Entretien avec Charles Guillemet de Ledger : comment sécuriser ses cryptomonnaies ?
Lorsque l’on parle de cryptomonnaies, notre culture occidentale nous amène souvent à nous focaliser sur le prix plutôt que sur leur véritable révolution : la capacité d’être réellement propriétaire de ses biens. Mais cette révolution qu’est l’autogarde, ou la self custody, implique une importante responsabilité. Pour développer ce sujet, nous sommes allés à la rencontre de Charles Guillemet, CTO de Ledger, qui nous a partagé ses précieux conseils pour sécuriser vos cryptomonnaies.
Entretien avec Charles Guillemet, directeur de la technologie de Ledger
Alors que nombre de nouveaux arrivants dans les cryptomonnaies peuvent venir à des fins d’investissement, l’une des innovations majeures permises par le Web3 est la possibilité d’être soi-même réellement propriétaire de ses fonds.
Pourtant, la self-custody, ou autogarde, est un concept régulièrement relayé au second plan par les plateformes centralisées. Mais le bear market a montré de multiples arguments en faveur du fait d’être pleinement en mesure de posséder ses fonds.
En matière d’autogarde, Ledger est le leader mondial permettant d’apporter une couche de sécurité à nos cryptomonnaies. C’est pourquoi nous sommes allés à la rencontre de Charles Guillemet, directeur de la technologie de l’entreprise, qui nous a partagé sa vision du sujet.
Peux-tu te présenter et revenir sur ton parcours chez Ledger ?
« Charles Guillemet, je suis le CTO de Ledger, je suis en charge de la technologie en général : engineering, architecture, infrastructure, sécurité, innovation. La cryptographie et la sécurité sont des sujets qui m’intéressent depuis que j’ai 12 ans. Quand j’ai récupéré un ordinateur pour la première fois, la première chose que j’ai essayé de faire à l’époque, c’était de voir ce qu’il y avait dedans et si l’on pouvait le hacker. J’en ai fait mon métier bien après, j’ai étudié l’informatique, les mathématiques et enfin la cryptographie. J’ai travaillé à la foi à concevoir des solutions de sécurité et à essayer de les casser. J’ai rejoint Ledger il y a un peu plus de 5 ans, à l’époque où c’était une petite startup d’une quarantaine de personnes. »
En premier lieu, Charles Guillemet a créé le département de sécurité de Ledger : le Donjon. Il a ensuite créé l’équipe certification, avant de devenir le CTO (Chief Technical Officer / Directeur de la technologie) de l’entreprise un peu plus d’un an plus tard.
? Retrouvez notre précédent entretien avec Charles Guillemet réalisé l’année dernière
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Un nécessaire changement de paradigme
Comme évoqué précédemment, les cryptomonnaies sont souvent ramenées à leur dimension spéculative. De ce fait, les investisseurs peuvent ne pas se poser spontanément la question du « stockage » de leurs cryptos, permettant alors à des crises comme FTX de survenir.
Toutefois, comme le souligne Charles Guillemet, cette vision spéculative est surtout répandue dans les pays occidentaux :
« Il y a un véritable changement de paradigme à adopter. Dans les pays occidentaux, il y a parfois cette tendance à voir la crypto seulement comme un actif que l’on trade, comme on le ferait avec des actions. Mais pour moi ce n’est qu’un aspect minuscule de ce qu’est la crypto. »
Et pour cause, que ce soit en raison de l’inflation, de la guerre, des lacunes des systèmes bancaires locaux et parfois de la corruption, de nombreuses personnes ont un réel besoin de posséder pleinement leur argent. Selon Charles Guillemet, les habitants des pays soumis à ces problématiques ont ainsi mieux saisi les enjeux de l’autogarde :
« Quand tu te rends dans des régions comme l’Amérique du Sud ou le Nigéria notamment, les habitants comprennent beaucoup plus les avantages de la crypto. D’ailleurs, l’aspect spéculatif aura même tendance à les embêter et dans l’idéal, ils aimeraient même avoir une crypto la plus stable possible. Ils voient vraiment l’avantage de posséder son argent, sa valeur, ses NFT, etc. »
Notre invité insiste donc sur le fait que la véritable révolution se trouve dans la pleine possession de ses actifs :
« Pour moi c’est vraiment cet aspect-là qui est révolutionnaire dans les cryptos : le fait de ne pas avoir besoin de demander la permission à qui que ce soit pour posséder ou échanger de la valeur. C’est aussi pour cela que la décentralisation est très importante, car dans le cadre de blockchains où les nœuds de validation sont gérés par seulement quelques entités, la censurabilité est facilitée. »
? Formez-vous à l’écosystème des cryptomonnaies grâce à nos experts de Cryptoast Research
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunSécuriser sa seed phrase : une vraie responsabilité
Les bonnes questions à se poser
Si l’on regarde « sous le capot » des cryptomonnaies, les fonds présents sur une adresse publique ne peuvent être bougés que par la signature de la clé privée associée. Cette clé privée peut être simplifiée par 12 ou 24 mots appelés seed phrase, qui feront office de code secret permettant alors d’accéder à un portefeuille crypto.
