Securite

Bitcoin est-il a l'abri
du piratage ?

Le reseau Bitcoin n'a jamais ete pirate. Les piratages de plateformes d'echange sont une tout autre histoire. Ce guide separe la securite du protocole du risque de conservation et vous montre comment proteger vos avoirs.

16 min de lecture
Bitcoin.diy Editorial·

« Bitcoin a ete pirate » est l'un des gros titres les plus courants dans les medias grand public. C'est aussi l'un des plus trompeurs. En plus de 17 ans de fonctionnement ininterrompu, le reseau Bitcoin lui-meme n'a jamais ete compromis. Ce qui est pirate, ce sont les entreprises centralisees qui conservent les Bitcoin pour les utilisateurs : les plateformes d'echange, les wallets depositaires et les plateformes de pret. Comprendre cette difference est essentiel pour evaluer honnetement la securite de Bitcoin.

Ce guide examine la securite de Bitcoin a chaque niveau : le protocole lui-meme, les plateformes qui le negocient, et les pratiques personnelles qui determinent si vos Bitcoin restent en securite. A la fin, vous comprendrez pourquoi Bitcoin est l'un des reseaux financiers les plus surs jamais crees, et comment vous assurer que votre part reste protegee.

Quelle est la securite du protocole Bitcoin lui-meme ?

Bitcoin est securise par trois systemes interconnectes : des algorithmes cryptographiques, un reseau distribue de nodes et le minage Proof-of-Work. Ensemble, ils creent un modele de securite qui a resiste a toutes les tentatives d'attaque pendant plus d'une decennie et demie.

Fondation cryptographique

Bitcoin utilise SHA-256 (Secure Hash Algorithm 256-bit) pour son minage Proof-of-Work et ECDSA (Elliptic Curve Digital Signature Algorithm) pour les signatures de transactions. SHA-256 est une fonction a sens unique : il est computationnellement impossible de determiner l'entree a partir d'une sortie. Casser SHA-256 necessiterait de decouvrir un defaut fondamental dans des mathematiques etudiees depuis des decennies. ECDSA garantit que seul le detenteur d'une cle privee peut autoriser la depense des Bitcoin associes a la cle publique correspondante.

Pour mettre la securite en perspective : forcer par brute force une seule cle privee Bitcoin necessiterait de tester 2^256 combinaisons possibles. Ce nombre est superieur au nombre estime d'atomes dans l'univers observable. Toute la puissance de calcul de la Terre combinee ne pourrait pas craquer une seule cle privee Bitcoin au cours de la duree de vie de l'univers.

Reseau de nodes decentralise

Plus de 60 000 nodes Bitcoin accessibles publiquement fonctionnent sur chaque continent (avec potentiellement deux fois plus derriere des pare-feu). Chaque node valide chaque transaction et chaque bloc de maniere independante selon les regles de consensus. Il n'y a pas de serveur central a attaquer. Pour modifier les regles de Bitcoin, il faudrait convaincre une majorite de ces nodes exploitees de maniere independante de mettre a jour leur logiciel, c'est pourquoi les changements de protocole sont rares et necessitent un consensus ecrasant de la communaute.

Minage Proof-of-Work

Les mineurs Bitcoin appliquent collectivement plus de 500 exahashes par seconde de puissance de calcul pour securiser le reseau. C'est le plus grand reseau informatique dedie de l'histoire de l'humanite. Une attaque reussie au niveau du minage (une « attaque a 51 % ») necessiterait qu'un attaquant controle plus de la moitie de cette puissance de calcul. Vous pouvez voir sur le graphique de hashrate en direct exactement combien de puissance de calcul securise le reseau. Le cout en capital pour acquerir suffisamment de materiel de minage ASIC depasse 20 milliards de dollars, sans compter les couts d'electricite continus. Meme si un attaquant atteignait d'une maniere ou d'une autre 51 % de hashpower, il ne pourrait que doubler ses propres transactions recentes, pas voler les Bitcoin d'autres personnes.

Ce qui est reellement pirate : les plateformes, pas Bitcoin

Quand les medias disent « Bitcoin a ete pirate », ils parlent presque toujours d'une plateforme d'echange centralisee ou d'un service de conservation. Ce sont des entreprises traditionnelles avec des bases de donnees, des employes et des vulnerabilites de securite comme toute autre entreprise technologique. Leurs defaillances sont des defaillances de securite d'entreprise, pas du protocole Bitcoin.

