Pages:
Author

Topic: Utiliser un smartphone avec un porte-monnaie papier est simple et sans risque ! (Read 446 times)

member
Activity: 238
Merit: 19
Bonjour,

En images la procédure est ici : http://bitcoin.wikeo.net/payer-en-bitcoins.html

Il est effectivement possible d'importer des clés privées dans l'appli en question qui est Mycelium.

Mais pour payer comme j'explique dans cette procédure, la clé privée n'est pas importée, elle est seulement utilisée au moment de la lecture du QR-Code pour chiffrer la transaction de paiement. Lorsque Mycelium est quitté, la clé privée est jetée automatiquement, elle n'est pas conservée en mémoire.
Difficile d'être plus clair et plus précis. [pouce bleu] Grin
Merci encore, etc.etc. ! Wink
Et bravo pour cette maxime : "Lourde est l'enclume de la réalité qui s'abat sur la tartelette aux framboises de nos illusions"
member
Activity: 229
Merit: 71
bonjour
Tu affirmes sur ce thread qu'il peut être aussi simple et sécurisé d'utiliser un paper wallet qu'un hardware wallet.
Je suppose que tu fais allusion à cette procédure-ci.
Cependant sans images, il est assez dur de se représenter les choses si on ne dispose pas de l'appli dont il est question.
Peut-on trouver des images sur ton blog ou ailleurs de cette manipulation?
Lorsque tu dis que tu n'importes pas la clef privée, est-ce que tu veux dire que tu l'importes mais que tu la supprimes juste après l'avoir utilisée ou que l'appli permet réellement d'utiliser la clef pour la transaction sans avoir besoin de l'importer?
Bonjour,

En images la procédure est ici : http://bitcoin.wikeo.net/payer-en-bitcoins.html

Il est effectivement possible d'importer des clés privées dans l'appli en question qui est Mycelium.

Mais pour payer comme j'explique dans cette procédure, la clé privée n'est pas importée, elle est seulement utilisée au moment de la lecture du QR-Code pour chiffrer la transaction de paiement. Lorsque Mycelium est quitté, la clé privée est jetée automatiquement, elle n'est pas conservée en mémoire.

legendary
Activity: 2604
Merit: 2353
D'autre part j'ai installé Mycelium sur mon smartphone. Même si c'est un bon produit, je ne m'en sers pas de portefeuille électronique avec ses clés et toutes ses options. En fait il reste vide, et je n'y importe aucune clé. Mycelium communique avec le réseau bitcoin au moyen de la connexion 4G ou WiFi du smartphone, et il ne va me servir que d'outil de transfert.

Le déroulement d'un paiement est très simple :
- je scanne le QR Code de la clé privée
- je saisie le code secret qui permet de décoder la clé privée
- je vérifie que le montant disponible du porte-monnaie papier est celui que je connais
- je saisie le montant à payer
- je scanne le QR Code de la clé publique du destinataire
- je valide et je ferme l'application.
bonjour
Tu affirmes sur ce thread qu'il peut être aussi simple et sécurisé d'utiliser un paper wallet qu'un hardware wallet.
Je suppose que tu fais allusion à cette procédure-ci.
Cependant sans images, il est assez dur de se représenter les choses si on ne dispose pas de l'appli dont il est question.
Peut-on trouver des images sur ton blog ou ailleurs de cette manipulation?
Lorsque tu dis que tu n'importes pas la clef privée, est-ce que tu veux dire que tu l'importes mais que tu la supprimes juste après l'avoir utilisée ou que l'appli permet réellement d'utiliser la clef pour la transaction sans avoir besoin de l'importer?
hero member
Activity: 1036
Merit: 531
Débat fort intéressant ! J'ai appris pas mal de choses. Smiley

