Author

Topic: [Guide] Sécurité des comptes Bitcointalk (Read 1263 times)

legendary
Activity: 2604
Merit: 2353
September 29, 2019, 01:37:21 PM
#80
Je le souligne ici pour ceux qui ne l'auraient pas encore remarqué, on sait jamais : Chrome propose maintenant automatiquement ses mots de passe générés lorsqu'on veut changer son mot de passe bitcointalk. Bien sûr il l'enregistre (vérifier bien que ça soit le cas avant de déconnecter quand même) puisqu'ils sont quasi impossible à se rappeler(grosse entropie).
On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...  

Sinon n'oubliez pas, y'a toujours la méthode XKCD :

legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
legendary
Activity: 2604
Merit: 2353
Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Non je parlais de la protection qui contre automatiquement ce type d'attaque.

Par exemple: [url=https://yahoo.fr]https://bitcointalksearch.org/topic/another-xlm-fork-stellar-shark-asking-private-key-on-their-wallet-5154525[/url] va afficher
https://yahoo.fr
et non https://bitcointalksearch.org/topic/another-xlm-fork-stellar-shark-asking-private-key-on-their-wallet-5154525 comme ça le ferait normalement.
L'attaque homographique permet de court-circuiter cette protection là.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
legendary
Activity: 2604
Merit: 2353
En Meta un utilisateur rapporte comment il a failli se faire hacker son compte :

Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.

En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.



alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.

[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]

Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...



https://bitcointalksearch.org/topic/how-scammer-tried-to-hack-my-bitcointalk-and-how-to-protect-yourself-5173531
F2b
hero member
Activity: 2140
Merit: 926
@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?


Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker Wink
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.
Ok, pas de problème. Je sais pas trop pourquoi mais ça m'avait intrigué… J'suis encore débutant dans ce monde-là (j'ai juste brièvement utilisé Docker, justement parce que c'est moins prise de tête).
Bon allez, fin du p'tit HS.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?


Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker Wink
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.



Deux jours que ma titan est expédiée et n'a pas bougé de toronto Sad. Je veuxxxxx
F2b
hero member
Activity: 2140
Merit: 926
@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?
legendary
Activity: 2604
Merit: 2353

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  Undecided
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
C'est possible que la vérification soit en fait déléguée à Google mais en connaissant l'algo il doit y avoir moyen de s'en passer amha.
Comme tu dis le code pin généré est visiblement simplement le resultat d'une opération entre le timestamp et la clé privée.
Le serveur pourrait donc théoriquement la réaliser de son côté puis la comparer avec le code fourni, si il connait l'algo, puisqu'il connaît cette clé privée.
Moi en fait ça me fait un peu penser aux dice games "provably fair".
Gràce à quelques opérations ils te sortent un nombre à 4 chiffres à partir des seeds client et serveur et d'un nonce.
legendary
Activity: 2464
Merit: 3158

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  Undecided
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Arf mon clavier cerveau a fourché...
legendary
Activity: 2604
Merit: 2353
@Saint-Loup,
Merci de penser à moi, mais ce n'est pas moi qui parlait de Docker ici,  c'est F2b  Wink
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
@Saint-Loup,

Docker c'est une solution de container.

L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.

Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.

La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.
F2b
hero member
Activity: 2140
Merit: 926
Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum.
Le 2FA sur Epochtalk est dans la catégorie "Planned features", d'après la roadmap disponible sur le site, au même titre que le Trust, les emojis, la fonction Ignore, et quelques autres trucs plus obscurs. ("Docker support" ?? (edit: bah oui, en 2019 je découvrais encore docker...))
À mon avis ils essaient déjà de faire tourner le forum avec les fonctions de base correctement avant d'implanter implémenter la suite.


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
Ben tu vois déjà bien... Que Google (p. ex.) sache à quel site tu te connectes, à quel moment / fréquence, etc c'est déjà pas mal. (Sauf si tu utilises Chrome, auquel cas ça ne change rien, pour le coup.)
legendary
Activity: 2450
Merit: 1448

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs

Après le 2fa reste une option, activable ou non sur la plupart des sites le proposant.

il faudrait gérer les pertes de clefs des utilisateurs

Là oui, effectivement ça pourrait engendrer la création d'un pool de 'support technique' dédié à ces problèmes, la galère quoi.

sr. member
Activity: 812
Merit: 388
@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

Site non à jour, failles découvertes, ... Je pense que c'est plus emmerdant.
 
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.
legendary
Activity: 2604
Merit: 2353
Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum. Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs, ou peut-être que ça consomme trop de ressources materielles, ou humaines(il faudrait gérer les pertes de clefs des utilisateurs)  
Alors qu'après tout ça ne reste qu'un forum, on y stocke ni cryptos, ni documents, donc bon...
legendary
Activity: 2464
Merit: 3158
D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?

A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre  Roll Eyes

Chaque chose a un prix.
Oui, ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Et puis, comme Halab le souligne, ce n'était absolument pas prévu avec cette mouture de forum donc il faut l'implémenter de manière safe, et c'est super critique.  Sad

Ceci étant dit, je pense qu'intégrer les solutions de 2FA qui ont été crées par les hardwares wallets (U2F) serait peut être une bonne chose ?
Pas forcément besoin de Google Authenticator ou autres applies des GAFAM  Roll Eyes
legendary
Activity: 2450
Merit: 1448
Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?

Regarde les dates de copyright et la version de ce forum tout en bas de la page, tu auras un début de réponse Smiley.

Et une des réponses de Theymos à ce sujet :

Bumping this again as I think this should be implemented before a year from now.

If someone wants to write a patch for it, I will seriously consider adding it. I believe that safely adding 2FA would be very time-consuming, so I'm not willing to do it myself or direct Slickage to do it.

Si tu as du temps et les connaissances pour coder une rustine supplémentaire à ce forum, tu recevras surement des BTC.

legendary
Activity: 2450
Merit: 1448

Déjà que theymos a du mettre en place Cloudflare un peu à contrecoeur, que le 2FA existe pas.


D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?

A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre  Roll Eyes
legendary
Activity: 2464
Merit: 3158
Sinon pour revenir au sujet j'ai commandé ma clé Titan aujourd'hui.

Tu penses que ce sera compatible avec bitcointalk ? Huh
Déjà que theymos a du mettre en place Cloudflare un peu à contrecoeur, que le 2FA existe pas.

En tout cas bien curieux de savoir comment fonctionne cette clé !
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Sinon pour revenir au sujet j'ai commandé ma clé Titan aujourd'hui.

Livraison entre le 8 et 9 aout.
Petite réduc d'ailleurs vu que je paye en CAD + livraison gratuite au Canada.

Je ferais un petit tuto/retour une fois reçue et mis en place.
legendary
Activity: 2604
Merit: 2353
alors qu'il ne l'était déja plus depuis la fin du mois de juin

Kenza était éligible jusque aujourd'hui.

https://bitcointalksearch.org/topic/m.52040168
Ca doit être encore plus écoeurant pour lui de voir qu'il pourrait peut-être être encore DT s'il n'y avait pas eu ces hacks. C'est vraiment la double peine pour lui comme dit GrosWesh... Après je ne vais pas faire le faux-cul à dire que je trouve anormal qu'il ne soit plus DT, comme toi je pense que ce n'était clairement pas sa place au vu de certaines de ses méthodes.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Je ne pense pas que qui que ce soit s'attendait à ce que kenza "rembourse" effectivement ce que l'autre partie avait perdu dans ce scam.

En revanche sa réaction et son déni de toute responsabilité en a fait tiquer plus d'un. Je me suis abstenu car je ne me considère pas objectif à ce sujet, vu la personne impliquée.

