sûr, ce n'est pas une panacée. Le diable se cache dans les détails. Si vous configurez un coffre-fort à cinq clés et que vous conservez ces cinq clés chez vous, comme nous avons vu des gens le faire, vous avez toujours un point de défaillance unique. L'important est de répartir ces clés de manière à ce qu'elles aient des attributs différents. Vous placez les clés sur différents appareils matériels provenant de différents fabricants et situés dans différentes zones géographiques. Et toutes ces décisions doivent être prises. C'est là que les gens peuvent se sentir paralysés, à mon avis. C'est pourquoi des services comme Casa sont, à mon avis, très utiles, car nous sommes essentiellement un service de conseil en sécurité. Nous vous aidons à comprendre tous les compromis que ces décisions impliquent. Et généralement, chacune de ces décisions vous amènera à choisir entre commodité et sécurité. Un exemple simple est la distance à laquelle vous allez placer ces clés. Vous pouvez les placer

Beau :
[1:04:08] Une maison plus loin, ce qui est très pratique, mais peut-être pas très sûr.

Jameson :
[1:04:13] L'exemple extrême que j'ai déjà donné, vous pouvez les placer sur des continents différents qui vous obligent à prendre l'avion, ce qui est le niveau de sécurité le plus élevé. Vous en arrivez même à un arbitrage juridictionnel s'il y a une sorte d'action gouvernementale contre la cryptographie. Mais bien sûr, c'est extrêmement peu pratique. Tout dépend donc de la robustesse et de la capacité à se remettre d'un échec. Et pour cela, il faut répartir les clés sur autant de vecteurs différents que possible.

Ryan :
[1:04:45] Appliquons cela au scénario d'attaque dont nous parlons, à savoir que vous êtes pris pour cible d'une manière ou d'une autre.

Ryan :
[1:04:51] Vous disposez d'une configuration multi-signature, qu'il s'agisse de Kasa. Et Kasa, je crois, prend en charge Bitcoin, Ethereum, les stablecoins et ces actifs cryptographiques. Il existe également d'autres technologies multi-signatures. Il y a SAFE, par exemple. J'ai entendu parler de personnes qui utilisent des coffres-forts Bitcoin comme Zengo. Quoi qu'il en soit, vous avez votre configuration multi-signature. Que se passe-t-il dans un scénario de type « wrench attack » ? Quelqu'un s'introduit chez vous, et ensuite ? Vous dites : « Je n'ai aucune cryptomonnaie chez moi. Évidemment, ils ne peuvent pas récupérer les crypto-actifs, ou bien pourraient-ils se rendre à un deuxième endroit pour essayer de récupérer vos autres multi-signatures ? Que se passe-t-il ? Comment cela empêche-t-il, dans votre scénario, Jameson, une attaque à la clé à molette réussie ?

Jameson :
[1:05:38] Oui. Donc, évidemment, la question suivante qu'ils vont se poser est : « OK, de quoi a-t-on besoin pour accéder à ces clés ? » Et c'est là que les détails deviennent vraiment importants. Si vous déposez simplement les clés chez un ami ou un voisin qui habite à quelques minutes de chez vous, ce n'est probablement pas une bonne idée. Et vous devez partir du principe que vous serez contraint de dire la vérité, car vous serez sous la contrainte. La situation sera très mauvaise. Et mentir et être pris en flagrant délit de mensonge ne fera qu'empirer les choses pour vous. C'est pourquoi il est très important de conserver les clés derrière des dispositifs de sécurité physiques qui ne sont accessibles qu'à certaines heures de la journée, pendant les heures de bureau, et qui comportent d'autres niveaux d'authentification physique afin de s'assurer que c'est bien vous qui les utilisez.

Ryan :
[1:06:32] Un coffre-fort bancaire en est un exemple classique, n'est-ce pas ?

Jameson :
[1:06:36] Oui. C'est aussi pour cela que la multisignature est importante, car je ne recommanderais pas de prendre une seule clé d'un portefeuille à signature unique et de la mettre dans un coffre-fort bancaire, car cela reste un point de défaillance unique. La banque pourrait avoir un employé corrompu. Nous avons même vu des cas où les forces de l'ordre sont intervenues et ont complètement vidé des coffres-forts.

Ryan :
[1:07:00] Cela se produit en Californie. D'autres États ont fait de même.

Jameson :
[1:07:03] Oui, mais si vous n'avez qu'une seule clé pour un portefeuille multi-signature, vous pourriez à nouveau perdre l'accès à celui-ci. Elle pourrait être volée ou détruite, mais ce n'est pas grave. Vous pouvez la récupérer grâce à vos autres clés.

Ryan :
[1:07:13] D'accord, donc si vous faites cela correctement, l'attaquant ne peut pratiquement rien obtenir. Je veux dire, sera-t-il frustré de ne rien pouvoir obtenir ? Vous croira-t-il ? Vous savez, quoi...

