Comment perdre ses crypto : les erreurs à éviter (topic participatif !)

[baba0000000000]

Si google trouve une fail et ce dit c'est trop chère à colmaté, on laisse comme ça.
Toi tu n'est pas au courant, car si tu le savait tu fermes tout et tu va ailleurs.
Sauf que quand un hacker à trouver cette faille et l'utilise bah c'est toi qui est dans la merde .

Un hacker arrive à détourné le système 2FA de google, ( je sais pas comment, mais s'il arrive ) il peut ce connecté à beaucoup de sites.


C'est un peu comme ta banque, l'exemple basique, quand tu demandes à ta conseillère de te rappeler et elle ne le fait pas.
Tu est dépendant de la banque.
La dans le principe tu remets ta sécurité à Google et le géant est en Amérique. Ce qui donne qu'il doit ( je sais plus maintenant ) donner les infos au gouvernement américan, ...

[BtOrNotBt]

(...)
Sauf que quand un hacker à trouver cette faille et l'utilise bah c'est toi qui est dans la merde .

Un hacker arrive à détourné le système 2FA de google, ( je sais pas comment, mais s'il arrive ) il peut ce connecté à beaucoup de sites.
(...)

Le système 2FA n'est absolument pas sûr - c'est certes un système de double authentification, mais par SMS - et c'est là où c'est bizarre, où l'on se dit mais attend le SMS je le reçois par SMS, ou parfois par mail - mais d'autant les deux peuvent être aisément "capturés". Et, en effet, il existe une faille dans le protocole de communication téléphonique qui n'est pas du tout corrigée - apparemment - qui permet à un cracker - et, non pas hacker - de "voler" la réception du SMS de confirmation.
Bref, contrairement, à ce que l'on croît, et ce que certains veulent faire croire, la double authentification 2FA est... à fuir assurément, et n'importe réellement aucune sécurité.
Et si tu ne me crois pas - ce qui serait normal - fais des recherches sur internet, pour comprendre cette histoire de faille 2FA - SMS.
Tu as moins de probabilité de faire "pirater" ton mail, même si existentiel... là, de l'intérêt d'utiliser le chiffrement GPG, voire des plate-formes qui chiffrent tes mails (tel protonmail, msgsafe.io, et certainement bien d'autres...).
L'autre problème est que la "seule" 2FA réellement fonctionnelle est celle de Google. Et comme ça vient d'eux beaucoup se disent : "oh, beh, pas de problème, alors..." - sauf qu'on en connaît les limites...
La faille téléphonique n'est pas de la faute à Google - ne pas se tromper... mais cela n'en reste pas moins que cette faille est sérieuse, existentielle, donc, de fait le protocole 2FA n'est pas fiable.

Là, où c'est possible, il vaut mieux préférer la double authentification, de type UFA - autrement dit par matériel de type clé USB qui "reçoit" un code que tu valideras. Cela nécessite encore une fois d'investir quelques euros, dans ce genre de clés de chiffrement. Certaines sites proposent cette double authentification, par exemple, gandi.net et sa nouvelle interface d'administration... Il faut espérer que cette technique se généralise.

Bref, dans tout ce que je dis là, j'écris, je peux assurément me tromper... moi qui ne suis qu'un petit techos IT, néanmoins sensible aux questions de sécurité IT.

[MerguezValue]

Salut ma cousine 

9. Acheter des chatons virtuels sur CryptoKitties avec de l'Ethereum.
Have FUN.

Arf j'ai honte mais j'ai buy aussi des cryptokitties au lancement avec des frais de malade, pensant faire un investissement hold, bref ne jamais suivre comme un mouton les idées lumineuses de certains visionnaires en herbe!! d'ailleurs j'ai de jolies chatons à vendre si jamais..

Une fois la honte partagée ça va mieux et ça fait du bien d'en parler lol 

[baba0000000000]

Je savais que pour les SMS c'était possible, vu que rien n'est crypté et autres.
Y a même des chercheurs qui ont réussi à avoir des SMS car le portable était hors de connexion. Donc tu mets hors service le portable de la cible tu as ses SMS.

Mais bon comme d'hab, faut mieux mettre la protection 2FA de google que de rien mettre.
Ca limite les gens qui peuvent voler tes comptes.

Le UFA je connais pas trop, mais si tu paumes ta clef USB ça se passe comment ?

