Aller au contenu principal

Utiliser SafeSeed hors ligne : guide de sécurité air-gapped

La mesure de sécurité la plus forte que vous puissiez prendre lors de la génération de phrases mnémoniques et de clés privées est de le faire sur un ordinateur qui n’a jamais été connecté à internet et ne le sera jamais. C’est ce qu’on appelle une configuration « air-gapped » : il existe littéralement un vide entre votre matériel cryptographique sensible et tout réseau. Les outils SafeSeed sont conçus pour fonctionner entièrement hors ligne, et ce guide vous accompagne pour configurer et utiliser un environnement air-gapped.

Essayez maintenant

Tous les outils SafeSeed sur safeseed.app fonctionnent hors ligne. Téléchargez la page lorsque vous êtes en ligne, puis déconnectez-vous avant de générer des clés.

Pourquoi passer hors ligne ?

Lorsque vous générez une phrase mnémonique ou une clé privée sur un ordinateur connecté à internet, plusieurs vecteurs d’attaque existent même si l’outil lui-même est fiable :

Menaces sur les ordinateurs connectés

MenaceDescriptionProbabilité
Malware/KeyloggerLogiciel qui capture le contenu de l’écran, du presse-papiers ou les frappes clavierMoyenne
Extensions du navigateurExtensions malveillantes ou compromises qui lisent le contenu de la pageMoyenne
Détournement DNSRedirection vers une fausse version de l’outilFaible
Man-in-the-middleInterception et modification du contenu de la page en transitFaible (avec HTTPS)
Accès à distancePartage d’écran, bureau à distance ou logiciel RATFaible
Attaque de la chaîne d’approvisionnementCDN ou dépendance compromis servant du code malveillantTrès faible
Implant matérielDispositifs physiques qui interceptent les données avant qu’elles n’atteignent le réseauTrès faible

Un ordinateur air-gapped élimine toutes les menaces liées au réseau. Même si un malware existe sur la machine, il n’a aucun moyen d’exfiltrer les clés générées sans connexion réseau ou accès physique.

Le spectre de sécurité

Tout le monde n’a pas besoin du même niveau de sécurité. Voici un cadre pratique :

Niveau de sécuritéConfigurationAdapté pour
BasiqueOrdinateur standard, connecté à internetApprentissage, tests, montants très faibles
RenforcéOrdinateur standard, internet déconnecté avant générationAvoirs modérés (100 $ à 10 000 $)
ÉlevéOrdinateur dédié hors ligne, jamais connectéAvoirs significatifs (10 000 $+)
MaximumLive USB air-gapped, imprimante dédiée, sac FaradayAvoirs importants, usage institutionnel

Ce guide couvre les niveaux « Élevé » et « Maximum ».

Option 1 : Enregistrer la page web (le plus simple)

La manière la plus simple d’utiliser SafeSeed hors ligne est d’enregistrer la page web quand vous êtes connecté, puis de vous déconnecter et de l’utiliser.

Étapes

  1. Pendant que vous êtes en ligne, accédez à l’outil SafeSeed que vous voulez utiliser :

  2. Enregistrez la page complète :

    • Chrome/Edge : Ctrl+S (Windows/Linux) ou Cmd+S (Mac), sélectionnez « Webpage, Complete »
    • Firefox : Ctrl+S ou Cmd+S, sélectionnez « Web Page, complete »
    • Safari : Cmd+S, sélectionnez « Web Archive »

  3. Enregistrez sur une clé USB (pas sur votre disque dur, pour une sécurité maximale)

  4. Déconnectez-vous d’internet :

    • Désactivez le Wi-Fi (coupez l’interrupteur matériel si votre ordinateur portable en a un)
    • Débranchez les câbles Ethernet
    • Désactivez le Bluetooth
    • Activez le mode avion si disponible

