fix
22 KiB
Nous rassemblons et discutons ici des meilleures recherches et données OpSec relatives à la DeFi, à la Blockchain et aux cryptos - toute contribution est bienvenue.
N'hésitez pas à soumettre une pull request, qu'il s'agisse de petites corrections, de traductions, de documents ou d'outils que vous aimeriez ajouter.
_________ __ ________ _________ .____ .__ __
\_ ___ \_______ ___.__._______/ |_ ____ \_____ \ ______ / _____/ ____ ____ | | |__| _______/ |_
/ \ \/\_ __ < | |\____ \ __\/ _ \ / | \\____ \\_____ \_/ __ \_/ ___\ | | | |/ ___/\ __\
\ \____| | \/\___ || |_> > | ( <_> ) / | \ |_> > \ ___/\ \___ | |___| |\___ \ | |
\______ /|__| / ____|| __/|__| \____/ \_______ / __/_______ /\___ >\___ > |_______ \__/____ > |__|
\/ \/ |__| \/|__| \/ \/ \/ \/ \/
Note : OpSec est un terme issu de l'armée, qui signifie sécurité opérationnelle. Il a été largement utilisé pour décrire les mesures de sécurité dans diverses activités sensibles, et plus récemment aussi dans la gestion des crypto-monnaies.
Guide d'auto-protection OpSec
| Notes de l'auteur (en anglais):
- Tout sur la sécurité des NFTs
- Scanners de données du navigateur
- Tous les outils de sécutité ETH existants
- Tous les bons TG de communautés de dev
- Ressources pour les attaques connues sur les utilisateurs et les smart-contracts
- Anti-sèche Solidity, liste des outils et références
- Toutes les attaques et vecteurs d'attaques sur les smart-contracts et les utilisateurs
- Liste et références de tous les outils d'analyse des transactions, de crypto-forensics et d'investigation possibles dans une seule note.
- Principes clés du stockage de crypto cold wallet, attaques, méthodes de défense et meilleures pratiques
Problème 1
Utilisez un fournisseur de messagerie sécurisé comme protonmail ou tutanota. Utilisez un VPN de confiance comme Mullvad ou ProtonVPN.
Problème 2
Utilisez des emails différents / des mots de passe forts différents. Stockez-les au même endroit. N'utilisez jamais de mots de passe répétitifs, en particulier pour les comptes contenant des informations personnelles identifiables et sensibles (par exemple Facebook, Gmail, AppleID, Twitter, banques/paiements, comptes crypto...). Utilisez des mots de passe générés de manière aléatoire et comportant plus de 20 caractères. Si vous constatez une activité suspecte au niveau des mots de passe ou un échec de connexion sur l'un de vos comptes, changez tous vos mots de passe, en commençant par les comptes sensibles et d'autorisation, tels que votre messagerie principale et vos comptes bancaires/crypto. Keepass ou BitWarden sont de bons gestionnaires de mots de passes.
Problème 3
Ne liez jamais vos numéros de téléphone aux plateformes crypto. Utilisez des e-sims multiples de confiance si vous devez lier un numéro. Pour verrouiller votre carte SIM, contactez votre opérateur de téléphonie mobile. Demandez-lui de ne JAMAIS modifier votre numéro de téléphone/SIM à moins que vous ne vous présentiez physiquement dans un magasin spécifique avec au moins deux pièces d'identité. Cela devrait empêcher les pirates d'appeler Orange, SFR ou Free, en se faisant passer pour vous, et de leur demander de transférer votre numéro de téléphone sur un nouveau téléphone.
Problème 4
Au lieu du système 2FA par SMS, utilisez Google Authenticator (iOS/Android) ou l'application Authy pour iOS ou Android. Google Authenticator est plus rapide et plus facile à configurer, mais Authy offre des options de récupération de compte plus robustes. N'oubliez pas que les codes générés par les applications 2FA sont spécifiques à chaque appareil. Votre compte n'est pas sauvegardé dans le nuage Google ou iCloud, donc si vous perdez votre téléphone, vous devrez passer un certain temps à prouver votre identité pour restaurer votre 2FA. La sécurité supplémentaire en vaut la peine !
Problème 5
Utilisez le stockage à froid, ET un porte-monnaie "chaud" séparé. Utilisez le multisig (gnosis-safe par exemple) ou au moins un porte-monnaie matériel. Ne stockez jamais votre seed phrase sous forme numérique. Les seed phrases sont destinées à être stockées sur la carte papier fournie avec les portefeuilles matériels ! Cela signifie qu'il ne faut jamais la taper, la stocker en ligne ou prendre une photo de la carte. Stockez votre clé sur un support physique.
