Aller au contenu

Bitcoin et autres cryptomonnaies

Nicolas Azor

Par Nicolas Azor,
dans Cryptomonnaies & Co

Messages recommandés

h16

h16

Posté
Posté
il y a 57 minutes, Rocou a dit :

 

N'est-ce pas l'unique but d'un wallet en ligne?

Voilà : c'est le seul cas où on doit en passer par une remontée en ligne des BTC, pour les envoyer à la plateforme. 

 

Pendant ce temps, BTC continue de grimper. 1342€ actuellement ... Pas forcément rassurant.

Lien vers le commentaire
jubal

jubal

Posté
Posté
4 hours ago, Solomos said:

 

1) Je ne vois pas en quoi c'est plus pratique. Perso, j'ai un wallet sur mon smartphone: si je veux faire un paiement, je scanne le QR-Code de la clé publique où je veux envoyer les sous, je tape le montant, je clique sur OK est c'est parti.
 

 

Ah ok bon a savoir, j'ai jamais essaye et je pensais que c’était plus complique que ça. Je vais essayer, tu utilises quoi comme wallet ?
 

Quote

Les mots de passe, ça se vole

 

 

Voler les mot de passe de tout les utilisateurs d'un site c'est pas si facile, faudrait trojaner l'application et attendre que tout les utilisateur se log, le tout sans se faire repérer (alors qu'on a modifie le code cote client). Ça s'est encore jamais fait il me semble.
 

Quote

 

Il faut bien que les BTC soit sur des comptes que la plate-forme contrôle. Je ne vois pas d'alternative.

 

 

Non, tu peux avoir ta propre adresse BTC et que la cle prive sur le serveur soit encrypte avec un password a toi.

 

 

 

 

Lien vers le commentaire
jubal

jubal

Posté
Posté
3 hours ago, Rocou said:

 

N'est-ce pas l'unique but d'un wallet en ligne?

 

Les truc online en général le but c'est de pouvoir y accéder depuis n'importe ou, et de rien perdre quand on perd son laptop.

 

Mais c'est vrai qu'avec une vrai wallet sur un smartphone on peut acceder depuis n'importe ou aussi, le truc c'est que je pensais que c’était lourd les clients bitcoin (en usage reseau notamment).

 

Lien vers le commentaire
Solomos

Solomos

Posté
Posté
4 minutes ago, jubal said:

 

Ah ok bon a savoir, j'ai jamais essaye et je pensais que c’était plus complique que ça. Je vais essayer, tu utilises quoi comme wallet ?
 

Voler les mot de passe de tout les utilisateurs d'un site c'est pas si facile, faudrait trojaner l'application et attendre que tout les utilisateur se log, le tout sans se faire repérer (alors qu'on a modifie le code cote client). Ça s'est encore jamais fait il me semble.
 

Non, tu peux avoir ta propre adresse BTC et que la cle prive sur le serveur soit encrypte avec un password a toi.

 

J'ai Mycelium sur Android, c'est très simple d'utilisation.

Ca s'installe vite, prend pas trop de place, ne rame pas et tu importes facilement tes clés privées (en scannant le QR-Code parexemple)

Lien vers le commentaire
h16

h16

Posté
Posté
Il y a 3 heures, jubal a dit :

Voler les mot de passe de tout les utilisateurs d'un site c'est pas si facile, faudrait trojaner l'application et attendre que tout les utilisateur se log, le tout sans se faire repérer (alors qu'on a modifie le code cote client). Ça s'est encore jamais fait il me semble.

 

Mmmh ce ne sera pas fait comme ça. En exploitant l'une ou l'autre faille, tu peux te retrouver avec un accès à la base de données (ou au moins à la partie login / mdp) et là, si tu les récupère, cela peut être un grand moment de solitude pour les admins du site (tout dépend de la méthode de stockage des mdp). Dans ce cas, tous les mdp tombent d'un coup. Pour info, c'est la méthode utilisée sur Yahoo (des millions de comptes volés).