  5. Ouvrez le fichier enregistré depuis la clé USB dans votre navigateur

  6. Vérifiez que cela fonctionne : générez une phrase mnémonique de test. Si l’outil fonctionne, vous êtes prêt.

  7. Générez votre vraie phrase mnémonique ou effectuez votre dérivation de clés

  8. Consignez le résultat sur papier ou métal

  9. Fermez le navigateur et effacez toutes les données du navigateur

  10. Pour une sécurité maximale, éteignez l’ordinateur et ne vous reconnectez pas à internet tant que vous n’avez pas effacé les données du navigateur et les fichiers temporaires

Limites de cette approche

  • Certaines pages enregistrées peuvent ne pas inclure toutes les dépendances JavaScript (rare avec SafeSeed, mais possible)
  • Le disque dur de votre ordinateur habituel peut mettre en cache la page enregistrée
  • Si votre ordinateur était déjà compromis avant la déconnexion, le malware peut stocker les clés générées et les exfiltrer lorsque vous vous reconnectez

Option 2 : Ordinateur dédié hors ligne (recommandé)

Pour des avoirs significatifs, utilisez un ordinateur dédié qui n’est jamais connecté à internet.

Ce dont vous avez besoin

  • Un ordinateur : peut être un ancien portable ou un appareil d’occasion peu coûteux. Il n’a pas besoin d’être puissant, la génération de clés demande peu de calcul.
  • Une clé USB : pour transférer les fichiers des outils SafeSeed vers l’ordinateur hors ligne.
  • Une imprimante (optionnel) : connectée en USB, non reliée au réseau. Pour créer des paper wallets.

Étapes de configuration

Étape 1 : Préparer l’ordinateur hors ligne

Si vous utilisez un ordinateur existant :

  1. Effectuez une installation propre du système d’exploitation (supprimez tout OS existant pouvant contenir un malware)
  2. Ne vous connectez pas à internet pendant ni après l’installation
  3. Si l’ordinateur possède une carte Wi-Fi, déconnectez-la physiquement (retirez le module Wi-Fi si possible, ou désactivez-le dans le BIOS)
  4. Désactivez le Bluetooth dans le BIOS

Si vous achetez un ordinateur neuf :

  1. Terminez la configuration initiale sans vous connecter à aucun réseau
  2. Ignorez toutes les invites « se connecter au Wi-Fi » pendant la configuration du système

Étape 2 : Transférer les fichiers SafeSeed

Sur votre ordinateur habituel (connecté à internet) :

  1. Accédez à chaque outil SafeSeed et enregistrez la page complète
  2. Copiez tous les fichiers enregistrés sur une clé USB
  3. Optionnel mais recommandé : calculez les sommes de contrôle SHA-256 des fichiers enregistrés

Sur l’ordinateur hors ligne :

  1. Insérez la clé USB
  2. Copiez les fichiers sur le disque dur local
  3. Optionnel : vérifiez les sommes de contrôle si vous avez un moyen de le faire
  4. Éjectez la clé USB

Étape 3 : Tester les outils

  1. Ouvrez chaque outil enregistré dans le navigateur de l’ordinateur hors ligne
  2. Générez une phrase mnémonique de test
  3. Dérivez des adresses de test
  4. Vérifiez que toutes les fonctionnalités fonctionnent comme prévu
  5. Supprimez les données de test (ce ne sont pas vos vraies clés)

Étape 4 : Générer vos vraies clés

  1. Ouvrez le générateur de phrase mnémonique
  2. Générez votre phrase mnémonique
  3. Consignez-la sur papier ou métal (voir Seed Phrase Generator Tutorial)
  4. Si nécessaire, ouvrez le générateur d’adresses et dérivez des adresses pour vérification ultérieure avec votre portefeuille
  5. Fermez le navigateur
  6. Éteignez l’ordinateur

Utilisation continue

  • Gardez cet ordinateur éteint et stocké en lieu sûr lorsqu’il n’est pas utilisé
  • Allumez-le uniquement lorsque vous devez générer ou dériver des clés
  • Ne le connectez jamais à un réseau, jamais
  • Mettez régulièrement à jour les fichiers des outils SafeSeed via USB depuis une source de confiance

Option 3 : Live USB / Tails (sécurité maximale)

Pour le plus haut niveau de sécurité, démarrez depuis un système d’exploitation live USB qui fonctionne entièrement en RAM et ne laisse aucune trace sur l’ordinateur hôte.

