Topic: Pc trading: sécurité contre le hack? (Read 604 times)

J'ai trouvé un post de satoshi qui explique sa philosophie concernant cette question :

1/C'est beaucoup plus rentable d'utiliser sa puissance de calcul pour miner un bloc que pour chercher des clefs privées utilisées.

2/Apparement pour lui on est pas censé stocker tous ses fonds à une même adresse, mais sur plusieurs adresses liées à son wallet... Là je suis plus dubitatif, à cause des exchanges, des web wallets et surtout des fees les gens ne font pas cela.
De plus le fait de pouvoir checker ses fonds détenus à une adresse(et non son wallet) via la blockchain, ainsi que la possibilité de pouvoir importer une adresse seule, ne rend pas vraiment naturel l'utilisation par wallet.

Pour en revenir à ces calculs, ça reste à mon avis tres theorique.
Dans la réalité les gens utilisent les mêmes logiciels et materiels pour générer les clés, la distribution est donc loin d'être parfaitement equiprobable amha.
Bitaddress qui impose de bouger sa souris dans tous les sens pendant plusieurs minutes, affirme que les methodes informatiques seront toujours moins fiables que l'utilisation d'un simple dé.
Pourtant un dé réel n'est par définition pas parfait, pas parfaitement équilibré. Il a forcément un balourd.
Sur n lancés le balourd va ressortir plus d'une fois sur 6.
Les séquences qui comportent l'occurence du balourd moins d'une 1/6 fois(16,66%) ont donc beaucoup moins de chances de sortir, voir quasiment aucune si elles sont longues.

Si on veut attaquer une clé créé par cette méthode on peut tranquillement éliminer toutes les combinaisons de 99 chiffres(de base 6) qui ne comportent pas un chiffre présent plus de 17 voir même 20 fois...
Par ailleurs personne ne va utiliser non plus un dé complètement pipé pour ça. Un dé qui sort le même chiffre une fois sur deux lancés va être écarté. Donc on peut également éliminer toutes les combinaisons comportant un chiffre présent plus 40fois, voir moins.
Au final seules les combinaisons comportant un chiffre présent entre 20 et 40fois restent probables.

Oui, ok !
Et sinon, un virus peut enlever la protection en écriture d'une carte SD qui a été verrouillée physiquement par un bouton sur la carte SD ?

Merci à tous!
HC

Si tu boot  la clef, elle virtualise un linux il monte en mémoire vive mais n'existe pas "en dur" et ta partition de disque dur n'est pas amorcée mais le système,reconnaît, index
quand même le disque alors jusqu'à quel point ?

Salut,
Alors pour linux Ubuntu, c'est 95% identique a windows.
On s'y fait tres vite et pour faire des trucs de bases tu n'a pas besoin de la console (tu te souviens du film Matrix ?) tout est via interface graphique (comme sur windows ou Mac).

Le linux boot uniquement sur la clef USB (ou le CD), il n'installe rien sur le SSD.
Ton windows ne remarquera rien.

Je voudrais pas dire de connerie (verifie peut etre sur google).
Mais avec une clef usb live linux, tu peux aller sur un PC super verole, et rester immune aux virus, vu que c'est vraiment deux partitions a part et que tout ce passe sur ta clef usb.

Okay, c'est bon j'ai compris ... j'accepte ce que j'ai toujours voulu ne jamais voir ahaha ...Bon bah on va laisser couler alors et esperer juste que l'épée de damocles ne va pas nous tomber dessus !