[BtOrNotBt]

(...)
Mais bon comme d'hab, faut mieux mettre la protection 2FA de google que de rien mettre.
Ca limite les gens qui peuvent voler tes comptes.

Tu peux le croire, et tu es libre de le croire.
Je fais partie de ces personnes qui sont absolument convaincus qu'une mauvaise sécurité n'est pas de la sécurité !
Et qu'il faut ABSOLUMENT l'éviter.

Un autre exemple de sécurité à éviter : une clé GPG, ou communication SSH mal configurée.
Tu trouveras quantité de tutoriels qui t'expliquent comment créer facilement l'une ou l'autre, en faisant complètement l'impasse sur les informations essentielles de configuration "sécurisée" de l'une ou de l'autre.
Quand tu es newbie, tu fais malheureusement confiance... et tu te fais leurrer, tu crois être sécurisé, mais tu ne l'es pas !

(...)
Le UFA je connais pas trop, mais si tu paumes ta clef USB ça se passe comment ?

Tu achètes une autre clé et tu "l'authentifies"... Faut bien comprendre que c'est ni plus ni moins un système d'authentification fort (voire très fort) pour permettre la "communication sécurisée" d'information sensible.
Cela ne garde pas de données - et ne dois pas en garder. (là c'est mon avis ...)
Cela ne fait qu'ASSURER l'authentification de la communication entre deux "systèmes", ta clé et le service utilisé.

Tu changes de clé ? tu fais le nécessaire pour la faire reconnaître par le système de double authentification, ni + ni moins.
Le principe est l'équivalent de la gestion de clé TLS pour le chiffrement de la communication entre un serveur web et un client web.
En tant qu'administrateur web, quand la "clé" est changée, tu changes de certificats, le serveur doit indiquer la nouvelle "clé", le nouveau certificat, sinon pas d'accès !
Généralement tout se passe bien - c'est totalement transparent, normalement, pour l'utilisateur web...

C'est le même principe qu'utiliser une clé USB pour verrouiller, déverrouiller une partition chiffrée. À la différence près que pour une partition chiffrée, tu pers ta clé, à la fois la clé physique, que la passphrase... là, tu n'as plus accès à tes données. Il te faut mettre en "sécurité" ta passphrase liée au chiffrement de la partition... pour pouvoir la réutiliser sur toute nouvelle clé USB qui pourrait te servir pour cet usage, facilitant l'usage.

PS : je mets entre guillemets certains mots, c'est surtout pour indiquer qu'il ne faut pas le prendre au sens littéral, mais dans le concept qui se cache derrière

[baba0000000000]

Je comprends tout à fait ce que tu dis sur le 2FA et ce que tu dis sur la protection GPG ou SSH
C'est comme avoir un Linux mal configurer et un Windows barder de protection et je pense qu'il y en a plein dans ce cas ( moi dedans hien ).

La plus des gens n'y connaisse que dalle en sécurité, c'est pas facile de se protéger.
Et vu qu'en face on a des personne qui utilise des truc pas forcement fiable ( les exchanges)

Comment tu fais avec une clef UFA et t'en servir avec Binance ? ( par exemple) Tu ne peux pas ?

[Meuh6879]

sauf quand on contrôle ses propres domaines ...

Si tu pouvais expliquer davantage, ce serait bien.

1) tu achête un domaine,
2) tu achête un cube informatique (boite pas plus grande qu'un disque dur amovible),
3) tu installe une distro. linux pour un serveur mail sécurisé,
4) tu mets un dynDNS si t'as une IP dynamique,
5) tu contrôle tes emails depuis ton propre matériel avec ton propre domaine (30 euros par an).

https://samhobbs.co.uk/taxonomy/term/3

Clearly, there are plenty of people who don't like relying on freemail providers like Yahoo, Outlook and Gmail for a variety of privacy and security reasons.

[BtOrNotBt]

(...)

Comment tu fais avec une clef UFA et t'en servir avec Binance ? ( par exemple) Tu ne peux pas ?

C'est pour ça qu'il faut espérer, voire faire pression pour que la double auth UFA soit prise en charge par plus d'acteurs, sur le web

@Meuh6879: Le coût d'un nom de domaine est même bien moins cher que 30 euros... en restant dans l'entreprise de qualité, gandi, ~16euro, bien sûr, c'est toujours selon le TLD choisi :p