Au moins 150.000$ de crypto-monnaie dérobés, Réactions à la publication du 26/04/2018

[Lionel]

La crypto-monnaie est une des choses les plus convoitées actuellement. Les pirates font preuve d'imagination débordante pour arriver à en dérober. Si le vol est réussi, il n'y a pratiquement aucune chance de remonter jusqu'à eux.

Des clients de MEW, MyEtherWallet, se sont fait dérober entre 150.000$ et 365.000$ selon les sources. Le site ne présentait pourtant pas de faille de sécurité, mais cette fois les pirates ont fait appel à une autre technique. Ce sont ses serveurs DNS qui ont été piratés et ont redirigé les clients pendant deux heures sur un faux site en tout point identique.

La seule chose qui aurait pu avertir les victimes était un avertissement SSL, mais ils semblent l'avoir ignoré, chose qu'ils doivent maintenant regretter très amèrement.

Lien vers le billet original

[Guest_anonym_d019ede3_*]

Des clients de MEW, MyEtherWallet, se sont fait dérober entre 150.000$ et 365.000$ selon les sources.

Ça en fait dis donc des croquettes…

Après les NEMS…

On en est pas encore là:
https://crypto-analyse.org/2018/04/25/nasda...crypto-monnaie/

[iAPX]

...
La seule chose qui aurait pu avertir les victimes était un avertissement SSL, mais ils semblent l'avoir ignoré, chose qu'ils doivent maintenant regretter très amèrement.

Un avertissement qui empêche quelqu'un d'atteindre ces buts, la plupart des gens ne lisent pas le message et passent outre, c'est connu depuis longtemps et ce genre de message de sécurité ne devrait pouvoir être bypassé qu'en mode développeur, quitte à ce que les gens prennent un moins bon navigateur (leur première option) qui les laissera quand-même arriver sur le site après le message d'erreur.

Le plus évident est que pour la plupart des utilisateurs, ils sont allé préalablement sur le site et le navigateur a déjà eu l'information qu'il y avait un certificat valide, et donc à partir de ce moment-là il est inacceptable de sortir un message d'erreur incompréhensible pour Mme Michu ou M. Tancrede, qui ne demande qu'à être contourné en un ou deux clicks de souris!

Il y a là certainement un problème d'éducation et de formation du grand publique (qui n'est fournie absolument nulle part), mais surtout un dysfonctionnement en terme d'UX et d'UI qui aurait dû protéger ces personnes en leur empêchant complètement l'accès, sauf à utiliser des outils de développement (dont il ne connaissent probablement rien).
C'est d'ailleurs dans ce même état d'esprit que sur la plupart des voitures mêmes sportives on ne peut totalement désengager l'ABS et l'ESP, ce qui était plus largement répandu il y a quelques temps, ils se contentent d'intervenir plus tard laissant un peu plus de liberté au conducteur mais assurant quand même leur mission (et dans ce cas forcément plus brutalement).

Une part de ma mission actuelle est de protéger les gens, même contre eux-même, c'est tout sauf facile car il ne faut presque jamais se mettre entre eux et leur but, le résultat qu'ils veulent atteindre, leurs délais, leurs impératifs et surtout leur conscience professionnelle. Ce cas est typiquement une exception où là il faut les bloquer pour leur sécurité.

Ce message a été modifié par iAPX - 25 Apr 2018, 23:19.

[SartMatt]

...

Yep ! Plutôt qu'une simple série de click avec des messages pas forcément clairs pour le lambda, il faudrait que sur un navigateur grand public on doive taper une phrase à chaque fois qu'on veut bypasser un certificat.

Par exemple "Je comprends qu'il est probable que ce site soit piraté et que je prends un risque en le visitant". Bien bien chiant et suffisamment clair pour que n'importe qui comprenne.

Il pourrait également être intéressant que quand il rencontre un certificat invalide sur un site dont l'IP fait partie d'une classe publique le navigateur puisse demander à un serveur externe de vérifier l'IP et le certificat. Si le certificat est vu valide depuis une autre machine, ça devient hautement probable que l'invalidité du certificat soit dûe à un détournement DNS, et il faut alors lancer des alertes supplémentaires à l'utilisateur.