2014 : Mt. Gox (450 M$)

La plus grande plateforme d'echange Bitcoin de l'epoque a perdu environ 850 000 BTC sur plusieurs annees en raison de mauvaises pratiques de securite et d'une gestion interne presumes defaillante. Le piratage a catalyse l'accent mis par la communaute Bitcoin sur le self-custody.

2016 : Bitfinex (72 M$)

Des hackers ont exploite des vulnerabilites dans l'implementation du wallet multisig de Bitfinex pour voler pres de 120 000 BTC. La plateforme a reparti les pertes entre tous les utilisateurs et a emis des tokens comme reconnaissances de dette, qu'elle a finalement remboursees.

2019 : Binance (40 M$)

Des attaquants ont utilise le phishing, des virus et l'ingenierie sociale pour voler des cles API et des codes d'authentification a deux facteurs, retirant 7 000 BTC en une seule transaction. Binance a couvert la perte avec son fonds d'assurance (SAFU) et aucun utilisateur n'a perdu d'argent.

2022 : FTX (fraude, 8+ Mds$)

Bien que ce ne soit pas un piratage au sens classique, l'effondrement de FTX a demontre le risque de conservation ultime. Les fonds des clients ont ete detournes par des inities de l'entreprise. Des milliards de depots clients ont ete perdus. La lecon : le risque de contrepartie est la plus grande menace pour vos Bitcoin.

Chaque piratage majeur de plateforme Bitcoin a un denominateur commun : c'etaient des attaques contre des entreprises centralisees, pas contre Bitcoin lui-meme. Les Bitcoin sur ces plateformes ont ete voles parce que les utilisateurs ont fait confiance a un tiers pour detenir leurs cles privees. Si vous detenez vos propres cles dans un hardware wallet les piratages de plateformes ne peuvent pas vous affecter.

Self-custody : comment securiser vos propres Bitcoin

Le self-custody signifie detenir vos propres cles privees au lieu de faire confiance a un tiers. C'est le moyen le plus sur de detenir des Bitcoin et la facon dont Bitcoin a ete concu depuis le debut. Avec des pratiques de securite adequates, le self-custody rend pratiquement impossible le vol de vos Bitcoin a distance.

Hardware Wallets

Des appareils comme le Ledger Nano X, le Trezor Safe 3 et le Coldcard stockent vos cles privees sur une puce securisee qui n'est jamais directement connectee a internet. Les transactions doivent etre confirmees physiquement sur l'appareil lui-meme. Meme si votre ordinateur est compromis, le hardware wallet ne signera aucune transaction non autorisee.

Sauvegarde de la seed phrase

Votre seed phrase (12 ou 24 mots) est la sauvegarde principale de tout votre wallet. Ecrivez-la sur papier ou gravez-la dans du metal (les sauvegardes sur plaques d'acier sont resistantes au feu et a l'eau). Conservez-la dans un endroit sur, separe de votre hardware wallet. Ne stockez jamais votre seed phrase numeriquement sur un ordinateur, un telephone ou un service cloud.

Securite multisig

Les wallets multi-signatures necessitent deux cles ou plus pour autoriser une transaction. Une configuration 2-sur-3 signifie que deux des trois cles doivent signer. Les cles peuvent etre conservees dans des endroits differents ou sur des appareils differents. Cela protege contre les points de defaillance uniques et constitue le standard pour les institutions detenant des montants importants.

Protection par passphrase

Une passphrase optionnelle (parfois appelee « 25e mot ») ajoute une couche de securite supplementaire a votre seed phrase. Meme si quelqu'un decouvre vos 24 mots, il ne peut pas acceder a vos Bitcoin sans la passphrase. Cela cree un deni plausible : la seed sans passphrase montre un wallet, tandis que la passphrase en revele un cache.

Quels sont les vecteurs d'attaque Bitcoin les plus courants ?