Alors quand après un premier "coup de semonce" un mec à la fois DT et avec un compte presque legend comme tu dis, prouve qu'il n'est pas capable de sécuriser son compte, c'est quand même super dangereux.

De toutes façons je ne cautionnais pas kenza en DT même avant tout ça, cf mon distrust list.



alors qu'il ne l'était déja plus depuis la fin du mois de juin

Kenza était éligible jusque aujourd'hui.

https://bitcointalksearch.org/topic/m.52040168
legendary
Activity: 2450
Merit: 1448
Oui vous avez raison tous les deux. Et la raison pour laquelle mon interprétation est erronée est simplissime : je ne me suis jamais interessé au principe du default trust, pour differentes causes.

A l'aune de vos avis, je mesure mieux pourquoi j'étais à côté de la plaque.

Ceci dit je pense que kenzawak a du longuement peser le pour et le contre, et est assez grand pour assumer ou au contraire se défendre avec l'énergie (euphémisme) qu'on lui connait. Je serai surpris que cette histoire en reste là, ce serait même dommage.

Bref. Time will tell comme ils disent  Wink

legendary
Activity: 2604
Merit: 2353
@GrosWesh
C'est clair que c'est la double peine, mais si tu ne veux pas la payer il ne faut pas se rater ensuite en montrant qu'il y a peut être bien une faille de sécurité de ta part car visiblement les DT eux ne te ratent pas...  Embarrassed
Du coup il faut peser le pour et le contre amha, si la somme n'est pas énorme ça vaut peut-être le coup d'en rembourser la moitié ou une petite partie si ça peut sauver un compte qui vaut beaucoup plus in fine.  Undecided
Il parait que les bicraveurs doivent rembourser leur boss au centime près lorsqu'ils se font carotter ou dépouiller, même si c'est les flics qui les ont dépouillé, et même si ils prennent plusieurs piges. Des fois c'est la famille du dealeur qui doit rembourser quand le mec est trop longtemps en taule et qu'il peut pas payer...  Undecided
legendary
Activity: 2464
Merit: 3158
Ouais m'enfin si en plus de te faire usurper ton identité tu dois en plus raquer et dédommager la 'victime' c'est la double peine là !

Yes.
Mais quand tu acceptes d'occuper un tel rang que DT1, qui nécessite des critères précis et obligatoirement des actions de la part de l'utilisateur (tu te réveilles pas DT1 comme ça) sur ce forum, tu devrais justement adopter des pratiques de sécurité qui vont de pair.
Ce statuts confère un peu de pouvoir sur ce forum, et surtout de la reconnaissance.

C'est différent que si ta carte bancaire était volée et qu'on aie fait des transactions avec. Oui, si dans ce cas ta banque ferme ton compte et te rembourse pas, c'est double peine.
Nous savons tous que la banque changera ta carte et te remboursera (peut être) les sommes qui ont disparus.

Bitcointalk n'est pas une banque.

Je ne dévoilerais pas toutes mes pratiques de sécurité, mais je ne me connecte que d'un seul ordi à Bitcointalk. (Ou d'un laptop fraichement installé).
Zero windows. Tout tourne sur unix/linux. KeePassX est un must, avec un nouveau MDP pour chaque service web.
J'ai une addresse BTC qui a été publiée sur le forum en 2016, et c'est avec cette adresse que je signe chaque message pour m'authentifier auprès de mes interlocuteurs.
legendary
Activity: 2604
Merit: 2353
Je me tate donc a tout mettre sur un/plusieurs gmail et a acheter la clé titan de google : https://cloud.google.com/titan-security-key/?hl=fr
Je ne connaissais pas ce dongle merci de l'info.
Moi j'utilise la méthode F2A de google pour mon Gmail.
A la difference du F2A classique, il n'y a pas de clé, donc les hackeurs ne peuvent pas la voler, et puis c'est plus pratique que le F2A normal, l'écran s'affiche directement sur le tel/tablette Android, sans avoir besoin d'ouvrir d'appli, et y'a pas non plus de code pin à recopier. On valide juste sur le périphérique tiers et on est loggé sans même avoir besoin de taper son mot de passe Gmail.  Smiley
legendary
Activity: 2450
Merit: 1448

 On avait bien senti que ça avait été moyennement apprécié qu'il refuse tout dédommagement lors de son 1er hack mais je ne pensais pas que ça rendrait les mecs aussi sévères... (même si je comprends que ceux qui dealent veuillent éviter tous risques de ce genre... )

Ouais m'enfin si en plus de te faire usurper ton identité tu dois en plus raquer et dédommager la 'victime' c'est la double peine là !

D'autant que lors du 1er problème je ne sais pas si grand monde a vraiment compris clairement ce qui s'est passé, a commencer par l'interessé lui même  Roll Eyes Lors de mes derniers échanges avec kenzawak à ce sujet , lors du 1er évenement, il m'avait fait comprendre qu'il restait des zones d'ombre.

Le message un peu au dessus, d'une personne ayant reussi à récupérer son compte est encourageant et c'est tout ce que je souhaite à notre copain de forum Smiley
legendary
Activity: 2604
Merit: 2353
Toujours aucune nouvelle de Kenza' ? Il a du se faire hack une sacré somme... Sad
Fais une trad pourrie ça le fera revenir  Cheesy
Non mais blague à part, je comprends un peu qu'il ait les glandes. Les gars n'y sont pas allé de main morte quand même, dans un premier temps ils ont appelé à le distrust massivement pour qu'il ne puisse plus être DT alors qu'il ne l'était déja plus depuis la fin du mois de juin, puis dans un deuxième temps ils ont carrément encouragé son redtagging au motif que son compte n'est manifestement pas sûr et qu'il a refusé de prendre en charge les dommages liés à son 1er hack... si tu t'es fait dépouiller de la moitié de tes cryptos et qu'en plus tu vois ça sur ton compte quasi-legendary, tu dois être franchement dégoûté. On avait bien senti que ça avait été moyennement apprécié qu'il refuse tout dédommagement lors de son 1er hack mais je ne pensais pas que ça rendrait les mecs aussi sévères... (même si je comprends que ceux qui dealent veuillent éviter tous risques de ce genre... )
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
En parlant de ça, je me dis que je veux avoir un mail nukeproof pour la crypto.

Je me tate donc a tout mettre sur un/plusieurs gmail et a acheter la clé titan de google : https://cloud.google.com/titan-security-key/?hl=fr

Cette clé FIDO permettrait de sécuriser mes comptes mails, le 2FA faisant le reste.

Quelqu'un a déjà un avis/retour sur la question ?

Si non je vous ferais mon retour une fois que j'aurais commandé/reçue la bête.
member
Activity: 225
Merit: 17
Moi aussi pour la petite histoire je m'étais fait hacker mon compte bitcointalk y a pas si longtemps (au printemps).

Comme je ne venais plus trop, j'ai mis du temps à m'en rendre compte. (pass changé et nombreux posts de spam édités).

Heureusement que la team m'a fait récupérer mon compte après procédures et temps d'attente obligatoires.
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
Toujours aucune nouvelle de Kenza' ? Il a du se faire hack une sacré somme... Sad
legendary
Activity: 2450
Merit: 1448
Je vois qu'il s'est connecté récemment.

Oui je viens de voir ça aussi , et c'est plutot une bonne chose. Je n'ai aucun doute sur le fait qu'il se manifestera auprès de nous en temps voulu.

legendary
Activity: 2604
Merit: 2353
Perso j'ai un mdp par site (la base quoi). Du coup je sauve tout sur un listing tenu à jour + backup (le tout stocké hors pc) + impression papier. Pour l'instant ça fait l'affaire.