Jameson :
[1:07:25] Que pouvez-vous faire d'autre ? Peu importe qu'il vous croie ou non. Et maintenant, bien sûr, la question suivante est : que va-t-il faire s'il est frustré ? Et la question logique suivante que la plupart des gens se posent est : devrais-je avoir un portefeuille de contrainte pour essayer de le payer et le faire partir ? Malheureusement, nous n'avons pas vraiment de données qui montrent que les portefeuilles de contrainte fonctionnent. Nous avons en fait constaté le contraire, à savoir que les gens ont immédiatement remis tout ce qu'ils avaient, et que les agresseurs ont pensé qu'ils essayaient de les duper avec un portefeuille de secours, et ils ont continué à les torturer pendant longtemps avant de finalement se lasser et de s'enfuir. La seule chose qui, à mon avis, joue en faveur des victimes ici, c'est que le taux d'homicides liés à ces agressions est incroyablement bas. Si vous y réfléchissez bien, ce sont des voleurs. Ils sont prêts à recourir à l'intimidation et à un certain niveau de violence pour obtenir un gain très important, mais ils ne sont généralement pas prêts à tuer quelqu'un et à voir les forces de l'ordre les poursuivre pour meurtre. En effet, tout criminel expérimenté qui comprend la manière dont les forces de l'ordre et le système judiciaire donnent la priorité à la poursuite des agresseurs sait que les homicides ont le taux d'élucidation le plus élevé et bénéficient des ressources les plus importantes. Il vaut donc mieux éviter d'attirer l'attention des forces de l'ordre pour un homicide.

Ryan :
[1:08:49] Oui. D'accord. C'est également ce que j'ai ajouté lorsque j'ai réfléchi à mon article sur Zero Crypto at Home. La première étape consiste donc à mettre en œuvre Zero Crypto at Home. En fait, ne pas en avoir, ne pas y avoir accès. Et en utilisant certains des mécanismes que Jameson vient de décrire, une autre idée que j'ai eue est d'écrire une note, ou de préparer à l'avance quelque chose qui dit : « Je n'ai pas de crypto chez moi ». Je ne garde aucune crypto chez moi sur mon téléphone, juste de la petite monnaie. J'ai de la petite monnaie, moins de 1 000 dollars. Prenez ça. Je n'ai rien d'autre. Et puis je pense que si vous êtes une personnalité publique, il y a des moyens de le signaler ou d'en parler. Vitalik Buterin a d'ailleurs très bien réussi à le faire dans certains endroits et dans ses réponses sur Twitter, par exemple. Il a parlé de sa configuration multi-signature et la décrit comme un M de N, certaines clés étant détenues par vous, mais pas suffisamment pour bloquer la récupération, et les autres étant détenues par des personnes en qui vous avez confiance. Il dispose donc d'une sorte de mécanisme de récupération sociale. Ne révélez pas qui sont ces autres personnes, même entre vous. Et donc

Ryan :
[1:09:51] Et Vitalik a déclaré publiquement qu'il n'avait pratiquement aucune cryptomonnaie chez lui. Donc, si un pirate informatique parvient à accéder à lui à un certain niveau, il ne peut vraiment rien faire. Et je pense que vous avez raison, Jameson, quand vous dites qu'un grand nombre de ces attaques ont jusqu'à présent été couronnées de succès. Et c'est pourquoi elles continuent de se produire. C'est pourquoi elles se propagent. Si ce chiffre de 50 % tombe à 2 % ou 1 %, le retour sur investissement devient très négatif pour les attaquants qui commettent des effractions et des attaques par location, et ils cesseront de le faire. Cela ne se fera pas du jour au lendemain, mais c'est ainsi que notre secteur peut reprendre le contrôle. Bien sûr, le scénario idéal est que votre maison ne soit pas cambriolée. Beau, vous pourriez peut-être en parler. Comment être vigilant face à un cambrioleur ? Il peut s'agir d'un livreur, par exemple, ou de quelqu'un qui enfonce votre porte au milieu de la nuit. Quelles sont les mesures concrètes que l'on peut prendre pour sécuriser son domicile ? Supposons que la confidentialité ne soit pas une option pour le moment. Il faudrait peut-être déménager et prendre certaines mesures, comme celles mises en place par Jason Bourne dans le film de Jameson, pour protéger son adresse. Supposons que ce ne soit pas une option. La personne sait donc que son adresse est connue. Existe-t-il des moyens de sécuriser sa maison ou de mettre en place des protocoles pour se protéger ?

Beau :
[1:11:17] Revenons à ce que Jameson a dit plus tôt, à savoir qu'il n'est parfois pas nécessaire d'être la personne la plus sécurisée au monde. Il suffit d'être plus sécurisé que, disons, la personne suivante sur la liste. Et, vous savez, devenir une cible difficile à atteindre, c'est... C'est vraiment comme penser, ou plutôt considérer votre maison comme une cible difficile à atteindre plutôt que comme une cible facile, c'est ce qui est vraiment important. Donc, vous savez, ajouter des caméras à l'avant de votre maison qui sont visibles, mais aussi efficaces pour identifier qui s'approche de votre porte. J'aime l'idée des projecteurs la nuit, qui sont équipés de détecteurs de mouvement et qui, dès que quelqu'un s'approche, escalade la clôture de votre jardin et se dirige vers votre maison, le frappent soudainement en plein visage avec une lumière. Je suis un grand fan du concept d'utilisation d'un système de sécurité domestique. Il existe même des options assez bon marché, comme des boutons d'alarme que vous pouvez installer près de votre porte d'entrée ou dans votre bureau, où ils vous emmèneraient probablement s'ils entraient dans votre maison.