Lien vers le commentaire
cedric.org

cedric.org

Posté
Posté
8 hours ago, Solomos said:

 

1) Je ne vois pas en quoi c'est plus pratique. Perso, j'ai un wallet sur mon smartphone: si je veux faire un paiement, je scanne le QR-Code de la clé publique où je veux envoyer les sous, je tape le montant, je clique sur OK est c'est parti.

 

J'espère que tu as des jolies sauvegardes récentes, sinon une mise à jour foireuse de l'os = t'as plus rien.

4 hours ago, jubal said:

 

Les truc online en général le but c'est de pouvoir y accéder depuis n'importe ou, et de rien perdre quand on perd son laptop.

 

Mais c'est vrai qu'avec une vrai wallet sur un smartphone on peut acceder depuis n'importe ou aussi, le truc c'est que je pensais que c’était lourd les clients bitcoin (en usage reseau notamment).

 

En fait un autre intérêt si le service est digne de ce nom : résilience, redondance, sauvegarde.

 

Un juste milieu : avoir son propre serveur, avec un client web bitcoin dedans. Perso je ne ferais pas ça, mais c'est en fait toujours plus secure qu'un site centralisé (intérêt de hacker un serveur perso = très faible). Si on configure / fait configurer le serveur correctement.

Lien vers le commentaire
Solomos

Solomos

Posté
Posté
6 minutes ago, cedric.og said:

J'espère que tu as des jolies sauvegardes récentes, sinon une mise à jour foireuse de l'os = t'as plus rien.

 

J'ai une copie de ma clé privée cachée ailleurs. Ce qui est nécessaire dans tous les cas, à mon avis.

Lien vers le commentaire
Rincevent

Rincevent

Posté
Posté
il y a 10 minutes, cedric.og a dit :

J'espère que tu as des jolies sauvegardes récentes, sinon une mise à jour foireuse de l'os = t'as plus rien.

Oh, j'aurais préféré que tu termines par un "tu l'as dans l'os".

  • Yea 1
Lien vers le commentaire
h16

h16

Posté
Posté

Le seul backup à avoir, c'est celui de la clé privée. Le reste, c'est stocké dans la blockchain. Il m'est arrivé une ou deux fois d'avoir à récupérer un wallet suite à un écrasement ou un crash, avec le backup de la clé ça ne pose aucun souci.

  • Yea 1
Lien vers le commentaire
jubal

jubal

Posté
Posté
2 hours ago, h16 said:

 

Mmmh ce ne sera pas fait comme ça. En exploitant l'une ou l'autre faille, tu peux te retrouver avec un accès à la base de données (ou au moins à la partie login / mdp) et là, si tu les récupère, cela peut être un grand moment de solitude pour les admins du site (tout dépend de la méthode de stockage des mdp). Dans ce cas, tous les mdp tombent d'un coup. Pour info, c'est la méthode utilisée sur Yahoo (des millions de comptes volés).

 

Non il y a pas les mot de passe ni les clés privees en clair dans la db, ton pass sert a decrypter ta cle cote client et il est jamais transmis au serveur. Tes transactions son signé cote client en javascript. Donc pour récupérer tout les pass le hacker devrait changer le javascipt envoye a tout les browsers et attendre, en espérant que personne ne le remarque (il y a une extension chrome pour éviter ce problème).

 

Je ne crois pas que ca se soit deja fait, il y a eut des cas comme avec hushmail par exemple mais c’était sur des clients ciblés.

 

 

Lien vers le commentaire
h16

h16

Posté
Posté
il y a 18 minutes, jubal a dit :

il y a pas les mot de passe ni les clés privees en clair dans la db

Je n'ai jamais écrit ça. J'ai dit récupérer les mdp, je n'ai pas dit "en clair" (en l'occurence, les hash des mdp).

 

J'ai qq vagues notions de sécurité informatique, au demeurant. Et ton pass ne sert jamais à décrypter aucune clé nulle part dans ce genre de config (c'est une simple vérif de hash, ce qui donne justement lieu à des attaques rainbow lorsque ce n'est pas salté). 

Je maintiens tout ce que j'ai écrit.