Bon sinon, je reviens à Kenzawak : ce serait cool d'avoir des news, j'ai envoyé un mp à son account de dépannage, sans succès. La situation à du le saouler d'une force  Undecided Lui qui se démêne depuis tout ce temps...
Il t'a répondu alors? Je vois qu'il s'est connecté récemment. J'espère pour lui que c'est juste parce qu'il est "saoulé" comme tu dis, et que ce n'est pas parce que ses problèmes sont plus graves qu'on ne le pense.  Undecided
legendary
Activity: 2450
Merit: 1448
Perso j'ai un mdp par site (la base quoi). Du coup je sauve tout sur un listing tenu à jour + backup (le tout stocké hors pc) + impression papier. Pour l'instant ça fait l'affaire.

Bon sinon, je reviens à Kenzawak : ce serait cool d'avoir des news, j'ai envoyé un mp à son account de dépannage, sans succès. La situation à du le saouler d'une force  Undecided Lui qui se démêne depuis tout ce temps...



sr. member
Activity: 812
Merit: 388
C'est que la interview les logiciels comme Keepass.
Tu peux mettre beaucoup d'information dessus.

Après c'est sure que s'il y a une faille de sécu ou autre t'es dans la mouise.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
La mesure de base c'est d'isoler ton compte btctalk, car sa sécurité peut être moins élevée que celle de plateformes d'échange par exemple.

Le forum peut facilement être un vecteur d'attaque intéressant pour identifier de gros poissons potentiels.

Le premier pas est donc d'avoir un mail que pour le forum. Si on veut aller plus loin, un mail par service, mais après on court le risque de s'exposer en ayant trop de comptes/mdp à retenir, ce qui est aussi au détriment de la sécurité.

legendary
Activity: 2604
Merit: 2353
Oui, soyez parano Smiley.
Je dois reconnaître que ça me rassurerait qu'il ait été hacké à cause du monde qu'il s'était mis à dos ou de son mode de vie très nomade, parce que ça voudrait dire que ça n'est pas susceptible d'arriver à tout le monde et qu'on pourrait facilement s'en prémunir juste en évitant de vouloir trop jouer les gros bras et en s'abstenant de parcourir le monde. Mais la vérité comme tu dis c'est qu'on en sait rien et qu'il a pu être hacké complètement au hasard...  Et que ça peut nous arriver demain à nous aussi  Undecided
Yes, mais tout de même 2x de suite en l'espace de .. 2 mois ? Il y'a des choses à mettre en place pour se prévenir de ce genre de désagréments.
Après c'est sûr que c'est peut être pas critique de la même façon pour tout le monde.

Pour ma part je me connecte sur le forum avec mon compte que de ma machine.
J'utilise KeePassX et ça génère des mots de passe du genre "MGW66\_?A'NZF=ig&s49)$)]oK8!.T:+ncY8" Tongue
Je recommande cette solution pour générer et garder safe ses mots de passe. Smiley

Quand je dois intervenir mais pas de mon PC, j'utilise mon compte alt. ^^

D'après le seclog, son mot de passe a été changé 3h avant sa fausse demande de prêt.
Quote
July 16, 2019, 22:43:45 - kenzawak - password reset via email
C'est donc a priori le hackeur qui a RAZ son mdp via email.
Par ailleurs son adresse mail n'a pas été changée d'après sa page de trust.
On peut donc penser que contrairement à la 1ère fois ce n'est pas son mdp btctalk qui a été hacké mais simplement sa mesagerie mail. Donc je ne suis pas sûr qu'utiliser un alt aurait suffit à lui sauver la mise cette fois-ci...

C'est une hypothèse comme une autre mais beaucoup de sites se font régulièrement hacker leurs fichiers utilisateur avec les mdp, ils sont ensuite vendus ou diffusés sur le darknet et sur les sites spécialisés(Le site https://haveibeenpwned.com répertorie d'ailleurs ces "fuites")
Si il s'est inscrit avec son adresse mail sur un site oú il a utilisé le même mdp (ou approchant) que pour sa messagerie mail, et que ce site là est tombé, le hackeur a pu trouver son mdp sur le darknet ou le web.
legendary
Activity: 2464
Merit: 3158
Oui, soyez parano Smiley.
Je dois reconnaître que ça me rassurerait qu'il ait été hacké à cause du monde qu'il s'était mis à dos ou de son mode de vie très nomade, parce que ça voudrait dire que ça n'est pas susceptible d'arriver à tout le monde et qu'on pourrait facilement s'en prémunir juste en évitant de vouloir trop jouer les gros bras et en s'abstenant de parcourir le monde. Mais la vérité comme tu dis c'est qu'on en sait rien et qu'il a pu être hacké complètement au hasard...  Et que ça peut nous arriver demain à nous aussi  Undecided
[/quote]

Yes, mais tout de même 2x de suite en l'espace de .. 2 mois ? Il y'a des choses à mettre en place pour se prévenir de ce genre de désagréments.
Après c'est sûr que c'est peut être pas critique de la même façon pour tout le monde.

Pour ma part je me connecte sur le forum avec mon compte que de ma machine.
J'utilise KeePassX et ça génère des mots de passe du genre "MGW66\_?A'NZF=ig&s49)$)]oK8!.T:+ncY8" Tongue
Je recommande cette solution pour générer et garder safe ses mots de passe. Smiley

Quand je dois intervenir mais pas de mon PC, j'utilise mon compte alt. ^^
legendary
Activity: 2604
Merit: 2353
Je ne pense pas que ce soit un hack aléatoire. Un hacker aléatoire s'en tiendrait aux comptes d'échanges/banques etc.

La seule raison d'essayer de se faire 0.01 BTC avec un prêt, c'est vraiment vouloir nuire à la personne, pas se faire de l'argent. Et si ça peut arriver à kenza, ça peut arriver à d'autres<
Demandez plus aurait éveillé trop de suspicions.
Est-ce un hack dirigé contre Kenzawak, je ne sais pas. Il a l'art de se faire des amis, mais il est tombé sur quelqu'un qui connait un petit peu BCT  (ou qui a pris le temps de connaitre le forum). Un scénario possible que je vois c'est qu'après le premier hack, il a changé tous ses mots de passe, mais pas reformaté (ou il a reinstallé une merde) et il a un keylogger (ou il a mis le même mot de passe partout... mais là...). 'Fin j'espère qu'il aura le temps de nous expliquer tout ça un jour.

Quote
Watch out.

Oui, soyez parano Smiley.
Je dois reconnaître que ça me rassurerait qu'il ait été hacké à cause du monde qu'il s'était mis à dos ou de son mode de vie très nomade, parce que ça voudrait dire que ça n'est pas susceptible d'arriver à tout le monde et qu'on pourrait facilement s'en prémunir juste en évitant de vouloir trop jouer les gros bras et en s'abstenant de parcourir le monde. Mais la vérité comme tu dis c'est qu'on en sait rien et qu'il a pu être hacké complètement au hasard...  Et que ça peut nous arriver demain à nous aussi  Undecided
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
Je ne pense pas que ce soit un hack aléatoire. Un hacker aléatoire s'en tiendrait aux comptes d'échanges/banques etc.

La seule raison d'essayer de se faire 0.01 BTC avec un prêt, c'est vraiment vouloir nuire à la personne, pas se faire de l'argent. Et si ça peut arriver à kenza, ça peut arriver à d'autres<
Demandez plus aurait éveillé trop de suspicions.
Est-ce un hack dirigé contre Kenzawak, je ne sais pas. Il a l'art de se faire des amis, mais il est tombé sur quelqu'un qui connait un petit peu BCT  (ou qui a pris le temps de connaitre le forum). Un scénario possible que je vois c'est qu'après le premier hack, il a changé tous ses mots de passe, mais pas reformaté (ou il a reinstallé une merde) et il a un keylogger (ou il a mis le même mot de passe partout... mais là...). 'Fin j'espère qu'il aura le temps de nous expliquer tout ça un jour.

