[RML14] Erreur de transaction portefeuille fantôme

Voila un vieux G1billet périmé
« malle cobol smash durer /
mile 9876 fore faire royaux dirait » pour se consoler

Je propose de rembourser @Pierre_Meunier dans 10 ans quand le DU aura bien augmenté, l’avantage c’est qu’on est en quantitatif

Et bien… je suis presque certain que c’est une combinaison clavier, faite à partir du tel (donc encore plus simple), mais je n’en suis pas sûr.
Ce genre de compte « one shot » je ne m’emmerde pas en général, je retiens « visuellement » la combi, justement pour ne pas avoir à la noter quelque part.
Genre 0987654321azertyuiop / mlkjhgfdsqwxcvbn avec variante possible.
0987654321AzErTyUiOp

C’est une profonde erreur ici induite par un client Duniter qui fausse les données.

La clé dont il est question n’est associée à aucun pseudo dans Duniter/Ğ1. C’est une simple clé portefeuille, donc parfaitement anonyme.

Vous êtes tombés typiquement dans une attaque de type fishing, exactement le genre d’attaque très facile à monter, en proposant un Cesium web, associé à une base non Duniter/Ğ1, qui fait croire à l’utilisateur, en associant des pseudos membres à des clés contrôlées par l’attaquant, qu’il peut effectuer un virement vers un membre.

Ceci associé à une messagerie centralisée non sollicitée (hors la Loi, puisqu’on utilise une identite numerique sans l’accorf du proprietaire) fait de Cesium un client très dangereux, idéal pour des attaques fishing de ce type ou bien pour des attaques Sybil (création facilitée de faux comptes par sollicitations numériques).

Mais pourquoi personne ne propose d’utiliser Ğsper ? Créé par un pirate informatique radicalisé par le beaujolais nouveau

message n°0 :

Oui ça fait 4 jours que je balance tout ce que je peux dans Gsper.
J’en suis à presque 2 millions de combinaisons testées, ou en cours d’attaque.
La dernière en cours va me prendre à peu près 18h.
Mon proc. me supplie d’arrêter, je changerai d’ordi pour la prochaine.
Par contre j’ai vu plusieurs compte porte-feuille nommés (hors BC donc) « Pierre Meunier », avec le même avatar, la Grenouille… Je suis sûr que ce n’est pas moi qui les ai créé.
Une idée ?

MP envoyé sur FB.

Le problème ici n’est pas Cesium web, en l’occurrence ce n’était pas Cesium web qui était utilisé.

Le problème vient cependant effectivement de l’ergonomie de Cesium. Plusieurs améliorations techniques concrètent sont proposés ici pour réduire très fortement ces risques.

Toutes idées d’UX complémentaires sont évidemment les bienvenues de la part des utilisateurs de ce client

quelqu’un qui est justement en train de tenter une usurpation d’identité sur Cesium+

Dans quel but ?
Les 13300 Junes sont bloqué et je pense que tout le monde à compris que je suis FredB sur Cesium, pas Pierre Meunier…
J’avais créé ce compte « one shot » justement quand j’approchais Mathilde, la personne qui, maintenant, et grâce à moi, loue des Yourte en Ardèche, et qui ne me connaissait QUE comme PM, et pas FredB…
Faudrait être un peu c… pour faire 2 fois la même bêtise, non ?

En June les Yourte, je précise.

C’est moi.

J’ai fait ça hier, parce que je voulais montrer qu’effectivement il était très facile de faire de « l’usurpation d’identité » (si tant est qu’on puisse considérer les données Cesium+ comme une « identité »).

Mais j’ai finalement eu la flemme de poster le message qui allait avec et je voulais pas remuer le couteau dans la plaie.

Surtout, je voyais pas trop l’intérêt de poster un tel message ; je crois que tout le monde ici a déjà retenu la leçon. Idéalement, il faudrait en faire un article de blog, histoire que ça serve de leçon à d’autres aussi (je pense aux junistes qui passent plus de temps sur les réseaux sociaux que sur les forums ML).

J’ai lancé un bruteforce, c’est parti pour deux jours de chauffage.

Prenez bien en compte que sur téléphone, le comportement par défaut est de faire commencer chaque nouvelle phrase par une majuscule.

D’autre part, si vous êtes à l’aise avec Python, j’ai écrit un petit script qui va 5 fois plus vite que GSper (mais en utilisant une liste créée grâce à GSper) :

from duniterpy.key import SigningKey

search_pubkey = "9Wvz4iXUYokoAbRaZR9j3EJMsvieMcAb1gnvaVaEpyTX"

liste = [
    "mot de passe 1 (indenté)",
    "mot de passe 2 (indenté aussi)",
    "...",
]

n = 0
for i in liste:
    for a in liste:
        pubkey = SigningKey.from_credentials(i, a, None).pubkey
        n = n + 1
        print(n, pubkey)
        if pubkey == search_pubkey:
            print("!!! TROUVE !!!")
            print(i)
            print(a)
            print(pubkey)
            exit()

Pour l’utiliser :

• installez Duniterpy (et Libsodium23 si besoin)
• générez la liste de mots à tester grâce à GSper avec " devant et ", derrière, par exemple :

"(azerty|AZERTY)(treza|TREZA)",

• utilisez votre éditeur de texte favori pour coller cette liste et l’indenter correctement
• et lancez avec python3 script-bruteforce.py

Lorsqu’il trouve, le script s’arrête avec comme dernières lignes :

!!! TROUVE !!!
id
mot_de_passe
clef pub

Il y a aussi Vanitygen de @jytou

Ça fait 2 jours que j’essaie de craquer ses comptes avec. Rien pour l’instant.

Pour ceux qui voudraient essayer avec vanitygen, il y a un bug sur cette fonctionnalité qui en plus n’est pas vraiment adaptée pour le problème (c’était pas prévu pour faire de l’attaque dictionnaire, juste pour faire de la génération aléatoire…). Bref, n’utilisez pas pour l’instant pour ça, car vous perdrez votre temps. Merci à @matograine de m’avoir signalé le bug.

Ouais, j’y ai passé quelques heures aussi (à la main, old school), mais keudchi pour l’instant…

T’embête pas à la main, mon ordi en est à quelques 500000, tu vas te fatiguer les poignets et la cervelle. Utilise Gsper au moins

Ou si tu veux, envoie moi ta liste de mots à tester, j’essaierai à la prochaine fournée si celle-ci est infructueuse.

C’est mon côté petit artisan.