Utiliser Tails OS

Tails est une distribution Linux axée sur la confidentialité, conçue pour ne laisser aucune trace. Elle démarre depuis une clé USB, fonctionne entièrement en RAM et efface toute la mémoire à l’arrêt.

Configuration

  1. Sur votre ordinateur habituel, téléchargez Tails depuis tails.net et vérifiez la signature du téléchargement
  2. Flashez Tails sur une clé USB avec l’installeur officiel Tails ou Etcher
  3. Sur une seconde clé USB, enregistrez les fichiers des outils SafeSeed (comme décrit dans l’option 1)

Utiliser Tails pour la génération de clés

  1. Démarrez depuis la clé USB Tails :

    • Insérez la clé USB Tails puis redémarrez l’ordinateur
    • Accédez au menu de démarrage (généralement F12, F2 ou Del au démarrage)
    • Sélectionnez la clé USB
    • Sur l’écran d’accueil de Tails, ne configurez aucun paramètre réseau

  2. Désactivez tout réseau (Tails rend cela simple : ne vous connectez à aucun réseau)

  3. Insérez la seconde clé USB avec les fichiers des outils SafeSeed

  4. Ouvrez les outils SafeSeed dans Tor Browser (fourni avec Tails)

    • Malgré l’utilisation de Tor Browser, vous travaillerez entièrement hors ligne
    • Ouvrez les fichiers HTML enregistrés depuis la clé USB

  5. Générez votre phrase mnémonique et/ou dérivez des adresses

  6. Consignez les résultats sur support physique

  7. Éteignez Tails :

    • Retirez la clé USB
    • Tails efface automatiquement toute la RAM à l’arrêt
    • Aucune trace ne reste sur l’ordinateur hôte

Avantages de Tails

  • Fonctionne entièrement en RAM, aucune donnée écrite sur disque
  • Conçu pour ne laisser aucune trace forensique
  • Même si l’ordinateur hôte a un malware sur son disque dur, Tails démarre son propre système propre
  • Effacement automatique de la mémoire à l’arrêt
  • Open source et largement audité

Points à considérer

  • Tails demande une certaine aisance technique avec Linux
  • Tout le matériel n’est pas compatible (surtout les ordinateurs très récents)
  • Tor Browser dans Tails applique des paramètres de sécurité stricts qui ne devraient pas affecter les fichiers locaux, mais peuvent nécessiter un ajustement des préférences

Utiliser Ubuntu Live USB

Si Tails semble trop complexe, une clé USB Ubuntu live est une alternative plus simple :

  1. Téléchargez l’ISO Ubuntu Desktop depuis ubuntu.com
  2. Flashez-le sur une clé USB avec Etcher ou Rufus
  3. Démarrez depuis la clé USB et sélectionnez « Try Ubuntu » (n’installez pas)
  4. Ne configurez aucun réseau
  5. Ouvrez les fichiers des outils SafeSeed dans Firefox
  6. Générez les clés, consignez-les, puis éteignez

Ubuntu live n’a pas la fonctionnalité d’effacement mémoire de Tails, donc éteignez l’ordinateur et laissez-le éteint quelques minutes pour permettre à la RAM de se décharger naturellement (ou retirez puis réinsérez la batterie sur les portables qui le permettent).

Sécurité de l’imprimante pour un usage hors ligne

Si vous créez des paper wallets sur votre ordinateur air-gapped, l’imprimante fait partie du périmètre de sécurité.

