Chargement des prix…

Ce qu'un tracker de portefeuille crypto fait vraiment de vos données

L'accès en lecture seule n'est pas sans risque. Voici exactement ce que les trackers de portefeuille voient, ce qu'ils stockent et où les flux de données ont déjà fui.

Ce qu'un tracker de portefeuille crypto fait vraiment de vos données

Ce que promet un tracker de portefeuille face à ce qu'il fait réellement

Chaque tracker de portefeuille crypto grand public, de Zerion et CoinStats à Delta, Blockfolio, en passant par l'onglet portefeuille intégré d'échanges comme Coinbase ou Binance, vend la même idée : connectez vos actifs, obtenez une vue claire de votre patrimoine net à travers vos wallets, vos plateformes et vos blockchains.

Le discours marketing est presque toujours identique. « Accès en lecture seule. » « Vos fonds restent dans votre wallet. » « Sécurité de niveau bancaire. » « Nous ne touchons jamais à vos clés privées. » Pour un débutant qui compare cinq applications, ce discours est rassurant et largement similaire, et c'est précisément pour cela qu'il mérite d'être décortiqué.

L'expression « lecture seule » a en crypto une signification technique précise : les identifiants que vous confiez ne peuvent pas, à eux seuls, signer une transaction qui déplacerait vos fonds. Une « view key » de wallet ou une « watch-only address » ne peut pas envoyer d'ETH. Une clé API en lecture seule de CEX, restreinte sans la permission « trade », ne peut pas passer d'ordre sur Binance. Au sens strict, le marketing dit vrai.

Ce que le marketing n'explique presque jamais, c'est l'autre moitié. Lecture seule concerne la signature, pas la visibilité. Le même identifiant qui ne peut pas déplacer vos cryptos peut tout de même lire absolument tout à leur sujet : chaque adresse dans votre wallet, chaque solde de token, chaque transaction historique, chaque contrepartie avec qui vous avez transigé, et dans le cas d'un CEX, chaque trade, dépôt et retrait que vous avez jamais effectués sur ce compte.

Quelles données quittent réellement votre appareil

Pour afficher un portefeuille, un tracker doit recevoir un ensemble précis de données de votre part. La liste exacte varie selon l'application, mais les catégories restent stables dans toute la catégorie.

Depuis une connexion à un wallet en auto-garde (WalletConnect, mode « read-only » de MetaMask, ou import manuel d'adresse) : l'adresse publique ou la xPub/clé publique étendue de chaque wallet que vous connectez, ce qui expose l'arborescence complète des adresses dérivées, utilisées ou non, ainsi que l'historique complet des transactions on-chain associées à ces adresses, plus les soldes de tokens et les avoirs NFT au moment de chaque synchronisation. Une xPub constitue en particulier une fenêtre permanente sur chaque adresse passée et future de ce wallet : une fois qu'elle a quitté votre appareil, vous ne pouvez pas facilement la retirer.

Depuis une clé API d'échange centralisé : la clé elle-même, ainsi que les permissions que vous avez accordées, généralement « lecture » des soldes du compte, « lecture » de l'historique de trading, et parfois « lecture » des adresses de dépôt. Si vous avez coché par mégarde la case « activer le trading » ou « activer les retraits » lors de la génération de la clé, le tracker peut aussi passer des ordres ou initier des retraits en votre nom. La plupart des trackers grand public vous conseillent de laisser les permissions de trading et de retrait désactivées, mais la case à cocher se trouve côté échange et de nombreux utilisateurs cliquent sans réfléchir.

Depuis la couche appareil et réseau, quel que soit le type de connexion : votre adresse IP, qui révèle une géolocalisation approximative et votre FAI, votre chaîne user agent et l'empreinte de votre appareil, votre adresse e-mail (vous devez créer un compte), et votre token de notifications push si vous activez les alertes. Si l'application utilise des outils d'analyse tiers, tout ce qui précède est aussi envoyé à ces prestataires.