Mhmm je ne connaissais pas cette technique ! Elle est bien !!! Après c'est vrai que je ne suis pas un pro niveau informatique et je n'ai jaaaamais touché à linux ubuntu. Je vais qd même regarder en plus de ma méthode où je n'ai pas à rebooter l'ordi, avec laquelle je suis plus à l'aise pour l'instant !
Je me pose une question sur la méthode du reboot en linux : il n'y a pas de risque qu'un virus se planque dans la bécane (dans la carte mère / carte graphique) et infecte à chaque fois tout nouveau OS qui est installé ?
Autre question à ce sujet : qd je vais rebooter sur linux ubuntu depuis ma clef USB, mon windows de base (celui avec qui je créé mes portefeuils et qui est déconnecté d'internet) sera tjrs dans la bécanne sur mon SSD. Techniquement, il me semble qu'un virus pourrait alors passer de Linux à mon windows SSD, il doit bien y avoir un chemin puisque les deux auront du matériel informatique en commun ?
Je sais là ça devient un peu tiré par les cheveux mais c'est plus une question perso et d’intérêt informatique, de manière générale.


Oui c'est ça, pour passer du PC connecté à internet à mon PC déconnecté d'internet je passe par clef USB. Sauf que cette clef USB est bloquée en écriture quand elle va sur le PC déconnecté d'internet. Comme ça si un virus infecte ma clef USB via mon ordi connecté à internet, certes elle va me foutre le virus sur le PC déconnecté d'internet mais après il ne pourra pas transmettre les infos au hacker pq l'ordi est deco d'internet et que la clef est bloquée en écriture. Bien sûr je fais tout pour de base éviter un virus sur l'ordi connecté à internet. Vous en pensez quoi ?

Merci beaucoup pour toutes vos réponses !!
HC

J'ai edite mon message

Ce n'est pas une histoire d'adresse de reception, c'est bien la generation des wallets qui a bugué.
Blockchain l'a d'ailleurs humblement reconnu.

https://blog.blockchain.com/2015/05/28/android-wallet-security-update/

EDIT : ah oui en effet ! /EDIT

Les ordinateurs quantique ? oui pourquoi pas. Mais ce sera plus rentable de calculer un bloc (et donc d'avoir 12.5BTC) que de calcule une clef privee.

Donc un conseil, ne pas stocker plus que la valeur de reward d'un bloc

@cestmoi Merci pour cette explication meritante noob  

Sinon, sans vouloir faire peur il faut quand même noter, qu'il y a bien eu des utilisateurs qui se sont retrouvés avec la même adresse à la suite d'un bug de génération.
C'est notamment arrivé sur l'app de Blockchain pour android en 2015
https://arstechnica.com/information-technology/2015/05/crypto-flaws-in-blockchain-android-app-sent-bitcoins-to-the-wrong-address/

Il y a une théorie qui circule à propos des ordinateurs quantiques, qui potentiellement pourraient y arriver. Mais bon, cela n'est qu'une théorie.

Tu a complètement raison.
c'est en théorie possible, peut être que ca arrivera un jour mais aussi très peu probable.

Tu a plus de chance de trouver un ticket de lotto gagnant  sur le sol tous les jours pendant une semaine que d;avoir ton wallet duplique car quelqu'un d'autre a cause d'une collision de HASH

Concerant le risque de colision

Reponse d'un autre membre en 2012  :




source : https://bitcointalksearch.org/topic/m.1143828


J'ai pas verifie le calcul

Sinon ce lien confirme aussi la quote precedente
https://crypto.stackexchange.com/questions/33821/how-to-deal-with-collisions-in-bitcoin-addresses

C'est parce qu'il ne faut pas le dire mais il n'y a aucune verification de "préemption" lorsque tu crées un "wallet".
Un wallet c'est juste une clé privée.
Et comme tu l'auras compris puisqu'il n'y a pas de verification d'existence tu peux te retrouver avec la clef privée d'un wallet qui existe déja et qui est utilisé par quelqu'un d'autre...
BTC et les altcoins utilisant ce système comptent juste sur le fait que le nombre d'adresses possibles est tellement grand qu'il serait soi-disant impossible de générer 2fois la même adresse  
Je n'ai jamais compris cette logique : si on prend une personne qui joue au loto la probabilité qu'elle gagne est infinitésimale et relève de l'improbable. Pourtant il y a bien des gagnants!