Configuration d’imprimante recommandée

  • Utilisez uniquement une imprimante USB (pas de Wi-Fi, pas de Bluetooth, pas de capacité réseau)
  • Idéalement, utilisez une imprimante simple : imprimantes jet d’encre ou laser basiques sans fonctions intelligentes, connectivité cloud ou stockage interne
  • Évitez les imprimantes avec stockage persistant : certaines imprimantes modernes stockent les travaux d’impression en mémoire flash interne. Privilégiez celles qui traitent les travaux depuis la RAM uniquement.
  • Gardez l’imprimante dédiée : utilisez-la uniquement pour l’impression de matériel cryptographique, rien d’autre
  • Après impression : redémarrez l’imprimante (éteindre puis rallumer) pour effacer toute mémoire volatile

Options d’imprimantes petit budget

Pour une impression occasionnelle de paper wallets, une imprimante USB jet d’encre basique coûte 30 à 50 $ et n’a pas de stockage persistant. Évitez les imprimantes de fabricants qui imposent des comptes cloud (HP+, Epson EcoTank avec fonctions cloud, etc.).

Checklist de vérification

Avant de générer des clés destinées à un usage réel, vérifiez votre configuration air-gapped :

Isolation réseau

  • Le Wi-Fi est désactivé (niveau matériel, pas seulement logiciel)
  • Le câble Ethernet est physiquement débranché
  • Le Bluetooth est désactivé
  • Le mode avion est activé (si disponible)
  • Aucun modem cellulaire (retirez la carte SIM si applicable)
  • Vérification : ouvrez un navigateur et confirmez que vous ne pouvez atteindre aucun site web

Environnement

  • Aucune caméra de sécurité n’est pointée vers votre écran
  • Aucune autre personne ne peut voir votre écran
  • Aucun logiciel d’enregistrement ou de partage d’écran n’est en cours d’exécution
  • Aucun assistant vocal ni enceinte connectée dans la pièce (ils pourraient potentiellement vous entendre lire des mots à voix haute)
  • Les fenêtres sont couvertes si l’écran est visible depuis l’extérieur

Logiciel

  • Les extensions du navigateur sont désactivées (ou vous utilisez un profil navigateur neuf)
  • Aucune application inutile n’est en cours d’exécution
  • Le système d’exploitation est fraîchement installé ou est un environnement live USB
  • Les fichiers d’outils SafeSeed enregistrés s’ouvrent et fonctionnent correctement

Après génération des clés

  • La phrase mnémonique/clé privée est consignée sur support physique
  • Le support physique est immédiatement sécurisé (pas laissé à la vue)
  • L’onglet du navigateur est fermé
  • L’historique et le cache du navigateur sont effacés
  • L’ordinateur est éteint (ou la clé live USB retirée et l’ordinateur éteint)
  • Si vous utilisez Tails, l’effacement de la RAM est terminé
  • La clé USB avec les fichiers SafeSeed est stockée en lieu sûr (pas jetée à la poubelle où elle pourrait être récupérée)

Transférer les adresses (pas les clés) vers un appareil en ligne

Après avoir généré les clés hors ligne, vous devrez peut-être transférer les adresses publiques vers vos appareils connectés à internet (par exemple, pour configurer un portefeuille watch-only ou recevoir des fonds).

Méthodes sûres

  • Saisir l’adresse manuellement : regardez l’enregistrement physique et tapez l’adresse dans votre portefeuille en ligne ou un explorateur de blockchain. C’est la méthode la plus sûre.
  • Scan de QR code : si vous avez créé un paper wallet, scannez le QR code de l’adresse publique avec votre téléphone. Scannez uniquement le QR code de l’adresse PUBLIQUE, jamais celui de la clé privée.
  • Clé publique étendue via USB : si vous devez transférer un xpub/ypub/zpub pour un portefeuille watch-only, enregistrez-le sur une clé USB sur la machine air-gapped et transférez-le. La clé publique étendue ne peut pas être utilisée pour dépenser des fonds.

