[RML14] Erreur de transaction portefeuille fantôme

Oui ça fait 4 jours que je balance tout ce que je peux dans Gsper. J’en suis à presque 2 millions de combinaisons testées, ou en cours d’attaque. La dernière en cours va me prendre à peu près 18h. Mon proc. me supplie d’arrêter, je changerai d’ordi pour la prochaine. Par contre j’ai vu plusieurs compte porte-feuille nommés (hors BC donc) « Pierre Meunier », avec le même avatar, la Grenouille… Je suis sûr que ce n’est pas moi qui les ai créé. Une idée ?

2 J'aimes

MP envoyé sur FB.

Le problème ici n’est pas Cesium web, en l’occurrence ce n’était pas Cesium web qui était utilisé.

Le problème vient cependant effectivement de l’ergonomie de Cesium. Plusieurs améliorations techniques concrètent sont proposés ici pour réduire très fortement ces risques.

Toutes idées d’UX complémentaires sont évidemment les bienvenues de la part des utilisateurs de ce client :slight_smile:

2 J'aimes

quelqu’un qui est justement en train de tenter une usurpation d’identité sur Cesium+

2 J'aimes

Dans quel but ? Les 13300 Junes sont bloqué et je pense que tout le monde à compris que je suis FredB sur Cesium, pas Pierre Meunier… J’avais créé ce compte « one shot » justement quand j’approchais Mathilde, la personne qui, maintenant, et grâce à moi, loue des Yourte en Ardèche, et qui ne me connaissait QUE comme PM, et pas FredB… Faudrait être un peu c… pour faire 2 fois la même bêtise, non ? :smiley:

En June les Yourte, je précise.

2 J'aimes

C’est moi.

J’ai fait ça hier, parce que je voulais montrer qu’effectivement il était très facile de faire de « l’usurpation d’identité » (si tant est qu’on puisse considérer les données Cesium+ comme une « identité »).

Mais j’ai finalement eu la flemme de poster le message qui allait avec et je voulais pas remuer le couteau dans la plaie.

Surtout, je voyais pas trop l’intérêt de poster un tel message ; je crois que tout le monde ici a déjà retenu la leçon. Idéalement, il faudrait en faire un article de blog, histoire que ça serve de leçon à d’autres aussi (je pense aux junistes qui passent plus de temps sur les réseaux sociaux que sur les forums ML).

4 J'aimes

J’ai lancé un bruteforce, c’est parti pour deux jours de chauffage.

Prenez bien en compte que sur téléphone, le comportement par défaut est de faire commencer chaque nouvelle phrase par une majuscule.

D’autre part, si vous êtes à l’aise avec Python, j’ai écrit un petit script qui va 5 fois plus vite que GSper (mais en utilisant une liste créée grâce à GSper) :

from duniterpy.key import SigningKey

search_pubkey = "9Wvz4iXUYokoAbRaZR9j3EJMsvieMcAb1gnvaVaEpyTX"

liste = [
    "mot de passe 1 (indenté)",
    "mot de passe 2 (indenté aussi)",
    "...",
]

n = 0
for i in liste:
    for a in liste:
        pubkey = SigningKey.from_credentials(i, a, None).pubkey
        n = n + 1
        print(n, pubkey)
        if pubkey == search_pubkey:
            print("!!! TROUVE !!!")
            print(i)
            print(a)
            print(pubkey)
            exit()

Pour l’utiliser :

  • installez Duniterpy (et Libsodium23 si besoin)
  • générez la liste de mots à tester grâce à GSper avec " devant et ", derrière, par exemple :

"(azerty|AZERTY)(treza|TREZA)",

  • utilisez votre éditeur de texte favori pour coller cette liste et l’indenter correctement
  • et lancez avec python3 script-bruteforce.py

Lorsqu’il trouve, le script s’arrête avec comme dernières lignes :

!!! TROUVE !!!
id
mot_de_passe
clef pub

7 J'aimes

Il y a aussi Vanitygen de @jytou

2 J'aimes

Ça fait 2 jours que j’essaie de craquer ses comptes avec. :stuck_out_tongue: Rien pour l’instant.

3 J'aimes

Pour ceux qui voudraient essayer avec vanitygen, il y a un bug sur cette fonctionnalité qui en plus n’est pas vraiment adaptée pour le problème (c’était pas prévu pour faire de l’attaque dictionnaire, juste pour faire de la génération aléatoire…). Bref, n’utilisez pas pour l’instant pour ça, car vous perdrez votre temps. :slight_smile: Merci à @matograine de m’avoir signalé le bug. :slight_smile:

4 J'aimes

Ouais, j’y ai passé quelques heures aussi (à la main, old school), mais keudchi pour l’instant…

2 J'aimes

T’embête pas à la main, mon ordi en est à quelques 500000, tu vas te fatiguer les poignets et la cervelle. Utilise Gsper au moins :wink:

Ou si tu veux, envoie moi ta liste de mots à tester, j’essaierai à la prochaine fournée si celle-ci est infructueuse.

2 J'aimes

C’est mon côté petit artisan.

6 J'aimes

Un petit coup d’hypnose ça serait réglé votre affaire.
Enfin j’imagine que c’est jouable

2 J'aimes

@matograine : les infos de Pierre indiquent que ce serait plutôt une suite de caractères du clavier et non pas un mot courant. Ainsi, je pense que le brute force par dico ne fonctionnera pas. Il faudrait juste modifier ton script pour faire toutes les combinaisons du clavier, ce qui nous fait N^? combinaison. On peut demander le prêt d’un ordinateur quantique non ? :wink:

@Pierre_Meunier : peux-tu faire un screenshot de ton clavier, surtout le mode caractère spéciaux, que @matograine travaille sur une base la plus proche de ton mdp ?

4 J'aimes

Je sais que j’ai l’air bête, surtout quand je suis aphone, mais j’avais également remarqué :wink: Mon dico contient justement des mots courants comme « wxcvbnbvcxw », ce qui veut dire « qu’est-ce que j’ai bien mangé aujourd’hui » en Inuit, avec l’accent québecois évidemment. :rofl:

Cette page de culture terminée, effectivement, une capture d’écran du mode caractères spéciaux serait utile. Et quand même quelques questions @Pierre_Meunier : te souviens-tu :

  • si tu changeais de clavier pour taper tes ID ? (caractères spéciaux ou non)
  • si au moins un des id/mdp était autre chose qu’une suite invraisemblable de caractères, genre nom/date/etc. Je ne te demande pas le mot précis, mais le type.

Comme la tour qui fait du bruteforce n’est pas… une brute :wink: , n’hésitez pas à essayer vous aussi de gagner 130DU.

3 J'aimes

J’en suis à 6 millions de combinaison testé avec Gsper. Je commence à douter. Une petite séance d’hypno oui, pourquoi pas ! :smiley:

J’ai mis un screen du clavier de mon tel ici :

Salut, 13 000 ğ1 remboursé à Pierre Meunier par Axiom

5 J'aimes