La gestion des clés est le sujet de sécurité le plus important en Web3. Chaque perte de fonds remonte au final à une clé mal manipulée.
Une posture sérieuse de gestion des clés couvre :
- Génération : clés générées sur du matériel dédié, pas sur un laptop, pas sur une machine connectée qui a déjà navigué sur le web.
- Stockage : hardware wallets, HSMs, parts MPC, ou machines air-gapped. Phrases mnémoniques sur papier ou métal, stockées dans des emplacements géographiquement séparés.
- Usage : signature sur un device qui affiche ce qui est signé ; simulation de transaction avant approval.
- Rotation : process documenté pour retirer une clé, en particulier quand l'équipe change ou après une suspicion de compromission.
- Destruction : on ne supprime pas une clé d'un hardware wallet en effaçant un compte sur un ordinateur. Retirer correctement une clé veut dire transférer les fonds, puis détruire ou effacer physiquement le device.
La maturité de la gestion des clés d'une organisation est le meilleur indicateur avancé de la manière dont son premier incident se passera.