Beau :
[1:12:19] Évidemment, je pense qu'il y a une question de bon sens, ce à quoi vous faites allusion, qui consiste à ne pas laisser entrer chez vous des inconnus, n'est-ce pas ? À San Francisco, nous avons vu un exemple d'agression où le faux livreur demandait une signature et prétendait ne pas avoir de stylo pour faire signer le client. Il a donc demandé s'il pouvait entrer pour chercher un stylo afin que le client puisse signer le bon de livraison sur le colis. C'était le mensonge qu'il a utilisé pour se faire entrer dans la maison. Il faut donc être conscient que les gens peuvent vous donner une excuse qui semble légitime et ne pas les laisser entrer. Il y a deux autres choses que j'aime recommander aux gens : vous devez identifier, vous devez avoir une conversation avec les personnes qui vivent avec vous à la maison à propos de ces concepts, d'accord ? Que ce soit votre conjoint, votre colocataire ou autre, afin qu'ils comprennent le même type de risque. Et surtout, vous devez avoir un plan, d'accord ? Peut-être que la pièce sécurisée que vous désignez est votre chambre, qui dispose d'une autre serrure sur la porte, où vous avez peut-être un téléphone qui vous permettra d'alerter la police, ou peut-être que c'est là que vous avez installé un bouton d'alarme.

Ryan :
[1:13:37] Pour alerter les

Beau :
[1:13:39] La police à ce moment-là. Je pense que cela revient à s'assurer que si quelqu'un surveille votre maison, car nous savons qu'ils le font, ils vont inspecter votre propriété avant de passer à l'attaque. S'ils voient des caméras à l'avant, s'ils voient des lumières à détecteur de mouvement, ils pourraient être découragés de mener ce type d'attaque. Et puis, une fois que quelque chose se produit, ne soyez pas pris au dépourvu par ce qui se passe juste devant vous. Discutez à l'avance avec vous-même et les personnes avec lesquelles vous vivez de ce que vous ferez si vous pensez que quelqu'un tente de s'introduire dans votre maison, d'accord ? La première fois que vous y pensez ne devrait pas être lorsque cela vous arrive. Et cela peut être aussi simple que : « J'ai un bouton d'alarme à cet endroit. Je vais appuyer dessus. Cela alertera ma société de sécurité. Ils vont m'appeler sur mon portable. Je ne vais pas répondre. Et je sais que la société de sécurité va appeler la police.

Beau :
[1:14:36] Personnellement, je suis partisan de l'autodéfense. Je ne vais pas recommander cela aux personnes qui appellent, car je pense que c'est vraiment une décision très personnelle que de choisir de se défendre contre un agresseur, que ce soit en prenant une batte de baseball, en utilisant une arme à feu ou autre chose. Vous risquez d'aggraver la situation si c'est ce que vous choisissez de faire. Si vous n'êtes pas entraîné, vous ne savez pas ce que vous faites. Mais cela fait partie de mon plan de sécurité personnel, n'est-ce pas ? Si quelqu'un s'introduit chez moi, je suis prêt à réagir avec force, n'est-ce pas ?

Beau :
[1:15:15] Je pense donc qu'il existe plusieurs options différentes. Les bases devraient être, vous savez, comment rendre votre maison difficile à cambrioler et peu attrayante grâce à l'utilisation de caméras, de lumières, de serrures solides sur vos portes. Je veux dire, les fenêtres, les gens peuvent les briser, n'est-ce pas ? Un système de sécurité qui alerte les gens si quelqu'un tente de s'introduire chez vous. Aux États-Unis, il s'agit du système de sécurité ADT classique, avec les boutons d'alarme que j'ai mentionnés. Et enfin, je voudrais mentionner que beaucoup de gens ne vivent pas dans des maisons, n'est-ce pas ? Ils vivent dans des immeubles d'habitation. Ils vivent dans ce genre d'espaces partagés. Et cela peut être à votre avantage ou à votre désavantage, n'est-ce pas ? Si vous vivez dans un immeuble qui nécessite un badge pour accéder à l'ascenseur, qui nécessite, vous savez, ou qui dispose d'un réceptionniste ou d'un gardien de sécurité 24 heures sur 24, 7 jours sur 7, devant votre porte, ces facteurs peuvent dissuader les gens, contrairement à...