Pour compléter la dernière phrase, le risque 0 n'existe pas, en effet.
Mais comme le disent la plupart des spécialistes en sécurité, tout est une question de proportions.
C'est-à-dire qu'on prendra beaucoup de précautions importantes pour protéger une valeur élevée, mais qu'on peut se contenter de protections plus sommaires pour des valeurs moindres.
Par ailleurs, il faut que la difficulté pour briser une protection, donc le coût des moyens à mettre en œuvre, soit dissuasive par rapport à la valeur convoitée.
Enfin, l'efficacité d'une protection se mesure au temps qu'il faudrait pour la surmonter.
Ce qui est d'ailleurs illustré par le principe des paires de clés : le coût des moyens à mettre en œuvre et la durée nécessaire pour reconstituer une clé privée rendent la réalisation d'une telle entreprise complètement illusoire. Wink

Je rejoins ce que tu dis, après et dans certains cas, parfois à trop vouloir sécuriser on se saborde soit même. L'exemple simple, l'activation du 2fa pour se sécuriser, ou si tu ne fais pas en sorte d'effectuer une copie de ton code ou qrcode en cas de perte tu perds tout.
member
Activity: 266
Merit: 12
Niveau sécurité c'est parfois une bonne chose d'être parano... Surtout quand on parle de crypto monnaies Wink
member
Activity: 238
Merit: 19
Débat fort intéressant ! J'ai appris pas mal de choses. Smiley

Pour compléter la dernière phrase, le risque 0 n'existe pas, en effet.
Mais comme le disent la plupart des spécialistes en sécurité, tout est une question de proportions.
C'est-à-dire qu'on prendra beaucoup de précautions importantes pour protéger une valeur élevée, mais qu'on peut se contenter de protections plus sommaires pour des valeurs moindres.
Par ailleurs, il faut que la difficulté pour briser une protection, donc le coût des moyens à mettre en œuvre, soit dissuasive par rapport à la valeur convoitée.
Enfin, l'efficacité d'une protection se mesure au temps qu'il faudrait pour la surmonter.
Ce qui est d'ailleurs illustré par le principe des paires de clés : le coût des moyens à mettre en œuvre et la durée nécessaire pour reconstituer une clé privée rendent la réalisation d'une telle entreprise complètement illusoire. Wink
member
Activity: 229
Merit: 71

Il est vexé?  Grin
Kiss

Apres à mon sens peu importe le systeme, le risque 0 n'existe pas
C'est vrai, et les ennuis arrivent quelquefois par où on ne les attends pas.

hero member
Activity: 1036
Merit: 531
Il est vexé?  Grin
Oui ça peut faire un peu "parano" comme tu dis, mais c'est toi qui as commencé à parler d'intervention physique juste au-dessus avec ton histoire de home jacking par on ne sait qui.
Moi je continue à penser que le risque le plus concret est celui de l'entourage qui sait que tu possèdes des BTC.
Il n'y a par exemple  pas besoin d'être une veuve noire pour vider le compte joint avant de quitter son mari, ce n'est que la triste banalité de la vie... et d'ailleurs paradoxalement une utilisation des cryptos est justement la mise à l'abris de fonds en prévision de potentiels divorces "confiscatoires" donc pas sûrs que toutes les futurs divorcées acceptent de se laisser "avoir" si facilement et s'asseoient gentiment sur leur dû...
Mais outre la famille, ça pourrait être aussi un collègue, un "ami", un coloc pour ceux qui habitent en colocation, etc.  Bref ça n'a rien d'inconcevable, c'est juste le pendant du keylogger materiel branché discrètement sur l'ordi de la maison : c'est rarement un inconnu qui va venir brancher un keylogger chez toi...
Mais je note néanmoins que la solution de réinstaller l'appli systematiquement évite ce risque.

