Qu'est-ce qu'un portefeuille Air-Gapped et comment assure-t-il une sécurité maximale ?

Définition et concept de base

1. Un portefeuille à air isolé est une solution de stockage de crypto-monnaie qui fonctionne entièrement hors ligne, sans connexion physique ou sans fil à Internet ou à tout appareil en réseau.

2. Il stocke les clés privées dans un environnement isolé, empêchant les attaquants distants d'y accéder via du phishing, des logiciels malveillants ou des exploits réseau.

3. Les transactions sont initiées sur un appareil en ligne, puis transférées vers le portefeuille air-gappé via des supports amovibles tels que des clés USB ou des codes QR pour la signature.

4. Une fois signée, la transaction est renvoyée vers l'appareil en ligne pour être diffusée sur la blockchain, complétant ainsi le processus sans exposer les clés aux risques de connectivité.

5. Le terme « air-gapded » provient des pratiques de sécurité physique où les systèmes critiques sont littéralement séparés par l'air : pas de câbles, pas de Wi-Fi, pas de Bluetooth.

Variantes d'implémentation matérielle

1. Les portefeuilles matériels dédiés, comme certains modèles de Coldcard et BitBox02, prennent en charge un fonctionnement sans espace lorsqu'ils sont configurés sans connexions microSD ou USB lors de la génération et de la signature de clés.

2. Les appareils Raspberry Pi ou Odroid personnalisés exécutant Electrum ou Sparrow Wallet en mode sans tête peuvent servir de signataires isolés lorsqu'ils sont déconnectés après la configuration.

3. Les portefeuilles papier sont considérés comme « air-gaps » s’ils sont générés hors ligne et jamais importés dans un logiciel qui se connecte aux réseaux.

4. Certaines solutions basées sur un micrologiciel utilisent une architecture à double puce : une puce gère l'affichage et l'entrée tandis que l'autre gère les opérations cryptographiques — les deux restent déconnectées des interfaces externes.

5. Les configurations à air isolé s'appuient souvent sur des cartes microSD formatées exclusivement pour le transfert de données de transaction, avec une protection en écriture activée pour empêcher l'injection de logiciels malveillants lors de l'échange de fichiers.

Flux de travail de signature de transactions

1. Un utilisateur crée une transaction non signée sur un ordinateur connecté à l'aide d'un logiciel de portefeuille compatible avec les protocoles air-gaps.

2. La transaction non signée est exportée sous forme de fichier PSBT (Partially Signed Bitcoin Transaction) ou codée sous forme de code QR.

3. Ce PSBT est chargé sur l'appareil à air isolé via microSD ou numérisé visuellement à l'aide de son interface de caméra.

4. Le dispositif à air isolé vérifie les entrées, les sorties, les frais et les modifications d'adresses avant d'appliquer la signature numérique à l'aide de sa clé privée stockée.

5. Le PSBT signé est réexporté vers la machine en ligne via microSD ou numérisation de code QR, puis diffusé sur le réseau.

Capacités d’atténuation des menaces

1. Les attaques par exécution de code à distance ne peuvent pas atteindre les clés privées car aucune pile réseau entrante ou sortante n'est active sur l'appareil.

2. Les compromissions sur la chaîne d'approvisionnement sont réduits lorsque les utilisateurs créent leur propre environnement isolé à l'aide d'un micrologiciel open source et de binaires vérifiables.

3. Les mécanismes physiques de détection des altérations, tels que les joints époxy, les vis inviolables ou les capteurs de coupure de tension, ajoutent des niveaux de garantie contre tout accès non autorisé.

4. Les attaques par canal secondaire, telles que les fuites électromagnétiques ou l'analyse de puissance, nécessitent une proximité et un équipement spécialisé, ce qui les rend peu pratiques pour la plupart des acteurs malveillants ciblant des détenteurs individuels.

5. Les contrôles d'intégrité du micrologiciel au moment du démarrage garantissent que seul du code fiable et signé s'exécute sur l'appareil, bloquant ainsi les tentatives de persistance même après un accès physique.

Foire aux questions

Q : Les logiciels malveillants présents sur l'ordinateur en ligne peuvent-ils compromettre le portefeuille à air isolé ? Les logiciels malveillants ne peuvent pas extraire directement les clés privées, mais ils peuvent manipuler les détails de la transaction, tels que l'adresse de destination ou le montant des frais, avant d'exporter le PSBT. Les utilisateurs doivent vérifier tous les champs sur l'écran de l'appareil à air isolé avant de signer.

Q : La transmission du code QR est-elle sécurisée ? Oui, lorsqu'il est utilisé correctement. Les codes QR ne contiennent que les données de transaction non signées ou signées, jamais de clés privées brutes. Les caméras des appareils à air isolé ne stockent pas d’images ; ils décodent et suppriment les images immédiatement après le traitement.

Q : Que se passe-t-il si le dispositif à espace d'air tombe en panne ou est perdu ? La récupération dépend uniquement de la phrase de départ de sauvegarde, qui doit avoir été générée hors ligne et stockée en toute sécurité sur du métal ou du papier. Aucune sauvegarde cloud ou gestionnaire de mots de passe ne devrait jamais contenir ces informations.

Q : Les portefeuilles à espacement aérien prennent-ils en charge les configurations multi-signatures ? Oui. Les appareils à air isolé sont couramment utilisés comme signataires dans des configurations multisig 2 sur 3 ou 3 sur 5, dans lesquelles chaque participant conserve une capacité de signature hors ligne indépendante, augmentant ainsi la résilience contre les pannes ponctuelles.