(Si je dis une bêtise qu'un pro me corrige et m'explique)

Bonjour HC

As tu pense a te faire un LIVE CD ou un LIVE USB avec linux Ubuntu (ou Mint) ?
(si tu en fait, va sur le site officiel de Ububtu)  : https://www.ubuntu.com/download/desktop

Tu lance n’importe-quel PC, au démarrage tu presse F12 ou DEL (selon ta bécane) pendant le BIOS.

Tu démarre depuis la clef usb (o ule CD)  et cela te fait un environment linux a usage unique (rien de sera sauvegarde sur ton pc ou sur la clef usb).


Quel est l'avantage ?

Et bien si tu connait l’adresse du site web ou tu veux aller, tu peux t'y rendre depuis ce CD ou USB sans craindre un virus, un key logger ou quoique ce soit.

Donc tu peux aller sur le siteweb de wave et faire ta manip sur un PC "vierge" qui n'a jamais ete sur le net avant.
Et en utilisant Linux aucun risque de virus (si tu te contente de juste faire la manip indique plus haut).

PS : un USB live est bien plus rapid qu'un CD live



Tu passe comment d'un PC a l'autre ? par clef usb ?
assure toi que ton premier PC n'a pas de virus.



Sinon, non le ledger n'ont pas ete hacke.
Il ont vendu 1.3 million d'unite sans hack.

Les hardware wallet (trezor, ledger....) sont le future.... juste pas celui de John McAffee haha

Salut cestmoi,

J'ai envisagé d'acheter un ledger ou un trezor mais finalement ça ne me convient pas Je cherche vraiment une méthode avec le moins d'outils extérieurs possibles. J'avais également lu que le ledger avait été hacké par un jeune de 15 ans. Alors vrai ou pas certains disent oui, d'autres non. Mais des failles auraient été découvertes. Du coup je prends mes distances avec ledger, trezor.  Et j'envisage également de prendre des coins qui ne sont pas supportés par le ledger ou le trezor. Du coup je vais me retrouver tjrs avec le même problème dans quelques temps.

J'essaie vraiment d'avoir juste avec un pc, déconnecté d'internet, ou un papier et un crayon pour sauvegarder mes coins. La méthode myetherwallet est "géniale". Tu peux même envoyer des coins en offline ! Pour l'instant la seule méthode que j'ai pu trouver depuis hier pour komodo, neo et waves, c'est :

Komodo : utiliser le paperwallet generator selon ce tuto qui provient du site officiel de komodo : https://support.komodoplatform.com/support/solutions/articles/29000024508-paper-wallet-guide. Alors oui je télécharge un générateur sur internet. Mais c'est depuis le site officiel et ensuite je vais l'utiliser sur un autre ordi qui n'est jamais connecté à internet ... Donc là je suis rassuré. Donnez votre avis

Neo : je vais sur cette page : https://snowypowers.github.io/ansy/ (qui vient du site officiel), je la télécharge sur mon pc pour pouvoir l'utiliser en offline. J'ai essayé et j'ai pu créer un paper wallet avec clef publique et clef privée en offline depuis la page préalablement téléchargée. Après je n'ai pas vérifié la nouvelle adresse créée en envoyant quelques centimes de neo dessus. Mais en tout cas la nouvelle adresse apparaît sur neotracker, la blockchain explorer de neo. Le seul hic, c'est que là, contrairement à myetherwallet, je ne peux pas faire de transaction offline. Le jour où je vais envoyer mes coins quelque part, ça va être depuis internet pour envoyer tout de suite sur un exange et convertir en euro. Après ça, mes clefs auront été sur le web et donc le portefeuille en question comprendra un risque d'être hacké. Il faudra alors en faire un nouveau. Comme je suis un holder, ça ne me dérange pas. Si quelqu'un sait comment envoyer en offline, je suis preneur !! Sinon donnez votre avis