Problème 6
Backupez vos clés hors ligne (sur du papier par exemple). Stockez-les dans un coffre-fort.
Problème 7
Ne faites jamais rien que vous ne comprenez pas. Vérifiez toujours quel token vous approuvez, quelle transaction vous signez, quels actifs vous envoyez, etc. - soyez extrêmement précis lorsque vous effectuez une opération financière. N'oubliez pas que l'un des vecteurs d'attaque possibles consiste à vous mettre dans une situation qui vous incitera à faire quelque chose de malicieux (connexion ou autre) en vous faisant croire que vous faites une autre chose normale. Vous pouvez installer un antivirus comme malwarebytes ou Comodo ou DrWeb, mais il ne vous sera d'aucune utilité si vous ne le comprenez pas. Maintenez à jour votre ensemble d'outils de défense de base.
Problème 8
Soyez prudent lorsque vous utilisez votre adresse postale personnelle réelle en ligne pour des livraisons. Les violations de données sont désormais quotidiennes, et nombre d'entre elles concernent les noms et adresses des clients. Votre adresse physique n'est pas aussi facilement modifiable qu'un numéro de téléphone ou une adresse électronique, alors faites particulièrement attention à l'endroit où vous l'utilisez sur Internet. Si vous commandez une pizza avec de la crypto-monnaie, demandez à ce qu'elle soit enlevée plutôt que livrée. Lorsque vous faites des achats en ligne, utilisez une adresse différente (et accessible au public) pour la livraison des colis. Vous pouvez par exemple utiliser votre lieu de travail ou des points-relais.
Problème 9
Rappelez-vous : vous pourriez être une cible. Nous sommes une cible naturelle pour toutes sortes d'attaques - des cybercriminels de base à l'espionnage concurrentiel (cela semble dramatique, mais c'est réel !). Cela dit, le secteur dans lequel vous évoluez n'a pas vraiment d'importance. Si vous possédez des informations sensibles ou exclusives (et, avouons-le, la plupart des personnes travaillant dans le domaine de la crypto en possèdent), vous pourriez très bien être une cible. C'est une bonne chose à garder à l'esprit.
Problème 10
Restez vigilant - Créez une culture du scepticisme dans votre entreprise dans laquelle les employés prennent l'habitude de vérifier à deux fois avant de cliquer sur un lien ou de répondre à une demande d'informations sensibles, et vous aurez une organisation beaucoup plus sûre dans l'ensemble.
Problème 11
L'OpSec intervient souvent dans des contextes publics. Par exemple, si des membres de votre équipe discutent de sujets liés au travail lors d'un déjeuner, d'une conférence ou autour d'une bière, il y a de fortes chances que quelqu'un puisse les entendre. Comme on dit, les murs ont des oreilles, alors assurez-vous de ne pas discuter d'informations sensibles concernant votre entreprise en public. De nombreux faux-pas OpSec peuvent être évités en étant plus conscient de votre environnement et du contexte dans lequel vous parlez : ce que vous dites, où vous êtes, à qui vous parlez et qui pourrait vous entendre. Il est bon de passer en revue les "interdits" propres à votre entreprise lors de l'intégration et de les rappeler périodiquement aux employés.
Problème 12
Identifiez vos données sensibles, notamment vos recherches sur les produits, la propriété intellectuelle, les états financiers, les informations sur les clients et les informations sur les employés. C'est sur ces données que vous devrez concentrer vos ressources pour les protéger.
Problème 13
Identifiez les menaces possibles. Pour chaque catégorie d'informations que vous jugez sensibles, vous devez identifier les types de menaces qui existent. Si vous devez vous méfier des tiers qui tentent de voler vos informations, vous devez également faire attention aux menaces internes, telles que les employés négligents et les travailleurs mécontants et revanchards.
Problème 14
Analysez les failles de sécurité et autres vulnérabilités. Évaluez vos mesures de protection actuelles et déterminez quelles sont, le cas échéant, les failles ou les faiblesses qui pourraient être exploitées pour accéder à vos données sensibles.
| Exemple : Utilisez AirGap, OpenSource Wallet, OpenSource Password storage, multi-sig, Selfhosted link system, lisez cette fiche, utilisez OpSec Services - (vous pouvez également utiliser tenderly.co alertes contrat/adresse + SMS). Pour les transactions, utilisez escrow et des services spéciaux comme safient.io, sarcophagus.io, safehaven.io.
N'oubliez jamais les méthodes de défense non triviales comme celles que j'ai partagées ici et ici.
