Ce que signifie réellement un air gap
Un air gap, au sens strict, est une séparation physique complète entre un appareil et tout réseau, y compris le Wi-Fi, le Bluetooth, le réseau cellulaire et l'Ethernet filaire. Le terme vient de l'air littéral qui sépare un appareil de la connexion réseau la plus proche. Aucune donnée n'entre ni ne sort, sauf via des supports physiques délibérés et contrôlés, comme une clé USB ou un disque optique.
Pour la sauvegarde d'une phrase de récupération de portefeuille crypto, un air gap signifie que l'appareil utilisé pour chiffrer et stocker la sauvegarde n'a jamais touché internet et ne le fera jamais. C'est une posture de sécurité fondamentalement différente de celle qui consiste à désactiver le Wi-Fi pendant la saisie. Désactiver le Wi-Fi, c'est une déconnexion réseau. Un air gap est une décision architecturale permanente concernant un appareil dédié.
La raison pour laquelle cela importe spécifiquement pour les phrases de récupération est la nature des données. Vos 12 ou 24 mots BIP39 représentent un contrôle complet et irrévocable sur vos fonds. Tout logiciel sur une machine connectée (une extension de navigateur, un service de synchronisation en arrière-plan, un keylogger, un outil de capture d'écran automatique) a la capacité technique de capturer et d'exfiltrer ces données. Une machine air-gappée élimine toute la catégorie des menaces d'exfiltration à distance en supprimant complètement le vecteur de transmission.
Les menaces réelles contre lesquelles un air gap protège
Comprendre pourquoi un air gap est précieux nécessite de comprendre quelles attaques spécifiques il prévient. Le paysage des menaces pour l'exposition des phrases de récupération est dominé par quelques catégories d'attaques remarquablement courantes en pratique.
Les keyloggers figurent parmi les plus répandus. Les keyloggers matériels (petits dispositifs insérés entre un clavier et un ordinateur) comme les keyloggers logiciels installés par des malwares enregistrent chaque frappe effectuée sur une machine. Si vous tapez votre phrase de récupération dans n'importe quel champ sur un ordinateur infecté, le keylogger la capture en millisecondes et la met en file d'attente pour transmission dès que la machine se connecte à internet. Une machine qui ne se connecte jamais à internet peut avoir un keylogger installé, mais celui-ci ne pourra jamais transmettre ce qu'il capture.
Les outils de capture d'écran automatiques représentent un risque plus subtil. Plusieurs catégories de logiciels prennent des captures d'écran périodiques en arrière-plan : les logiciels de surveillance des employés, certaines applications de contrôle parental, certains services de sauvegarde cloud qui capturent l'état de l'écran, et diverses catégories de malwares. Une phrase de récupération affichée ou saisie à l'écran sur une machine connectée peut être capturée sans aucune action de l'utilisateur.
La synchronisation cloud est la menace la plus insidieuse car elle est intégrée aux systèmes d'exploitation modernes et se présente comme une fonctionnalité. Sous Windows, les fichiers enregistrés dans les dossiers Bureau ou Documents sont silencieusement synchronisés avec OneDrive sauf désactivation explicite. Sous macOS, iCloud Drive remplit la même fonction. Toute phrase de récupération enregistrée en tant que fichier texte à un emplacement par défaut sur une machine connectée est instantanément téléversée vers un serveur distant, où elle peut être accessible via des identifiants de compte ou lors d'une brèche chez le fournisseur cloud. De nombreux utilisateurs qui pensent avoir une sauvegarde locale uniquement n'en ont pas.
Créer une véritable sauvegarde air-gapped
Le processus commence avant toute implication d'une phrase de récupération. Procurez-vous un appareil dédié (il peut s'agir d'un ordinateur portable reconditionné peu coûteux ou d'un Raspberry Pi) et assurez-vous qu'il n'a jamais été connecté à aucun réseau. Si l'appareil était précédemment connecté au réseau, effectuez une installation propre du système d'exploitation à partir d'un support hors ligne et ne le connectez plus jamais à un réseau par la suite. Désactivez le Wi-Fi au niveau matériel si possible, car de nombreux ordinateurs portables disposent d'un interrupteur physique ou la carte peut être retirée. L'objectif est une machine sur laquelle une connexion réseau est architecturalement impossible, pas simplement désactivée dans le logiciel.
Une fois la machine hors ligne préparée, installez votre logiciel de chiffrement dessus à l'aide d'une clé USB chargée sur un ordinateur de confiance et propre, puis transférée. SeedCrypt est conçu pour fonctionner entièrement hors ligne (aucune vérification de licence, aucune télémétrie, aucun appel réseau d'aucune sorte), ce qui le rend approprié à cet usage. Transférez l'installateur via USB, installez-le sur la machine air-gappée, puis mettez cette clé USB de côté. Elle ne doit pas être réutilisée pour des transferts de données par la suite.
Avec la machine hors ligne en marche et SeedCrypt installé, vous pouvez maintenant chiffrer votre phrase de récupération avec la certitude qu'aucun vecteur d'exfiltration à distance n'existe. Saisissez la phrase de récupération, appliquez le chiffrement AES-256-GCM avec un mot de passe fort, et enregistrez le fichier de texte chiffré résultant. Le résultat chiffré est ce que vous allez transférer et stocker ; il est sûr de le copier largement, car sans le mot de passe de déchiffrement, il est computationnellement inutile.
Pour l'étape de transfert, utilisez une clé USB dédiée que vous désignez exclusivement à cet usage. Copiez le fichier de texte chiffré dessus. Cette clé USB contient maintenant votre sauvegarde chiffrée et peut être stockée en toute sécurité dans un emplacement physique : un coffre-fort ignifuge, un coffre bancaire, ou un emplacement secondaire de confiance. Comme le contenu est chiffré, la sécurité physique de la clé USB détermine la commodité d'accès, pas la sécurité de vos fonds. Plusieurs copies doivent être faites et distribuées dans des emplacements indépendants.
