Comment utiliser un portefeuille cérébral ? (Sécurité basée sur la mémoire)

Comprendre les mécanismes du portefeuille cérébral

1. Un portefeuille cérébral repose entièrement sur la mémoire humaine pour générer et stocker des clés cryptographiques sans appareils ni fichiers externes.

2. Le processus commence par une phrase secrète, généralement une séquence de mots, de chiffres ou de symboles mémorisés par l'utilisateur.

3. Cette phrase secrète subit un hachage déterministe, souvent en utilisant SHA-256 ou RIPEMD-160, pour produire une clé privée de 256 bits.

4. À partir de cette clé privée, la multiplication par courbe elliptique dérive la clé publique correspondante et finalement l'adresse Bitcoin.

5. Aucune empreinte numérique ne subsiste si la phrase secrète n’est jamais saisie dans un système connecté, ce qui la rend théoriquement isolée.

Risques associés aux secrets mémorisés par l'homme

1. Les phrases secrètes faibles peuvent être facilement déchiffrées à l'aide d'attaques par dictionnaire et de tables arc-en-ciel.

2. Les limitations cognitives limitent l'entropie : la plupart des utilisateurs choisissent des phrases de moins de 60 bits de véritable caractère aléatoire, bien en dessous du minimum de 128 bits recommandé pour la sécurité cryptographique.

3. Taper la phrase sur n'importe quel appareil connecté à Internet l'expose aux enregistreurs de frappe, aux grattoirs du presse-papiers ou aux fuites de remplissage automatique du navigateur.

4. La dégradation de la mémoire augmente le risque de défaillance au fil du temps ; se souvenir d'un seul caractère invalide l'ensemble du portefeuille.

5. Il n’existe pas de voie de récupération : la perte de rappel signifie la perte permanente de l’accès à tous les fonds associés.

Incidents historiques impliquant des portefeuilles cérébraux

1. En 2013, les chercheurs ont identifié plus de 1 000 adresses de portefeuilles cérébraux contenant des BTC détenant encore des soldes, dont beaucoup étaient générées à partir d'expressions courantes telles que « mot de passe » ou « letmein ».

2. Une étude de 2014 a révélé plus de 270 000 Bitcoin adresses dérivées de phrases secrètes à faible entropie, dont plus de 10 % montrent une activité de transaction confirmée.

3. En 2019, un attaquant a vidé 127 portefeuilles en une seule semaine en forçant brutalement des modèles mnémoniques prévisibles utilisés dans les forums et les didacticiels.

4. Les sociétés d'analyse de la blockchain ont documenté la réutilisation répétée de phrases secrètes identiques sur plusieurs portefeuilles, permettant ainsi des compromissions massives.

5. Plusieurs messages de forum très médiatisés de 2011 à 2015 faisaient la promotion de générateurs de portefeuilles cérébraux spécifiques qui se sont révélés plus tard vulnérables aux attaques de précalcul hors ligne.

Mise en œuvre technique sans exposition numérique

1. La génération Air Gap nécessite un calcul manuel ou l'utilisation d'outils open source hors ligne comme BitAddress.org dans des environnements entièrement déconnectés.

2. Les utilisateurs doivent vérifier les sommes de contrôle et confirmer que les résultats déterministes correspondent aux attentes avant d'engager des fonds.

3. Tout écart dans les majuscules, l'espacement ou la ponctuation modifie de manière irréversible la clé privée résultante.

4. La représentation du code QR de l'adresse publique peut être imprimée et stockée physiquement, mais l'exposition de la clé privée doit rester strictement mentale.

5. Des tests avec des quantités négligeables sur testnet sont essentiels avant le déploiement du réseau principal pour valider l'exactitude de la mémorisation.

Foire aux questions

Q : Puis-je utiliser des émojis ou des caractères non-ASCII dans la phrase secrète de mon brain wallet ? Oui, mais la plupart des implémentations existantes ne prennent en charge que les entrées codées en UTF-8. Un codage incohérent entre les plates-formes peut produire des clés différentes. À éviter sauf vérification dans tous les environnements prévus.

Q : L'ajout de chiffres ou de symboles améliore-t-il considérablement la sécurité ? Seulement s’ils augmentent l’imprévisibilité. Les substitutions courantes comme « 3 » pour « E » ajoutent une entropie négligeable. Le véritable hasard compte plus que la seule complexité.

Q : Les portefeuilles cérébraux sont-ils compatibles avec les portefeuilles matériels ? Non. Les portefeuilles matériels nécessitent l’importation physique de clés ou de phrases de départ via des canaux sécurisés. Les phrases secrètes du portefeuille Brain ne peuvent pas être injectées sans les exposer à des risques au niveau du micrologiciel.

Q : Puis-je dériver plusieurs adresses à partir d’une seule phrase secrète de brain wallet ? Les implémentations standard produisent une seule paire de clés. La dérivation déterministe hiérarchique (HD) nécessite une entropie supplémentaire non présente dans les schémas de base du portefeuille cérébral.