Quote
Watch out.

Oui, soyez parano Smiley.
legendary
Activity: 2604
Merit: 2353
Ben le mec qui a créé le thread du prix du btc (latapie) il s'est bien jeté sous un train à cause d'un scammeur, donc oui ça doit être vraiment traumatisant psychologiquement

Je savais qu'il n'était plus de ce monde, mais pas pour cette raison ? Sérieux tu en es sûr Huh
Ouais ça serait ce mec qui l'aurait scammé m'enfin j'en sais pas plus perso
https://wadiirachid.wordpress.com/2018/01/20/wadii-rachid-le-meurtrier-de-david-latapie/
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
Ben le mec qui a créé le thread du prix du btc (latapie) il s'est bien jeté sous un train à cause d'un scammeur, donc oui ça doit être vraiment traumatisant psychologiquement

Je savais qu'il n'était plus de ce monde, mais pas pour cette raison ? Sérieux tu en es sûr Huh
legendary
Activity: 2604
Merit: 2353
on ne sait jamais qui il y a derrière l'écran ici

C'est ça, personnellement vous n'aurez aucun autre contacte de moi ailleurs qu'ici, dsl les amis  Undecided Enfin au pire le compte du forum ce n'est pas bien " grave ", mais les exchanges putin...

J'en suis sûr que des mecs ce sont déjà foutus une corde au cou à cause d'un hacker...
Ben le mec qui a créé le thread du prix du btc (latapie) il s'est bien jeté sous un train à cause d'un scammeur, donc oui ça doit être vraiment traumatisant psychologiquement
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
on ne sait jamais qui il y a derrière l'écran ici

C'est ça, personnellement vous n'aurez aucun autre contacte de moi ailleurs qu'ici, dsl les amis  Undecided Enfin au pire le compte du forum ce n'est pas bien " grave ", mais les exchanges putin...

J'en suis sûr que des mecs ce sont déjà foutus une corde au cou à cause d'un hacker...
legendary
Activity: 2604
Merit: 2353
Comme je disais en partie anglaise, faites attention.

Je ne pense pas que ce soit un hack aléatoire. Un hacker aléatoire s'en tiendrait aux comptes d'échanges/banques etc.

La seule raison d'essayer de se faire 0.01 BTC avec un prêt, c'est vraiment vouloir nuire à la personne, pas se faire de l'argent. Et si ça peut arriver à kenza, ça peut arriver à d'autres<

Watch out.
Moi je me demande aussi si ce n'est pas quelqu'un qu'il a redtrusté ou attaqué un peu trop violemment... on ne sait jamais qui il y a derrière l'écran ici et il s'exposait beaucoup, je crois qu'à un moment donné il mettait même son vrai compte facebook et twitter sur le forum.
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
Il a demandé un prêt sans collatéral (enfin son hacker a demandé).

Ah ok, bon sinon j'espère que kenza' n'avait pas beaucoup sur les exchange...
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
La seule raison d'essayer de se faire 0.01 BTC avec un prêt, c'est vraiment vouloir nuire à la personne, pas se faire de l'argent. Et si ça peut arriver à kenza, ça peut arriver à d'autres<

Watch out.

C'est à dire, c'est quoi l'histoire avec le prêt ?

Il a demandé un prêt sans collatéral (enfin son hacker a demandé).


hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
La seule raison d'essayer de se faire 0.01 BTC avec un prêt, c'est vraiment vouloir nuire à la personne, pas se faire de l'argent. Et si ça peut arriver à kenza, ça peut arriver à d'autres<

Watch out.

C'est à dire, c'est quoi l'histoire avec le prêt ?
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Comme je disais en partie anglaise, faites attention.

Je ne pense pas que ce soit un hack aléatoire. Un hacker aléatoire s'en tiendrait aux comptes d'échanges/banques etc.

La seule raison d'essayer de se faire 0.01 BTC avec un prêt, c'est vraiment vouloir nuire à la personne, pas se faire de l'argent. Et si ça peut arriver à kenza, ça peut arriver à d'autres<

Watch out.
legendary
Activity: 2604
Merit: 2353
oui tu as raison apparemment. en revanche mails et messages sur les reseaux sociaux ...prudence!
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
Peu de chance de recevoir un MP de la part du compte Kenzawak, il est banni (pour l'instant).
Et pour l'instant, la gestion de son compte doit être le cadet de ses soucis...
legendary
Activity: 2604
Merit: 2353
A cause/grace aux mésaventures de Kenzawak, Theymos vient de créer une petite page permettant de tracer ses IP : https://bitcointalk.org/myips.php pour éventuellement voir les connexions étranges.

It's tricky to get email notifications right so that they're not too spammy. Maybe later.

For now, I added this page where you can see your IP logs for the past 30 days: https://bitcointalk.org/myips.php . You could pretty easily write a userscript to periodically check this and warn you if it's weird. (But don't scrape it on every pageload.)

I don't want to make older IP logs automatically accessible because that'd give a hacker a bunch of useful/sensitive information. But 30 days is probably not too harmful.

Bon c'est bizarre, car dans mon IP log, je n'ai pas l'IP de ma box, mais ça doit être celle de mon FAI (région parisienne). Au moins, je n'ai pas de trace vers la Russie, Chine ou autre.

Et si vous n'avez pas encore enregistré une adresse BTC (cf en OP), il n'est jamais trop tard.
Je ne sais pas oú poster l'info donc je la mets ici : Kenzawak s'est fait hacker son compte et son mail.
Donc si vous recevez des MP, mails, messages sur les réseaux sociaux de sa part soyez vigilants il peut s'agir du hacker!

https://bitcointalksearch.org/topic/account-kenzawak-compromised-again-5165936
https://bitcointalksearch.org/topic/kenzawak-hacked-again-5165924
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Comment c'est possible qu'une IP ne soit pas localisable ?

C'est l'inverse. De base une IP n'est PAS localisable.

C'est un chemin d'accès vers un serveur. Celui-ci peut être n'importe où. Encore une fois avec un trace tu vas avoir les ip de tous les équipements que tes paquets vont traverser, mais là encore, il n'y aucune indication sur leur localisation.

Ces infos sont disponibles hors protocole IP, parce que les propriétaires des ip en question acceptent de les fournir. Ce n'est en rien obligatoire ou prévu au sein du protocole tcp/ip. Ce n'est d'ailleurs aucunement nécessaire pour le bon fonctionnement d'un réseau.
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
Oui enfin elle localise le bailleur. Donc ton FAI, pas toi directement.

En général ça va te se retrouver dans le même secteur, a savoir la même ville dans les métropoles, ou dans la même région en campagne.

Oui, mais logiquement ça localise le point relai sur le quel tu passes, enfin même avec un VPN tu as l'endroit.

Comment c'est possible qu'une IP ne soit pas localisable ?
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
@Yaplatu : adresse ip non connue Smiley

C'est l'ipv6 de ton pc qui apparait ?

Oui, oui. Quand je regarde sur whatismyip, la conf de ma box et ce qui loggué sur BCT, c'est cohérent, c'est bien l'IPv6 de ma box.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Et depuis le 06/06, il apparaît maintenant une IPv6 qui correspond bien à l'IP de ma box (du moins les 4 premières series de chiffres).
Mon FAI : Free.

C'est l'ipv6 de ton pc qui apparait ?