Beau :
[1:16:15] Vous savez, si n'importe qui peut, vous savez, comme je me souviens à l'université, vous savez, quand on se faufilait dans les immeubles de nos copains pour aller, vous savez, à l'avant-match, n'est-ce pas ? Comme si vous suiviez quelqu'un dans l'immeuble et que la sécurité était très faible. Donc, lorsque vous choisissez où vivre, en particulier lorsque vous déménagez, vous devez réfléchir à certains facteurs, comme la sécurité de l'endroit où vous emménagez. Est-ce que la présence d'une caméra à l'entrée ou d'un agent de sécurité à la réception dissuade les agresseurs ? Quelqu'un pourrait-il simplement scanner, marcher jusqu'à l'ascenseur, appuyer sur un étage et descendre, n'est-ce pas ? Ou faut-il une clé électronique pour y accéder ? Il y a donc certains facteurs à prendre en compte, si ce n'est pas une maison individuelle.

Ryan :
[1:16:59] Je trouve que c'est une liste de facteurs fantastique. Je vois que Jameson souhaite ajouter quelques éléments. J'ajouterai moi aussi quelques points. Je pense qu'il est important de ne pas ouvrir la porte à quelqu'un qui se présente à votre porte sans avoir pris rendez-vous et que vous ne connaissez pas. Parlez-lui à travers une caméra, si vous le souhaitez. Faites-en une règle dans votre maison. Au début, cela peut sembler un peu gênant sur le plan social, mais une fois que vous l'avez intégré à votre processus de sécurité, vous vous dites : « Pourquoi pas ? ». L'autre chose que je voudrais dire, c'est qu'en plus de l'autodéfense, comme vous l'avez mentionné, Beau, et je pense, Jameson, vous avez donné des statistiques qui montrent que malheureusement, seulement 6 % de toutes ces attaques cryptographiques ont été repoussées par l'autodéfense. Donc, si vous faites cela, assurez-vous d'être bien préparé. Je dirais qu'une partie de cette autodéfense, sans dire que vous pouvez l'externaliser, mais vous pouvez l'externaliser à un gros chien. Honnêtement, je pense que l'un des protecteurs les plus sous-estimés de la maison est d'avoir un chien qui vous alerte, voire qui réagit à ce type d'attaques. J'ai une question à vous poser, Beau, puis nous ajouterons Jameson ou l'un de vous deux pourra y répondre. En ce qui concerne les caméras et les systèmes d'alarme, y a-t-il des mesures que l'on peut prendre pour renforcer la sécurité des points d'entrée, des portes et des fenêtres ? Je crois que vous avez écrit des articles de blog à ce sujet, Jameson. Parlez-nous-en et partagez toute autre information qui pourrait être utile.

Jameson :
[1:18:23] Oui, eh bien, cela dépend vraiment de la construction de votre maison. Mais au moins en Amérique, la grande majorité des constructions sont vraiment bon marché. Elles n'utilisent que des vis de trois quarts de pouce. Et pour 20 dollars, vous pouvez vous procurer des vis à double liaison avec des gâches renforcées qui améliorent considérablement la robustesse des charnières de porte et des mécanismes de verrouillage dans le cadre. Et puis, si vous voulez aller un peu plus loin, et j'ai d'ailleurs fait quelques tests à ce sujet, il existe un certain nombre de films de sécurité. Je choisirais un film 3M et je le ferais installer par un professionnel sur les fenêtres. Cela ne les rendra pas complètement imperméables, mais cela vous donnera probablement au moins 30 secondes à une minute de temps supplémentaire pendant lequel quelqu'un devra essayer de les briser avant de pouvoir réellement pénétrer dans la maison.

Ryan :
[1:19:11] Et c'est en quelque sorte ce que vous recherchez avec ce type de solutions, même avec des portes renforcées équipées de vis plus longues. En gros, cela transforme quelque chose qui peut être enfoncé en cinq secondes en quelque chose qui vous donne 30 secondes supplémentaires, ce qui est déjà bien. Et c'est évidemment quelque chose de très utile. Cela vous fait gagner du temps. Cela renforce définitivement les choses. Oui.

Jameson :
[1:19:31] Et vous avez en fait abordé l'un des points que j'allais mentionner, à savoir que le chien est un élément très facile à négliger. Et il n'est même pas nécessaire que ce soit un gros chien. En fait, dans la plupart des cas, les petits chiens sont plus efficaces pour alerter lorsqu'ils entendent quelque chose.

Ryan :
[1:19:45] Et tout le monde connaît ces chiens qui aboient sans arrêt.

Jameson :
[1:19:49] Et le criminel moyen ne veut pas découvrir à ses dépens s'il s'agit d'un chien d'attaque ou simplement d'un chien curieux. Maintenant, si vous voulez vraiment y aller à fond, vous pouvez acheter un berger allemand ou un malinois Aduljan, payer environ 20 000 dollars, leur faire suivre un entraînement de défense de niveau « shoot song », et ils deviendront des chiens d'attaque. Mais encore une fois, cela demande du temps, des ressources, des investissements, etc. Et il y a une autre chose. Je vais juste la mentionner brièvement, car je pourrais passer une heure entière à en parler, et j'ai un long article intitulé « Firearms for Home Defense » (Armes à feu pour la défense domestique) sur mon blog. Se lancer dans l'univers des armes à feu implique de nombreuses décisions, et encore une fois, des ressources, du temps, de la formation.