Quasiment aucune de ces données n'est stockée uniquement sur votre téléphone. Le travail même du tracker consiste à les agréger sur un serveur afin de vous afficher un tableau de bord, de synchroniser entre vos appareils et (dans de nombreux cas) d'alimenter les rapports fiscaux, les alertes et les flux de prix. L'agrégation sur un serveur, c'est le produit. C'est aussi là que se loge le risque pour la vie privée.

Pourquoi "lecture seule" n'est pas synonyme de "privé"

Sur une blockchain publique comme Ethereum ou Bitcoin, chaque adresse de portefeuille est déjà publique. Toute personne qui connaît votre adresse peut consulter vos soldes et votre historique sur un explorateur de blocs. Donc, au sens strict, un outil de suivi ne fait que consulter des données publiques en votre nom.

Mais il y a un écart considérable entre "je peux coller une seule adresse dans Etherscan" et "une entreprise unique détient une base de données consultable reliant mon e-mail, mon IP, mon appareil, et chaque adresse que j'ai jamais utilisée". Cette agrégation est l'événement pertinent en matière de confidentialité, et c'est ce que les serveurs de l'outil de suivi détiennent réellement.

Trois éléments transforment cette agrégation, de légèrement gênante à véritablement risquée :

1. Le regroupement d'adresses vous désanonymise. Une fois qu'un outil de suivi possède plusieurs de vos adresses, lui (ainsi que tout attaquant qui vole sa base de données) peut les regrouper comme appartenant à la même personne. Recoupez ce groupe avec des noms ENS publics, des doxxings sur Twitter, des fuites KYC d'exchanges, ou des adresses de don que vous avez partagées publiquement, et le groupe se retrouve soudain rattaché à un nom.

2. Les données sont une cible. Une base de données qui relie un e-mail à une valeur nette multi-chaînes, un historique de trades, et des comptes sur des exchanges est exactement le type de dataset que recherchent les groupes organisés de phishing, les "wrench attackers" physiques, et les voleurs d'identité. C'est aussi le type de dataset que les autorités fiscales, les adversaires lors de litiges, et les ex-conjoints dans des procédures de divorce peuvent obtenir par subpoena.

3. Les violations de données ne sont pas hypothétiques. La catégorie a déjà été touchée, à plusieurs reprises, et les cas cités ci-dessous ne relèvent pas de la légende urbaine.

Des violations réelles et des incidents évités de justesse que le marketing ne mentionnera pas

Le pattern compte plus que n'importe quel incident isolé. Les outils de suivi de portefeuille se situent au carrefour de trois éléments que les attaquants convoitent : une liste d'utilisateurs crypto, la preuve de la quantité de crypto qu'ils détiennent, et des identifiants ou API qui peuvent parfois atteindre directement ces fonds.

CoinStats, juin 2024. Des attaquants ont compromis les systèmes internes de CoinStats et utilisé la fonctionnalité de notifications push de la plateforme elle-même pour envoyer des liens de phishing vers 1 590 portefeuilles d'utilisateurs. Les faux messages étaient personnalisés à l'aide des données que l'application possédait déjà sur ces utilisateurs, ce qui les rendait particulièrement convaincants. CoinStats a divulgué l'incident, fermé certaines parties du produit, et averti les utilisateurs affectés de traiter toute demande de signature reçue pendant la fenêtre comme malveillante.

Zerion, décembre 2022. Un attaquant a brièvement obtenu l'accès au point d'accès API en lecture seule de Zerion et l'a utilisé pour vider les portefeuilles d'utilisateurs qui avaient été trompés en signant des transactions malveillantes ailleurs. L'infrastructure en lecture seule de Zerion elle-même n'a pas été utilisée pour déplacer des fonds, mais l'incident a mis en lumière comment un outil de suivi compromis peut servir de rampe de lancement pour des attaques supplémentaires contre sa base d'utilisateurs.

Blockfolio (désormais l'app FTX), octobre 2020. Le système de notifications push "Signal" de Blockfolio a été détourné et utilisé pour envoyer du spam, y compris du contenu pornographique, à environ la moitié de la base d'utilisateurs de l'application. Aucun fonds n'a été perdu, mais la violation a exposé à quel point la sécurité opérationnelle était faible dans une entreprise qui venait d'être acquise.