De même l'IP pourrait déjà être aisément vérifiée en cas de doute en faisant une nouvelle requête DNS vers un DNS public (bon ça suppose de pas avoir un satané routeur qui se permet d'intercepter les requêtes DNS et d'y répondre lui même quelque soit le serveur DNS demandé ).

[iAPX]

...

Yep ! Plutôt qu'une simple série de click avec des messages pas forcément clairs pour le lambda, il faudrait que sur un navigateur grand public on doive taper une phrase à chaque fois qu'on veut bypasser un certificat.

Par exemple "Je comprends qu'il est probable que ce site soit piraté et que je prends un risque en le visitant". Bien bien chiant et suffisamment clair pour que n'importe qui comprenne.

Il pourrait également être intéressant que quand il rencontre un certificat invalide sur un site dont l'IP fait partie d'une classe publique le navigateur puisse demander à un serveur externe de vérifier l'IP et le certificat. Si le certificat est vu valide depuis une autre machine, ça devient hautement probable que l'invalidité du certificat soit dûe à un détournement DNS, et il faut alors lancer des alertes supplémentaires à l'utilisateur.

De même l'IP pourrait déjà être aisément vérifiée en cas de doute en faisant une nouvelle requête DNS vers un DNS public (bon ça suppose de pas avoir un satané routeur qui se permet d'intercepter les requêtes DNS et d'y répondre lui même quelque soit le serveur DNS demandé ).

L'IP n'a pas été changée, ni les informations DNS: c'est le routage via le BGP qui a été changé

De toute façon, un certificat invalide (self-signed par exemple) est un certificat invalide et doit être refusé et donc l'accès bloqué, ad-minima par usage d'outils de dev, préférablement en ajoutant un certificat root (qui a servi pour un certificat self-signed) dans ceux qui sont autorisés. Et ne pas pouvoir continuer dans ce cas (sauf à charger le certificat racine).

Ce message a été modifié par iAPX - 26 Apr 2018, 00:38.

[_Panta]

On en est pas encore là:
https://crypto-analyse.org/2018/04/25/nasda...crypto-monnaie/

Petit à petit cela devient incontournable. On est peu ici a en être conscient.

Des clients de MEW, MyEtherWallet, se sont fait dérober entre 150.000$ et 365.000$ selon les sources.

Des Utilisateurs, pas des clients.
MEW est l'un des Wallets (portefeuilles chiffrées dans lesquelles vous stockez vos crypto) les plus utilisés. La somme dérobée me parait faible, mais l'alerte à vite était donné dans l'après midi d'hier.

[hotinaille]

Le principe même d'un "wallet online" me parait être une hérésie, quand on sait à quel point les cryptos sont convoitées par les voleurs pour les raisons citées ci-dessus, on ne peut pas décemment se dire que tout sera sécurisé en ligne.
Avoir son wallet sur un disque déconnecté ou, encore mieux, sur une clé sécurisée type ledger est l'idéal.

[yponomeute]

On en est pas encore là:
https://crypto-analyse.org/2018/04/25/nasda...crypto-monnaie/

Petit à petit cela devient incontournable. On est peu ici a en être conscient.

Je conseille la lecture de cet article https://theconversation.com/lironie-du-bitcoin-92065

Edit : et cela va dans le sens de l'intervention de hotinaille sur l'hérésie du wallet online

Ce message a été modifié par yponomeute - 26 Apr 2018, 07:25.

[bwaje]

Le principe même d'un "wallet online" me parait être une hérésie, quand on sait à quel point les cryptos sont convoitées par les voleurs pour les raisons citées ci-dessus, on ne peut pas décemment se dire que tout sera sécurisé en ligne.
Avoir son wallet sur un disque déconnecté ou, encore mieux, sur une clé sécurisée type ledger est l'idéal.