Jameson :
[1:20:33] Et je dis surtout aux gens : « Écoutez, il ne suffit pas d'acheter une arme et de la mettre dans un coffre-fort. » En effet, selon la disposition de votre maison, que se passera-t-il si l'agresseur se trouve entre vous et l'arme ? Vous devez donc envisager toutes les situations possibles. Et, vous savez, j'ai un système décentralisé de coffres-forts, où chaque pièce dispose d'un coffre-fort à moins de 3 ou 4 mètres. Et ce ne sont pas n'importe quels coffres-forts. Ce sont des coffres-forts à accès rapide qui s'ouvrent en moins de trois secondes. Ils sont équipés d'une serrure mécanique simple, pas biométrique ni électronique. Ils fonctionnent à chaque fois, même si je suis sous la contrainte, et ils contiennent tous la même arme, ce qui m'évite d'avoir à réfléchir à la manière dont je vais m'en servir. Il y a toutes ces petites choses à prendre en compte, et puis il y a beaucoup de décisions à prendre, comme le choix de l'arme, du calibre, la pénétration excessive, la construction de votre maison, etc.ai pas à réfléchir à la manière dont je vais l'utiliser. Il y a toutes ces petites choses, puis il y a beaucoup de décisions à prendre, comme le choix de l'arme, le calibre, la pénétration excessive, la construction de votre maison et son agencement. Vous ne voulez pas tirer sur un agresseur et toucher accidentellement quelqu'un qui vous est cher, puis...

Beau :
[1:21:37] Comme Bo l'a dit, que vous viviez dans une maison individuelle ou dans un complexe immobilier, vous devez également vous soucier de vos voisins.

Jameson :
[1:21:43] Il y a de très nombreux facteurs à prendre en compte et il n'y a pas de réponse simple à ces questions.

Ryan :
[1:21:47] Donc, pour les auditeurs qui se sentent dépassés, sachez que je le suis aussi. Quand j'écoute Jameson parler, j'ai l'impression qu'il est un expert en sécurité de niveau 99. D'accord. Et la plupart des auditeurs ne sont pas à ce niveau. Mais je pense que l'important est que vous puissiez prendre cette liste de recommandations que vous avez entendues aujourd'hui de la part de Bo et Jameson, et que vous puissiez les mettre en œuvre progressivement. Cela ne doit pas nécessairement se faire en une semaine ou un mois. Je pense que l'essentiel est que vous progressiez dans ce domaine d'année en année. Ainsi, lorsque vous regarderez février 2027, la question que vous devrez vous poser est la suivante : suis-je plus en sécurité ? Suis-je dans une meilleure posture que l'année dernière ? Ai-je un projet en cours pour m'attaquer un par un à certains des éléments offrant le meilleur retour sur investissement ? Ai-je un plan actif pour y parvenir ? Et si vous êtes mieux dans un an qu'aujourd'hui, c'est la voie que vous devez suivre. Ne pensez donc pas que vous devez mettre en œuvre toutes ces recommandations du jour au lendemain. Bo, j'aimerais vous poser une autre question, car nous avons parlé de certaines de ces attaques ciblées, n'est-ce pas ? L'un des aspects que nous n'apprécions pas dans la blockchain à l'heure actuelle est l'absence de bonnes techniques natives de confidentialité sur la chaîne pour masquer les adresses. Cela donne donc à certains cerveaux la possibilité potentielle de...

Ryan :
[1:23:11] Si vous ne faites pas attention, ou même parfois si vous faites attention, la possibilité d'identifier vos portefeuilles et vos actifs sur la chaîne.

Ryan :
[1:23:20] Existe-t-il des moyens d'éviter ce genre de choses, d'être prudent ? Dans mon article, j'ai proposé quelques mesures évidentes, comme par exemple ne pas associer un nom ENS ou un NFT qui utilise votre PFP à certains de vos principaux comptes détenant des actifs cryptographiques. Ne faites pas ça. C'est une mauvaise idée, n'est-ce pas ? Et sachez que lorsque vous transférez des actifs d'une adresse à une autre, cela peut évidemment être lié à toute personne qui consulte la chaîne. Mais je pense que lorsque les gens s'intéressent de plus près à la question de la confidentialité, ils se demandent comment préserver la confidentialité de certaines de leurs adresses. Avez-vous des solutions à ce problème ? Ou que recommanderiez-vous en matière de confidentialité des adresses sur la chaîne ?