Du SaaS tiers dans la chaîne d'approvisionnement. Plusieurs outils de suivi et exchanges ont vu leurs données utilisateur exposées, non pas via leur propre code, mais via un fournisseur tiers avec lequel ils les partageaient, notamment des outils d'analytique, des plateformes de support client, et des fournisseurs de services e-mail. C'est la même catégorie de violation qui a frappé des entreprises comme Twilio et Mailchimp, et les utilisateurs crypto y sont surreprésentés dans ces datasets en raison de l'utilisation généralisée dans l'industrie d'outils KYC et d'onboarding favorables aux cryptos.

Le point commun : dans chaque cas, l'attaquant n'a pas eu besoin de "pirater une blockchain". Il a piraté une entreprise qui avait déjà agrégé les données pour lui.

La fonction d'export fiscal comme pot de miel pour les données

La plupart des débutants adoptent un outil de suivi de portefeuille pour une raison avant tout : la saison des impôts. L'IRS américain traite les cryptos comme des biens, de nombreuses autres juridictions ont des règles similaires, et la seule façon réaliste de produire une déclaration sur des centaines ou des milliers de transactions est d'exporter un CSV ou un PDF bien rangé depuis un outil qui a déjà effectué le calcul de la base de coût.

Les exports fiscaux sont pratiques, et ils sont aussi la fonctionnalité la plus sensible de l'application. Pour les générer, l'outil de suivi doit conserver, en un seul endroit, l'historique complet de vos transactions sur plusieurs années, à travers toutes les plateformes, chaque transfert portefeuille à portefeuille, chaque gain réalisé, l'historique complet de vos passerelles fiat, et (si l'export inclut le mode "complet") parfois vos adresses de dépôt et de retrait. C'est une image plus complète de votre vie financière que ce que la plupart des banques détiennent sur vous dans un seul fichier.

Deux risques pratiques en découlent :

Durée de conservation. Les archives fiscales doivent être conservées pendant environ sept ans dans de nombreuses juridictions. Si votre outil de suivi les conserve également pendant sept ans, ces données restent dans sa base de données pendant toute cette période, y compris en cas de violation future, de changement de direction, ou d'acquisition. Certains outils suppriment explicitement les données fiscales à la clôture du compte ; d'autres les conservent pendant la période légalement requise. La politique de conservation est généralement enfouie dans la politique de confidentialité.

Fichiers d'export en transit. Le CSV que vous téléchargez sur votre ordinateur portable est une surface d'attaque ; ce même CSV qui traîne dans votre boîte e-mail en pièce jointe en est une autre. Si vous le stockez également dans un cloud synchronisé (iCloud, Google Drive, Dropbox) et que ce compte est compromis, l'export fiscal devient une feuille de route de vos avoirs en crypto, accessible à quiconque a volé vos identifiants cloud.

Pour être honnête : les fonctionnalités fiscales sont utiles, et elles concentrent précisément les données qu'un attaquant, un avocat en contentieux, ou un acteur étatique hostile souhaite trouver.

Les alternatives respectueuses de la confidentialité (et leurs compromis)

Vous n'avez pas à choisir entre "tout donner à un outil de suivi" et "ne rien suivre". Il existe une voie intermédiaire, mais elle vous coûte en praticité.

Outils de suivi en local uniquement. Des outils comme Rotki, le mode bureau de Koinly, ou une instance auto-hébergée d'un outil open-source conservent vos données sur votre machine. Rotki en particulier est construit autour du principe que vos adresses, clés API, et historique de transactions ne quittent jamais votre appareil, sauf si vous choisissez explicitement de les synchroniser. Le compromis, c'est l'absence de tableau de bord multi-appareils, pas de synchronisation avec une app mobile, et vous êtes responsable de vos propres sauvegardes.

