Comment vérifier le hachage (somme de contrôle) / vérifier la signature PGP de l’application Ledger Live

Les portefeuilles matériels, bien qu’ils fournissent la solution de stockage la plus sécurisée, de nombreux utilisateurs perdent toujours leurs pièces. Particulièrement les débutants et c’est principalement à cause de leur négligence. Ils tombent dans les escroqueries les plus évidentes.

La toute première étape que vous devez prendre pour protéger votre crypto est de rester à l’écart des escroqueries par hameçonnage.

Après la récente violation de données sur le site Web du grand livre, des campagnes de phishing régulières sont en cours sur Twitter / YouTube, SMS et e-mail. De nombreux rapports font état d’utilisateurs victimes de ces attaques de phishing.

N’oubliez pas que la cible principale des pirates est votre phrase de départ de récupération. La plupart des techniques de phishing sont axées sur l’obtention de votre phrase de récupération.

Assurez-vous de garder votre phrase de récupération de 24 mots en toute sécurité, privée et complètement hors ligne. Ne partagez jamais votre phrase de récupération de sauvegarde avec qui que ce soit. Ne conservez pas non plus de copie numérique. N’entrez pas ces informations sur votre ordinateur, votre téléphone intelligent ou sur le Web. Ne prenez pas de photos et n’imprimez pas. Vous ne devez les écrire que sur un morceau de papier ou sur une plaque de métal. Vous n’aurez besoin de ces informations qu’à l’avenir pour récupérer vos fonds au cas où votre appareil serait perdu ou cassé.

Vous ne devez entrer la phrase de récupération que sur un portefeuille matériel légitime. Voici comment vous pouvez vérifier si votre appareil Ledger est authentique:

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-g Genuine

En plus de vérifier l’authenticité de votre appareil, vous devez également vous assurer que vous exécutez une véritable application Ledger Live. Vous pouvez le faire en vérifiant le hachage / en vérifiant la signature de Ledger Live.

Dans ce guide pour débutants, voyons comment vérifier le hachage (somme de contrôle) / vérifier la signature PGP de Ledger Live.

Pourquoi vérifier Ledger Live?

Certains pourraient soutenir que la vérification de l’authenticité de Ledger Live n’a pas d’importance car les clés privées sont stockées en toute sécurité sur l’appareil. C’est vrai. L’intérêt du portefeuille matériel est qu’il protège vos pièces de monnaie même si elles sont utilisées dans un environnement compromis. Mais vous êtes toujours très vulnérable aux attaques de phishing.

Par exemple, supposons que vous ayez téléchargé Ledger Live à partir du lien e-mail que vous avez récemment reçu. Vous ne savez peut-être pas qu’il s’agit d’une fausse application de portefeuille qui est falsifiée par un tiers malveillant jusqu’à ce que vous vérifiiez le logiciel. Désormais, simplement en installant une application malveillante, les pirates informatiques ne peuvent pas récupérer vos fonds de votre portefeuille matériel. Mais ce logiciel compromis peut vous tromper de plusieurs manières.

1. Une fausse application de portefeuille peut demander les détails de votre phrase de récupération de 24 mots. De nombreux utilisateurs savent que la phrase de récupération ne doit pas être entrée sur autre chose que le périphérique Ledger. Mais comme nous l’avons dit, les nouveaux utilisateurs peuvent ne pas en être conscients et ils seraient dupés par cette technique.

N’oubliez pas que le logiciel Ledger Live ne vous demandera jamais votre phrase de récupération ou votre phrase de passe. Si l’application demande votre phrase de récupération, il est évident qu’il s’agit d’une application malveillante conçue pour voler vos pièces..

2. Une application en direct de grand livre compromise aura une porte dérobée et pourrait générer une adresse personnelle imitant votre adresse de destination..

N’oubliez pas qu’avant de confirmer une transaction, vérifiez l’adresse de destination sur votre appareil Ledger.

Pour vous protéger contre de telles modifications malveillantes, assurez-vous que vous;

  1. Téléchargez toujours Ledger en direct depuis le site officiel.
  2. Vérifiez l’application en direct Ledger avant l’installation.