Beau :
[1:24:02] Oui, je pense que la réponse simple est la suivante : si vous voulez créer un nouvel ensemble, c'est-à-dire de nouveaux portefeuilles qui sont privés par rapport aux anciens, alimentez-les à partir d'une bourse différente de celle que vous avez utilisée pour alimenter vos premiers portefeuilles. Ce n'est pas vraiment de la confidentialité, car vous ne cachez pas votre identité aux plateformes d'échange, n'est-ce pas ? Mais du point de vue d'un pirate, j'ai des portefeuilles que j'ai créés via une autre plateforme d'échange centralisée et qui ne communiquent pas entre eux sur la chaîne. Je ne partage pas de NFT. Je n'utilise pas Bo Security comme nom ENS.

Beau :
[1:24:40] Pour moi, c'est quelque chose que j'ai fait il y a quelque temps, et je me suis contenté de ce système. Je pense qu'il existe de nombreux outils qui ont été lancés récemment ou développés plus récemment, comme Zcash avec Near Intents comme option de confidentialité. Il existe des outils de confidentialité comme Railgun. Il y a bien sûr le tristement célèbre Tornado Cash, n'est-ce pas ? Je pense que si vous commencez à jouer avec ces outils, vous risquez de vous causer davantage de problèmes de conformité avec les plateformes d'échange que vous utilisez, ce genre de choses. Cela dépend en quelque sorte de votre tolérance au risque. Mais pour le commun des mortels, je pense que la plupart des gens n'ont pas nécessairement ce profil Twitter associé à leur portefeuille en chaîne. Cela ne pose donc peut-être pas autant de problèmes. Mais pour ceux qui souhaitent séparer leur groupe de portefeuilles en chaîne de toute activité future, la solution la plus simple, d'après ce que le grand public peut observer, consiste simplement à créer de nouveaux portefeuilles via une autre plateforme d'échange et à transférer des fonds de cette manière. Jameson a peut-être une réponse beaucoup plus avancée que moi à ce sujet, mais je pense qu'il y a tellement de risques de conformité et d'autres choses auxquels on peut s'exposer en utilisant de nombreux outils de mixage et autres que je n'ai pas encore complètement élaboré ma thèse sur ce qui est la meilleure chose à faire.

Beau :
[1:26:07] C'est vrai.

Jameson :
[1:26:08] Les dés sont pipés contre vous sur la plupart de ces réseaux, des réseaux publics sans autorisation qui fonctionnent de manière totalement transparente. Il est pour le moins difficile d'essayer de préserver sa vie privée sur un réseau totalement ouvert. Vous savez, je n'utilise même pas vraiment les mixeurs moi-même. Comme vous l'avez dit, ils peuvent en fait causer des problèmes, car vous pourriez être associé à d'autres activités que vous ne souhaitez pas. Et vraiment, si vous avez besoin d'une confidentialité renforcée, c'est là que je conseille aux gens d'utiliser Monero, Zcash, un réseau où la confidentialité renforcée est intégrée au niveau du protocole et où vous n'avez pas à passer par toutes sortes de contorsions et à comprendre ces machinations techniques complexes pour essayer de créer de la confidentialité sur un réseau transparent. Donc, la plupart du temps, je n'essaie pas de dire aux gens quoi faire en matière de confidentialité, car il y a tellement de pièges et il est très facile de se tromper. Vous savez, même si vous faites beaucoup de choses en privé, il suffit d'une seule erreur pour réduire à néant tout ce que vous avez fait.

Ryan :
[1:27:16] Je pense que cela reflète bien l'état actuel de la confidentialité. Et malheureusement, c'est vraiment là où nous en sommes en tant qu'industrie. Il n'y a pas beaucoup de bonnes solutions pour Bitcoin ou Ethereum à l'heure actuelle, même si de nouvelles solutions apparaissent presque tous les jours. Et je pense que c'est un domaine d'investissement important. Nous voyons des protocoles comme Zama qui sont plutôt sympas. C'est nouveau sur le marché, ou des choses comme Aztec. Il y a des choses en cours de développement. C'est juste que cela ressemble encore au statu quo, le mieux que vous puissiez faire est de passer à autre chose.

Ryan :
[1:27:46] des fonds via une bourse et de créer un nouveau portefeuille. Mais bien sûr, c'est aussi un vecteur, car que se passerait-il si la bourse divulguait des données ? Vous savez, à quel point cela est-il vraiment invisible. C'est juste que, clairement, ce n'est pas génial pour le moment. La confidentialité n'est pas géniale pour le moment dans le domaine des cryptomonnaies. Et c'est juste une prise de conscience. Une autre chose que j'ajouterais, c'est simplement de mettre l'accent sur la prudence à avoir avec l'application de suivi fiscal que vous utilisez. Il existe des versions locales qui conservent toutes les informations fiscales localement sur votre machine et auxquelles vous pouvez passer. Nous inclurons peut-être des liens à ce sujet dans les notes de l'émission. Mais je veux dire, cela me semble être un vecteur qui m'inquiète beaucoup. Je veux dire, ce sont des entités qui ne mettent pas nécessairement en place des pratiques de sécurité de niveau boursier dans des endroits qui ne sont pas des actifs en dépôt.

Beau :
[1:28:29] Et elles sont basées sur le cloud.