Attaques de phishing

Le phishing est la menace la plus courante pour les detenteurs de Bitcoin. Les attaquants creent de fausses versions de sites de plateformes, de logiciels de wallet ou de portails de support client pour voler vos identifiants de connexion ou votre seed phrase. La defense est simple : ne cliquez jamais sur les liens dans les emails pretendant provenir de votre plateforme, tapez toujours les URL directement, utilisez un gestionnaire de mots de passe qui ne remplit les champs que sur les domaines legitimes, et rappelez-vous qu'aucun service serieux ne demandera jamais votre seed phrase.

Malware de presse-papiers

Le malware de detournement de presse-papiers surveille votre presse-papiers pour les adresses Bitcoin et les remplace silencieusement par l'adresse de l'attaquant. Lorsque vous collez ce que vous pensez etre l'adresse du destinataire, vous envoyez en realite des Bitcoin a l'attaquant. La defense : comparez toujours visuellement les premiers et derniers caracteres de chaque adresse avant de confirmer une transaction sur l'ecran de votre hardware wallet.

Ingenierie sociale

Des attaquants sophistiques se font passer pour le support client, des pretendants amoureux, des conseillers en investissement ou meme des amis et de la famille. Ils batissent la confiance au fil du temps et vous demandent finalement d'envoyer des Bitcoin ou de reveler votre seed phrase. La defense : ne partagez jamais votre seed phrase avec quiconque pour quelque raison que ce soit, soyez sceptique face aux contacts non sollicites d'equipes de « support » et verifiez toute demande inhabituelle via un canal de communication separe.

Attaques SIM-swap

Le SIM-swapping consiste a convaincre votre operateur telephonique de transferer votre numero vers une nouvelle carte SIM controlee par l'attaquant. Celui-ci peut alors recevoir vos codes d'authentification a deux facteurs par SMS. La defense : utilisez des cles de securite materielles (comme YubiKey) ou des applications d'authentification au lieu du 2FA par SMS, et ajoutez un code PIN ou un mot de passe aupres de votre operateur pour empecher les modifications non autorisees.

Checklist : bonnes pratiques de securite

1

Utilisez un hardware wallet

Pour tout montant de Bitcoin dont la perte vous ennuierait, utilisez un hardware wallet. Cette seule etape elimine la grande majorite des vecteurs d'attaque a distance.

2

Sauvegardez votre seed phrase hors ligne

Ecrivez votre seed phrase sur papier ou gravez-la dans du metal. Conservez-la dans un coffre-fort ignifuge ou un endroit securise. Ne la photographiez jamais, ne la tapez jamais sur un ordinateur et ne la stockez jamais dans un service cloud.

3

Activez une authentification a deux facteurs robuste

Utilisez des cles de securite materielles (YubiKey) ou des applications d'authentification pour tous les comptes de plateformes et d'email. Evitez le 2FA par SMS, qui est vulnerable aux attaques SIM-swap.

4

Verifiez chaque transaction

Avant de confirmer un envoi de Bitcoin, comparez l'adresse du destinataire sur l'ecran de votre hardware wallet. Verifiez au minimum les six premiers et six derniers caracteres par rapport a l'adresse prevue. Cela detecte les malwares de presse-papiers.

5

Minimisez l'exposition aux plateformes

Ne laissez des Bitcoin sur une plateforme que pendant le trading actif. Retirez vers votre propre wallet des que possible. Rappelez-vous : si vous ne controlez pas les cles, vous ne controlez pas entierement les Bitcoin.

Vos Bitcoin sont-ils en securite ?

Bitcoin est l'un des reseaux financiers les plus surs jamais crees. Sa fondation cryptographique, son reseau de nodes decentralise et son minage Proof-of-Work creent un modele de securite qui a resiste a plus de 17 ans de pression d'attaque continue sans un seul piratage reussi.

Les vrais risques de securite viennent des intermediaires centralises (plateformes, services de conservation) et des erreurs de securite personnelles (phishing, seed phrases perdues, mauvaise securite operationnelle). Les deux risques peuvent etre effectivement elimines par le self-custody avec un hardware wallet et le respect des pratiques de securite decrites dans ce guide. Vos Bitcoin sont exactement aussi surs que votre gestion des cles.