Méthodes à éviter

  • Ne transférez pas de clés privées ni de phrases mnémoniques via USB, réseau ou tout support numérique vers un appareil connecté à internet
  • Ne photographiez pas la phrase mnémonique avec un smartphone
  • Ne scannez pas le QR code de la clé privée avec un appareil connecté à internet
  • Ne saisissez pas la phrase mnémonique dans un appareil connecté à internet

Avancé : Vérifier le code source de SafeSeed

Pour les utilisateurs les plus exigeants en sécurité, vous pouvez vérifier le code source des outils SafeSeed avant de les utiliser hors ligne.

Étapes de vérification

  1. Téléchargez le code source depuis le dépôt public (pendant que vous êtes en ligne)
  2. Examinez le code JavaScript pour détecter tout appel réseau (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
  3. Vérifiez que la bibliothèque cryptographique est une implémentation connue et auditée (par ex. bitcoinjs-lib, ethers.js ou usage direct de l’API Web Crypto)
  4. Vérifiez l’exfiltration de données : recherchez tout code qui écrit dans localStorage, sessionStorage, document.cookie ou IndexedDB
  5. Exécutez le code localement après relecture, sans aucune modification

Ce qu’il faut rechercher

// Signaux d'alerte dans le code source :
fetch(...)            // Toute requête réseau
XMLHttpRequest        // Toute requête réseau
WebSocket             // Toute connexion persistante
navigator.sendBeacon  // Balise analytics/tracking
localStorage.setItem  // Stockage persistant
document.cookie       // Manipulation de cookies
new Image().src       // Exfiltration potentielle via pixel image

Les outils SafeSeed ne devraient contenir aucun de ces éléments dans les chemins de code de génération et de dérivation de clés.

Problèmes fréquemment rencontrés

Problème : la page enregistrée ne fonctionne pas hors ligne

Cause : la fonctionnalité « Enregistrer sous » du navigateur peut ne pas capturer tous les fichiers JavaScript ou scripts Web Worker.

Solution :

  • Essayez un autre navigateur pour l’enregistrement (Chrome fonctionne généralement mieux avec « Webpage, Complete »)
  • Utilisez une extension comme « SingleFile » qui enregistre toute la page dans un seul fichier HTML autonome
  • Utilisez wget --mirror --convert-links --page-requisites en ligne de commande pour capturer tous les assets

Problème : les QR codes ne se génèrent pas hors ligne

Cause : la bibliothèque de QR code peut ne pas avoir été incluse dans la page enregistrée.

Solution :

  • Assurez-vous d’avoir sélectionné « Webpage, Complete » (et non « Webpage, HTML only ») lors de l’enregistrement
  • En contournement, saisissez l’adresse/la clé manuellement au lieu de scanner les QR codes

Problème : la clé live USB ne démarre pas

Cause : Secure Boot, paramètres UEFI ou matériel incompatible.

Solution :

  • Désactivez Secure Boot dans le BIOS (généralement dans les paramètres Security)
  • Essayez les modes de démarrage UEFI et Legacy
  • Utilisez un autre port USB (les ports USB 2.0 sont plus compatibles que USB 3.0)
  • Essayez une autre marque de clé USB

Problème : l’imprimante ne fonctionne pas depuis le live USB

Cause : l’environnement live USB peut ne pas inclure les pilotes d’imprimante.

Solution :

  • La plupart des imprimantes USB basiques fonctionnent avec des pilotes génériques sous Linux
  • Si l’imprimante n’est pas reconnue, essayez un autre modèle d’imprimante (plus simple)
  • En alternative, notez les données à la main et créez les paper wallets sur l’ordinateur air-gapped dédié

FAQ

À quelle fréquence dois-je mettre à jour les fichiers SafeSeed sur ma machine air-gapped ?