Lecture seule, sans clés API, liste d'adresses manuelle. Vous pouvez coller une liste d'adresses dans le mode "watch-only" d'un outil de suivi sans jamais accorder de clé API. Vous envoyez toujours les adresses au serveur de l'outil, qui connaît toujours votre IP et votre e-mail, mais vous éliminez le risque qu'une clé API soit détournée ou dispose des mauvais scopes. C'est le palier "utilisez ceci si vous voulez une agrégation" dans l'arbre de décision.

Explorateur de blocs + tableur. Pour les utilisateurs disposant d'un petit nombre de portefeuilles et d'exchanges, un explorateur de blocs comme Etherscan combiné à des exports CSV manuels depuis chaque exchange suffit pour reconstituer un portefeuille. C'est fastidieux et cela ne gère pas bien les positions DeFi, mais les données ne reposent jamais dans une base de données tierce.

Identités multiples. Certains utilisateurs soucieux de leur confidentialité répartissent délibérément leurs avoirs entre plusieurs portefeuilles et comptes de suivi, afin qu'aucun compromis unique ne révèle l'ensemble. C'est de la sécurité opérationnelle, pas de la paranoïa : cela fonctionne de la même manière que la répartition d'investissements entre plusieurs maisons de courtage dans la finance traditionnelle.

Portefeuille matériel + vue portefeuille native. Des portefeuilles comme Ledger Live et Trezor Suite intègrent une vue portefeuille qui communique directement avec des nœuds plutôt qu'avec un agrégateur centralisé. Vous divulguez toujours vos adresses aux nœuds que vous interrogez, ce qui est un point à considérer, mais aucune entreprise unique ne finit par détenir l'ensemble.

Comment choisir : un arbre de décision

Si vous voulez la réponse la plus simple : la plupart des débutants peuvent se contenter d'un suiveur grand public, à condition de bien comprendre ce que vous échangez contre cette commodité. Le compromis porte sur les données, et la question est de savoir si vous le faites en toute connaissance de cause.

Si vous voulez une règle empirique plus précise :

Utilisez un suiveur grand public (Zerion, CoinStats, Delta, etc.) si vous souhaitez un tableau de bord clair, vous acceptez que vos adresses et votre historique de transactions soient stockés sur un serveur tiers, vous générez des clés API de CEX avec uniquement le droit de « lecture » et vous les restreignez par IP côté plateforme, vous désactivez toutes les permissions facultatives lors de la configuration, et vous utilisez une adresse e-mail dédiée ainsi qu'un mot de passe unique et robuste et l'authentification à deux facteurs. Examinez l'historique des incidents du suiveur avant de vous inscrire.

Utilisez un suiveur local (Rotki, auto-hébergé, ou tableur) si vos avoirs sont suffisamment importants pour qu'un ciblage individuel soit une menace réaliste, vous déclarez vos impôts dans une juridiction exigeant un historique pluriannuel, vous n'avez pas besoin d'une synchronisation entre appareils, et vous êtes prêt à gérer vos propres sauvegardes. Prévoyez d'y consacrer un week-end pour la mise en place.

Utilisez le mode liste d'adresses en lecture seule de n'importe quel suiveur si vous souhaitez agréger votre portefeuille sans fournir de clés API, vous acceptez d'actualiser manuellement les soldes, et vous comprenez que le suiveur connaît tout de même votre liste d'adresses, votre e-mail et votre adresse IP. C'est l'option « centralisée » la plus sûre pour la plupart des utilisateurs.

Ne pas utiliser de suiveur du tout si votre activité crypto est réellement limitée, vous ne détenez des actifs que sur une ou deux plateformes, et vous n'avez pas besoin de calculs de prix de revient. La vue portefeuille intégrée à l'application de la plateforme, combinée à un export annuel pour les impôts, suffit.

Dans tous les cas, les habitudes opérationnelles comptent davantage que le choix de l'application : révoquez les clés API de CEX lorsque vous cessez de les utiliser, ne réutilisez pas la même clé API d'un service à l'autre, ne stockez pas les exports fiscaux dans des dossiers synchronisés dans le cloud sans chiffrement, et partez du principe que toute adresse que vous avez un jour collée dans un suiveur finira, tôt ou tard, par figurer dans une fuite de données.

