Coinbase nous expose ses nouvelles mesures de sécurité

Pour ceux qui ne connaissent pas, Coinbase est une des premières « banques à Bitcoin » du monde. Elle agit comme le fait une banque avec votre monnaie fiduciaire.

« Ehh ! Mais le principe de Bitcoin n’est pas de se passer des banques ? »

Oui, mais pas seulement. Ce que cherchent surtout pas mal de gens c’est pouvoir faire circuler de l’argent comme bon leur semble et empêcher certaines personnes (les banques) de « tricher » créer de la monnaie à partir de rien. Ces principes restent les mêmes avec Coinbase. Ils offrent un certain confort d’utilisation et des standards de sécurité pour protéger votre clé privée, qui n’est autre que la clé de votre coffre-fort à deniers.

Nombreux sont ceux qui critiquent l’approche des banques en ligne Bitcoin. Cela centralise une grande quantité d’argent sur une seule cible bien juteuse, et plusieurs sites hébergeant des portefeuilles se sont déjà fait trouer dans tous les sens dans le passé. Le résultat à chaque fois était le même : les portefeuilles se sont retrouvés vidés de leur contenu et les clients n’avaient que leurs yeux pour pleurer. C’est le Far West le monde Bitcoin. Lorsque la banque se fait braquer, c’est bien votre argent qui est volé pour de bon, pas de remboursement.

Pourquoi utiliser ce genre de service alors ? Tout simplement parce que le stockage sécurisé de votre portefeuille n’est clairement pas à la portée de tous de nos jours. L’utilisateur moyen à de bien plus grandes chances de voir son PC infecté et la clé privée représentant son portefeuille Bitcoin volé si il les garde en local. Quand on n’est pas compétent dans un domaine, on sous-traite, c’est ce que propose Coinbase.

Revenons à ce qu’ils mettent en avant dans ce bulletin sécurité :

La double authentification nécessaire pour la connexion et les grosses transactions est une bonne chose, mais j’ai envie de dire : « pas trop tôt ». C’est souvent ce qu’on exige d’une banque traditionnelle, et c’est encore plus nécessaire pour Bitcoin je me répète, mais en cas de perte d’argent par piratage, même si vous le prouvez, vous ne récupérerez pas vos deniers. A moins de souscrire à une assurance couvrant ce genre de chose, je ne suis pas sûr que cela existe.

Par contre la partie sur le cold storage est intéressante : 97 % des Bitcoin gérés par Coinbase sont en « cold storage ». Par cold storage il faut comprendre qu’ils sont sur un ou des portefeuilles (wallet) Bitcoin dont la clé privée n’est pas sur les serveurs, mais stockés hors du site de façon sécurisée. Sans clé privée, pas de transaction. J’en déduis que 97 % des Bitcoin qu’ils stockent ne circulent pas. Cela montre que le Bitcoin est très majoritairement stocké et circule peu parmi ses détenteurs.

Alors oui, le raisonnement est un peu biaisé par le fait que l’argent qui circule en ce moment est majoritairement fait sur de la spéculation à la hausse ou à la baisse. Ce genre de spéculation se fait sur des plateformes de trading spécifiques. Sur ces plateformes, vous avez votre propre portefeuille Bitcoin, donc une partie non négligeable de Bitcoin ne dort pas et circule bien, mais sur d’autres comptes.

De la même manière, beaucoup d’entre nous ont ce qu’on appelle une épargne, une partie de leur pécule ne circule pas, mais dort dans des banques contre rémunération de celle-ci par des intérêts. Enfin, dort, la banque les utilise, ne vous en faites pas, c’est d’ailleurs comme ça qu’elle finance ce fameux taux d’intérêt.

Tout de même, 97 %, c’est énorme vous ne trouvez-pas ?

Flattr this!

World of Warcraft et authentification forte : encore insuffisant pour décourager les pirates

Une attaque sur les comptes World of War

Cette attaque est intéressante, car elle est souvent ignorée ou sous-estimée. Lorsqu’on présente l’authentification forte, on explique souvent que la protection est maximale, car il faut posséder les deux facteurs pour s’authentifier. Ce n’est que partiellement vrai. Lorsque les deux facteurs d’authentification sont renseignés depuis le même équipement, il suffit de compromettre l’équipement en question.

Comment est-ce possible ? Voici le cheminement :

  1. Votre machine est infectée par un malware.
  2. Vous voulez vous connecter à WoW avec votre mot de passe plus un code à usage unique généré par l’application Battle.net Authenticator.
  3. Vous entrez votre mot de passe dans WoW, le malware l’enregistre et l’envoie à l’attaquant.
  4. WoW vous demande maintenant le code à usage unique, mais cette fois c’est le malware qui l’intercepte, l’envoi à l’attaquant.
  5. L’attaquant dispose de quelques secondes pour se connecter depuis chez lui avec le mot de passe et le code à usage unique fraichement reçu.
  6. Pendant ce temps le malware à mis un code erroné dans la fenêtre de WoW et vous avez donc une erreur au moment du login.
  7. Vous ressayez plusieurs fois, pensant faire une erreur de frappe, le malware continue de changer le code, l’authentification ne marche pas, vous pensez avoir un problème avec votre compte.
  8. Pendant ce temps l’attaquant vide votre inventaire et surtout vos précieuses pièces d’or

L’exemple est tiré de l’article, mais peut être adapté pour voler le code que vous recevez par votre banque par SMS lorsque vous faites un paiement 3DSecure.

Pour mitiger ce type d’attaque, il faut que le second facteur soit envoyé à minima par un autre équipement, le mieux étant qu’il soit carrément envoyé depuis un autre canal de communication. Par là j’entends, s’il est envoyé par deux ordinateurs différents, mais que les deux utilisent la même connexion réseau, un man-in-the-middle reste envisageable.

Si par contre on vous demande par exemple de répondre à un SMS en plus de renseigner votre mot de passe sur l’ordinateur, il faut maintenant compromettre votre ordinateur ET votre téléphone, ou votre connexion internet ET votre liaison GSM. Bien entendu, la sécurité absolue n’existe pas, cela reste théoriquement réalisable, mais beaucoup, beaucoup plus difficile à mettre en place.

Flattr this!

Bringrr, comment pervertir un outil pour retrouver les objets égarés ?

Bringrr, comment pervertir un outil pour retrouver les objets égarés ?

Je parlais hier des produits conçus par des gens pleins de bonne volonté qui ne pensent pas aux possibilités d’abus que l’on peut faire de leurs technologies. Voilà un bel exemple.

Le dispositif branché dans l’allume-cigare bip lorsque vous oubliez un objet sur lequel vous avez placé un badge « Bringrr ». Jusque là rien de dangereux. Par contre, il y a aussi une fonction « objet perdu ». L’exemple donné dans la publicité est un Bringrr placé sur un collier pour chat.

  1. Le chat s’est enfui de l’appartement, vous ne savez pas ou il est et donc vous déclarez le Bringrr comme perdu.
  2. À partir de ce moment, tous les utilisateurs de Bringrr ont leur smartphone qui se met activement à chercher le fameux badge.
  3. Dès qu’un utilisateur de Bringrr passe à proximité du badge perdu, il vous envoie une notification de sa position.
  4. Dès que vous avez une population d’utilisateur de Bringrr suffisamment grande dans un milieu urbain, vous pouvez donc… suivre à la trace un Bringrr arbitraire déclaré comme perdu.
  5. Il ne vous restera plus qu’à le glisser subrepticement dans la poche ou le sac à main d’une personne innocente pour la suivre à la trace à moindre coup !

Et pourtant on sent que les créateurs ont un minimum réfléchi aux abus possibles et aux conséquences sur la vie privée, on retrouve notamment deux questions dans leur FAQ à ce sujet :

Q: If my Bringrr or Bringrr App updates the location of someone else’s BringTag, will they be able to see my location?
A: No. You will not know when this happens, the other users BringTag location is sent discreetly and anonymously to our cloud servers. Then the Bringrr cloud servers send the BringTag location update to the owner, and none of your Bringrr account information or location will be shared with them. All that person will receive is a GPS location of their BringTag.

Q: If my Bringrr or Bringrr App updates the location of someone else’s BringTag, will they be able to see my location?
A: No. You will not know when this happens, the other users BringTag location is sent discreetly and anonymously to our cloud servers. Then the Bringrr cloud servers send the BringTag location update to the owner, and none of your Bringrr account information or location will be shared with them. All that person will receive is a GPS location of their BringTag.

Ils n’ont malheureusement pas pensé à tout. Ou alors ils y ont pensé, mais sans solution intéressante, ont préféré ne pas mentionner ce point dans leur FAQ 😉

Une solution à ce problème serait de faire émettre un son par le Bringrr dès que celui-ci s’approche d’un téléphone avec l’application lorsque celui-ci est tagué comme perdu. Il est possible de faire sonner un tag sur commande à partir du moment où il est à portée, cela peut donc facilement être implémenté. Alors certes, la personne sur laquelle on aura placé le Bringrr sera toujours géolocalisée, mais le bruit l’alertera et l’amènera à chercher d’où vient le son. Elle découvrira probablement l’objet et le jettera, en restant silencieux il sera possible de tracer la personne pendant un bon moment.

Flattr this!

NameTag : Souriez, vous êtes identifié !

Projecteurs sur l’application, NameTag, offrant l’identification d’inconnus par reconnaissance faciale aux plus curieux d’entre-nous.

Difficile de ne pas penser au futur jeu d’Ubisoft « Watchdog » en lisant cet article. La réalité rejoint de plus en plus rapidement la science-fiction ces derniers temps et ce n’est pas toujours pour nous plaire !

D’un côté nous avons un certain attrait du public, et donc des entrepreneurs, pour les applications cherchant à conserver un minimum de vie privée.

De l’autre nous avons ces équipements (Google Glass, Razer Nabu) et leur logiciel qui font tout leur possible pour reconnaître l’entourage ou vous faire connaitre de cet entourage. Quand je dis entourage, je ne parle pas de vos proches, mais bien du moindre passant se promenant dans un rayon de dix mètres autour de vous.

Est-ce vraiment ce que l’on souhaite ? Nous avons ici un cas concret de ce que nous retrouvons dans les dilemmes sociaux théorisés (http://bit.ly/KIHLwb ou http://bit.ly/KIHLMq pour les amateurs).

La majorité de la population n’aime pas être épiée. Si toute la population coopérait et boudait ce genre d’applications, elles ne proposeraient pas et ne se développeraient pas.

Problème, la majorité de la population aime épier les autres. Il est donc tentant de ne pas coopérer et d’utiliser l’application. Si les cas sont isolés, l’équilibre est maintenu, si le nombre d’épieurs augmente, le « parasitage » prend le dessus et nous nous enfonçons dans ce qui nous effraie : une société de surveillance constante.

Si ce genre de théories vous amuse, je vous conseille d’ailleurs l’ouvrage de Bruce Schneier : Liars and outliers

À ma connaissance, ce genre de recherche n’est pas facilement réalisable. Si vous connaissez des moteurs de recherche d’image basée sur la reconnaissance faciale, je suis curieux de voir leur taux de faux positif.

Dans tous les cas, l’application est vicieuse, car la seule façon de refuser d’être identifiable… est de se créer un compte et de cocher l’option correspondante !

Et vous, êtes-vous pour le développement de ce type de produit ?

Flattr this!

Le podcast qui traite des enjeux de la sécurité informatique. Podcast en CC-BY-NC-SA