Il est vrai que pour ce type de truc, c'est malheureusement souvent l'entourage qui est en cause, du à une meilleure connaissance "du terrain", un peu comme les cambriolage ou les 3/4 du temps c'est l'entourage ou le voisinage apparement.
Apres à mon sens peu importe le systeme, le risque 0 n'existe pas
legendary
Activity: 2604
Merit: 2353
Il est vexé?  Grin
Oui ça peut faire un peu "parano" comme tu dis, mais c'est toi qui as commencé à parler d'intervention physique juste au-dessus avec ton histoire de home jacking par on ne sait qui.
Moi je continue à penser que le risque le plus concret est celui de l'entourage qui sait que tu possèdes des BTC.
Il n'y a par exemple pas besoin d'être une veuve noire pour vider le compte joint du foyer avant de quitter son mari, ce n'est que la triste banalité de la vie... et d'ailleurs paradoxalement une utilisation des cryptos est justement la mise à l'abris de fonds en prévision de potentiels divorces "confiscatoires"(c'est moins cher et compliqué qu'un compte offshore) donc pas sûr que toutes les futures divorcées acceptent de se laisser "avoir" si facilement et s'asseoient gentiment sur leur dû...
Mais outre la famille, ça pourrait être aussi un collègue, un "ami", un coloc pour ceux qui habitent en colocation, etc.  Bref ça n'a rien d'inconcevable, c'est juste le pendant du keylogger materiel branché discrètement sur l'ordi de la maison : c'est rarement un inconnu qui va venir brancher un keylogger chez toi...
Mais je note néanmoins que la solution de réinstaller l'appli systematiquement évite ce risque.
member
Activity: 229
Merit: 71


Sachant quand même que si le smartphone est compromis par un virus qui a donc accès à l'appareil photo, vous perdez tout...
Sur mon smartphone j'ai l'application Dropbox qui intercepte chaque photo et qui en envoie une copie dans ma dropbox perso. Mais si je prends en photo le QR Code de la clé privée avec Mycelium, alors celle ci n'est pas interceptée par Dropbox. Je n'ai pas le temps d'aller fouiller dans le code de Mycelium, mais je pense que l'appli utilise l'API d'Androïd de façon basique. Au moment du cliché, ce sont probablement des données raw décodées immédiatement par Mycelium, puis jetées. D'autre part même si par exemple un JPEG du QR Code photographié est créé et stocké par Mycelium. Puis qu'ensuite ce JPEG est piraté pour l'envoyer sur internet, alors il sera inexploitable car il est protégé par un PIN ou un MDP en BIP38.


- Si une autre application est corrompue, je doute que cela soit un énorme risque car il faut que l'appli en question puisse se lancer en même temps que ton wallet, et accéder à l'appareil photo, ce qui me semble impossible vu que celui-ci serait déjà utilisé par une autre application : le wallet.
Je manque clairement de connaissances sur le sujet, si quelqu'un veut bien compléter, confirmer ou infirmer, c'est pas de refus !
Mon post du 23 juillet au dessus (https://bitcointalksearch.org/topic/m.42737752) explique cela tant bien que mal.


[parano]
Oui enfin il n'y a pas besoin de rooter son tel pour pouvoir installer des apk, .... donc quelqu'un de son entourage ....  pourrait tres bien remplacer son mycelium par une version tunnée... A moins qu'il garde son tel dans son slip 24h sur 24 et qu'il change son mot de passe sans arrêt ce risque existe...
[/parano]
Ben justement j'explique aussi pour les paranos que pour payer à partir d'un PMP au moyen de son smartphone on peut installer Mycelium, exécuter le paiement et dé-installer Mycelium. Sinon tu dors avec ton slip ?


legendary
Activity: 2604
Merit: 2353
Sachant quand même que si le smartphone est compromis par un virus qui a donc accès à l'appareil photo, vous perdez tout...

Pour moi le plus sur reste la clef Ledger !

- Si c'est l'OS qui est compromis, ça me semble possible même si je ne suis pas certain. Cependant, pour corrompre l'OS tu fais comment ? Une MàJ officielle corrompue ? Ou tu as bidouillé quelque chose (perso ça ne me viendrait pas à l'idée d'effectuer des transactions avec un Androïd rooté).
- Mycellium a très peu de chances d'être corrompu (voir juste au-dessus).
- Si une autre application est corrompue, je doute que cela soit un énorme risque car il faut que l'appli en question puisse se lancer en même temps que ton wallet, et accéder à l'appareil photo, ce qui me semble impossible vu que celui-ci serait déjà utilisé par une autre application : le wallet.
Je manque clairement de connaissances sur le sujet, si quelqu'un veut bien compléter, confirmer ou infirmer, c'est pas de refus !
Oui enfin il n'y a pas besoin de rooter son tel pour pouvoir installer des apk, il y a juste un parametre à changer dans les menus donc quelqu'un de son entourage (l'amant de sa femme, sa fille rebelle en pleine crise d'adolescence) pourrait tres bien remplacer son mycelium par une version tunnée(ça tombe bien le code source est public) ni vu ni connu... A moins qu'il garde son tel dans son slip 24h sur 24 et qu'il change son mot de passe sans arrêt ce risque existe...
member
Activity: 229
Merit: 71
MEFIANCE MEFIANCE.....