Ryan :
[1:28:30] Des solutions. Elles peuvent être piratées. Si quelqu'un parvient à relier votre profil sur la chaîne et que vous êtes associé à ces informations piratées, à identifier qui vous êtes, alors il sait où se trouvent vos portefeuilles. C'est donc quelque chose qui pourrait être exploitable alors que nous terminons cet épisode.

Jameson :
[1:28:45] Je dirais également de ne pas céder à la tentation de mettre les clés API Exchange dans votre logiciel fiscal. Oui, cela leur permet d'obtenir facilement les données, mais il y a eu des piratages liés à cela, où les attaquants ont obtenu les clés API et les ont utilisées pour prendre le contrôle de votre compte d'échange. Donc oui, je pense à des choses comme Rockkey, par exemple, qui est

Ryan :
[1:29:09] Comme un local

Jameson :
[1:29:09] Version locale.

Ryan :
[1:29:12] Malheureusement, nous sommes dans une situation où les pirates informatiques utilisent des outils de plus en plus sophistiqués, où leur capacité à exploiter l'IA pour rassembler toutes ces données et déterminer les cibles à attaquer devient de plus en plus sophistiquée. Mais je pense que l'objectif que vous soulignez tous les deux est que nous ne recherchons pas la perfection ici. Nous devons simplement être meilleurs, plus résistants que les autres. Et je pense que certaines des tactiques dont nous avons parlé aideront les auditeurs à y parvenir dès aujourd'hui. Je suppose que je me suis rendu compte de cela en y réfléchissant de plus en plus en 2026. Comme je l'ai mentionné, j'ai écrit cet article intitulé « Zero Crypto at Home », qui est en quelque sorte...

Ryan :
[1:29:49] C'est-à-dire dévoiler certaines de mes réflexions sur les meilleures pratiques pour prévenir les attaques de type « wrench » avec beaucoup de contributions de la communauté de la sécurité cryptographique, qui est fantastique et à laquelle vous avez tous deux tant contribué. Mais cela semble être un peu un revers pour la vision sans banque. C'est un peu ce qui me reste. Je me dis simplement que ce n'est pas toute l'histoire. Nous n'en avons pas encore fini. Et il y a certainement encore plus de défis à relever avec les solutions de conservation que nous voyons dans le monde traditionnel, bien sûr. Mais c'est une lourde responsabilité que de prendre en charge les clés privées et d'être sa propre banque. Et donc, si vous assumez cette responsabilité, assurez-vous de ne pas vous engager à assurer la sécurité 24 heures sur 24 et 7 jours sur 7 de votre propre maison et de vos propres clés privées. Vous devez être plus malin que ça. Mais même ainsi, j'ai l'impression que c'est un peu un revers. Certaines personnes qui écoutent cet épisode se disent peut-être : « Oh mon Dieu, les gars, c'est beaucoup. Je peux simplement acheter des crypto-actifs sur mon compte de courtage, il y a ce truc qui s'appelle iBit et je n'ai qu'à l'acheter. Je n'ai pas à me soucier de tout ça.

Beau :
[1:30:59] Qu'en penses-tu ?

Ryan :
[1:31:00] Je veux dire, je reste optimiste. J'ai l'impression que nous sommes peut-être à un tournant en termes de conservation et de clés, en particulier le sentiment qui entoure certaines de ces attaques cryptographiques, ces attaques à la clé anglaise en personne m'ont donné cette impression. Mais allons-nous nous en sortir ? La cryptographie auto-custodiale sera-t-elle la solution finale ? Des milliards de personnes feront-elles ce que font les auditeurs sans banque et contrôleront-elles leurs propres clés ? Ou s'agit-il d'un revers pour cette vision ? Vas-y, James.

Beau :
[1:31:29] Permettez-moi de mettre un bémol, sans jeu de mots, à votre projet iBit, d'accord ? Imaginons que vous détenez votre iBit sur Robinhood et que vous êtes victime d'une attaque à la clé à molette parce que vous parlez tout le temps de Bitcoin, mais vous pensez être en sécurité parce que vous le détenez dans un ETF. Et l'attaquant se présente chez vous entre 9 h et 16 h, pendant les heures de négociation, et vous dit : « Hé, vendez tous vos iBit, achetez des bitcoins sur Robinhood et transférez-les-moi. » Bien sûr, je suis sûr que Robinhood a mis en place des mesures pour empêcher ce genre de choses. Mais c'est une situation théorique qui pourrait se produire. Je pense donc que si vous voulez investir dans la cryptomonnaie, la conservation autonome reste la meilleure solution, car vous utilisez vos actifs. C'est l'avantage d'être votre propre banque, de ne pas dépendre d'un gouvernement pour approuver la forme de monnaie que vous utilisez, comme dans le cas de la Fed, n'est-ce pas ? Je vois vraiment les avantages de ce système.