Questions frequemment posees

Le reseau Bitcoin a-t-il deja ete pirate ?
Non. La blockchain Bitcoin elle-meme n'a jamais ete piratee en plus de 17 ans de fonctionnement ininterrompu. Le protocole est protege par le plus grand reseau informatique jamais construit, les mineurs depensant collectivement plus d'energie que de nombreux petits pays. Ce que l'on appelle communement des "piratages de Bitcoin" sont en realite des failles de securite sur des plateformes d'echange centralisees, des wallets ou des services tiers qui conservent les Bitcoin pour les utilisateurs -- pas des attaques contre le protocole Bitcoin lui-meme.
Quelle est la difference entre un piratage de Bitcoin et un piratage de plateforme d'echange ?
Pirater Bitcoin signifierait casser les algorithmes cryptographiques ou le mecanisme de consensus qui securisent la blockchain. Cela n'est jamais arrive et necessiterait une puissance de calcul qui n'existe pas. Pirater une plateforme d'echange signifie penetrer les systemes de securite d'une entreprise pour voler les Bitcoin qu'elle detient. Les piratages de plateformes sont des defaillances de securite d'entreprise, pas du protocole Bitcoin. Cette distinction est cruciale : Bitcoin en tant que protocole est sur ; les entreprises qui l'entourent ont des niveaux de securite variables.
Un ordinateur quantique pourrait-il casser Bitcoin ?
Les ordinateurs quantiques actuels ne peuvent pas casser la cryptographie de Bitcoin. Bitcoin utilise SHA-256 pour le minage et ECDSA pour les signatures. Un ordinateur quantique suffisamment puissant pourrait theoriquement casser ECDSA, mais de telles machines sont estimees a au moins 10 a 20 ans. Les developpeurs Bitcoin recherchent activement des algorithmes de cryptographie post-quantique, et le protocole peut etre mis a jour par un soft fork avant que l'informatique quantique ne devienne une menace pratique. Plusieurs adresses Bitcoin qui n'ont jamais ete reutilisees sont deja resistantes aux attaques quantiques connues.
Qu'est-ce qu'une attaque a 51 % et est-elle possible sur Bitcoin ?
Une attaque a 51 % se produit lorsqu'une seule entite controle plus de la moitie de la hashrate totale du minage, ce qui lui permet potentiellement de depenser des transactions en double ou d'empecher de nouvelles transactions d'etre confirmees. Sur Bitcoin, cette attaque est theoriquement possible mais pratiquement irrealisable. Le cout d'acquisition du materiel de minage et de l'electricite suffisants pour controler 51 % du reseau depasse actuellement des dizaines de milliards de dollars, et une telle attaque detruirait immediatement la valeur de l'actif pour lequel l'attaquant a depense des milliards.
Que s'est-il passe avec Mt. Gox ?
Mt. Gox etait une plateforme d'echange Bitcoin basee a Tokyo qui, a son apogee, gerait environ 70 % de toutes les transactions Bitcoin. En fevrier 2014, la plateforme a declare faillite apres la revelation que, sur plusieurs annees, environ 850 000 Bitcoin (d'une valeur d'environ 450 millions de dollars a l'epoque) avaient ete voles en raison de mesures de securite inadequates et de defaillances de gestion. Le piratage de Mt. Gox n'etait pas une defaillance de Bitcoin, mais un echec catastrophique d'un depositaire centralise. Il reste le piratage de plateforme le plus important de l'histoire de Bitcoin et constitue une raison majeure pour laquelle la communaute Bitcoin insiste sur le self-custody.
Comment Bitcoin empeche-t-il la double depense ?
La double depense signifie depenser les memes Bitcoin deux fois. Bitcoin l'empeche grace a son mecanisme de consensus Proof-of-Work. Lorsque vous envoyez des Bitcoin, la transaction est diffusee sur le reseau et incluse dans un bloc par les mineurs. Une fois confirmee dans un bloc et que d'autres blocs sont construits par-dessus, l'annulation devient computationnellement impraticable. Apres six confirmations (environ une heure), une transaction est consideree comme irreversible a toutes fins pratiques. C'est pourquoi les commercants et les plateformes attendent generalement plusieurs confirmations avant de crediter votre compte.
Les hardware wallets sont-ils vraiment surs ?