Même si la sécurité parfaite n'existe pas (encore) il y a des moyens de protéger ses clients; Paypal par exemple a été victime de plusieurs attaques de toutes sortes, mais à réussi tout de même à résister en 20 ans d'existence. Mais pour une solution de paiement qui met les moyens pour protéger sa plate-forme, combien de sociétés novices qui vont se faire dépouiller ?

[Papalou]

...

...

Il m'est déjà arrivé (avec Firefox) de ne pas pouvoir accéder à un service dont j'étais parfaitement sûr pour cause de problème de certificat (dans le cadre professionnel).
Je peux vous dire que ce jour-là, j'ai maudit le fait de ne pas pouvoir contourner le problème facilement parce que les développeurs ont décidé pour moi de ce qui était un problème de sécurité et ce qui ne l'était pas. Je suis donc absolument contre tout système qui empêche de manière absolue l'accès à un site ou un service dans ce cas, s'il faut taper une phrase à la con, et bien tapons la phrase, mais laissons l'accès possible.

[marc_os]

Bien fait pour les victimes.
Ils ont joué, ils ont perdu, tant pis pour eux et les sociétés qui misent sur ces crypto-monnaies.
N'avaient qu'à pas essayer de pas payer d'impôts ou avoir un objectif à moralité également douteuse.

De toute façon, un certificat invalide (self-signed par exemple) est un certificat invalide et doit être refusé et donc l'accès bloqué, ad-minima par usage d'outils de dev, préférablement en ajoutant un certificat root (qui a servi pour un certificat self-signed) dans ceux qui sont autorisés. Et ne pas pouvoir continuer dans ce cas (sauf à charger le certificat racine).

Pas bien compris ce que tu voulais dire au sujet des outils de dev.
Mon interprétation (et mon avis) est que tout site avec certificat non valide devrait être bloqué par le navigateur. L'utilisateur devrait être obligé de passer par les outils de dev pour passer outre, ce qui serait bien plus contraignant et surtout plus intimidant pour le commun des mortels que la simple alerte qu'on vire sans la lire.

[ekami]

On dit désormais "encore un vol de crypto monnaie", comme on dit "encore un piratage de données".
Mais moins d'un demi million de dollars, c'est une broutille dans le petit monde très fermé des cryptos…

[iAPX]

...

De toute façon, un certificat invalide (self-signed par exemple) est un certificat invalide et doit être refusé et donc l'accès bloqué, ad-minima par usage d'outils de dev, préférablement en ajoutant un certificat root (qui a servi pour un certificat self-signed) dans ceux qui sont autorisés. Et ne pas pouvoir continuer dans ce cas (sauf à charger le certificat racine).

Pas bien compris ce que tu voulais dire au sujet des outils de dev.
Mon interprétation (et mon avis) est que tout site avec certificat non valide devrait être bloqué par le navigateur. L'utilisateur devrait être obligé de passer par les outils de dev pour passer outre, ce qui serait bien plus contraignant et surtout plus intimidant pour le commun des mortels que la simple alerte qu'on vire sans la lire.

Mal exprimé, car c'est exactement ce que tu décris

Quand aux gens persuadé que le site est le bon et sûr, comme @Papalou, la seule façon d'en être à peu près sûr (il y a des bémols), c'est le certificat de sécurité et pas autre chose.
D'ailleurs même pour développer, le QA, la preprod, etc. on peut facilement se créer un certificat self-signed (sans certificat-racine sinon ça créé des failles potentielles) et l'accepter (ne devant se faire que via les outils de dev, et peut-être en obligeant à mettre la signature sha2 du certificat comme preuve qu'on en a connaissance!).

[Guest_anonym_d019ede3_*]

Bien fait pour les victimes.
Ils ont joué, ils ont perdu, tant pis pour eux et les sociétés qui misent sur ces crypto-monnaies.
N'avaient qu'à pas essayer de pas payer d'impôts ou avoir un objectif à moralité également douteuse.