Mettez à jour dès qu’une nouvelle version de SafeSeed corrige des bugs ou ajoute des fonctionnalités dont vous avez besoin. Comme l’outil est basé sur des standards (BIP-39, BIP-32, BIP-44), les fonctionnalités de base changent rarement. Transférez les fichiers mis à jour via une clé USB fraîchement formatée.

Puis-je utiliser un smartphone comme appareil air-gapped ?

Les smartphones ne sont pas idéaux pour la génération de clés air-gapped parce que : (1) ils ont plusieurs radios (cellulaire, Wi-Fi, Bluetooth, NFC) difficiles à désactiver totalement au niveau matériel, (2) ils ont de nombreux processus en arrière-plan qui peuvent stocker ou transmettre des données, (3) il est plus difficile de vérifier qu’ils sont propres. Si vous devez utiliser un téléphone, activez le mode avion, désactivez chaque radio individuellement et utilisez un appareil réinitialisé d’usine.

Est-il sûr d’utiliser une machine virtuelle au lieu d’un ordinateur dédié ?

Une machine virtuelle (VM) sur un hôte connecté à internet ne fournit pas un vrai air-gap. Le système d’exploitation hôte peut accéder à la mémoire de la VM, et si l’hôte est compromis, la VM n’apporte aucune protection. Les VM sont utiles pour l’isolation, mais pas comme substitut à un air-gap physique.

Que faire si j’ai besoin de vérifier un mot BIP-39 hors ligne ?

Si vous devez vérifier qu’un mot figure dans la liste BIP-39, vous pouvez enregistrer une copie de la liste à l’avance. La liste complète des 2 048 mots anglais BIP-39 est publiquement disponible. Enregistrez-la en fichier texte sur votre clé USB air-gapped avec les outils SafeSeed.

Comment détruire en toute sécurité un ordinateur air-gapped lorsque je n’en ai plus besoin ?

Si vous mettez hors service un ordinateur air-gapped dédié : (1) Effacez le disque dur avec un utilitaire d’effacement sécurisé (DBAN ou équivalent), (2) Retirez le disque dur et détruisez-le physiquement si la valeur des clés stockées le justifie, (3) L’ordinateur lui-même (sans le disque) peut être réutilisé ou recyclé en sécurité.

Un malware sur une clé USB peut-il compromettre mon ordinateur air-gapped ?

Théoriquement, oui. Les attaques via USB (comme BadUSB) existent, mais sont extrêmement rares en pratique et nécessitent des attaques ciblées sophistiquées. Pour réduire ce risque : (1) Utilisez une clé USB neuve, (2) Transférez uniquement des fichiers connus (HTML/JS SafeSeed enregistrés), (3) Formatez la clé USB avant le transfert, (4) Envisagez un bloqueur de données USB ou une carte SD protégée en écriture.

Est-il nécessaire d’utiliser Tails, ou un ordinateur hors ligne classique suffit-il ?

Un ordinateur hors ligne classique qui n’a jamais été connecté à internet suffit pour la plupart des utilisateurs. Tails apporte l’avantage d’un effacement automatique de la mémoire et d’une exécution entièrement en RAM, ce qui empêche toute trace de persister sur le matériel. Pour des cas d’usage institutionnels ou à forte valeur, Tails offre une amélioration mesurable de sécurité par rapport à un ordinateur hors ligne standard.

Qu’en est-il des émissions électromagnétiques (attaques TEMPEST) ?

Les attaques TEMPEST consistent à intercepter les signaux électromagnétiques émis par les ordinateurs pour reconstruire les données affichées. Ces attaques nécessitent un équipement spécialisé, une proximité physique et une expertise importante. Elles ne concernent que des menaces de niveau étatique. Pour la quasi-totalité des utilisateurs de cryptomonnaies, une protection TEMPEST n’est pas nécessaire. Si cela vous préoccupe, utilisez un sac ou une cage Faraday autour de votre configuration air-gapped.

Guides associés