Il y a quand même un truc important dont je n'ai pas parlé : dès la première utilisation du porte-monnaie papier (PMP), pour dépenser des BTC, son contenu est exposé publiquement. Ceux qui on suivi ce fil de discussion et/ou mon tutoriel peuvent savoir ce qu'il me reste dans mon PMP dont je me suis servi pour les exemples.

Le destinataire qui a reçu mes BTC peut, au moyen de son adresse publique, consulter la blockchain, et aller voir le contenu de mon PMP expéditeur.

C'est quoi le risque ? Ben le saucissonnage ( https://fr.wiktionary.org/wiki/saucissonnage ). Connaissant ma fortune, n'importe quel malfrat peut m'obliger sous la contrainte de me faire le coup de "la bourse ou la vie". Cela est déjà arrivé chez les british (https://goo.gl/rsFymS).

Ce que je conseil de faire pour les fortunés en BTC c'est de multiplier les PMP, chacun contient une petite somme.

Ce n'est pas compliqué pour générer quelques dizaines de PMP rapidement. Il suffit d'aller sur https://www.bitaddress.org et de cliquer sur Porte-Monnaie En Vrac. Il faut saisir la quantité dans la zone Colonnes à générer:   . Je conseille aussi de cocher BIP38 Encrypt? et de saisir un PIN ou un mot de passe. On clique ensuite sur Générer. Il faut moins de 30 secondes pour avoir une centaine de PMP. On peut copier / coller le résultat dans un document texte précieusement conservé. De mon coté je met ceci dans un zip protégé par un mot de passe. Le plus contraignant ensuite c'est se taper l'impression des QR-Codes de ceux que l'on compte utiliser pour dépenser régulièrement.

Bien sûr on peut essayer https://www.bitaddress.org directement pour s'exercer. Mais au moment décisif où les vrais PMP vont être générés il faut bien sûr être hors ligne.

Sinon, si on ne veut pas exposer sa fortune publiquement lorsqu'on dépense des BTC, il faut utiliser un wallet HD qui génère une centaine d'adresses permettant un rendu de monnaie aléatoire en brouillant les pistes. Mais là on est hors sujet.
F2b
hero member
Activity: 2135
Merit: 926
Sachant quand même que si le smartphone est compromis par un virus qui a donc accès à l'appareil photo, vous perdez tout...

Pour moi le plus sur reste la clef Ledger !

- Si c'est l'OS qui est compromis, ça me semble possible même si je ne suis pas certain. Cependant, pour corrompre l'OS tu fais comment ? Une MàJ officielle corrompue ? Ou tu as bidouillé quelque chose (perso ça ne me viendrait pas à l'idée d'effectuer des transactions avec un Androïd rooté).
- Mycellium a très peu de chances d'être corrompu (voir juste au-dessus).
- Si une autre application est corrompue, je doute que cela soit un énorme risque car il faut que l'appli en question puisse se lancer en même temps que ton wallet, et accéder à l'appareil photo, ce qui me semble impossible vu que celui-ci serait déjà utilisé par une autre application : le wallet.
Je manque clairement de connaissances sur le sujet, si quelqu'un veut bien compléter, confirmer ou infirmer, c'est pas de refus !
member
Activity: 266
Merit: 12
Sachant quand même que si le smartphone est compromis par un virus qui a donc accès à l'appareil photo, vous perdez tout...

Pour moi le plus sur reste la clef Ledger !
member
Activity: 238
Merit: 19
Le code source Java de Mycelium est disponible sur Github : https://github.com/mycelium-com/wallet-android. Dans cette page on peut télécharger le projet et le compiler. Il est expliqué aussi que l'apk est dispo sur le Play Store, ainsi que sur le site https://mycelium.com/bitcoinwallet. On y explique aussi la méthode pour valider que la version issue du Play Store est bien celle de Github.