Quiconque possède cette seed phrase, a accès aux cryptomonnaies qu’elle protège, et si elle est perdue, lesdites cryptomonnaies le sont aussi. Cela implique donc d’importantes responsabilités et nécessite de comprendre ces enjeux.
Selon toi, quelle est la meilleure manière de protéger sa seed phrase ?
« En fait il n’y a pas de réponse unique à cela, tout dépendra de l’usage. Il faut donc se poser des questions : “est-ce que je vais vouloir récupérer mon wallet en 3 minutes, où est-ce que je peux me permettre de le récupérer en 2 semaines ?”. Ou encore “est-ce que je veux être le seul à accéder à ma seed phrase ?” Tu peux aussi la séparer en deux morceaux, tu augmenteras la sécurité, mais également le risque si tu perds l’un des morceaux. Il y a aussi la question de l’héritage, ou typiquement le cas où si quelqu’un vient chez toi avec une arme, est-ce que tu veux te retrouver dans une situation où techniquement tu peux lui donner ta seed phrase ? »
Finalement, c’est à chacun de se poser toutes ces différentes questions et plus encore, selon ses propres besoins et problématiques. De plus, les cryptomonnaies pourront aussi être réparties sur différentes seed phrases, en fonction des montants et des cas d’usage. Une même seed phrase pourra aussi être stockée à plusieurs endroits pour prévenir le risque de pertes ou de destruction, comme en cas d’incendie par exemple, mais cela peut aussi augmenter le risque de vol.
Par ailleurs, sans nous donner plus de détails pour l’instant, Charles nous apprend que Ledger travaille actuellement sur un service avec un partenaire, permettant de récupérer sa seed phrase. Ni Legder ni ce partenaire n’auront accès à cette donnée stratégique, et cela devrait sortir dans les prochains mois.
Tel que ce service est fait, il devrait même permettre à l’utilisateur de ne pas nécessairement savoir qu’une seed phrase est composée de 24 mots.
Quelques pièges à éviter
À propos de la sécurisation de sa seed phrase, que penses-tu des gestionnaires de mots de passe comme Dashlane ou 1Password notamment ?
« Il y a un conseil très simple que je donne, c’est de ne jamais stocker sa seed phrase de manière numérique, cela est vraiment très important. Il y a des personnes qui pensent pouvoir s’en sortir de cette manière, mais lorsque l’on regarde du côté de notre service client, nous voyons régulièrement des histoires de personnes qui ont stocké leur seed phrase dans un gestionnaire de mot de passe et qui ont perdus des fonds. »
L’avertissement est donc on ne peut plus clair, et il ne se limite pas à ces gestionnaires de mots de passe. Cela peut aussi bien être un stockage dans des brouillons d’emails, ou des photos sur un téléphone.
À ce propos, Charles nous explique qu’il existe des applications demandant l’accès aux photos, comme nous pouvons le voir sur Android. Ces applications, en apparence anodines, peuvent comporter un morceau de code conçu pour aller chercher 24 mots sur une image présente dans le smartphone.