Problème 15
Évaluez le niveau de risque associé à chaque vulnérabilité. Classez vos vulnérabilités en fonction de facteurs tels que la probabilité qu'une attaque se produise, l'étendue des dommages que vous subirez et la quantité de travail et de temps dont vous aurez besoin pour vous rétablir. Plus une attaque est probable et dommageable, plus vous devez donner la priorité à l'atténuation du risque associé.
Problème 16
Mettez en place des contre-mesures. La dernière étape de la sécurité opérationnelle consiste à créer et à mettre en œuvre un plan pour éliminer les menaces et atténuer les risques. Il peut s'agir de mettre à jour votre matériel, de créer de nouvelles politiques concernant les données sensibles ou de former les employés aux bonnes pratiques de sécurité et aux politiques de l'entreprise. Les contre-mesures doivent être directes et simples. Les employés doivent être en mesure de mettre en œuvre les mesures requises de leur part, avec ou sans formation supplémentaire.
Problème 17
Mettez en place un double-contrôle. Assurez-vous que les personnes qui travaillent sur votre réseau ne sont pas les mêmes que celles chargées de la sécurité.
Problème 18
Automatisez les tâches pour réduire le besoin d'intervention humaine. L'homme est le maillon faible des initiatives de sécurité opérationnelle de toute organisation car il fait des erreurs, néglige des détails, oublie des choses et contourne des processus.
Problème 19
La réponse aux incidents et la planification de la reprise après un sinistre sont toujours des éléments cruciaux d'une bonne posture de sécurité. Même lorsque les mesures de sécurité opérationnelles sont solides, vous devez disposer d'un plan pour identifier les risques, y répondre et atténuer les dommages potentiels.
Problème 20
La gestion des risques implique d'être capable d'identifier les menaces et les vulnérabilités avant qu'elles ne deviennent des problèmes. La sécurité opérationnelle oblige les responsables à se plonger dans leurs opérations et à déterminer où leurs informations peuvent être facilement violées. En examinant les opérations du point de vue d'un tiers malveillant, les responsables peuvent repérer des vulnérabilités qu'ils n'auraient pas remarquées autrement, afin de mettre en œuvre les contre-mesures appropriées pour protéger les données sensibles. Le plus important ici est de comprendre conventionnellement le processus d'attaque. Leur vecteur.
Prenons un exemple : un pirate vous a livré un RAT (cheval de Troie permettant un accès à distance) sur votre ordinateur et maintenant le pirate a deux possibilités. Si le hack est "fan", c'est-à-dire massif, alors le voleur volera vos cookies, et d'autres informations, de sorte que plus tard les données seront vendues sur le marché secondaire pour le traitement de ces logs. La sécurité opérationnelle classique mentionnée dans les paragraphes 1 à 10 devrait permettre d'y remédier.
La deuxième option est une attaque directe dans laquelle un pirate créera une page de phishing sur votre routeur, par laquelle vous entrerez votre mot de passe (DNS poisoning). Autrement dit, pour prévenir une attaque, l'idéal est de séparer les machines et les réseaux. Vous devez également vérifier les certificats.
Le hacker peut aussi faire une attaque sur le presse-papiers lorsque vous copiez l'adresse d'envoi et qu'elle se transformera en l'adresse du hacker. De plus, le début et la fin coïncideront avec l'adresse d'origine, ce qui constituera un mélange de vecteurs d'attaque - vecteur d'ingénierie sociale, phishing et malware classique.
Problème 21
Votre niveau d'opsec dépend généralement de votre modèle de menace et de l'adversaire auquel vous vous confrontez. Il est donc difficile de définir la qualité de votre sécurité opérationnelle. Mais je dirais que ça a l'air plutôt bon. Je vous recommande de regarder :
Problème 22
Si vous utilisez un smartphone, soyez extrêmement vigilant.
Problème 23
N'interagissez qu'avec les protocoles DeFi en lesquels vous avez confiance - Prenez le temps de lire les concepts que nous avons déjà abordés, tels que le staking, le yield farming, le NFT farming, et recherchez tous les autres nouveaux termes que vous pourriez rencontrer avant de déposer des crypto-monnaies dans une DApp qui propose l'une de ces stratégies d'investissement.
Table des matières
Soutenir le projet:
Le soutien est très important pour moi, avec cela je peux passer moins de temps au travail et faire ce que j'aime - éduquer les utilisateurs de DeFi & Crypto :sparkling_heart :
Si vous voulez soutenir mon travail, vous pouvez m'envoyer un don à l'adresse :