Lien vers le commentaire
jubal

jubal

Posté
Posté
6 minutes ago, h16 said:

Et ton pass ne sert jamais à décrypter aucune clé nulle part dans ce genre de config (c'est une simple vérif de hash, ce qui donne justement lieu à des attaques rainbow lorsque ce n'est pas salté). 

 

https://blockchain.info/wallet/technical-faq

 

Server Client
  Client Requests encrypted wallet data for an identifier
Sever responds with encrypted payload  
  Client uses password to decrypt the wallet in browser
  Client request transaction data from our API
  Client creates and signs transaction in the browser
  Client pushes raw transaction data to http://blockchain.info/pushtx

 

 

"The wallet" contient la cle entre autre.

Lien vers le commentaire
h16

h16

Posté
Posté

On ne parle plus de la même chose : je te parle d'une attaque sur un site avec des clients et bdd (typiquement, yahoo), tu me parles d'une attaque sur la blockchain qui n'a rien à voir.

 

Les mots clés rainbow, salt devraient t'avoir mis la puce à l'oreille ;)

Lien vers le commentaire
jubal

jubal

Posté
Posté

Oui on etait sur les wallet bitcoin online, comme blockchain.info par exemple.

(et non je parle pas de la blockchain, ca n'a rien a voir).

 

Yahoo marche completement differement, pour un email qui marche un peu comme blockchain.info il faut plutot regarder hushmail (ou l'email est encrypte avec le pass cote client).

 

 

 

Lien vers le commentaire
h16

h16

Posté
Posté

Alors sur les wallet en ligne, il y a deux types : 

- ceux qui sont de vrais wallet : dans ce cas, c'est la référence que tu as fournie qui s'applique.

- ceux qui sont des comptes gérés par la boutique en ligne et dans ce cas, tout existe, y compris le pire ; dans ce dernier cas, le seul wallet est celui de la société, et ça peut très bien se faire hacker.

Lien vers le commentaire
jubal

jubal

Posté
Posté
6 minutes ago, h16 said:

- ceux qui sont de vrais wallet : dans ce cas, c'est la référence que tu as fournie qui s'applique.

 

Dans le cas de blockchain.info et d'autres, ce n'est pas une vrai wallet car elle ne communique pas avec les nodes bitcoin, mais le code javascript fait une petite partie de ce qu'une vrai wallet fait (comme signer les transactions).

 

Lien vers le commentaire
h16

h16

Posté
Posté
il y a 2 minutes, jubal a dit :

Bref on peut pas facilement voler les mot de passe ou les cles des utilisateurs en hackant les serveurs de blockchain.info, j'imagine que la plupart des wallet online sont comme ça. J’espère en tout cas.

 

Statistiquement et vu comment c'est géré en moyenne, je serais moins confiant.

Lien vers le commentaire
TYRION

TYRION

Posté
Posté

1600USD touché, ça rigole pas en ce moment.

 

Les Japs pénetrent lemarché en force?

 

Je suis assez étonné que le reflux MASSIF des fonds chinois depuis janvier ou fevrier 2017  n'ait pas fait baisser le cours.

 

quand on regarde les chiffres des échanges en volume de monnaie chinoise, c'est étonnant?

Lien vers le commentaire
Waren

Waren

Posté
Posté

Mon backup à moi, c'est juste mon amorce écrite sur une feuille de papier. Avec cette amorce unique qui se compose de quelques mots, vous re-créez votre clé privée au moyen d'un client léger, comme Electrum que je vous recommande vivement (mais pas la version Android qui bugge complètement). 

 

La beauté de la chose, c'est que si vous ne faites que de l'accumulation de BTC, vous n'avez même pas besoin d'avoir un client: vous vous contentez d'envoyer vos fonds depuis un exchanger ou autre.

 

Pour l'envoi de BTC, je recommande vivement du cold storage et des QR codes pour signer et diffuser vos transactions: c'est ce qu'il y a de plus sûr. Une mini-distrib Linux sur clé USB, comme Lubuntu par exemple, convient très bien. Bien entendu, elle doit être complètement étanche à toutes connexions (Internet, modem, bluetooth, infra-rouge).

  • Yea 1
Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
Aller sur la liste des sujets
×
×
  • Créer...