La vérification du logiciel est une étape de sécurité de base

Le portefeuille matériel est un excellent début. Mais vous devez tout de même prendre toutes les précautions pour protéger vos crypto-monnaies contre les pratiques malveillantes.

Pas seulement une application de portefeuille, mais cela devrait être fait pour tout logiciel que vous installez sur votre ordinateur, d’autant plus que vous avez affaire à la crypto. Vous devez être conscient de son origine et vérifier le logiciel pour vous assurer qu’il est authentique.

Il s’agit d’une pratique standard et en tant qu’utilisateur de crypto-monnaie, vous devez la conserver en règle générale. Cela vous protégera grandement de toutes sortes de logiciels malveillants.

Auparavant, nous avons expliqué comment vérifier le hachage MD5 / SHA256 d’un portefeuille. Nous avons également réalisé un didacticiel sur la vérification de la signature du portefeuille Electrum.

La procédure est la même sauf que les hachages signés en direct Ledger utilisent SHA512.

Voyons maintenant comment vérifier le hachage / la signature avant d’installer l’application Ledger Live?

Comment vérifier la somme de contrôle du grand livre en direct?

Pour chaque nouvelle version, les hachages sha512sum pour ledger live sont publiés ici: https://ledger-live-tools.now.sh/lld-signatures

https://github.com/LedgerHQ/ledger-live-desktop#signed-hashes

vérifier le binaire en direct du grand livre

Vous pouvez vérifier l’authenticité de l’installation en direct de Ledger en comparant son hachage sha512 à celui disponible sur la page.

Ces informations ne sont pas disponibles sur la page de téléchargement officielle du site Web pour une raison. Le hachage stocké sur le même serveur que le binaire ne fournit aucune sécurité. Si le serveur est piraté, le fichier sera compromis.

Vérification du hachage du package d’installation:

Téléchargez la dernière version de l’application Ledger live sur votre ordinateur. Une fois téléchargé, ne l’installez pas encore. N’installez qu’après une vérification réussie.

grand livre live package

Voici comment vérifier la somme de contrôle sous Windows, Linux et Mac.

  1. Les fenêtres:

Accédez au dossier dans lequel vous avez le fichier de téléchargement. Appuyez sur MAJ + clic droit et ouvrez la fenêtre PowerShell. Entrez maintenant la commande suivante.

CertUtil -hashfile nom_fichier.exe sha512

Exemple:

CertUtil -hashfile ledger-live-desktop-2.18.0-win.exe sha512

hachages signés par grand livre

Cela renverra le résultat suivant et selon la version que vous exécutez, la valeur de hachage changera.

Hachage SHA512 de ledger-live-desktop-2.18.0-win.exe:

c7e2d95c9dd9d61ad53d6457933f4d970446465b94e9e108cb54fa7ef2eb95d6be70e92b345d34c311c9504687769b44b810586efa85ac013ae1446508f686d8

Copiez ceci et comparez son hachage sha512 à celui disponible sur cette page: https://ledger-live-tools.now.sh/lld-signatures

grand livre de contrôle sha512

Si cela correspond, vous en avez une copie authentique. Vous pouvez continuer et l’installer

  1. Linux:

Sur Linux, ouvrez la fenêtre Terminal et entrez le code suivant.

Sha512sum /

Exemple:

sha256sum /ledger-live-desktop-2.18.0-linux-x86_64.AppImage

  1. Mac:

Sur Mac, ouvrez la fenêtre Terminal et entrez la ligne suivante.

shasum -a 512 nom de fichier

Exemple:

shasum -a 512 ledger-live-desktop-2.18.0-mac.dmg

Une fois terminé avec la vérification des hachages sha512sum, vous pouvez procéder à l’installation.

Vérification de la signature PGP?

Les signatures PGP sont un excellent moyen de garantir la sécurité et la confiance des fichiers. Mais il n’y a aucune référence aux signatures PGP disponibles sur la page de téléchargement du site du grand livre ou sur la version GitHub.

Une fois la signature PGP publiée, nous mettrons à jour cet article et expliquerons comment vérifier la signature PGP de Ledger Live.