Il y a une dizaine de programmeurs sur ce projet, 27 contributeurs en tout. Il va de soit que si un contributeur, dûment enregistré sur Github, apporte une modification au code source, alors il faut bien qu'il explique et justifie sa modif avant de diffuser l'apk sur le Play Store.

D'autres wallets Androïd / iOS / Desktop sont également déposés sur Github (Edge, Copay, Electrum, Bither, GreenBits, etc.etc.)

Coinomi n'est plus actif sur Github depuis octobre 2017 ( https://github.com/Coinomi/coinomi-android ). Il faut aller sur le site https://www.coinomi.com/ pour avoir + de renseignements, je n'ai pas trouvé le code source.

Je viens de parcourir ton blog, etc.etc. Vraiment très bien fait, très intéressant. Félicitations. Smiley
Merci
Merci pour ta réponse !

Ce qui me préoccupe évidemment, c'est le risque de manipuler des clés privées dans une appli connectée à Internet. Sad

C'est bien ce que j'avais compris, une sorte de "revue par les pairs" avec possibilité de comparer le code téléchargé avec le code compilé à partir de la plateforme.
On peut donc utiliser Mycellium sans aucun risque en étant connecté. Smiley
Cette explication mériterait sans doute d'être ajoutée à cette page dans laquelle tu écris "Croire que la Clé Privée circule sur internet parce que Mycelium y est connecté est en quelque sorte une fake-news !"

Par contre, Coinomi n'étant pas "code ouvert", le risque n'est pas nul qu'ils aient dissimulé intentionnellement un code pour transmettre la seed ou des clés privés.
Et là, aucun moyen de s'en assurer.
Dans ce cas, les quelques utilisateurs qui viendraient à perdre leurs bitcoins n'auraient pas beaucoup de moyens de se défendre... Embarrassed
member
Activity: 229
Merit: 71
Toute la question est de savoir si l'appli peut ou non contenir un code qui copierait les seed ou les clés qu'elle génère et les transmettrait incognito via Internet à un destinataire anonyme.
La seule et unique possibilité de contrôle que je vois, c'est que le code de l'appli soit publique et que des développeurs aillent l'examiner à la loupe. Et encore...
On peut toujours imaginer en effet que le code publié est différent du code de l'appli téléchargée.
À moins qu'un élément m'échappe...

Le code source Java de Mycelium est disponible sur Github : https://github.com/mycelium-com/wallet-android. Dans cette page on peut télécharger le projet et le compiler. Il est expliqué aussi que l'apk est dispo sur le Play Store, ainsi que sur le site https://mycelium.com/bitcoinwallet. On y explique aussi la méthode pour valider que la version issue du Play Store est bien celle de Github.

Il y a une dizaine de programmeurs sur ce projet, 27 contributeurs en tout. Il va de soit que si un contributeur, dûment enregistré sur Github, apporte une modification au code source, alors il faut bien qu'il explique et justifie sa modif avant de diffuser l'apk sur le Play Store.

D'autres wallets Androïd / iOS / Desktop sont également déposés sur Github (Edge, Copay, Electrum, Bither, GreenBits, etc.etc.)

Coinomi n'est plus actif sur Github depuis octobre 2017 ( https://github.com/Coinomi/coinomi-android ). Il faut aller sur le site https://www.coinomi.com/ pour avoir + de renseignements, je n'ai pas trouvé le code source.

Je viens de parcourir ton blog, etc.etc. Vraiment très bien fait, très intéressant. Félicitations. Smiley
Merci


member
Activity: 238
Merit: 19
Je viens de parcourir ton blog, etc.etc. Vraiment très bien fait, très intéressant. Félicitations. Smiley
Il se trouve que j'avais offert à Noël 2017 à mes 4 enfants et à 5 de leurs cousins et cousines, un porte-monnaie papier chacun, qui contenait 1 centime de BTC.
À cette époque, ça avait fait l'objet d'un post sur ce forum sur lequel tu étais d'ailleurs intervenu... Grin