Comment suivre l'actualité des outils crypto de manière intelligente

Les suiveurs de portefeuille changent de propriétaires, sont rachetés, subissent des failles de sécurité et étendent discrètement leur collecte de données. Cette catégorie est aussi à l'origine de la plupart des escroqueries de type « application crypto », car un faux suiveur est un vecteur d'hameçonnage plus crédible qu'une fausse plateforme d'échange. Suivre manuellement l'actualité de ces outils revient à passer au crible des dizaines de mises à jour produit à faible signal pour trouver la poignée de divulgations d'incidents et de changements de politique qui affectent réellement vos données. Zippfeed met en avant les titres liés aux outils crypto avec une notation de sentiment, afin que vous puissiez voir immédiatement si une histoire concernant un suiveur que vous utilisez est perçue par le marché comme bullish, neutre ou bearish, ainsi qu'une note d'importance, pour distinguer une simple mise à jour d'application d'une véritable divulgation de sécurité avant qu'elle n'arrive dans votre boîte de réception.

Questions fréquemment posées

Un tracker de portefeuille crypto est-il sûr à utiliser ?
L'accès en lecture seule signifie que le tracker ne peut pas déplacer vos fonds, ce qui est réellement plus sûr que de confier une clé API capable de retirer des actifs, mais cela ne rend pas l'application fiable en tant que gardien de données. Vos adresses, soldes, historique complet de trades, e-mail et IP sont tout de même stockés sur les serveurs du tracker, et plusieurs trackers majeurs ont subi des brèches qui ont exposé ces informations. Considérez ce choix d'abord comme une décision de confidentialité des données, et ensuite comme une décision de commodité d'utilisation.
Comment fonctionne réellement l'accès en lecture seule à un portefeuille ?
En mode auto-dépositaire, l'application reçoit soit une xPub, soit une clé publique étendue, ce qui lui permet de dériver chaque adresse passée et future de votre portefeuille et de récupérer leur historique on-chain, soit elle utilise WalletConnect pour interroger les soldes sans jamais toucher à votre clé privée. Dans les deux cas, elle peut voir tout ce qui est publiquement visible on-chain concernant votre portefeuille, ce qui est déjà beaucoup, mais elle ne peut pas signer de transactions à votre place. La garantie « lecture seule » porte sur la signature, pas sur la visibilité.
Devrais-je connecter la clé API de ma plateforme à un tracker de portefeuille ?
Vous pouvez le faire, et la plupart des utilisateurs le font par commodité, mais uniquement si vous générez la clé avec un périmètre de lecture seule, si vous désactivez les autorisations de trading et de retrait côté plateforme, si vous restreignez la clé par IP aux IP publiées du tracker lorsque c'est possible, et si vous tournez ou révoquez la clé dès que vous arrêtez d'utiliser le service. Une clé en lecture seule qui fuite expose quand même tout votre historique de trades, vos soldes et vos adresses de dépôt ; une clé dotée des droits de trading ou de retrait qui fuite peut vous faire perdre de l'argent directement. Ne collez jamais une clé API dans un site ou une application que vous n'avez pas vérifié de manière indépendante.
Que faire si un tracker que j'utilise se fait pirater ?
Révoquez immédiatement chaque clé API que vous avez générée pour ce service sur chaque plateforme, changez le mot de passe du compte du tracker, changez l'adresse e-mail si elle a été réutilisée ailleurs, et partez du principe que toute adresse que vous avez connectée figure désormais dans une base de données tierce. Analysez l'historique de vos e-mails et messages sur la période de la brèche pour repérer les tentatives de phishing, en particulier tout ce qui vous demande de signer une transaction ou de ressaisir une phrase de récupération, car l'incident CoinStats a montré que les attaquants utilisent les données volées pour personnaliser ces sollicitations. Considérez toute approbation on-chain accordée pendant la période de la brèche comme compromise et révoquez-la à l'aide d'un outil comme le vérificateur d'approbations d'Etherscan ou Revoke.cash.