Chez Kraken, nous privilégions et investissons massivement dans la sécurité. Ce n’est cependant pas une raison pour ne pas rester sur vos gardes. Toutes les mesures de sécurité que nous appliquons, même cumulées, ne peuvent compenser une sécurité personnelle inadéquate.
Il est essentiel pour les clients de tirer parti des outils de sécurité et des conseils que nous proposons et de ne jamais partager l’accès au compte avec qui que ce soit.
- Ne permettez jamais à quiconque de créer ou de gérer un compte en votre nom.
- Choisissez un nom d’utilisateur qui est difficile à deviner et que vous n’utilisez sur aucun autre site Internet. Ne partagez jamais votre nom d’utilisateur avec qui que ce soit.
- Créez un mot de passe long (au moins 15 caractères) qui n’est utilisé sur aucun autre site Internet.
- Configurez l’identifiant 2FA, idéalement à l’aide d’une clé de sécurité matérielle. Il s’agit là de la fonction de sécurité la plus importante. De surcroît, l’utilisation d’un identifiant 2FA active la 2FA augmentée, une étape supplémentaire requise à chaque fois que vous souhaitez ajouter, modifier ou supprimer des paramètres 2FA sur votre compte. Une fois la modification de votre compte Kraken demandée, vous serez invité(e) à confirmer à nouveau votre identifiant 2FA via le code à six chiffres de votre application d’authentification ou via votre clé de sécurité matérielle. Vous ne pourrez modifier les paramètres d’authentification à deux facteurs de votre compte avant d’avoir saisi le code correct.
Avertissement concernant les sauvegardes d’identifiants 2FA: Une sauvegarde 2FA mal archivée peut être contre-productive et compromettre votre 2FA. Si vous craignez de perdre votre identifiant 2FA, configurez une clé maître (voir ci-dessous).
Avertissement concernant les applications d’authentification qui utilisent l’archivage dans le cloud: si leur stockage dans le cloud est piraté, cela peut compromettre votre identifiant 2FA.
- Configurez une clé maître pour bénéficier d’une protection supplémentaire contre les réinitialisations de mot de passe (en cas de compromission de votre adresse email) et comme sauvegarde pour votre identifiant 2FA.
IMPORTANT: assurez-vous que la clé maître est configurée à l’aide d’une méthode différente à celle de votre identifiant 2FA. Par exemple, si vous utilisez une clé de sécurité matérielle pour votre identifiant 2FA, utilisez une application d’authentification ou une clé de sécurité matérielle différente pour la clé maître.
- Méfiez-vous des arnaques au phishing. Même l’identifiant 2FA ne peut pas protéger votre compte si vous le saisissez sur un site de phishing ou le communiquez à un malfaiteur.
- Utilisez seulement les applications mobiles officielles de Kraken. Les applications mobiles tierces qui utilisent le nom "Kraken" ou vous demandent vos identifiants Kraken sont des formes de phishing.
Si le compte email enregistré sur votre compte Kraken est compromis, il peut être utilisé pour demander votre nom d’utilisateur, réinitialiser votre mot de passe et approuver des retraits.
Remarque: nous vous recommandons vivement de créer un compte de messagerie que vous utiliserez uniquement pour Kraken.
- Créez un mot de passe en suivant les mêmes conseils que pour votre mot de passe Kraken, mais choisissez un mot de passe différent pour l’email.
- Configurez l’identifiant 2FA comme vous le feriez pour votre compte Kraken et n’utilisez pas l’option SMS si votre fournisseur de messagerie la propose.
- Supprimez vos numéros de téléphone de votre compte de messagerie.
- Vérifiez vos paramètres et votre activité. Veuillez consulter notre guide sur la sécurisation de votre compte de messagerie pour obtenir plus de détails.
- Configurez PGP (pour les clients avancés). Si votre application de messagerie prend en charge PGP, saisissez votre clé publique PGP dans les paramètres de votre compte Kraken pour recevoir un email signé et chiffré de notre part.
Grâce au chiffrage PGP, même si votre adresse email est compromise, le pirate ne pourra pas lire vos emails automatisés de Kraken, sauf s’il dispose également de votre clé privée.
La signature PGP vous permet de vérifier l’authenticité des emails prétendant provenir de Kraken. Cela peut vous permettre de ne pas être victime d’escroqueries par phishing.
Une connexion Internet compromise peut voler vos informations de connexion et vous orienter vers des sites de phishing. Voici quelques moyens de sécuriser votre connexion Internet:
- Mot de passe du routeur. Modifiez le mot de passe par défaut du routeur Internet de votre domicile. La conservation du mot de passe par défaut permettra à tout inconnu sur Internet de prendre le contrôle de votre routeur. Pour éviter les attaques par force brute, utilisez une phrase longue (plutôt qu’un seul mot) contenant des chiffres et des symboles.
- Mot de passe WiFi. Assurez-vous que votre réseau WiFi est protégé par un mot de passe. Ce mot de passe est différent de celui du routeur.
- Réseau invité. Créez un réseau invité si votre routeur dispose de cette option et réservez le réseau principal à vos appareils uniquement.
- Évitez le WiFi public. Utilisez plutôt votre forfait de données mobiles. Si vous devez utiliser un réseau WiFi public, assurez-vous de disposer d’un réseau VPN fiable (évitez les réseaux VPN gratuits).
- Un terminal compromis peut consigner tout ce que vous saisissez dessus et les terminaux mobiles constituent le moyen le plus courant d’utiliser l’authentification à deux facteurs (2FA).
- Mot de passe de l’appareil. Créez une phrase secrète sécurisée et utilisez la connexion par empreinte digitale, si possible. Évitez les codes PIN et les schémas de connexion faciles à deviner.
- Ne partagez pas votre appareil. Ne vous laissez pas convaincre par vos amis et votre famille de leur communiquer l’accès et les mots de passe de vos appareils, surtout si vous utilisez ces appareils pour votre 2FA.
- N’octroyez jamais d’accès à distance. Certaines équipes de service clientèle demandent à accéder à votre ordinateur à distance pour vous aider à résoudre les problèmes techniques, mais cette approche est très dangereuse et est également prisée par les escrocs. Par conséquent, dites toujours "non" aux applications telles que AnyDesk, TeamViewer, RemotePC et GoToMyPC. Kraken Support ne vous demandera jamais d’installer un logiciel nécessitant un accès à distance!
- Évitez les appareils publics. Connectez-vous uniquement à partir de vos appareils personnels.
- Évitez les appareils professionnels pour accéder à des comptes personnels. Leurs propriétaires peuvent surveiller et enregistrer votre activité.
Une fois que vous avez terminé de vérifier et de configurer votre compte Kraken, vous pouvez ajouter des protections supplémentaires au cas où votre connexion serait compromise de quelque manière que ce soit.
- Configurez l’authentification à deux facteurs (2FA) pour les retraits, les transactions et l’API. Toutefois, le verrouillage global des paramètres ou la 2FA augmentée doivent être activés pour que ces 2FA soient efficaces.
- Activez le verrouillage des paramètres globaux (GSL) pour empêcher les modifications des paramètres de votre compte et des adresses de retrait – même si un pirate accède à votre compte.
Important: si vous souhaitez pouvoir désactiver immédiatement le GSL à tout moment, vous devez configurer la clé maître avant d’activer le GSL. Kraken Support ne peut pas accélérer le retrait du GSL.