La clé USB de transfert occupe un rôle critique dans l'architecture air gap. Une fois qu'elle a transporté des données de la machine hors ligne vers son emplacement de stockage, elle ne doit pas être reconnectée à un ordinateur connecté à internet, sauf si vous effectuez une copie délibérée et vérifiée. Chaque fois qu'une clé USB franchit la frontière entre une machine en ligne et une machine hors ligne, elle est un vecteur potentiel de transmission de malware pour franchir l'air gap, une technique connue sous le nom de pont air gap par USB. Gardez la clé USB de transfert dédiée à son usage.
Les erreurs qui brisent l'air gap à votre insu
La manière la plus courante pour un air gap d'échouer est une clé USB utilisée à plusieurs fins. Une clé utilisée pour transférer des fichiers au travail, transporter des documents personnels, ou être branchée sur diverses machines à la maison n'est pas un support de transfert air gap dédié ; c'est un vecteur potentiel de malware. Stuxnet, l'attaque air gap la plus célèbre de l'histoire, s'est propagée exactement de cette façon, via des clés USB partagées entre des systèmes industriels isolés et des ordinateurs à usage général. La solution est simple : une clé USB dédiée, utilisée uniquement pour le transfert de la sauvegarde de la phrase de récupération, stockée avec la sauvegarde chiffrée elle-même.
Un autre échec silencieux de l'air gap est une machine hors ligne qui était précédemment en ligne et dont le système d'exploitation n'a jamais été réinstallé. Les logiciels déjà présents sur la machine, y compris tout malware arrivé avant l'isolation de la machine, persistent indéfiniment. Une machine air-gappée n'est fiable qu'à la mesure de son historique d'installation. S'il y a le moindre doute sur les logiciels présents sur la machine avant l'isolation, une installation propre du système d'exploitation est obligatoire avant qu'une phrase de récupération soit manipulée dessus.
La synchronisation cloud qui n'a pas été entièrement désactivée avant l'utilisation de la machine est un troisième mode d'échec courant. Sur une machine précédemment connectée, les services de synchronisation cloud peuvent avoir capturé des fichiers dans la brève fenêtre avant la désactivation du réseau. Désactiver un service de synchronisation après coup ne supprime pas ce qui a déjà été téléversé. Si votre phrase de récupération a été saisie ou enregistrée sur une machine avec une synchronisation cloud active, même pendant quelques secondes, elle doit être considérée comme potentiellement compromise et le portefeuille doit être migré vers une nouvelle phrase.
Enfin, prendre le fichier de sortie chiffré et l'ouvrir ou le copier immédiatement sur une machine connectée par commodité annule l'objectif. Le texte chiffré doit être transféré vers la clé USB de stockage dédiée et stocké physiquement. Si vous devez vérifier la sauvegarde, faites-le sur la machine air-gappée elle-même, où le déchiffrement se produit dans un environnement isolé sans chemin de transmission.
La relation entre air gaps et chiffrement
Un air gap et le chiffrement s'attaquent à des parties différentes du modèle de menace et fonctionnent mieux ensemble. Un air gap empêche l'exfiltration à distance pendant le processus de chiffrement et de création de la sauvegarde. Le chiffrement protège la sauvegarde après qu'elle quitte la machine air-gappée. Aucun des deux n'est suffisant seul.
Une machine parfaitement air-gappée avec une sauvegarde non chiffrée produit une clé USB qui, si elle est physiquement trouvée, donne à son découvreur un accès complet à vos fonds. L'air gap a protégé le processus de création mais laissé le résultat non protégé. Inversement, un chiffrement fort appliqué sur une machine connectée protège le fichier de sauvegarde mais n'empêche pas un keylogger de capturer la phrase de récupération avant qu'elle soit chiffrée. Les deux protections sont nécessaires, à la fois pour les phases de création et de stockage du cycle de vie de la sauvegarde.
Consultez notre guide sur sauvegarde papier vs sauvegarde chiffrée pour comprendre pourquoi le chiffrement est la bonne base quelle que soit votre approche de l'air gap, et notre guide complet de chiffrement pour les étapes exactes permettant d'appliquer le chiffrement AES-256-GCM à votre phrase de récupération sur une machine hors ligne.
SeedCrypt
Chiffrez vos phrases de récupération. Hors ligne. Pour toujours.
AES-256-GCM · PBKDF2-SHA512 · Sans cloud · Windows & Android
Obtenir SeedCrypt à partir de 29€Conclusion
Un véritable air gap pour la sauvegarde des phrases de récupération nécessite un appareil hors ligne dédié qui n'a jamais touché un réseau, un logiciel de chiffrement fonctionnant entièrement en local, une clé USB dédiée utilisée uniquement à cet effet, et un stockage physique dans un ou plusieurs emplacements sécurisés indépendants. La plupart des implémentations qui prétendent être air-gapped échouent sur au moins l'un de ces critères, généralement l'exigence de la clé USB dédiée ou l'historique d'installation de la machine hors ligne.
La norme de rigueur est claire dès lors que vous comprenez ce que chaque étape défend. Les keyloggers et les malwares de capture d'écran sont contrecarrés par la machine hors ligne. La synchronisation cloud est contrecarrée par le fait que la machine n'a jamais eu accès au réseau. Le vol physique de la clé USB est contrecarré par le chiffrement. Ensemble, ces mesures produisent une sauvegarde à la fois résiliente aux attaques à distance et sûre à stocker dans plusieurs emplacements sans augmenter le risque d'exposition.