Pour ton ipv4 incorrecte c'est possible que free fasse du routage ipv6 vers ipv4, on aurait alors l'ipv4 du routeur du FAI qui apparaitrait (j'imagine).

Ca reste sale.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Alors en fait, par rapport à mon premier message, il y a eu des changements.
Pour les IPs logguées avant le 06/06, il apparait une IPv4 qui n'est pas du tout celle de ma box avec comme localisation unknown.
[...]

Quand tu vas sur hostip.fr et que tu rentres à la mano l'adresse IP avant le 06/06 le site peut la localiser  Huh

Oui enfin elle localise le bailleur. Donc ton FAI, pas toi directement.

En général ça va te se retrouver dans le même secteur, a savoir la même ville dans les métropoles, ou dans la même région en campagne.
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
Alors en fait, par rapport à mon premier message, il y a eu des changements.
Pour les IPs logguées avant le 06/06, il apparait une IPv4 qui n'est pas du tout celle de ma box avec comme localisation unknown.
[...]

Quand tu vas sur hostip.fr et que tu rentres à la mano l'adresse IP avant le 06/06 le site peut la localiser  Huh
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
Alors en fait, par rapport à mon premier message, il y a eu des changements.
Pour les IPs logguées avant le 06/06, il apparait une IPv4 qui n'est pas du tout celle de ma box avec comme localisation unknown.
Et depuis le 06/06, il apparaît maintenant une IPv6 qui correspond bien à l'IP de ma box (du moins les 4 premières series de chiffres).
Mon FAI : Free.
legendary
Activity: 2604
Merit: 2353
Ce qui est étonnant c'est que tous les autres services reçoivent son ip normale mais que ca en soit une autre pour bitcointalk seulement.  Huh
Tu es chez quel fai halab si c'est pas indiscret?
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Il doit y avoir une autre explication. Par exemple qu'il y a un défaut sur l'ip renvoyée par bitcointalk.

Je sais aussi que certains opérateurs mobiles mutualisent les ips, ça peut provoquer des trucs de ce genre.

Mais tout cela va à l'encontre des standard tcp/ip.
legendary
Activity: 2604
Merit: 2353
Bon c'est bizarre, car dans mon IP log, je n'ai pas l'IP de ma box, mais ça doit être celle de mon FAI (région parisienne). Au moins, je n'ai pas de trace vers la Russie, Chine ou autre.


Ca ce n'est pas normal si tu n'utilises pas de VPN/proxy. Ou alors ton FAI fait des trucs très chelous qu'il ne devrait pas faire.

Si tu n'es pas à l'origine de cette IP différente, je pencherai pour une attaque de type MITM.
Ca fait peur qu'autant de monde se fasse attaquer si c'est bien le cas.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Bon c'est bizarre, car dans mon IP log, je n'ai pas l'IP de ma box, mais ça doit être celle de mon FAI (région parisienne). Au moins, je n'ai pas de trace vers la Russie, Chine ou autre.


Ca ce n'est pas normal si tu n'utilises pas de VPN/proxy. Ou alors ton FAI fait des trucs très chelous qu'il ne devrait pas faire.

Si tu n'es pas à l'origine de cette IP différente, je pencherai pour une attaque de type MITM.
legendary
Activity: 2604
Merit: 2353
Merci pour ces astuces.
La 1) je pense que c'est une sécurité mais elle ne marche que pour bitcointalk.org... donc l'attaque marche tres bien avec n'importe quel autre url.

ex https://yahoo.fr (lien vers google en fait)

[url=https://google.fr]https://yahoo.fr[/url]
F2b
hero member
Activity: 2140
Merit: 926
Mais je crois qu'il y a ces 2 liens qui doivent être corrigés pour mieux illustrer une attaque "homographique".
C'est fait !

Au passage, même si ça n'a pas beaucoup d'importance, j'ai remarqué deux choses :

1)
Si tu postes ça : (sans l'espace avant le dernier crochet)
Code:
[url=https://google.fr]https://bitcointalk.org[/url ]
dans la preview ça fonctionne mais une fois posté, le forum le remplace automatiquement par ça :
Code:
https://google.fr
.

2)
Il faut qu'il y ait un slash après le nom de domaine bitcointalk.org pour que le lien apparaisse en vert :
Code:
[url=https://bitcointalk.org]En bleu[/url]
[url=https://bitcointalk.org/]En vert[/url]
Quote
legendary
Activity: 2604
Merit: 2353

- Les liens vers les pages internes de bitcointalk.org deviennent verts lorsque vous passez votre souris dessus, alors que les liens vers d’autres sites restent bleus. Cette fonction vous permet de distinguer un lien vers un site de phishing même si le pirate prétend qu’il s’agît d’un lien interne. Exemple de faux lien utilisant une attaque homographique :

Vrai https://bitcointalk.org/
Faux https://www.google.com/ (lien vers google.com)

Vous pouvez reconnaître que le second lien est le faux car il reste bleu lorsque vous passez votre souris dessus.

J'ai relu l'OP en diagonale : bravo et merci F2b
Mais je crois qu'il y a ces 2 liens qui doivent être corrigés pour mieux illustrer une attaque "homographique".
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
Je pense que ca serait mieux si quelqu'un ouvrait un thread sur ce "nouveau" type de hack oú les mecs utilisent ton compte sans te couper l'accès et sans que tu le saches, pour que tout le monde soit au courant, même ceux qui ne consultent pas la section Debutants. C'est inquiétant quand même...  Undecided
Je ne pense pas que ce soit un nouveau hack, mais le hacker a été assez malin pour que personne ne s'en rende compte.
Depuis ça j'ai rempli quelques infos supplémentaires dans mon profil disant que je ne trade pas et que je n'utilise pas TG.

Tu veux dire que l'IP qu'il te donne n'est pas la même que là-dessus (ou ) ?
J'attendais d'être chez moi pour te répondre. J'ai une IP fixe, mais je me disais qu'elle avait peut être changé, mais non c'est bien la même. Whatismyip me trouve bien mon IP, mais BCT ne stocke pas la même. Bizarre.
Par contre, celle du travail, pas de soucis, c'est bien la même. Et Theymos peut même connaitre mon employeur Smiley.
legendary
Activity: 2604
Merit: 2353
Je pense que ca serait mieux si quelqu'un ouvrait un thread sur ce "nouveau" type de hack oú les mecs utilisent ton compte sans te couper l'accès et sans que tu le saches, pour que tout le monde soit au courant, même ceux qui ne consultent pas la section Debutants. C'est inquiétant quand même...  Undecided
En plus ils disent sur le thread que le hacké a une part de responsabilité pour sa soi-disant négligence, même si il arrive à prouver qu'il a bien été hacké ce qui est déjà hyper dur à faire(comment prouver qu'on a pas utilisé un VPN?) du coup on peut être victime de 2 façons, soit en se faisant scammer par MP, soit en se faisant hacker et en devant assumer les conséquences alors qu'on a rien demandé... Undecided  
Ca fait un peu penser a la loi hadopi, il parait qu'ils envoient d'abord un courrier pour te prevenir que toi ou quelqu'un utilisant ton ip a telechargé illegalement et la fois suivante ils te condamnent pour negligence même si tu affirmes que ce n'est pas toi mais quelqu'un d'autre qui a utilisé cette ip...
sr. member
Activity: 812
Merit: 388
Avec le câble c'est bien ma ville qui ressort Cheesy
Au boulot c'est autre chose je suis à l’opposé de Paris.

Si tu n'as pas de VPN ou autre tu devrais avoir l'adresse de ta box. Y a un truc de bizarre je pense.
F2b
hero member
Activity: 2140
Merit: 926
Bon c'est bizarre, car dans mon IP log, je n'ai pas l'IP de ma box, mais ça doit être celle de mon FAI (région parisienne). Au moins, je n'ai pas de trace vers la Russie, Chine ou autre.
Tu veux dire que l'IP qu'il te donne n'est pas la même que là-dessus (ou ) ?

