articles / Wallets

Vérifier la signature PGP de ton wallet en 5 minutes

· PGP · signature · sécurité · wallet · Feather · Monero CLI

Tu télécharges un wallet Monero depuis le site officiel. Comment tu sais que ce que tu as téléchargé est bien le binaire que les développeurs ont publié, et pas une version vérolée par un attaquant qui aurait compromis le serveur ou ton DNS ? Tu vérifies la signature PGP. Cinq minutes la première fois, trente secondes les fois suivantes. Saute cette étape et tu peux te faire vider à la prochaine ouverture du wallet.

Pourquoi c’est obligatoire pour un wallet crypto

Un binaire de wallet a accès à ta seed et donc à tous tes XMR. Un binaire compromis peut :

Les attaques d’injection de binaire sont documentées dans l’écosystème crypto :

La signature PGP te protège contre ces trois cas en une seule étape : si la signature ne valide pas avec la clé du développeur, tu ne lances jamais le binaire, peu importe à quel point il a l’air normal.

Concept en 30 secondes

Le développeur du wallet (par exemple tobtoht pour Feather, binaryFate pour Monero CLI/GUI) signe son binaire avec sa clé privée PGP. Sa clé publique est diffusée publiquement (sur le repo GitHub, sur des keyservers, dans la doc officielle, sur des sites tiers de confirmation). Tu :

  1. Importes la clé publique dans ton trousseau GPG local.
  2. Télécharges le binaire et son fichier de signature .asc ou .sig depuis le site officiel.
  3. Lances gpg --verify <fichier>.sig <binaire> — GPG te dit si la signature valide ou pas.

Si la signature valide et tu fais confiance à la clé publique (que tu as obtenue par plusieurs canaux indépendants), alors tu sais que le binaire est authentique.

Setup une fois pour toutes

Sur Windows : installer Gpg4win

  1. Télécharge Gpg4win sur gpg4win.org.
  2. Installe avec les options par défaut (composant GnuPG minimum requis).
  3. Ouvre cmd.exe ou PowerShell, tape gpg --version. Tu dois voir une version GPG.

Sur Mac : installer GnuPG

  1. Avec Homebrew : brew install gnupg.
  2. Ou GPG Suite : gpgtools.org.
  3. Vérifie : gpg --version dans un terminal.

Sur Linux : déjà là (généralement)

GPG est préinstallé sur la plupart des distributions. Vérifie : gpg --version. Sinon : apt install gnupg (Debian/Ubuntu) ou équivalent.

Cas concret 1 : vérifier Feather Wallet

Téléchargements :

  1. Va sur featherwallet.org, section Downloads.
  2. Télécharge le binaire pour ton OS (par exemple feather-2.x.x.exe pour Windows).
  3. Sur la même page, télécharge le fichier .asc correspondant (signature de tobtoht).

Importer la clé du développeur :

La clé publique de tobtoht est diffusée sur le repo GitHub Feather (feather-wallet/feather, fichier pubkeys/) et sur les keyservers publics. Sur le site Feather, tu trouveras le fingerprint exact à comparer.

gpg --keyserver hkps://keys.openpgp.org --recv-keys <FINGERPRINT_TOBTOHT>

Remplace <FINGERPRINT_TOBTOHT> par le fingerprint complet (40 caractères hex) trouvé sur le site Feather. Vérifie que GPG t’affiche bien l’identité associée (tobtoht <...>).

Vérifier la signature :

Place le binaire et le .asc dans le même dossier, ouvre un terminal dans ce dossier, et tape :

gpg --verify feather-2.x.x.exe.asc feather-2.x.x.exe

Tu dois voir une ligne du type :

gpg: Good signature from "tobtoht <...>"

Le warning WARNING: This key is not certified with a trusted signature! est normal si tu n’as pas encore signé/trusted la clé localement — l’important est que la signature soit Good.

Si tu vois BAD signature, n’installe pas le binaire. Re-télécharge depuis une connexion différente (autre réseau, Tor) et recommence. Si la signature reste mauvaise, contacte les développeurs via leurs canaux officiels.

Cas concret 2 : vérifier Monero CLI / GUI

Téléchargements :

  1. Va sur getmonero.org/downloads.
  2. Télécharge le binaire pour ton OS.
  3. Télécharge également le fichier hashes.txt (liste des SHA256 + signature PGP).

Importer la clé de binaryFate :

binaryFate est le mainteneur historique des releases Monero. Son fingerprint est documenté sur getmonero.org/resources/user-guides/verification-windows.html (ou la version Mac/Linux). Compare le fingerprint à plusieurs sources (site Monero, mirror GitHub, archive.org).

gpg --keyserver hkps://keys.openpgp.org --recv-keys <FINGERPRINT_BINARYFATE>

Vérifier la signature de hashes.txt :

gpg --verify hashes.txt

Tu dois voir Good signature from "binaryFate <...>".

Vérifier le hash du binaire :

Une fois hashes.txt validé, calcule le SHA256 de ton binaire et compare avec la valeur listée :

Si le hash matche et la signature de hashes.txt est bonne, le binaire est authentique.

Erreurs courantes (et comment les éviter)

Pour gagner du temps les fois suivantes

Une fois la clé du développeur importée la première fois, tu n’as qu’à exécuter gpg --verify sur les futures releases. Garde un dossier ~/wallet-keys/ avec un fichier texte par projet listant le fingerprint utilisé, comme ça tu peux re-vérifier en 30 secondes si tu changes d’ordinateur.

En résumé

ÉtapeAction
1Installer GPG (Gpg4win / GnuPG / déjà là)
2Importer la clé publique du développeur (depuis keyserver, vérifier fingerprint via 2+ sources)
3Télécharger binaire + fichier signature depuis site officiel
4gpg --verify <signature> <binaire>
5Si Good signature : installer. Si BAD ou pas de signature : ne pas installer, re-télécharger.

Cinq minutes la première fois. Trente secondes ensuite. Le coût d’opportunité du oubli : tout ton wallet.

Sources : documentation officielle Feather Wallet, getmonero.org user-guides verification, gpg4win.org, gnupg.org.

profils liés

← Tous les articles ↻ Refaire le diagnostic