Je ne comprend pas bien ton message, les crypto monnaies sont soumises à la déclaration et à l'impôt:
https://www.numerama.com/business/325205-im...-questions.html

Donc sauf à frauder/ne pas déclarer etc. c'est ces derniers actes qui sont répréhensibles et non le fait de miser sur une valeur spéculative, d'ailleurs si c'est le fait de miser sur un truc pas sûr que tu appelles "un objectif à moralité douteuse" , c'est juste une appréciation personnelle, chacun fait ce qu'il veut de son argent et prend les risques qu'il veut avec.

[_Panta]

2 choses tout de même, car je suis utilisateur de MEW - JAMAIS cela n'aurait pu m'arriver même si j'etais distrait, car pour se logger Mew a plusieurs passage obligé vous demandant de verifier A CHAQUE utilisation :


Use the EAL or MetaMask Chrome Extension to block malicious websites.
Always check the URL: https://www.myetherwallet.com .
Always make sure the URL bar has MyEtherWallet Inc [US] in green.
Do not trust messages or links sent to you randomly via email, Slack, Reddit, Twitter, etc.
Always navigate directly to a site before you enter information. Do not enter information after clicking a link from a message or email.
Install an AdBlocker and do not click ads on your search engine (e.g. Google).

On ne peux pas bypasser cette annonce, et apparait ensuite un plugin qui devient vert ou rouge si le certificat est valide ou pas apparrait en bas de page.
Ensuite intervient le login proprement dit, qui se fait sous plusieurs possibilté

Comment voulez-vous accéder à votre portefeuille ?
View w/ Address Only
MetaMask / Mist
Ledger Wallet
TREZOR
Digital Bitbox
Secalot
Keystore / JSON File
Phrase mnémonique
Clé privée
Phrase Parity

Le gars a pompé tout ça
https://etherscan.io/txs?a=0x1d50588C0aa119...3120d29&p=1

Bien fait pour les victimes.
Ils ont joué, ils ont perdu, tant pis pour eux et les sociétés qui misent sur ces crypto-monnaies.
N'avaient qu'à pas essayer de pas payer d'impôts ou avoir un objectif à moralité également douteuse.

Je ne comprend pas bien ton message, les crypto monnaies sont soumises à la déclaration et à l'impôt:
https://www.numerama.com/business/325205-im...-questions.html

Donc sauf à frauder/ne pas déclarer etc. c'est ces derniers actes qui sont répréhensibles et non le fait de miser sur une valeur spéculative, d'ailleurs si c'est le fait de miser sur un truc pas sûr que tu appelles "un objectif à moralité douteuse" , c'est juste une appréciation personnelle, chacun fait ce qu'il veut de son argent et prend les risques qu'il veut avec.

Yes il a toujours rien pigé, et complètement largué de toute actualité, en dehors de toute compréhension technique des coin et token - Alors quand on comprends pas, on a peur, quand on a peur, on chouine ou pleurniche - C'est parti pour un tour

Ce message a été modifié par _Panta - 26 Apr 2018, 11:59.

[iAPX]

2 choses tout de même, car je suis utilisateur de MEW - JAMAIS cela n'aurait pu m'arriver même si j'etais distrait, car pour se logger Mew a plusieurs passage obligé vous demandant de verifier A CHAQUE utilisation :


Use the EAL or MetaMask Chrome Extension to block malicious websites.
Always check the URL: https://www.myetherwallet.com .
Always make sure the URL bar has MyEtherWallet Inc [US] in green.
Do not trust messages or links sent to you randomly via email, Slack, Reddit, Twitter, etc.
Always navigate directly to a site before you enter information. Do not enter information after clicking a link from a message or email.
Install an AdBlocker and do not click ads on your search engine (e.g. Google).

On ne peux pas bypasser cette annonce, et apparait ensuite un plugin qui devient vert ou rouge si le certificat est valide ou pas apparrait en bas de page.
Ensuite intervient le login proprement dit, qui se fait sous plusieurs possibilté
...

Malheureusement, il y a des moyens de contourner à peu près toutes ces sécurité (pas sûr pour le plugin, mais y'a rien de sûr à 100% aujourd'hui).

L'URL soit par détournement DNS, soit par détournement du traffic via le protocole BGP (ce qui est arrivé dans ce cas), soit par détournement du traffic via une attaque sur son routeur (et beaucoup sont hackable, trop!), soit directement par un malware sur son propre ordinateur, etc.

Le certificat par implantation d'un certificat-racine créé pour l'occasion dans l'ordinateur via un malware, ou plus simplement par social-engineering en se faisant délivrer un cefrtificat tout à fait valide au nom de l'autre compagnie (même adresse, etc), à la porté de tout hacker ayant un peu de métier et équipé d'une imprimante/scanner/fax (oui on en est encore là) et d'un logiciel de traitement d'image. Compter une heure de travail quand-même.

Un pro s'assurera d'avoir la page d'accueil adéquate via une récupération en temps-réel sur le site (on est là dans le cadre d'une attaque MITM classique), permettant de naviguer correctement partout et sans se faire chier à refaire le site, puis juste stocker les credentials quand utilisés. Invisible.
S'il détourne par le routeur ou un malware dans l'ordinateur, il peut aussi refaire passer le traffic par la même adresse IP pour ne laisser vraiment aucune trace.

On a pas de sécurité, on a des outils qui augmentent le niveau de sécurité, mais aujourd'hui on a des techniques, méthodologies et outils d'attaque pour à peu près chacun d'entre eux.

[_Panta]

On dit désormais "encore un vol de crypto monnaie", comme on dit "encore un piratage de données".
Mais moins d'un demi million de dollars, c'est une broutille dans le petit monde très fermé des cryptos…

La personne a été tres vite reperé, lors des transactions si tu en faisait avec lui, son nick apparraissait en rouge;

Contrairement à d'autre Hacks d'Exchange récent comme celui de Binancce qui avait destabilisé le marché, la ça a juste fait "ké passa ? Ah, c'est tout" ... et reparti de plus belle (avant la correction attendu mais qui intervient à un autre niveau et rien à voir avec le hack )
ci dessous la chandelle en question:
https://www.tradingview.com/x/2dRLpqIq/

Malheureusement, il y a des moyens de contourner à peu près toutes ces sécurité (pas sûr pour le plugin, mais y'a rien de sûr à 100% aujourd'hui)

S'il y a une porte il y aura toujours quelqu'un pour la faire tomber.
Dans le cas de MEW on peut difficilement faire plus sécurisé, surtout avec un Ledger.
Si la personne ne s'aperçoit pas avec toutes les étapes neccessaires qu'elle va ne pas au même endroit que supposé, elle est dans ce cas responsable de ne pas s'apercevoir qu'elle est dans une autre rue, PUIS à un autre numero et PUIS pas au même étage avec une clef differente pour ouvrir ENSUITE une porte qui a changé de couleur - Beaucoup d'étapes qui permettent de voir que quelque chose cloche

D'ailleurs pour ça que l'impact et le hack a été "minime" (je m'en étonnais au réveil en lisant la news, je disais que les sommes étaient tres faibles, et bîn voila pourquoi les sommes dérobées sont restées "confidentielles", l'attaque demandait une "complicité de l'utilisateur" . ( Mais qu'est ce que 250K vs 13Milliard que l'Irlande nous a dérobé par le biais d'Apple

Ce message a été modifié par _Panta - 26 Apr 2018, 12:29.

[iAPX]

2 choses tout de même, car je suis utilisateur de MEW - JAMAIS cela n'aurait pu m'arriver même si j'etais distrait, car pour se logger Mew a plusieurs passage obligé vous demandant de verifier A CHAQUE utilisation :

Malheureusement, il y a des moyens de contourner à peu près toutes ces sécurité (pas sûr pour le plugin, mais y'a rien de sûr à 100% aujourd'hui)

S'il y a une porte il y aura toujours quelqu'un pour la faire tomber.
Dans le cas de MEW on peut difficilement faire plus sécurisé, surtout avec un Ledger.
Si la personne ne s'aperçoit pas avec toutes les étapes neccessaires qu'elle va ne pas au même endroit que supposé, elle est dans ce cas responsable de ne pas s'apercevoir qu'elle est dans une autre rue, à un autre numero et pas au même étage avec une clef differente pour ouvrir une porte qui a changé de couleur

D'ailleurs pour ça que l'impact et le hack a été "minime" (je m'en étonnais au réveil en lisant la news, bah voila pourquoi les sommes dérobées sont restées "confidentielles" (qu'est ce que 250K vs 13Milliard que l'Irlande nous a dérobé par le biais d'Apple

Oui mais mon point était de dire qu'on est *JAMAIS* sûr, pas même moi, et je prends des précautions infernales sur certaines machines, et je ne suis pas étranger au domaine, et pourtant...

C'est une situation problématique où nous sommes tous de plus en plus exposés, individuellement à des attaques ciblées, mais pire encore collectivement.

Ce message a été modifié par iAPX - 26 Apr 2018, 12:27.

[_Panta]

....

Oui mais mon point était de dire qu'on est *JAMAIS* sûr, pas même moi, et je prends des précautions infernales sur certaines machines, et je ne suis pas étranger au domaine, et pourtant...

Quand ta technique tient, c'est l'humain qui défaille - On va tous mourrir

Ce message a été modifié par _Panta - 26 Apr 2018, 12:34.

[iAPX]

....

Oui mais mon point était de dire qu'on est *JAMAIS* sûr, pas même moi, et je prends des précautions infernales sur certaines machines, et je ne suis pas étranger au domaine, et pourtant...

Quand ta technique tient, c'est l'humain qui défaille - On va tous mourrir

Je ne suis pas pressé

La technique ne tient pas, c'est bien ça le problème à la base.
Et il y a l'humain derrière, ce qui complique pas mal les choses...

[marc_os]

Yes il a toujours rien pigé, et complètement largué de toute actualité, en dehors de toute compréhension technique des coin et token - Alors quand on comprends pas, on a peur, quand on a peur, on chouine ou pleurniche - C'est parti pour un tour

Yes, et c'est reparti pour un tour d'attaques personnelles gratuites.
Je ne suis pas d'accord avec toi, alors tu me traites de débile.
Débile toi même ! « Celui qui le dit, celui qui l'est » (je me mets à ton niveau.)

(Pour se débarrasser de son chien, rien de tel que de prétendre qu'il a la ragie).

Donc, selon toi, les crypto-monnaies sont sûres, elles ne servent jamais à contourner l'impôt, ni blanchir de l'argent sal, ni payer plus facilement qu'avant, sans avoir besoin de liquide, des transactions douteuses ou frauduleuses ?
Tu vis dans un monde de bisounours, ou tu es juste de mauvaise fois quand on critique ton jouet spéculatif ?

Ce message a été modifié par marc_os - 26 Apr 2018, 12:59.

[_Panta]

Donc, selon toi, les crypto-monnaies sont sûres, elles ne servent jamais à contourner l'impôt, ni blanchir de l'argent sal, ni payer plus facilement qu'avant, sans avoir besoin de liquide, des transactions douteuses ou frauduleuses ?
Tu vis dans un monde de bisounours, ou tu es juste de mauvaise fois quand on critique ton jouet spéculatif ?

Et les billets de banques, ils ne servent pas à tous ça ? Tu confonds la fonction, l'usage, et l'utilisateur.

[marc_os]

Donc, selon toi, les crypto-monnaies sont sûres, elles ne servent jamais à contourner l'impôt, ni blanchir de l'argent sal, ni payer plus facilement qu'avant, sans avoir besoin de liquide, des transactions douteuses ou frauduleuses ?
Tu vis dans un monde de bisounours, ou tu es juste de mauvaise fois quand on critique ton jouet spéculatif ?

Et les billets de banques, ils ne servent pas à tous ça ? Tu confonds la fonction, l'usage, et l'utilisateur.

Vivi. Il est loin le temps ou mon boucher s'achetait une maison en liquide.
Les sommes importantes en liquide, ça sert essentiellement à des transactions frauduleuses.
Mais plus besoin de transporter des valises de billets comme entre l'Irak et certain parti politique français, comme cela s'est pratiqué dit-on, ces échanges peuvent désormais passer facilement par cet internet "crypto", ni vu, ni connu.
Allez, je te laisse avec tes certitudes et ta bonne morale de pacotille.
"Je ne suis que le transporteur" disait-il.
Ou bien "C'est pas parce qu'on fabrique des armes et qu'on les vend à des dictateurs que les dictateurs sont obligés de les utiliser" !
J'ai acheté mon fusil et je ne tue "que" des animaux, ça prouve bien que le fabriquant d'armes n'est pas responsable de l'utilisation des armes. Sauf qu'une arme, ça sert à quoi ? A tuer.
Je mets en place l'infrastructure, mais je ne suis pas responsable. La belle double morale typique du monde capitaliste par ailleurs.

Ce message a été modifié par marc_os - 26 Apr 2018, 13:15.

[_Panta]

Cela n'a strictement rien à voir, les trades sur les crytpo-monnaies, mais pas tout les token heureusement, car on utilise a tort le terme cryptocurrencies, c'est pas forcement de l'argent et on te l'explique a chaque sujet avec des nombreux exemples (blockchain santé, énergie etc), bref elles sont imposables, et il intervient donc à tout à chacun de déclarer son patrimoine ou pas.

Si tu ne déclares pas ce que tu dois, cela n'a rien a voir avec les crypto, mais avec la morale, et elle est variée de par la nature humaine : elle peut inclure un trader de crypto plus honnête que la vierge Marie et qui déclare tout rubis sur l'ongle, mais aussi le bon Mr Paul qui a l'heritage familiale en Louis d'Or enterrés au fond du Jardin et jamais déclaré depuis 5 generations. La nature humaine étant ce qu'elle est, elle est guère différente si tu as un portefeuille classique ou en crypto.

Ce message a été modifié par _Panta - 26 Apr 2018, 13:22.

[SartMatt]

Mais plus besoin de transporter des valises de billets comme entre l'Irak et certain parti politique français, comme cela s'est pratiqué dit-on, ces échanges peuvent désormais passer facilement par cet internet "crypto", ni vu, ni connu.

Tellement ni vu ni connu que chaque transaction en cryptomonnaie est définitivement historisée dans la blockchain... Contrairement aux valises de billets, qui continuent à circuler largement partout où il y a de l'argent sale sans laisser la moindre trace...
De plus, la volatilité actuelle des cryptomonnaies fait qu'elles n'intéressent sans doute pas la majorité des trafiquants et autres fraudeurs. C'est pas d'un intérêt fou de manipuler des fonds en crypto pour échapper à l'impôt quand la variation des cours peut en quelques jours faire perdre bien plus que les impôts économisés...
Et tu crois qu'Apple elle utilise des cryptos pour échapper aux impôts ? Non, des bons vieux dollars...

[_Panta]

Si on a une Rolex ou une montre précieuse, elle doit faire partie de la déclaration de patrimoine. Combien le font ? Sont il pour autant de vilains trafiquants n'ayant que pour unique but de frauder l'état ? Peut on donc en déduire ainsi que tout ceux qui on une Rollex sont amoraux et la possède pour de vils raisons qui seraient la premiere motivation de leur achat - niquer l'état ? C'est le raccourci que tu nous fait Marc_os

On en est pas encore là:
https://crypto-analyse.org/2018/04/25/nasda...crypto-monnaie/

Petit à petit cela devient incontournable. On est peu ici a en être conscient.

Je conseille la lecture de cet article https://theconversation.com/lironie-du-bitcoin-92065

Edit : et cela va dans le sens de l'intervention de hotinaille sur l'hérésie du wallet online

Pas si hérétique que ça, dans le sens qu'on se retrouve dans un cas de figure bien connu : "son argent et objet de valeur" sont il mieux protégé chez toi que dans une banque ?
Je dirais que plus de la moitié, voir même 75%, des internautes seraient incapable de gérer un hard wallet de manière satisfaisante et autant sécurisé que ces plateformes.

Grosse crise d'angoisse récemment chez les propriétaires de Ledger qui ont eu un flashage de firmware malheureux en regardant les larmes aux yeux leur petite carte USB, donc les hard wallets peuvent se perdre, se détruire également, ce n'est pas la panacée.

A savoir que l'un n'empêchant pas l'autre, il est possible de jongler entre ou avec plusieurs options

edit : certain ont peut être vu récemment le reportage de Canal + sur la faillite Mt Gox. Ils nous expliquaient à un moment comment de gros exchange sécurisaient la création de leur Wallet. En fait ils achètent un Laptop tout neuf, le démonte et enleve disque dur, et tout moyen de communication (carte wifi, bT, ethernet), et apres avoir booter sur un systeme live, ils génèrent ensuite le paper wallet, l'impriment sur une feuille A4 et les scellent dans une enveloppe, passent le Laptop tout neuf et l'imprimante au broyeur, et amene l'enveloppe contenant le Paper Wallet dans un coffre à la banque)

Ce message a été modifié par _Panta - 26 Apr 2018, 14:06.

[yponomeute]

Je dirais que plus de la moitié, voir même 75%, des internautes seraient incapable de gérer un hard wallet de manière satisfaisante et autant sécurisé que ces plateformes.

Cest bien toute l'ironie soulevée dans l'article que j'ai cité. Le bitcoin a été conçu comme une monnaie décentralisée qui devait permettre de se passer des banques et autres intermédiaires. Et au final on se retrouve avec une monnaie électronique dont la gestion est confiée à des institutions financières.

[iAPX]

...
edit : certain ont peut être vu récemment le reportage de Canal + sur la faillite Mt Gox. Ils nous expliquaient à un moment comment de gros exchange sécurisaient la création de leur Wallet. En fait ils achètent un Laptop tout neuf, le démonte et enleve disque dur, et tout moyen de communication (carte wifi, bT, ethernet), et apres avoir booter sur un systeme live, ils génèrent ensuite le paper wallet, l'impriment sur une feuille A4 et les scellent dans une enveloppe, passent le Laptop tout neuf et l'imprimante au broyeur, et amene l'enveloppe contenant le Paper Wallet dans un coffre à la banque)

+1 la bonne méthode et ils détruisent physiquement l'ordinateur après (surtout soin stockage), exactement ce que je préconiserais pour stocker les clés privées de manière sécuritaire: j'ai vu ce reportage et le gars n'y allais pas avec le dos de la cuillère, en prenant des mesures effectives et assez imparable (allez hacker une feuille de papier à distance )

[_Panta]

Je dirais que plus de la moitié, voir même 75%, des internautes seraient incapable de gérer un hard wallet de manière satisfaisante et autant sécurisé que ces plateformes.

Cest bien toute l'ironie soulevée dans l'article que j'ai cité. Le bitcoin a été conçu comme une monnaie décentralisée qui devait permettre de se passer des banques et autres intermédiaires. Et au final on se retrouve avec une monnaie électronique dont la gestion est confiée à des institutions financières.

Pas vraiment la gestion je dirais, le NASDAQ ne le gérerait pas proprement dit, mais simplement ils veulent en profiter, la part du gâteau qui échappe aux institutionnel les énerve énormément. Ensuite la deuxieme étapes sera m'extension du principe de blockchain à tout Exchanges classiques (Nasdaq, Forex, etc)

Mais comme tu le soulignes, le client qui veut épargner effectivement lee ferra pour la plus part par une institution financière, c'est effectivement un gos paradoxe, mais cela lui apportera aussi la "tranquillité d'esprit" de cette sécurisation

Ce message a été modifié par _Panta - 26 Apr 2018, 16:50.

[Guest_anonym_d019ede3_*]

le client qui veut épargner

J'appelle pas ça "épargner" mais plutôt "jouer" ou "miser" comme en bourse.