Waves : Pour waves, exactement la meme methode que pour neo. J'ai juste eu un petit blocage quand j'ai voulu créer l'adresse wallet depuis ma page offline lancée en local. Pour que ça fonctionne, il a fallu que je fasse d'abord une adresse wallet (= la clef publique) depuis le site de waves en étant connecté à internet. Ensuite j'ai relancé le client web (avec internet d'activé) avec cette première adresse mais en étant déconnecté de celle-ci, c'est-à-dire là où ils demandent d'entrer le mot de passe (la private key). A ce moment là j'ai téléchargé la page alors pour pouvoir l'utiliser en offline. J'ai déconnecté internet et j'ai lancé cette page en local. Cette page s'est ouverte donc sur la première adresse créée, là où on me demandait le mot de passe. Au lieu de me connecter à cette adresse, j'ai fait "create new adress" et c'est alorsà ce moment seulement où j'ai pu suivre les instruction et créer une nouvelle adresse et cette fois-ci avec internet déconnecté. Voilà, là aussi je suis interessé par votre avis sur ma méthode pour waves.


Encore merci à vous tous et à ceux qui liront !
HC

Pour neo et waves, pourquoi ne pas utiliser un Ledger Nano S.

https://support.ledger.com/hc/en-us/articles/115005304449-Supported-crypto-assets

Aucun risque (a prioris) de hack possible.
Le neo wallet est gere par le nano S et waves est genere via le nano S sur l'interface web de waves.

Tu peux sauvergarder ta seed ou tu veux.


J'ai deux nano S et c'est juste au top (et c'est Francais !)

Bonjour tout le monde !

Merci Seekoin grâce à toi et aux autres le puzzle commence à se former ahah !
Et oui, pas de wallet semble être le plus sûr. Je suis d'ailleurs en train de passer mes quelques coins sur du coldstorage. Pour mes coins ERC20, c'est facile, j'ai myetherwallet qui a mâché tout le travail et qui nous permet de générer un portefeuille offline.
Mais pour beaucoup d'autres coins, je n'arrive pas à agir comme avec myetherwallet. J'ai du komodo, du waves et du neo qui restent sur exange pq je n'ai pas trouvé comment les envoyer sur un wallet créé à partir d'un pc offline.

Pour komodo, il me semble que je peux générer clef privée et publique en offline avec le même principe que myetherwllet offline en téléchargeant la page internet lancée en local depuis ce site : https://github.com/SuperNETorg/KomodoPaperWalletGenerator Qu'en pensez-vous ?

En revanche pour waves et neo, je dois tout faire depuis un wallet qui doit être téléchargé directement sur le pc qui doit rester connecté à internet et je trouve cela dangereux. Ça rend le hack possible. Comment puis-je alors pour ces coins créer un clef publique/privée depuis un pc totalement offline (comme pour komodo ou ethreum) avec waves ou neo ?

Merci beaucoup
HC

Tu n'es pas obligé de télécharger toute la Blockchain si tu utilises un client SPV: il va juste te charger certains entêtes.
Pour ta deuxième question, la Blockchain se moque toujours de l'appartenance des adresses: la transaction se fera toujours, même si l'adresse de destination n'a pas de réel propriétaire.

Ce qui est par contre important, c'est la possibilité de signer une transaction pour envoyer des fonds, et là il est nécessaire de le faire via une clé privée. Le truc que tu dois comprendre, c'est qu'un wallet ne stock aucune valeur, mais qu'il ne te sert uniquement à signer une transaction.

Pour info, j'ai du Bitcoin Cash et pour ce dernier, je n'ai même pas de wallet, puisque je me contente d'en accumuler. Bien entendu, j'ai les clés privées cachées quelque part, pour le jour où je voudrais en vendre.

La meilleure des protections, c'est de ne pas avoir de wallet; étonnant, non ?

Je pense que cela constitut dejas le niveau moyen de securite.