Perso j'ai bien l'IP de chez moi (qui alterne avec une autre, sûrement quand je me connecte sur mon tel en 3G/4G).
Pour les localisation, ce n'est pas d'une énorme précision, et heureusement. Perso avec les IP de ma box il y a quelque chose de l'ordre de la centaine de km d'imprécision. Et les autres IP avec lesquelles celles de ma box alternent me localisent à Paris.
staff
Activity: 2408
Merit: 2021
I find your lack of faith in Bitcoin disturbing.
A cause/grace aux mésaventures de Kenzawak, Theymos vient de créer une petite page permettant de tracer ses IP : https://bitcointalk.org/myips.php pour éventuellement voir les connexions étranges.

It's tricky to get email notifications right so that they're not too spammy. Maybe later.

For now, I added this page where you can see your IP logs for the past 30 days: https://bitcointalk.org/myips.php . You could pretty easily write a userscript to periodically check this and warn you if it's weird. (But don't scrape it on every pageload.)

I don't want to make older IP logs automatically accessible because that'd give a hacker a bunch of useful/sensitive information. But 30 days is probably not too harmful.

Bon c'est bizarre, car dans mon IP log, je n'ai pas l'IP de ma box, mais ça doit être celle de mon FAI (région parisienne). Au moins, je n'ai pas de trace vers la Russie, Chine ou autre.

Et si vous n'avez pas encore enregistré une adresse BTC (cf en OP), il n'est jamais trop tard.
F2b
hero member
Activity: 2140
Merit: 926
September 08, 2018, 04:42:20 AM
#5
sans faire de HS.....ce sont des **** car ils savaient qu'ils avaient été hacké, un mail pour avertir les abonnés aurait été sympa
Effectivement, c'est pas cool Embarrassed

Peut tu expliquer comment le modo peut savoir que tu as bien la bonne signature.
Cette methode oblige dc a avoir une paire clé publique/privé BTC ce qui n'est pas le cas de tout le monde (les BTC restant sur les exchanges) non ?
Il y a t'il des wallets online qui ont cette fonction ?

Cela nécessite effectivement d'avoir le contrôle du wallet, puisque la signature est générée à l'aide de la clé privée (mais vérifiée uniquement avec la clé publique).

Il est fortement déconseillé de garder ses fonds sur les exchanges, on sait tous que les piratages ne sont pas si rares... Mais de toute façon, pour signer un message avec une adresse Bitcoin, il ne faut pas nécessairement que cette adresse contienne quelque chose : si tu la crées uniquement pour ça et que tu ne transfères rien dessus, ça marche quand même (d'ailleurs, c'est mon cas).
Pour ce qui est des wallets online, je n'en ai aucune idée.

je te mets un merit  Cool
Merci ! Wink
member
Activity: 420
Merit: 31
September 07, 2018, 04:17:23 PM
#4
sans faire de HS.....ce sont des **** car ils savaient qu'ils avaient été hacké, un mail pour avertir les abonnés aurait été sympa

Du coup ont est beaucoup avec perdu un compte hero/legendary member

Peut tu expliquer comment le modo peut savoir que tu as bien la bonne signature.
Cette methode oblige dc a avoir une paire clé publique/privé BTC ce qui n'est pas le cas de tout le monde (les BTC restant sur les exchanges) non ?
Il y a t'il des wallets online qui ont cette fonction ?

je te mets un merit  Cool
hero member
Activity: 1036
Merit: 531
August 24, 2018, 02:59:02 AM
#3
Très bon post merci F2b, dommage que je n'ai plus de merit sinon je t'aurai fait une petit distrib.
Ca va beaucoup aidé, surtout le fait que ce soit en francais
F2b
hero member
Activity: 2140
Merit: 926
August 23, 2018, 04:52:42 AM
#2
Réservé (au cas où...)
F2b
hero member
Activity: 2140
Merit: 926
August 23, 2018, 04:52:16 AM
#1
Ceci est une traduction du post de sncc, [Guide] Bitcointalk account security (avec son accord bien entendu). Par conséquent, le terme “je” fait référence à lui.
On a peu de posts traitant de sécurité (à mon goût) dans notre section, et celui-ci regroupe plus ou moins tous les conseils utiles (et souvent indispensables) pour utiliser le forum le plus en sécurité possible. Par ailleurs, la plupart de ces conseils sont applicables également à plein d’autres sites. En plus, pour une fois j’avais le temps, donc j’en ai profité.
“NDT” = Note du traducteur (= moi)
Si des fautes se sont glissées dans cette traduction, je me ferai un plaisir de les corriger. Bonne lecture !







Tous les jours nous voyons des threads à propos de comptes piratés/bloqués, qui ne sont pas seulement des comptes débutants mais aussi des Legendary members. En plus du risque d’attaque par force brute, il y a des risques particuliers dans le système actuel et à cause de la fuite de données de 2015. La sécurité des comptes du forum a été l’un des principaux problèmes. L’amélioration de la sécurité, avec par exemple la demande de vérification par email pour le changement de mot de passe ou d’email, l’utilisation du 2FA (authentification à deux facteurs), un système automatisé de restauration des comptes, et la nouvelle version du forum avec une meilleure sécurité, serait idéale.

En attendant que ces fonctions soient implémentées, ce que nous pouvons faire est d’apprendre comment le système actuel de Bitcointalk fonctionne, comment améliorer la sécurité de votre compte Bitcointalk, ainsi que ce que vous devriez faire dans le cas où votre compte serait piraté ou bloqué. Dans ce thread, j’ai essayé de fournir un guide complet sur ces sujets. J’espère que cela aidera à réduire le nombre de comptes piratés/perdus.


Table des matières



Les bases

1. Ajoutez https://bitcointalk.org/ à vos favoris et connectez-vous toujours en passant par ce favori. Évitez bitcointalk.to, thebitcointalk.net ou n’importe quel autre site de phishing.

2. Utilisez une nouvelle adresse email.

3. Utilisez un nouveau mot de passe que vous n’utilisez pour aucun autre site, suffisamment long, utilisant une combinaison de lettres majuscules/minuscules, chiffres, et caractères spéciaux.

4. Vous pourriez paramétrer une question secrète et sa réponse pour réinitialiser votre mot de passe mais cela augmente probablement le risque que votre compte se fasse pirater. Pour plus de détails, voir les Conseils ci-dessous et Changer de mot de passe et d’email / Mot de passe oublié.

5. Ne téléchargez pas de logiciels peu sûrs / douteux, et gardez vos appareils à l’abri des logiciels malveillants.

6. Gardez vos appareils et navigateurs à jour.

7. Enregistrez votre adresse Bitcoin.  Voir Enregistrer votre adresse Bitcoinci-dessous pour plus de détails.


Conseils

Conseils pour 1. Sites de phishing

- Certains liens de phishing sont automatiquement remplacés par [phishing link] mais cette fonction ne fonctionne pas encore pour bitcointalk.to et thebitcointalk.net.

- Si jamais vous entrez vos informations de connexion sur un site de phishing, vous devriez changer immédiatement votre mot de passe sur bitcointalk.org pour éviter que votre compte ne soit piraté.

- Avant de cliquer sur un lien, vérifiez que l’URL vers laquelle il pointe est correcte. Certains navigateurs affichent l’URL lorsque vous passez votre souris sur le lien.