L'idée, c'était de faire un cadeau original et, par la même occasion, de les initier aux cryptomonnaies.
Je peux dire que le cadeau a été apprécié et a provoqué une discussion passionnée.
Certains se sont empressés d'installer une appli porte-monnaie dans leur smartphone, d'autres l'ont simplement rangé avec soin avec l'intention d'attendre pour voir ce qu'il vaudra à Noël 2018... Cheesy

Mais j'avais commencé à utiliser bitcoin seulement en octobre 2017, je n'avais donc pas une très grande expérience.
Et je leur avais expliqué qu'ils devraient "récupérer" le contenu dans un porte-monnaie électronique pour pouvoir l'utiliser.
J'ignorais qu'on peut simplement le garder, s'en servir pour ajouter d'autres bitcoins et l'utiliser au coup par coup pour des achats.

C'est pourquoi je vais m'empresser de partager le lien sur ton blog pour qu'ils aient cette information. Wink
En ajoutant, bien sûr, qu'ils devraient plutôt s'en refaire un autre avec la clé privée protégée par mot de passe, ce que je n'avais évidemment pas fait.


member
Activity: 238
Merit: 19
Absolument mon adjudant ! 
Merci encore, capitaine ! Cheesy

Quote
Quote
Au niveau sécurité, cependant, quelle assurance a-t-on que la clé privée ne sera pas transmise par Internet et potentiellement, qu'un destinataire anonyme ne pourra pas décider, un jour, de récupérer la totalité du contenu de cette adresse, quand le montant sera élevé ?
C'est d'ailleurs la même question que je me pose sur Coinomi : l'appli gère localement et automatiquement des paires de clés, mais comment avoir la certitude que la seed ou la paire de départ ne va pas aller se balader quelque part, en étant transmise à mon insu par Internet ?...
Très bonne remarque. J'explique dans mon post du 23 juillet au-dessus que cela est impossible, pour le moment.
Je suis surpris, je ne vois pas d'impossibilité (mais je n'ai pas encore été lire le post en question)... Undecided
Toute la question est de savoir si l'appli peut ou non contenir un code qui copierait les seed ou les clés qu'elle génère et les transmettrait incognito via Internet à un destinataire anonyme.
La seule et unique possibilité de contrôle que je vois, c'est que le code de l'appli soit publique et que des développeurs aillent l'examiner à la loupe. Et encore...
On peut toujours imaginer en effet que le code publié est différent du code de l'appli téléchargée.
À moins qu'un élément m'échappe...
jr. member
Activity: 142
Merit: 7
Pour ceux qui ont raté l’info.. vous pouvez désormais utiliser coinbase wallet disponible sur IOS et Android qui permet de  stocker vos ETH et tous les jetons Erc20 puisque vous pouvez rajouter des customs Tokens..
C’est bel et bien coinbase qui a sorti cela en reprenant un wallet déjà existant et c’est bien sécurisé avec une passphrase et la gestion de la reconnaissance d’empreinte ...
de plus il y a un chat dessus pour contacter vos amis et vous envoyer de l’argent ... en parlant avec le bot dans le chat vous pourrez recevoir 0,25 € en ETH...
moi je le trouve bien sympa et vous pourrez me trouver par chat en cherchant l’utilisateur Totoff.. perso je recommande et je n’y gagne rien à vous l’indiquer ..
member
Activity: 229
Merit: 71
Si j'ai bien suivi, Mycellium permet de "balayer" le wallet et d'en dépenser une partie, sans le vider totalement, en renvoyant le solde à la même adresse. Si c'est bien ça, c'est cool, exactement ce que je cherchais...

Absolument mon adjudant ! 

D'ailleurs j'ai fait récemment un achat sur internet en expliquant toutes les étapes et en montrant l'adresse publique de mon portefeuille papier qui a été crédité par le rendu de monnaie. C'est expliqué ici : http://bitcoin.wikeo.net/exemple.html

quelqu'un peut m'expliquer comment on peut utiliser sa clé privée sans le téléphone ?
Désolé, je ne comprends pas bien la question. Sad

Moi non plus, il faudrait que germaine nous explique ce qu'elle veut faire.
Pages:
Jump to: