Piratage de comptes Césium

Attention :warning:

Appel aux informaticiens.

Que faire ?

11 comptes ont subi un retrait de 100 Ğ1 avec commentaire « piratage de compte »

Il s’agit de 9 identités révoquées avec junes dormantes + 2 autres comptes actifs.

Les victimes doivent-elles révoquer leur compte et les développeurs peuvent-ils faire quelque chose (identifier la faille, bloquer le compte « pirateur »… )

Merci d’avance



Seuls les détenteur de compte peuvent agir, pas les développeurs ni les détenteurs de nœuds.
On le répète assez souvent, les mots de passes, ne doivent pas être faciles à trouver.

Seule parade : changer de compte ! nouveaux identifiants, nouveaux mots de passe.

5 « J'aime »

Merci. C’est ce que je lui ai recommandé. Elle révoque son compte demain.

Bon ça va, c’est un gentil pirate il n’a pris que 100 G1 par compte, je vois ça comme une petite tapote pour dire : Bon t’attends quoi pour mettre un vrai mot de passe… :sweat_smile:

Je trouve que c’est positif dans le sens que ça permet de faire bouger les consciences sur ce sujet de la sécurité informatique. Donc merci au capitaine Jack Sparrow. :grinning: :sweat_smile:

Probablement une attaque bruteforce par dictionnaire qui consiste à faire un dictionnaire des mots ou des séries de chiffres les plus utilisés par les usagers en général pour leurs mots de passe, ça se trouve sur internet. (Par exemple les 10 000 chaines de caractère les plus courantes.)

Ensuite il suffit grâce à un programme informatique de faire des combinaisons à partir de ces chaines de caractères et de tester ça sur césium de manière automatisé.
Ce qui détermine la profondeur de l’attaque et la complexité des combinaisons de mots de passe testés au pif est à quelle vitesse il est possible de tester une combinaison. Plus l’intervalle de temps est court entre deux connexions césium au hasard et plus on peut faire de test par jour et à force on fini bien par tomber sur un vrai compte.

Je vois assez bien comment on fait, car dans ma jeunesse avec des amis on s’était « amusé » à faire un logiciel qui permettait de trouver les clé WEP des wifi selon cette méthode. (J’avais pas les sous pour payer le wifi. :face_with_diagonal_mouth:)

Et donc pour créer notre dictionnaire on avait « aspiré » tout wikipédia france et récupéré toutes les chaines de caractères. :sweat_smile: :rofl:

3 « J'aime »

Oui, je le trouve assez « gentil », 11 comptes en 4 mois, principalement des identités déjà révoquées, et seulement un prélèvement de 100 Ğ1.

Bref, l’occasion de faire un rappel dans les groupes locaux et auprès de tous :butterfly::sun_with_face::butterfly:

Oui, j’ai vu cet événement comme avant tout un clin d’œil aux utilisateurs (et animateurs).

1 « J'aime »

@ClaireGason :

Avant tout il ne s’agit pas de comptes césium comme le titre le dit. Il n’existe aucun compte césium. Il s’agit de compte duniter, à qui on accède soit par césium soit par une autre interface.

Je suis d’accord avec @RomainKornig, c’est un pirate gentil. Seulement 100G1. Et presque tous des comptes révoqués. C’est un signal pour dire reprenez vos sous qui trainent et mettez un mot de passe robuste.

Par contre je réponds à @ClaireGason :

Le mot révoquer est souvent mal compris. Une révocation n’empêche pas le piratage, comme le prouve cette épreuve. La révocation permet d’avoir un autre compte cocréateur, uniquement cela.

Le plus urgent, c’est de transférer son argent.

2 « J'aime »

Merci. Oui, désolée pour la confusion Césium/Duniter.

Et, oui, ça ressemble à un « avertissement » assez gentil. Mais finalement nécessaire pour ceux qui ont des identifiants pas assez solides.

La copine va effectivement révoquer son compte et transférer ses junes sur son nouveau compte.

Moi, je vois 5 comptes actifs ! de quoi créer un nouveau compte !
Un mot de passe faible met vos ğ1 en danger (ça vous regarde), quand c’est sur un compte membre, c’est la toile de confiance que vous mettez en danger (ça regarde tout le monde)…

5 « J'aime »

Elle a révoqué son compte. Pour les autres, je ne les connais pas et j’espère qu’ils feront de même.

Merci :sparkles: :sparkles: :sparkles:

Ayant passé le message dans mon réseau local, je viens d’avoir un retour, un autre va être révoqué, diffuser un max l’info permet à tous d’en prendre conscience :wink:

5 « J'aime »

Une des personnes qui s’est prise « l’amende » de 100G1 pour excès de confiance :sweat_smile: est de notre secteur. Elle va faire le nécessaire à savoir transfert des junes et révocation du compte.

Son mot de passe est trivial, donc c’est une bonne nouvelle dans le sens que ça pointe vers une attaque dictionnaire et que donc les personnes ayant mis des mdp passe robuste ne sont pas concernées.

Avoir un identifiant et un mot de passe robuste c’est choisir des chaines de caractère unique (pas les même pour l’identifiant secret et le mot de passe) ne pas reprendre un mot de passe venant d’une messagerie ou de tout autre service demandant des mot de passe car parfois ils sont stocké en clair sur les serveurs.

Je conseille un identifiant et un mot de passe comprenant minimum 12 caractères incluant des majuscules, des minuscules, des chiffres et des caractères spéciaux. (Ex de caractère spéciaux @*/?&+.:! etc.)
La la personne dispose d’une chaine de caractère qui fait un mot de passe robuste.

Je trouve assez intéressant de voir qu’on est protégé par la transparence des comptes dans la june. (Personnellement j’espère que ça restera transparent pour les transactions comme actuellement.)
En effet il est assez facile de suivre la circulation des june de Jack Sparrow, de plus si des faux comptes membre était crées on pourrait le savoir et les suivres etc.

La ou ça pose question est que le nombre de membres grandissant le risque de faux compte augmentera, en effet si une attaque dictionnaire permet d’avoir un taux de succès de 11/40 706 ça fait tout de même 0,027% ce qui fait tout de même beaucoup puisque 1 compte sur 3700 n’est pas fiable avec ce type d’attaque.

Une parade serait d’avoir l’obligation de saisir au moins une minuscule, une majuscule, un chiffre, un caractère spécial lors de la saisie de l’identifiant secret et du mot de passe pour pouvoir créer le compte sur les clients comme césium. Après de ce que j’ai compris sur la V2 la gestion des mots de passe change et parait plus fiable donc ce problème avait déjà était identifié.

3 « J'aime »

Ci-aprés, la notice de création de mot de passe sécurisé simple à retenir.
Notice que je donne lorsque j’aide à la céation d’un compte sécurisé

Personnellement, je ne certifie plus quelqu’un qui n’a pas un compte sécurisé. Si son compte ne l’est pas, alors j’insite à créer un compte sécurisé.

Un mot de passe dit sécurisé doit avoir : minimum 25 caractères, des minuscules et majuscules, des chiffres, des caractères spéciaux, ne doit pas vouloir dire quelque chose, ni être en relation avec vos hobbies.

Ci dessous, une méthode pour faire un mot de passe sécurisé, unique, et que l’on se souviendra facilement :

On commence par définir une « clef » : exemple : XxXxxProverbe111111?

XxXxx = Reprends le nom du site ou l’on doit créer un mot de passe, avec le nombre de caractère et comment on défini les minuscules et les Majuscules (ici je prendrais les 5 premiers caractère du nom du site avec Une ma au début, et une autre sur la 3eme lettre)

Proverbe = les premières lettres de chaque mot d’une phrase dont vous vous souvenez facilement, un long proverbe, le refrain d’une chanson, les 1er phrase d’un poème, la 1ere phrase de la page 5 de mon livre préféré. (exemple : la marseillaise - Allons Enfants De La Patrie, Le Jour De Gloire Est Arrivé Contre Nous De La Tyrannie, L(e) Etendard Sanglant Est Levé, (bis) …. Si je prend chaque première lettre de chaque mot de la marseillaise ça donnera aedlpljdgeacndltlesellesel.

111111 = un chiffre que vous aimez, ici de 6 caractères.

? = un signe spécial que vous choisissez parmi ceux proposés ,;:/.?!+=-_^¨$*%£& »’()@# etc…

Par exemple : si je choisi la clef XxXxxMachanson090999? ( ou XxXxxMachansonLadatedenaissancedemonfilsainé? )

Mon mot de passe N°1 serait MoNaiaedlpljdgeacndltlesellesel090799?

Mon mot de passe N°2 serait LiBreaedlpljdgeacndltlesellesel090799?

Autre exemple : si je vais ouvrir un compte sur le site de Framasoft, grâce à ma clef mon mot de passe sera FrAmaaedlpljdgeacndltlesellesel090799?

Cette méthode permet de créer facilement des mots de passe unique, facile à retenir, et sécurisé pour tout les sites internet ou autres où l’on vous demande un mot de passe.

Autres avantages de cette méthode de création de mot de passe sécurisé unique :

Je peux écrire la « clef » de mon mot de passe (MoNaieMachanson090999? - LiBreMachanson090999?) partout pour ne pas l’oublier car sans le « proverbe » au centre que je ne peux pas oublier, personne ne peut savoir mon mot de passe.

Je peux donner ma clef, et mon proverbe à ma famille, qui en cas de problème, saura retrouvé mes mots de passe.

Belle aventure enrichissante!
Je m’appelais Merlinor…
Mes identifiant et mot de passe n’étaient pas si court, mais tout en minuscule.
Bien sûr j’ai au plus vite transféré mes junes chez une amie. Puis révoqué et renommé le compte et enfin j’ai créé un nouveau cpte avec id et mp plus important… mais pas aussi puissants que vos exemples. Je viens seulement de lire vos réactions.
Dorénavant j’insisterai bcp plus auprès des nouveaux sur l’importance d’id et mp complexes.
Au final, ce fut positif, mais un peu stressant quand même.
Merci pour toutes vos réponses et conseils.
NicoleOrtmann

8 « J'aime »

Est-ce qu’il s’agissait de mots qu’on peut trouver dans le dictionnaire ?
Par exemple :
id secret : alouette
mot de passe : grelinette

Le compte Fe5bYZJ46P8PGK3QK7HHtyX3Bshg6p8znnX7FFX7pqjA:AQr n’est pas révoqué, il continue de produire le DU.
Ceux qui ont certifié LtiP3x8PsQuFCd1pBwxeQufVd3Tj5WjjRiYH6DhMZdC:HUM n’ont pas respecté la licence

Cela fait 10 personnes qui ne respectent pas la licence !!!
Nicole est titulaire de 2 comptes créateur de monnaie !

3 « J'aime »

Hélas oui

Bon super tu as révoqué le compte. :+1: :heart:
Si tu souhaites qu’il soit supprimé définitivement lors de la migration v2 qui aura lieu à une date plus ou moins proche (pour le moment on sait juste que ça se rapproche.) mets ton ancien compte à 0 G1.
Tous les comptes portefeuilles avec des soldes inférieurs à 1 g1 seront supprimés si j’ai bien compris.

Ceci évitera que des gens continuent à t’envoyer des G1 par erreur sur l’ancien compte.

On observe que malgré les répétitions fréquentes de nombreux mots de passe sont vulnérables, peut être qu’on pourrait envisager de monter un service d’intérêt général dont le rôle serait de tenter de trouver les mots de passes faibles.

Un sondage sur le groupe du vaucluse montre qu’il est facile de trouver les mots de passes d’un pourcentage élevé de comptes :
image

L’idée serait de faire tourner un ordinateur testant régulièrement toutes les combinaisons d’identifiants et de mots de passes simple. Dès que ce service trouve un couple id/mdp qui fonctionne :

=> Si c’est un compte portefeuille on prévient le propriétaire que ses G1 sont vulnérables.
=> Si c’est un compte membre on le révoque et on prévient le propriétaire que ses G1 sont vulnérables.

Bon la solution ou les clients empêchent de créer des comptes avec mots de passes vulnérables est quand même plus simple et surtout sans faille.

1 « J'aime »

Cherchez un peu : Comment révoquer mon compte

Combien de temps faut-il pour que le compte soit révoqué ? J’ai envoyé la demande dimanche 23 au matin. Je viens de le refaire, mais était-ce utile?
Les 10 personnes que je connais bien peuvent vérifier sur mon compte que la révocation a bien été envoyée. Effectivement, il est indiqué que c’est en attente de traitement.
Décidément, ce souci est riche d’apprentissage !

1 « J'aime »

Normalement la révocation devrait être quasi immédiate, si elle n’est pas passée
Il faut réessayer en changeant de nœud.

1 « J'aime »