- Les liens vers les pages internes de bitcointalk.org deviennent verts lorsque vous passez votre souris dessus, alors que les liens vers d’autres sites restent bleus. Cette fonction vous permet de distinguer un lien vers un site de phishing même si le pirate prétend qu’il s’agît d’un lien interne. Exemple de faux lien utilisant une attaque homographique :

Vrai Bitcointalk
Faux Bitcointalk (lien vers google.com)

Vous pouvez reconnaître que le second lien est le faux car il reste bleu lorsque vous passez votre souris dessus.

- Il y a un moyen d’éviter que votre ordinateur n’accède à des sites de phishing en éditant le fichier hôtes. Pour plus de détails, voir ce post en anglais par LoyceV.


Conseils pour 2. Adresse email

- Gmail vous permet d’avoir un alias, mais dans ce cas l’adresse mail originale est exposée puisque pour une adresse Gmail [email protected] l’alias sera exemple+xxx@gmail.com, sachant que vous ne pourrez choisir que les lettres xxx.

- Évitez les adresses jetables de type Yopmail car n’importe qui peut accéder à ces adresses.


Conseils pour 3. Mot de passe

- Comme mot de passe, n’utilisez pas des mots du dictionnaire, votre date de naissance, le nom de votre animal de compagnie, votre numéro de téléphone, ou quelque chose qui soit facile à deviner pour les pirates ou fait partie des 25 pires mots de passe de 2017.

- Depuis la fuite de mots de passe qui a eu lieu en 2015, si vous êtes sur le forum depuis 2015 ou plus tôt et n’avez pas changé votre mot de passe, il est recommandé de le changer.

- Si vous utilisez la fonction d’autocomplétion de votre navigateur, voyez si celui-ci vérifie l’URL ou entre simplement le mot de passe sans vérification. Dans le deuxième cas, je vous conseille de désactiver l’autocomplétion. Même dans le premier cas, la règle peut changer avec une mise à jour, donc il faut rester vigilent.

- Vous pouvez utiliser l’option “Always stay logged in” (Rester connecté) pour ne pas avoir à entrer le mot de passe à chaque fois.

- Pour les gestionnaires de mot de passe, voir par exemple [EN] The Five Best Password Managers ou le thread [FR] Gestionnaire de mot de passe. Keepass.


Conseils pour 4. Question secrète

- Il y a plusieurs choses importantes à savoir à propos de cette fonction.

1) Il n’y a pas de processus de vérification par email, donc cette question secrète est susceptible d’augmenter le risque que votre compte se fasse pirater ou bloquer.

2) Si la réinitialisation du mot de passe via la question secrète est utilisée, votre compte sera bloqué, et vous devrez suivre le processus Débloquer votre compte. Si le compte est sous votre contrôle, cette fonction est plutôt un inconvénient. S’il est piraté, vous pouvez utiliser cette fonction pour bloquer le compte, mais ce cas serait rare car le pirate est susceptible de changer cette question secrète et vous avez d’autres options pour bloquer votre compte à partir de l’email de notification de changement d’email jusqu’à 14 jours après la réception de celui-ci.

3) Vous pouvez supprimer la question secrète et sa réponse (voir ce post en anglais).


Conseils pour 5. Logiciels douteux

- Vous pouvez utiliser une machine virtuelle pour ces logiciels ou wallets peu sûrs.



Changer de mot de passe et d’email / Mot de passe oublié

- Vous pouvez changer de mot de passe via

1) La page de votre Profil

2) Le lien “Forgot password” (Mot de passe oublié) sur la page de connexion

3) La fonction de réinitialisation du mot de passe par question secrète. Notez que dans ce cas votre compte sera bloqué.

- Sur la page Trust, un changement ou une réinitialisation du mot de passe par les méthodes 1) et 2) est visible pendant 3 jours, alors qu’une réinitialisation par la méthode 3) est visible pendant 30 jours. Tous sont visibles sur la page de log de sécurité (seclog) pendant 30 jours.

- Vous pouvez changer d’adresse email à partir de la page de votre Profil. Les changements d’email sont également visibles sur votre page Trust.

- Lorsque vous changez de mot de passe ou d’email, un email de notification est envoyé à votre (ancienne) adresse email.


Conseils

Conseils pour 2) “Mot de passe oublié”

Cliquez sur le lien “Forgot your password?” sur la page de connexion.
Après avoir entré votre pseudo ou votre email, cliquez sur “send”.
Vous recevrez l’email suivant, avec le lien permettant de réinitialiser votre mot de passe.

An Error Has Occurred!
 
Sorry, there is no secret question set for this member.




Enregistrer votre adresse Bitcoin

Enregistrer votre adresse bitcoin est la manière la plus efficace de prouver la possession de votre compte Bitcointalk. Si votre compte est piraté, le pirate peut éditer / supprimer vos précédents posts mais votre adresse postée et citée (balise quote) par un autre membre dans un thread prévu à cet effet ne peut pas être modifiée tant que le pirate n’a pas accès au compte de la personne qui a cité votre message et modifie le post contenant la citation. Par conséquent, vous pouvez prouver que vous êtes le propriétaire original du compte en signant un message à l’aide de l’adresse Bitcoin postée. (NDT : le terme enregistrer a été utilisé pour traduire stake, faute de mieux)

1. Générez un message signé en suivant le tutoriel [TUTO] Comment signer un message (Bitcoin), en utilisant votre adresse Bitcoin, dont vous contrôlez la clé privée. Les adresses utilisant l’ancien format (1....) peuvent être préférables aux adresses Segwit car tout le monde peut vérifier les messages émis par ces adresses.
Exemple :

Code:
-----BEGIN BITCOIN SIGNED MESSAGE-----
This is at bitcointalk.org. The current date is .
-----BEGIN SIGNATURE-----


-----END BITCOIN SIGNED MESSAGE-----

2. Avant de poster un message signé, vérifiez-le par vous-même avec Brainwallet, Blockexplorer, etc.

3. Postez votre message signé avec votre adresse dans le thread Stake your Bitcoin address here de Tomatocage.

4. Vérifiez si votre message est cité et vérifié correctement par d’autres membres du forum.




Bloquer votre compte

Un compte est bloqué si

1) Vous réinitialisez votre mot de passe à partir de la question secrète. (Voir : PSA: ACCOUNTS WILL BE LOCKED IF THE SECRET QUESTION IS USED TO RECOVER IT)

2) Vous le demandez via le lien de l’email de notification de changement d’adresse email du compte.

3) Vous vous connectez après une longue période d’inactivité. (NDT : combien de temps, au juste ?)

Lorsque votre compte est bloqué, vous ne pouvez pas vous connecter et le message d’erreur suivant apparait :

1. Je me suis connecté à mon compte en utilisant la fonction “Forgot password” (Mot de passe oublié). Puis un lien de récupération a été envoyé à l’adresse Yopmail, qui peut être utilisé pour changer le mot de passe du compte.
2. Après avoir changé le mot de passe de mon compte, j’ai aussi changé l’adresse email, et ajouté une nouvelle question de sécurité pour plus de sécurité. (NDT : en contradiction avec ce qui est dit plus haut)
3. Ensuite, j’ai supprimé tous les mails du forum sur l’adresse Yopmail pour éviter que le pirate annule mes changements ou bloque mon compte.




Restauration de votre compte piraté ou perdu

C’est le dernier recours, mais n’en attendez pas trop, car la restauration des comptes semble n’avoir qu’une faible priorité pour les admins et cela prend généralement longtemps, ou il y des chances que votre compte finisse par ne jamais être restauré. L’annonce officielle de theymos : Recovering hacked accounts or accounts with lost passwords

1. Signez un message à l’aide de l’adresse BTC que vous avez enregistré (NDT : postée, citée, voir ci-dessus) pour prouver la possession du compte piraté. Exemple :

Code:
-----BEGIN BITCOIN SIGNED MESSAGE-----
My account has been hacked/lost.
Please reset the email to . The current date is .
-----BEGIN SIGNATURE-----


-----END BITCOIN SIGNED MESSAGE-----

2. Avant d’envoyer le message signé aux modérateurs, vérifiez-le vous-mêmes avec Brainwallet, Blockexplorer, etc.

3. Créez un compte temporaire utilisant une adresse email différente de celle que vous voulez utiliser pour le compte piraté/perdu.

4. Envoyez un message privé à theymos, Cyrus, incluant le message signé et le lien vers le post où vous avez enregistré votre adresse Bitcoin.


Typiquement cela prendra du temps, de quelques mois à années, pendant lequel vous pouvez éventuellement essayer les processus suivants :

5. Créer un thread en section Meta avec votre compte temporaire.

6. Demander à des membres de vérifier si votre MP incluait toutes les informations nécessaires à la restauration du compte.

7. Demandez à un membre DT (Default Trust) de red-truster votre compte piraté avec un message signé comme preuve qu’il s’agît bien de votre compte.


Conseils

Conseils pour 1. Adresse Bitcoin

Si vous n’avez pas enregistré votre adresse Bitcoin, vous pouvez toujours chercher d’autres options pour prouver qu’il s’agît de votre compte. Par exemple, bien que ce ne soit pas la meilleure option, cela peut être votre adresse dans la spreadsheet / feuille de calcul d’une campagne bounty (/ de primes) (le pirate ne peut pas l’éditer), une adresse postée dans la Place de marché ou un thread bounty (mais le pirate peut les éditer / les supprimer si elle n’est pas citée par d’autres membres), ou une adresse renseignée sur votre profil (le pirate peut la modifier / la supprimer) (NDT : dans les deux derniers cas, pensez à archiver la page). Elles peuvent servir de preuve mais le mieux reste d’enregistrer votre adresse à l’avance.

Conseils pour 3. MP

La première fois que vous envoyez un message privé est la plus importante, assurez-vous d’avoir inclus toutes les informations nécessaires pour les admins, autrement vous perdrez votre chance.

Conseils pour 5. Bump

Un bump est autorisé pour chaque 24 heures.

Conseils pour 7. Red trust

Le red trust montre que le compte est piraté, et évite que le hacker n’utilise votre compte, par exemple, pour des campagnes bounty (/ de primes), sur la Place de marché, pour le revendre, et réduit les chances que d’autres membres soient arnaqués par le pirate. Une fois que vous avez récupéré votre compte, vous devrez demander au membre DT (Default Trust) de supprimer le red trust en fournissant un message signé notifiant la récupération de votre compte.




Cas récents de restauration de comptes

Parmi les nombreux comptes étant en attente de restauration depuis longtemps, il y a quelques personnes chanceuses qui ont réussi à faire restaurer leur compte piraté ou perdu. Cependant, les choses ne se passent pas toujours comme dans ces exemples et la situation peut changer, donc n’espérez pas trop si vous êtes dans la même situation.


Compte : LTU_btc Hero
 
Thread : Hacked account recovery. Cyrus, please help 17 novembre 2017

LTU_btc s’est rendu compte que son compte avait été piraté grâce au mail de notification de changement de mot de passe et/ou d’email, et peu après cela il a bloqué le compte en utilisant le lien de l’email. Il a créé un compte temporaire LTU_btc/2, et a envoyé un MP à Cyrus avec un message signé par l’adresse Bitcoin auparavant enregistrée. Heureusement le processus a été très rapide, et il a retrouvé son compte en seulement quelques jours.


Compte : Shazam!!! Full Member
 
Thread : Need help with Unlock---Please 12 décembre 2017

Shazam!!! est resté inactif pendant des années après que les hashs des mots de passe aient fuité en 2015. Les comptes concernés ont été bloqués automatiquement à cause du haut risque de piratage. Quand il a essayé de se connecter de nouveau fin 2017, il a remarqué que le compte était bloqué. Il a envoyé un MP à Cyrus de son compte temporaire !!!Shazam!!! avec un message signé. Cependant, il n’avait pas enregistré son adresse dans le thread de Tomatocage. Heureusement, Vod et minifrij l’ont aidé à trouver son adresse postée dans plusieurs threads de bounty en 2015. À proprement parler, si le compte a été piraté, le pirate peut modifier / supprimer tous les posts précédents pour que l’adresse, non citée par d’autres membres, soit une preuve plus faible. Hilariousandco l’a aussi aidé et a envoyé des MP à theymos et Cyrus. Le compte a été débloqué le jour de l’ouverture du topic. Après avoir récupéré son compte, Shazam!!! A immédiatement posté son adresse dans .


Compte : [url=https://bitcointalk.org/index.php?action=profile;u=361655]premium_domainer
Legendary (Attention, traduction nullissime, j’ai rien compris à ce qui était écrit)
 
Thread : Account Regained with the help of Loyce. Thank you all 10 janvier 2018
 
Ce cas est un peu délicat. BitcoinBazaar.net est un compte temporaire créé pour demander la restauration du compte premium_domainer qui avait été déclaré comme piraté, mais il a été découvert plus tard que le compte avait été vendu, [[alors que sur le thread la façon dont il avait été acheté n’était pas claire]]. Le propriétaire n’avait pas enregistré son adresse, c’est pourquoi LoyceV a fourni beaucoup d’efforts pour confirmer la possession du compte. LoyceV a ouvert un thread pour demander comment aider BitcoinBazaar.net et a résolu [[le bug de la clé privée incomplète pour l’accès en lecture seule sur blockchain.info]]. Cela a attiré l’attention des DT et le compte piraté a été red-trusté. Mais le compte n’a pas été récupéré, et BitcoinBazaar.net continuait de bumper le thread. 6 mois après l’OP, l’acheteur du compte a finalement demandé 200$ pour rendre le compte. Il a posté un mot de passe dans le thread, en disant que s’il ne payait pas les 200$ le compte serait bloqué. Comme vous le voyez cette approche a une faille car l’admin peut débloquer le compte. L’acheteur a dû le remarquer et a supprimé le post. Cependant, LoyceV a remarqué le post avant qu’il ne soit supprimé, et a immédiatement repris le compte. Plus tard, LoyceV a rendu son compte à BitcoinBazaar.net.


Compte : Swenna Full Member
 
Thread : Hacked and Changed Email addresses Account using Yopmail accounts 15 juillet 2018

Comme mentionné plus haut, ce thread vous indique comment récupérer votre compte vous-même si le pirate utilise Yopmail. Récemment, plusieurs comptes ont été piratés avec la même adresse IP utilisant des adresses Yopmail comme nouvelles adresses. Les adresses Yopmail sont des adresses email jetables qui ne nécessitent pas d’authentification. Cela signifie que vous pouvez aussi accéder à l’adresse Yopmail du pirate et changer l’email enregistré dans votre Profil pour remettre le vôtre, en suivant cette méthode :

1. Je me suis connecté à mon compte en utilisant la fonction “Forgot password” (Mot de passe oublié). Puis un lien de récupération a été envoyé à l’adresse Yopmail, qui peut être utilisé pour changer le mot de passe du compte.
2. Après avoir changé le mot de passe de mon compte, j’ai aussi changé l’adresse email, et ajouté une nouvelle question de sécurité pour plus de sécurité. (NDT : en contradiction avec ce qui est dit plus haut)
3. Ensuite, j’ai supprimé tous les mails du forum sur l’adresse Yopmail pour éviter que le pirate annule mes changements ou bloque mon compte.
Jump to: