Ceci est une traduction du post de
sncc,
[Guide] Bitcointalk account security (avec son accord bien entendu). Par conséquent, le terme “je” fait référence à lui.
On a peu de posts traitant de sécurité (à mon goût) dans notre section, et celui-ci regroupe plus ou moins tous les conseils utiles (et souvent indispensables) pour utiliser le forum le plus en sécurité possible. Par ailleurs, la plupart de ces conseils sont applicables également à plein d’autres sites. En plus, pour une fois j’avais le temps, donc j’en ai profité.
“NDT” = Note du traducteur (= moi)
Si des fautes se sont glissées dans cette traduction, je me ferai un plaisir de les corriger. Bonne lecture !
Tous les jours nous voyons des threads à propos de comptes piratés/bloqués, qui ne sont pas seulement des comptes débutants mais aussi des
Legendary members. En plus du risque d’attaque par force brute, il y a des risques particuliers dans le système actuel et à cause de la fuite de données de 2015. La sécurité des comptes du forum a été l’un des principaux problèmes. L’amélioration de la sécurité, avec par exemple la demande de vérification par email pour le changement de mot de passe ou d’email, l’utilisation du 2FA (authentification à deux facteurs), un système automatisé de restauration des comptes, et la nouvelle version du forum avec une meilleure sécurité, serait idéale.
En attendant que ces fonctions soient implémentées, ce que nous pouvons faire est d’apprendre comment le système actuel de Bitcointalk fonctionne, comment améliorer la sécurité de votre compte Bitcointalk, ainsi que ce que vous devriez faire dans le cas où votre compte serait piraté ou bloqué. Dans ce thread, j’ai essayé de fournir un guide complet sur ces sujets. J’espère que cela aidera à réduire le nombre de comptes piratés/perdus.
Table des matières
Les bases
1. Ajoutez
https://bitcointalk.org/ à vos favoris et connectez-vous toujours en passant par ce favori. Évitez bitcointalk.to, thebitcointalk.net ou n’importe quel autre site de phishing.
2. Utilisez une nouvelle adresse email.
3. Utilisez un nouveau mot de passe que vous n’utilisez pour aucun autre site, suffisamment long, utilisant une combinaison de lettres majuscules/minuscules, chiffres, et caractères spéciaux.
4. Vous pourriez paramétrer une question secrète et sa réponse pour réinitialiser votre mot de passe mais cela augmente probablement le risque que votre compte se fasse pirater. Pour plus de détails, voir les
Conseils ci-dessous et
Changer de mot de passe et d’email / Mot de passe oublié.
5. Ne téléchargez pas de logiciels peu sûrs / douteux, et gardez vos appareils à l’abri des logiciels malveillants.
6. Gardez vos appareils et navigateurs à jour.
7. Enregistrez votre adresse Bitcoin. Voir
Enregistrer votre adresse Bitcoinci-dessous pour plus de détails.
ConseilsConseils pour 1. Sites de phishing- Certains liens de phishing sont automatiquement remplacés par [phishing link] mais cette fonction ne fonctionne pas encore pour bitcointalk.to et thebitcointalk.net.
- Si jamais vous entrez vos informations de connexion sur un site de phishing, vous devriez changer immédiatement votre mot de passe sur bitcointalk.org pour éviter que votre compte ne soit piraté.
- Avant de cliquer sur un lien, vérifiez que l’URL vers laquelle il pointe est correcte. Certains navigateurs affichent l’URL lorsque vous passez votre souris sur le lien.
- Les liens vers les pages internes de bitcointalk.org deviennent verts lorsque vous passez votre souris dessus, alors que les liens vers d’autres sites restent bleus. Cette fonction vous permet de distinguer un lien vers un site de phishing même si le pirate prétend qu’il s’agît d’un lien interne. Exemple de faux lien utilisant une
attaque homographique :
Vrai
BitcointalkFaux
Bitcointalk (lien vers google.com)
Vous pouvez reconnaître que le second lien est le faux car il reste bleu lorsque vous passez votre souris dessus.
- Il y a un moyen d’éviter que votre ordinateur n’accède à des sites de phishing en éditant le fichier hôtes. Pour plus de détails, voir
ce post en anglais par LoyceV.
Conseils pour 2. Adresse email- Gmail vous permet d’avoir un alias, mais dans ce cas l’adresse mail originale est exposée puisque pour une adresse Gmail
exemple@gmail.com l’alias sera exemple+
xxx@gmail.com, sachant que vous ne pourrez choisir que les lettres
xxx.
- Évitez les adresses jetables de type Yopmail car n’importe qui peut accéder à ces adresses.
Conseils pour 3. Mot de passe- Comme mot de passe, n’utilisez pas des mots du dictionnaire, votre date de naissance, le nom de votre animal de compagnie, votre numéro de téléphone, ou quelque chose qui soit facile à deviner pour les pirates ou fait partie des
25 pires mots de passe de 2017.
- Depuis la fuite de mots de passe qui a eu lieu en 2015, si vous êtes sur le forum depuis 2015 ou plus tôt et n’avez pas changé votre mot de passe, il est recommandé de le changer.
- Si vous utilisez la fonction d’autocomplétion de votre navigateur, voyez si celui-ci vérifie l’URL ou entre simplement le mot de passe sans vérification. Dans le deuxième cas, je vous conseille de désactiver l’autocomplétion. Même dans le premier cas, la règle peut changer avec une mise à jour, donc il faut rester vigilent.
- Vous pouvez utiliser l’option “Always stay logged in” (Rester connecté) pour ne pas avoir à entrer le mot de passe à chaque fois.
- Pour les gestionnaires de mot de passe, voir par exemple
[EN] The Five Best Password Managers ou le thread
[FR] Gestionnaire de mot de passe. Keepass.Conseils pour 4. Question secrète- Il y a plusieurs choses importantes à savoir à propos de cette fonction.
1) Il n’y a pas de processus de vérification par email, donc cette question secrète est susceptible d’augmenter le risque que votre compte se fasse pirater ou bloquer.
2) Si la réinitialisation du mot de passe via la question secrète est utilisée, votre compte sera bloqué, et vous devrez suivre le processus
Débloquer votre compte. Si le compte est sous votre contrôle, cette fonction est plutôt un inconvénient. S’il est piraté, vous pouvez utiliser cette fonction pour bloquer le compte, mais ce cas serait rare car le pirate est susceptible de changer cette question secrète et vous avez d’autres options pour bloquer votre compte à partir de l’email de notification de changement d’email jusqu’à 14 jours après la réception de celui-ci.
3) Vous pouvez supprimer la question secrète et sa réponse (
voir ce post en anglais).
Conseils pour 5. Logiciels douteux- Vous pouvez utiliser une machine virtuelle pour ces logiciels ou wallets peu sûrs.
Changer de mot de passe et d’email / Mot de passe oublié
- Vous pouvez changer de mot de passe via
1) La page de votre Profil
2) Le lien “Forgot password” (Mot de passe oublié) sur la page de connexion
3) La fonction de réinitialisation du mot de passe par question secrète. Notez que dans ce cas votre compte sera bloqué.
- Sur la page Trust, un changement ou une réinitialisation du mot de passe par les méthodes 1) et 2) est visible pendant 3 jours, alors qu’une réinitialisation par la méthode 3) est visible pendant 30 jours. Tous sont visibles sur la
page de log de sécurité (seclog) pendant 30 jours.
- Vous pouvez changer d’adresse email à partir de la page de votre Profil. Les changements d’email sont également visibles sur votre page Trust.
- Lorsque vous changez de mot de passe ou d’email, un email de notification est envoyé à votre (ancienne) adresse email.
ConseilsConseils pour 2) “Mot de passe oublié”Cliquez sur le lien “Forgot your password?” sur la page de connexion.
Après avoir entré votre pseudo ou votre email, cliquez sur “send”.
Vous recevrez l’email suivant, avec le lien permettant de réinitialiser votre mot de passe.
Dear <pseudo>,
This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:
https://<lien pour réinitialiser votre mot de passe>
IP: xxx.xxx.xxx.xxx
Username: <pseudo>
Regards,
The Bitcoin Forum Team.
Conseils pour 3) “Question secrète”Encore une fois, notez que votre compte sera bloqué si vous réinitialisez votre mot de passe via la question secrète.
Cliquez sur le lien “Forgot your password?” sur la page de connexion.
Après avoir entré votre pseudo ou votre email, choisissez “Ask me my question” puis cliquez sur “send”.
Malgré qu’il s’agisse du bouton “send” (envoyer), la question secrète va s’afficher dans votre navigateur, et vous pourrez répondre à la question et changer le mot de passe.
Notez qu’il n’y a pas de processus de vérification par email et que le compte sera bloqué.
(Voir :
PSA: ACCOUNTS WILL BE LOCKED IF THE SECRET QUESTION IS USED TO RECOVER IT)
Password reminder
Please enter the answer to your question, and the password you would like to use. Your password will be changed to the one you select provided you answer the question correctly.
Warning: If you answer correctly, your password will be changed, but then your account will then be LOCKED for manual review, since the whole idea of secret questions/answers is inherently insecure. Processing unlocks due to this is one of our lowest priorities, so it could be a long time until you get your account back.
Secret Question: <la question secrète que vous avez paramétrée s’affichera ici>
Answer: <entrez votre réponse>
Choose password: <entrez un nouveau mot de passe>
For best security, you should use six or more characters with a combination of letters, numbers, and symbols.
Verify password:
L’inconvénient de la fonction
question secrète est qu’elle augmente simplement le risque de voir votre compte être piraté, et même si cette fonction est utilisée correctement, votre compte finit bloqué, et vous devez attendre pour qu’il soit débloqué. (NDT : et ça peut être long,
très long)
Si vous n’avez pas paramétré de question secrète et que vous choisissez “Ask me my question”, le message d’erreur suivant sera affiché.
An Error Has Occurred!
Sorry, there is no secret question set for this member.
Enregistrer votre adresse Bitcoin
Enregistrer votre adresse bitcoin est la manière la plus efficace de prouver la possession de votre compte Bitcointalk. Si votre compte est piraté, le pirate peut éditer / supprimer vos précédents posts mais votre adresse postée et citée (balise quote) par un autre membre dans un thread prévu à cet effet ne peut pas être modifiée tant que le pirate n’a pas accès au compte de la personne qui a cité votre message et modifie le post contenant la citation. Par conséquent, vous pouvez prouver que vous êtes le propriétaire original du compte en signant un message à l’aide de l’adresse Bitcoin postée. (NDT : le terme
enregistrer a été utilisé pour traduire
stake, faute de mieux)
1. Générez un message signé en suivant le tutoriel
[TUTO] Comment signer un message (Bitcoin), en utilisant votre adresse Bitcoin, dont vous contrôlez la clé privée. Les adresses utilisant l’ancien format (1....) peuvent être préférables aux adresses Segwit car tout le monde peut vérifier les messages émis par ces adresses.
Exemple :
-----BEGIN BITCOIN SIGNED MESSAGE-----
This is <pseudo> at bitcointalk.org. The current date is <date>.
-----BEGIN SIGNATURE-----
<insérez votre adresse Bitcoin ici>
<insérez votre signature ici>
-----END BITCOIN SIGNED MESSAGE-----
2. Avant de poster un message signé, vérifiez-le par vous-même avec
Brainwallet,
Blockexplorer, etc.
3. Postez votre message signé avec votre adresse dans le thread
Stake your Bitcoin address here de Tomatocage.
4. Vérifiez si votre message est cité et vérifié correctement par d’autres membres du forum.
Bloquer votre compte
Un compte est bloqué si
1) Vous réinitialisez votre mot de passe à partir de la question secrète. (Voir :
PSA: ACCOUNTS WILL BE LOCKED IF THE SECRET QUESTION IS USED TO RECOVER IT)
2) Vous le demandez via le lien de l’email de notification de changement d’adresse email du compte.
3) Vous vous connectez après une longue période d’inactivité. (NDT : combien de temps, au juste ?)
Lorsque votre compte est bloqué, vous ne pouvez pas vous connecter et le message d’erreur suivant apparait :
An Error Has Occurred!
Sorry <pseudo>, you are banned from using this forum! Your account looks like it may have been hacked, so it was locked for safety. Email <addresse email>
ConseilsLe blocage d’un compte est différent d’un bannissement temporaire/définitif, pour lequel le message d’erreur aurait été
An Error Has Occurred!
Sorry <pseudo>, you are banned from posting or sending personal message on this forum!
Reason: <raison>
Ban duration: <durée>
Vous pouvez créer un compte temporaire et faire appel en ouvrant un thread à propos de votre ban en Meta. Cependant, pour un ban permanent, il est interdit de recréer un compte dans le but de contourner le ban.
Débloquer votre compte
1. Signez un message à l’aide de l’adresse BTC que vous avez enregistré (NDT : postée, citée, voir
ci-dessus) pour prouver la possession du compte bloqué. Exemple :
-----BEGIN BITCOIN SIGNED MESSAGE-----
Please unlock my account <pseudo (+ UID)>. The current date is <date>.
-----BEGIN SIGNATURE-----
<insérez votre adresse Bitcoin ici>
<insérez votre signature ici>
-----END BITCOIN SIGNED MESSAGE-----
2. Avant d’envoyer le message signé aux modérateurs, vérifiez-le vous-mêmes avec
Brainwallet,
Blockexplorer, etc.
3. Créez un compte Bitcointalk temporaire utilisant une adresse email différente.
4. Envoyez un message privé à theymos, Cyrus, hilariousandco, incluant le message signé et le lien vers le post où vous avez enregistré votre adresse Bitcoin.
Comme repérer que votre compte est piraté
Assurez-vous que vous avez coché la case “Receive forum announcement and important notifications by email” dans votre Profil, et que votre email ne considère pas les mail de
noreply@bitcointalk.org comme des spams.
Lorsque votre mot de passe est modifié (excepté par un admin), vous recevez une notification par email de
noreply@bitcointalk.org.
Dear <pseudo>,
Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address xxx.xxx.xxx. If you did not do this, then you should use the forgotten password feature to change your password.
Regards,
The Bitcoin Forum Team.
Lorsque que votre email est modifié (excepté par un admin), votre ancienne adresse email reçoit une notification par email de
noreply@bitcointalk.org avec un lien pour bloquer votre compte, qui est valide pendant 14 jours.
Dear <pseudo>,
Your Bitcoin Forum (bitcointalk.org) email address was just changed from <ancienne adresse email> to <nouvelle adresse email> by IP address xxx.xxx.xxx. If you did not do this, then you can visit the following link within 14 days in order to lock the account:
https://<lien pour bloquer votre compte>
Note that you will NOT be asked for your password at that URL.
Regards,
The Bitcoin Forum Team
Si vous recevez l’un de ces mails, ou les deux, alors que vous n’avez changé ni d’email, ni de mot de passe, votre compte a sûrement été piraté et le pirate les a changés.
Si le pirate a modifié
1) Uniquement le mot de passe :
Utilisez la fonction “Forgot password” (Mot de passe oublié) pour changer le mot de passe. Vous recevrez un email contenant le lien pour réinitialiser votre mot de passe.
2) Uniquement l’email :
Connectez-vous et changez l’email et le mot de passe à partir de votre Profil. (NDT : attention cependant, le pirate peut alors avoir la possibilité la possibilité de bloquer le compte, voir ci-dessous)
3) L’email et le mot de passe :
Procédez selon :
Restauration de votre compte piraté ou bloqué.
ConseilsMême si vous êtes dans la situation 3), si le pirate a utilisé une adresse Yopmail.com, il y a des chances que vous puissiez reprendre le contrôle de votre compte vous-mêmes plutôt que de le bloquer et devoir attendre qu’il soit débloqué, puisque les adresses Yopmail sont accessibles par tout le monde. Suivez les instructions ci-dessous traduites du post
Hacked and Changed Email addresses Account using Yopmail accounts de Swenna :
1. Je me suis connecté à mon compte en utilisant la fonction “Forgot password” (Mot de passe oublié). Puis un lien de récupération a été envoyé à l’adresse Yopmail, qui peut être utilisé pour changer le mot de passe du compte.
2. Après avoir changé le mot de passe de mon compte, j’ai aussi changé l’adresse email, et ajouté une nouvelle question de sécurité pour plus de sécurité. (NDT : en contradiction avec ce qui est dit plus haut)
3. Ensuite, j’ai supprimé tous les mails du forum sur l’adresse Yopmail pour éviter que le pirate annule mes changements ou bloque mon compte.
Restauration de votre compte piraté ou perdu
C’est le dernier recours, mais n’en attendez pas trop, car la restauration des comptes semble n’avoir qu’une faible priorité pour les admins et cela prend généralement longtemps, ou il y des chances que votre compte finisse par ne jamais être restauré. L’annonce officielle de theymos :
Recovering hacked accounts or accounts with lost passwords1. Signez un message à l’aide de l’adresse BTC que vous avez enregistré (NDT : postée, citée, voir
ci-dessus) pour prouver la possession du compte piraté. Exemple :
-----BEGIN BITCOIN SIGNED MESSAGE-----
My account <pseudo (+ UID)> has been hacked/lost.
Please reset the email to <email>. The current date is <date>.
-----BEGIN SIGNATURE-----
<insérez votre adresse Bitcoin ici>
<insérez votre signature ici>
-----END BITCOIN SIGNED MESSAGE-----
2. Avant d’envoyer le message signé aux modérateurs, vérifiez-le vous-mêmes avec
Brainwallet,
Blockexplorer, etc.
3. Créez un compte temporaire utilisant
une adresse email différente de celle que vous voulez utiliser pour le compte piraté/perdu.
4. Envoyez un message privé à theymos, Cyrus, incluant le message signé et le lien vers le post où vous avez enregistré votre adresse Bitcoin.
Typiquement cela prendra du temps, de quelques mois à années, pendant lequel vous pouvez éventuellement essayer les processus suivants :
5. Créer un thread en section Meta avec votre compte temporaire.
6. Demander à des membres de vérifier si votre MP incluait toutes les informations nécessaires à la restauration du compte.
7. Demandez à un membre DT (Default Trust) de red-truster votre compte piraté avec un message signé comme preuve qu’il s’agît bien de votre compte.
ConseilsConseils pour 1. Adresse BitcoinSi vous n’avez pas enregistré votre adresse Bitcoin, vous pouvez toujours chercher d’autres options pour prouver qu’il s’agît de votre compte. Par exemple, bien que ce ne soit pas la meilleure option, cela peut être votre adresse dans la spreadsheet / feuille de calcul d’une campagne bounty (/ de primes) (le pirate ne peut pas l’éditer), une adresse postée dans la Place de marché ou un thread bounty (mais le pirate peut les éditer / les supprimer si elle n’est pas citée par d’autres membres), ou une adresse renseignée sur votre profil (le pirate peut la modifier / la supprimer) (NDT : dans les deux derniers cas, pensez à archiver la page). Elles peuvent servir de preuve mais le mieux reste d’enregistrer votre adresse à l’avance.
Conseils pour 3. MPLa première fois que vous envoyez un message privé est la plus importante, assurez-vous d’avoir inclus toutes les informations nécessaires pour les admins, autrement vous perdrez votre chance.
Conseils pour 5. BumpUn bump est autorisé pour chaque 24 heures.
Conseils pour 7. Red trustLe red trust montre que le compte est piraté, et évite que le hacker n’utilise votre compte, par exemple, pour des campagnes bounty (/ de primes), sur la Place de marché, pour le revendre, et réduit les chances que d’autres membres soient arnaqués par le pirate. Une fois que vous avez récupéré votre compte, vous devrez demander au membre DT (Default Trust) de supprimer le red trust en fournissant un message signé notifiant la récupération de votre compte.
Cas récents de restauration de comptes
Parmi les nombreux comptes étant en attente de restauration depuis longtemps, il y a quelques personnes chanceuses qui ont réussi à faire restaurer leur compte piraté ou perdu. Cependant, les choses ne se passent pas toujours comme dans ces exemples et la situation peut changer, donc n’espérez pas trop si vous êtes dans la même situation.
Compte : LTU_btc Hero
Thread : Hacked account recovery. Cyrus, please help 17 novembre 2017
LTU_btc s’est rendu compte que son compte avait été piraté grâce au mail de notification de changement de mot de passe et/ou d’email, et peu après cela il a bloqué le compte en utilisant le lien de l’email. Il a créé un compte temporaire LTU_btc/2, et a envoyé un MP à Cyrus avec un message signé par l’adresse Bitcoin auparavant enregistrée. Heureusement le processus a été très rapide, et il a retrouvé son compte en seulement quelques jours.
Compte : Shazam!!! Full Member
Thread : Need help with Unlock---Please 12 décembre 2017
Shazam!!! est resté inactif pendant des années après que les hashs des mots de passe aient fuité en 2015. Les comptes concernés ont été bloqués automatiquement à cause du haut risque de piratage. Quand il a essayé de se connecter de nouveau fin 2017, il a remarqué que le compte était bloqué. Il a envoyé un MP à Cyrus de son compte temporaire !!!Shazam!!! avec un message signé. Cependant, il n’avait pas enregistré son adresse dans le thread de Tomatocage. Heureusement, Vod et minifrij l’ont aidé à trouver son adresse postée dans plusieurs threads de bounty en 2015. À proprement parler, si le compte a été piraté, le pirate peut modifier / supprimer tous les posts précédents pour que l’adresse, non citée par d’autres membres, soit une preuve plus faible. Hilariousandco l’a aussi aidé et a envoyé des MP à theymos et Cyrus. Le compte a été débloqué le jour de l’ouverture du topic. Après avoir récupéré son compte, Shazam!!! A immédiatement posté son adresse dans
.
Compte : [url=https://bitcointalk.org/index.php?action=profile;u=361655]premium_domainer Legendary (Attention, traduction nullissime, j’ai rien compris à ce qui était écrit)
Thread : Account Regained with the help of Loyce. Thank you all 10 janvier 2018
Ce cas est un peu délicat. BitcoinBazaar.net est un compte temporaire créé pour demander la restauration du compte premium_domainer qui avait été déclaré comme piraté, mais il a été découvert plus tard que le compte avait été vendu, [[alors que sur le thread la façon dont il avait été acheté n’était pas claire]]. Le propriétaire n’avait pas enregistré son adresse, c’est pourquoi LoyceV a fourni beaucoup d’efforts pour confirmer la possession du compte. LoyceV a ouvert
un thread pour demander comment aider BitcoinBazaar.net et a résolu [[le bug de la clé privée incomplète pour l’accès en lecture seule sur blockchain.info]]. Cela a attiré l’attention des DT et le compte piraté a été red-trusté. Mais le compte n’a pas été récupéré, et BitcoinBazaar.net continuait de bumper le thread. 6 mois après l’OP, l’acheteur du compte a finalement demandé 200$ pour rendre le compte. Il a posté un mot de passe dans le thread, en disant que s’il ne payait pas les 200$ le compte serait bloqué. Comme vous le voyez cette approche a une faille car l’admin peut débloquer le compte. L’acheteur a dû le remarquer et a supprimé le post. Cependant, LoyceV a remarqué le post avant qu’il ne soit supprimé, et a immédiatement repris le compte. Plus tard, LoyceV a rendu son compte à BitcoinBazaar.net.
Compte : Swenna Full Member
Thread : Hacked and Changed Email addresses Account using Yopmail accounts 15 juillet 2018
Comme mentionné plus haut, ce thread vous indique comment récupérer votre compte vous-même si le pirate utilise Yopmail. Récemment, plusieurs comptes ont été piratés avec la même adresse IP utilisant des adresses Yopmail comme nouvelles adresses. Les adresses Yopmail sont des adresses email jetables qui ne nécessitent pas d’authentification. Cela signifie que vous pouvez aussi accéder à l’adresse Yopmail du pirate et changer l’email enregistré dans votre Profil pour remettre le vôtre, en suivant cette méthode :
1. Je me suis connecté à mon compte en utilisant la fonction “Forgot password” (Mot de passe oublié). Puis un lien de récupération a été envoyé à l’adresse Yopmail, qui peut être utilisé pour changer le mot de passe du compte.
2. Après avoir changé le mot de passe de mon compte, j’ai aussi changé l’adresse email, et ajouté une nouvelle question de sécurité pour plus de sécurité. (NDT : en contradiction avec ce qui est dit plus haut)
3. Ensuite, j’ai supprimé tous les mails du forum sur l’adresse Yopmail pour éviter que le pirate annule mes changements ou bloque mon compte.