Beau :
[1:32:33] Et pour revenir au point soulevé par Jameson plus tôt dans la journée, en prenant les bonnes mesures, vous pouvez en fait obtenir une sécurité supérieure à celle offerte par les banques, tout en bénéficiant des avantages de prendre vos propres décisions concernant votre argent. Vous savez, combien de fois voyons-nous quelqu'un publier un article disant : « J'ai essayé de retirer 20 000 dollars de mon compte bancaire. Et deux heures plus tard, je réponds encore à des questions sur l'utilisation que je vais faire de cet argent. » Je pense que les avantages de ce système l'emporteront sur les problèmes de sécurité, d'autant plus que de nouveaux outils sont mis en place, que les portefeuilles s'améliorent, que la police prend conscience de ces tendances et...

Beau :
[1:33:11] commence à sévir davantage contre la criminalité, n'est-ce pas, à mesure que les attaques de type « wrench » échouent et que les escroqueries échouent. Vous savez, je pense qu'il n'y a aucune raison pour que nous ne puissions pas arriver à un niveau de sécurité similaire à celui de l'environnement Web2 actuel en matière de cryptomonnaie.

Ryan :
[1:33:29] Bien dit. Qu'ajouteriez-vous, Jameson ?

Jameson :
[1:33:31] Oui, écoutez, la raison pour laquelle j'ai passé les dix dernières années à mettre en place des systèmes d'auto-conservation, c'est parce que j'avais l'impression que nous luttions contre la nature humaine. Et la nature humaine est généralement de choisir la commodité au détriment de presque tout le reste. De plus, la société humaine et la civilisation se sont développées au fil des millénaires grâce à la spécialisation des tâches. Nous, les humains, sommes donc habitués à externaliser de très grands pans de notre vie, même notre propre production alimentaire. Vous savez, ces choses sont extrêmement importantes pour notre vie quotidienne et à long terme. Et donc, vous savez, externaliser les questions financières est également une seconde nature. Il est donc vraiment contraire à la nature humaine de dire aux gens de renverser complètement ce modèle et de prendre en main un aspect très important de leur vie et de leurs finances. C'est pourquoi j'ai estimé que nous devions continuer à...

Jameson :
[1:34:30] Travailler pour rendre l'auto-conservation plus pratique et plus sûre, car si les gens ordinaires ne se sentent pas capables de le faire de manière sûre et sécurisée, ils ne pourront pas dormir la nuit et ilsva baisser les bras et dire « d'accord, je vais simplement confier cette tâche à quelqu'un qui sait vraiment ce qu'il fait », et bien sûr, comme nous le savons tous, cela signifie qu'elle renonce à la prémisse la plus précieuse des nouveaux systèmes, à savoir ne pas avoir à faire confiance à un tiers et à demander la permission d'utiliser son argent comme on le souhaite. Je vais donc conclure par une citation qui me revient sans cesse à l'esprit et qui, je pense, convient parfaitement à cette situation, car nous avons passé la dernière heure et demie à discuter de la complexité de la question et du nombre de choses différentes dont vous devez vous soucier si vous voulez gérer la cryptomonnaie en toute sécurité. Voici cette citation

Jameson :
[1:35:25] Si vous souhaitez construire un bateau, ne divisez pas les hommes en équipes et ne les envoyez pas dans la forêt pour couper du bois. Apprenez-leur plutôt à rêver de la mer vaste et infinie. C'est pourquoi je prêche l'évangile de la souveraineté, l'évangile de l'autonomisation grâce à ces protocoles publics sans autorisation, afin que vous n'ayez pas à dépendre des caprices des banquiers, des régulateurs, des gouvernements et autres. Et donc, vous savez, dans un sens, cela nous fera passer pour des crypto-anarchistes paranoïaques aux yeux des Michael Sayers de ce monde. Et cela ne me dérange pas. Je veux simplement que le plus grand nombre possible de personnes comprennent que c'est une option. Et si vous êtes prêt à faire l'effort, vous pouvez vous autonomiser considérablement, vous et votre famille, pour de nombreuses générations à venir.

Ryan :
[1:36:13] Bien dit. Et je ne pense pas que nous soyons paranoïaques. Je pense simplement que nous sommes en avance sur notre temps. Et comme vous l'avez bien résumé, l'objectif final est la souveraineté. Il existe un autre mot pour cela : la liberté. Je pense donc qu'une façon pour les auditeurs de Bankless de perdre leur liberté est de devenir gardien de sécurité dans une banque et de ressentir cette pression en permanence. Mais certains des outils dont nous avons parlé, comme le multi-sig, sont essentiels à cet égard. Une fois que vous aurez mis en place un bon système multi-sig, je pense que vous vous sentirez beaucoup mieux dans votre position. Mettez cela en œuvre et vous pourrez retrouver votre liberté. Terminons là. Je dois vous prévenir, bien sûr, que la cryptomonnaie est risquée. Vous pourriez perdre ce que vous avez investi, mais nous allons de l'avant. C'est une nouvelle frontière. Ce n'est pas pour tout le monde, mais nous sommes heureux que vous nous accompagniez dans cette aventure sans banque. Merci beaucoup.