D’ailleurs, notre invité nous partage un article, démontrant l’importance des hardware wallets, face au hot wallets stockant les clés privées en local. Nous pouvons voir dans la vidéo ci-dessous qu’une simple application supposée donner le prix des cryptomonnaies peut comporter un virus, permettant de voler la seed phrase d’un portefeuille non sécurisé et de l’envoyer sur un serveur distant :
Ainsi, à travers ces exemples, Charles Guillemet insiste sur le fait que le problème réside dans le fait que cette seed phrase est stockée sur un ordinateur ou un téléphone et qu’à partir de là, un logiciel malveillant peut l’extraire.
? Pour aller plus loin — Découvrez comment configurer un hardware wallet Ledger Nano S Plus
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Les alternatives à la seed phrase
Qu’une clé privée soit dans sa forme alphanumérique native ou symbolisée par une seed phrase, sa sécurité demande des responsabilités pouvant rebuter des personnes moins à l’aise avec ces technologies.
Pour conclure cet échange, nous avons donc abordé deux potentielles alternatives à la seed phrase qui pourraient éliminer les frictions : la biométrie et l’abstraction de compte.
La biométrie : une fausse bonne idée ?
Concernant les solutions de biométrie, qui se baseraient par exemple sur l’iris d’un œil ou une empreinte digitale, Charles Guillemet est formel : de telles technologies ne doivent pas être la clé de voûte d’un portefeuille :
Est-ce que selon toi nous pouvons imaginer un futur où il n’y aurait plus de seed phrase, dans lequel celles-ci seraient par exemple remplacées par des solutions biométriques ?
« Je pense que la biométrie est une très mauvaise idée pour faire cela. En fait, il y a souvent une confusion et il faut voir la biométrie comme un identifiant plutôt qu’un mot de passe. Un mot de passe, tu as besoin de deux propriétés : que ce soit secret et que tu puisses le changer, et la biométrie, ce n’est ni l’un ni l’autre. Tes empreintes digitales par exemple ne sont pas secrètes, et tu ne peux pas les changer en cas de problème. Il ne faut pas que toute la sécurité repose là-dessus. »
L’abstraction de compte : des technologies en plein développement
Une autre innovation qui pourrait prendre de plus en plus d’ampleur dans les années à venir est le concept d’abstraction de compte. En résumé, cela doit permettre à des utilisateurs d’interagir avec les cryptomonnaies, sans nécessairement avoir à se soucier de la gestion des clés privées, comme l’introduit notamment le standard ERC-4337.
Comme l’explique Charles, l’idée sera d’utiliser la programmabilité des blockchains permettant de déployer des smart contracts. Ce sont ces smart contracts qui seront construits de façon à jouer le rôle de wallet, avec des règles prédéfinies comme les différentes autorisations pour dépenser les fonds présents dessus.
Que pense Ledger de l’abstraction de compte et mène-t-elle des travaux dans ce sens ?
« Chez Ledger, nous sommes très intéressés par l’abstraction de compte et nous avons une équipe entière dédiée à l’innovation qui se penche là-dessus. Avec cette technologie, tu peux mettre toutes les règles que tu veux sur le smart contract, par exemple “ne pas dépenser plus de 500 dollars par jour, pour déplacer les NFT il faut deux signatures, etc.”. Je pense vraiment que c’est le futur, mais le problème c’est les frais de gas, car tu fais appel à énormément de fonctions. Je pense donc que cela a peu de chance de se généraliser sur Ethereum, par contre sur les layers 2 il y a de vrais cas d’usages. »
Ainsi, notre invité nous informe que l’équipe innovation de Ledger travaille sur ces cas d’usages. L’idée est de développer un cadre autour des règles qu’il serait possible de déployer sur de tels smart contracts, afin que ceux-ci puissent être utilisés avec une sécurité optimale.
Néanmoins, tout cela est encore au stade de recherche, et Charles Guillemet explique qu’il y a encore des étapes à franchir avant que les layers 2 en question ne soient totalement prêts, et que ces technologies puissent se déployer à grande échelle.
Toutefois, il conviendra de rappeler que l’utilisation de smart contracts impliquera toujours le risque de bug ou de hack. Ainsi, lorsqu’il s’agit uniquement de stocker de la valeur avec le meilleur compromis simplicité/sécurité, une adresse classique sécurisée en bonne et due forme par un hardware wallet reste à ce jour la solution la plus pertinente.
? Limitez le risque de hack avec 7 bonnes pratiques à adopter
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.