Les hardware wallets sont la reference en matiere de securite Bitcoin. Des appareils comme le Ledger Nano X, le Trezor Safe 3 et le Coldcard stockent vos cles privees sur une puce dediee qui n'est jamais connectee a internet. Les transactions doivent etre confirmees physiquement sur l'appareil lui-meme. Meme si votre ordinateur est compromis par un malware, le hardware wallet ne signera aucune transaction qui differe de ce qui est affiche sur son ecran. Les principaux risques avec les hardware wallets sont le vol physique (attenue par la protection PIN et les fonctions de passphrase) et les attaques de chaine d'approvisionnement (attenuees en achetant directement aupres du fabricant).
Qu'est-ce qu'une seed phrase et pourquoi est-elle importante ?
Une seed phrase (aussi appelee phrase de recuperation ou mnemonique) est une suite de 12 ou 24 mots generee lors de la creation d'un wallet Bitcoin. Cette phrase est une sauvegarde lisible par l'humain de vos cles privees. Si votre hardware wallet est perdu, vole ou endommage, vous pouvez restaurer l'integralite de votre solde Bitcoin sur un nouvel appareil grace a votre seed phrase. La seed phrase doit etre gardee secrete et stockee en securite hors ligne. Quiconque obtient votre seed phrase a le controle total de vos Bitcoin. Ne la stockez jamais numeriquement, ne la photographiez pas et ne la saisissez jamais sur un site web.
Quelles sont les facons les plus courantes de perdre des Bitcoin ?
Les facons les plus courantes de perdre des Bitcoin sont : les attaques de phishing (faux sites web qui volent les identifiants de connexion ou les seed phrases), les malwares (keyloggers ou detourneurs de presse-papiers qui modifient les adresses de wallet), les defaillances de plateformes (la plateforme est piratee ou fait faillite), les seed phrases perdues (mots de sauvegarde oublies ou egares) et l'ingenierie sociale (escrocs se faisant passer pour des agents de support ou des pretendants amoureux). Presque tous ces risques peuvent etre attenues en utilisant un hardware wallet, en verifiant soigneusement les adresses et en ne partageant jamais sa seed phrase.
Qu'est-ce que le multisig et comment ameliore-t-il la securite ?
Le multisig (multi-signature) est une fonctionnalite de securite qui necessite plusieurs cles privees pour autoriser une transaction Bitcoin. Par exemple, une configuration multisig 2-sur-3 exige que deux des trois cles signent la transaction. Les trois cles peuvent etre conservees dans des endroits differents, sur des appareils differents ou par des personnes differentes. Si une cle est compromise ou perdue, vos Bitcoin restent en securite. Le multisig est largement utilise par les institutions, les plateformes et les particuliers soucieux de securite. Des services comme Unchained Capital et Casa offrent des solutions multisig guidees pour un usage personnel.
Est-il sur de laisser ses Bitcoin sur une plateforme d'echange ?
Laisser ses Bitcoin sur une plateforme d'echange est pratique mais comporte des risques importants. Les plateformes sont des cibles centralisees pour les hackers et ont ete piratees de nombreuses fois dans l'histoire de Bitcoin. Si une plateforme est piratee ou fait faillite (comme FTX en 2022), vous pouvez perdre une partie ou la totalite de votre solde. La communaute Bitcoin dit souvent "Not your keys, not your coins." Pour tout montant depassant de petites sommes de trading, il est fortement recommande de retirer vos Bitcoin vers un wallet personnel que vous controlez.
Comment puis-je me proteger contre les attaques de phishing ?
Les attaques de phishing comptent parmi les menaces les plus courantes pour les detenteurs de Bitcoin. Pour vous proteger : tapez toujours les URL des plateformes directement dans votre navigateur au lieu de cliquer sur des liens, activez l'authentification a deux facteurs (de preference une cle de securite materielle, pas de SMS), ne saisissez jamais votre seed phrase sur un site web ou un appareil numerique, verifiez l'expediteur de tout email pretendant provenir de votre plateforme, mefiiez-vous des messages urgents affirmant que votre compte est compromis, et utilisez un gestionnaire de mots de passe pour eviter la reutilisation des identifiants.

Securisez vos Bitcoin

La meilleure securite est le self-custody. Apprenez a choisir le bon hardware wallet et a prendre le controle de vos Bitcoin.

Guide hardware wallet Guide self-custody