Journal Fermeture de Silk Road par le FBI

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
19
3
oct.
2013

Comme je viens de voir sur un article du Monde, le FBI vient de faire fermer le site Silk Road (site de e-commerce underground pour tout ce qui est illégal).

(Apparemment) Ils ont trouvé et arrêté le fondateur qui faisait de la pub pour son site sur des forums sur lesquels il avait utilisé un email contenant son nom de famille…

Comment un mec comme ça peut se permettre de faire une erreur si simple ? (si c'est vraiment comme ça qu'ils l'ont trouvé)

L'article du Monde en question

  • # Bitcoin :)

    Posté par  (site web personnel) . Évalué à 7. Dernière modification le 03 octobre 2013 à 13:57.

    Et dire qu'une simple arrestation dans des activités illégales peut faire chuter la valeur du Bitcoin de 10%… Ca c'est de la monnaie.
    (pour ceux ayant eu la flemme de lire le lien et puis bon le graph du lien n'a pas de chiffres donc peu utile, il est dit "26 000 bitcoins, soit 0,2 % des unités actuellement en circulation")

    Comment un mec comme ça peut se permettre de faire une erreur si simple ? (si c'est vraiment comme ça qu'ils l'ont trouvé)

    C'est classique d'être trop sûr de soit, à un moment une faute et bam (comme ne pas chiffrer à coup de truecrypt et sa partition cachée, la partition qui contient ses bitcoins?)

    • [^] # Re: Bitcoin :)

      Posté par  . Évalué à 8.

      comme ne pas chiffrer à coup de truecrypt et sa partition cachée, la partition qui contient ses bitcoins?

      4 hypothèses :

      1. Il n'a pas pensé à le faire (ça serait un peu étonnant)

      2. Il l'a fait mais le FBI est entré chez lui quand la partition était ouverte (le plus probable)

      3. Le FBI aidé par la NSA a les moyens pour décrypter ce type de données, d'une manière ou d'une autre cf. https://www.schneier.com/blog/archives/2013/09/the_nsas_crypto_1.html

      4. Autre solution probable :
        https://sslimgs.xkcd.com/comics/security.png

      « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

      • [^] # Re: Bitcoin :)

        Posté par  (site web personnel) . Évalué à 2.

        Il n'a pas pensé à le faire (ça serait un peu étonnant)

        Tu serais étonné par ce que peuvent ne pas faire des gens…

        Il l'a fait mais le FBI est entré chez lui quand la partition était ouverte (le plus probable)

        Solution : ouvrir que la partition qui contient le dernier $1 Million en cours, laisser les autres fermés/cachés

        Le FBI aidé par la NSA a les moyens pour décrypter ce type de données, d'une manière ou d'une autre

        Mouais, admettons, mais j'ai quand même de gros doutes.

        Autre solution probable :

        D'où l'idée de la partition cachée… Avec par exemple 10% des transactions dans la partition visible et 90% dans l'autre partition.

        tout dépend du niveau de paranoïa :)

        PS : tu as quand même oublié le truc le plus crédible (si il chiffre) à mon avis : pose de caméras dans l'appart et comme ça on a son mot de passe.

        • [^] # Re: Bitcoin :)

          Posté par  (site web personnel) . Évalué à 2. Dernière modification le 03 octobre 2013 à 15:25.

          Solution : ouvrir que la partition qui contient le dernier $1 Million en cours, laisser les autres fermés/cachés

          Je me répond : "Au total, Silk Road - la Route de la soie en français - a enregistré quelques 9,6 millions de bitcoins de transactions, soit l'équivalent de 1,2 milliard de dollars (882 millions d'euros). 3,6 millions de dollars (2,6 millions d'euros) en bitcoins ont été "saisis" par les autorités dans le porte-feuille virtuel du site."

          Possible qu'il ai fait ça en fait : 2% de "frais de plate forme" est plutôt rare (certes possible, mystère donc…).

        • [^] # Re: Bitcoin :)

          Posté par  . Évalué à 2.

          Mouais, admettons, mais j'ai quand même de gros doutes.

          C'est pas la première fois que je vois passer des news sur le FBI qui les font passer pour des incompétents, et j'en ai aussi vu passer sur la CIA.

          Du coup je me demande parfois si ce n'est pas un fait exprès : mettre ces deux-là en avant et les faire passer pour des idiots afin que les gens se méfient moins et laisser la NSA travailler discrètement derrière. D'ailleurs avant cette année, il me semble que le grand public n'avait jamais entendu parler de cette agence.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: Bitcoin :)

            Posté par  (site web personnel) . Évalué à 1.

            je n'ai jamais parlé d'incompétence… Juste que AES et SHA sont trop utilisés par trop de monde et du coup trop regardé pour pouvoir cacher une faille. Et Truecrypt peut utiliser AES-256 et SHA-512 (donc même avec un ordinateur quantique caché…)

            • [^] # Re: Bitcoin :)

              Posté par  . Évalué à 2.

              Et c'est même, je penses, une des plus importantes leçons de l’affaire Snowden: Encryption works.

              • [^] # Re: Bitcoin :)

                Posté par  (site web personnel) . Évalué à 0.

                Pour le coup, c'est quand même un peu différent : c'est PGP qui fût utilisé.
                De la à préférer PGP à AES/SHA… Mais comme PGP est beaucoup moins utilisé, on ne peut pas vraiment savoir si il n'y a pas de faille juste faute de pas assez de monde s'étant penché dessus.

                • [^] # Re: Bitcoin :)

                  Posté par  . Évalué à 9.

                  De la à préférer PGP à AES/SHA…
                  Désolé, mais ça n'a aucun sens d'écrire ça. Ce serait comme dire qu'on préfère Excel au tri à bulle.
                  D'autant que les systèmes de chiffrement à clef publique, y compris ceux utilisés PGP, utilisent le plus souvent AES (pour le chiffrement) et SHA (pour la signature).

                  (On ne chiffre en effet jamais un document avec un algorithme à clef publique, mais seulement une clef symétrique qui chiffre à son tour le document).

                  • [^] # Re: Bitcoin :)

                    Posté par  (site web personnel) . Évalué à 3.

                    Je ne connais pas suffisament PGP, je pensais qu'il avait ses propres algos, donc je prend note!

                    • [^] # Re: Bitcoin :)

                      Posté par  (site web personnel) . Évalué à 3.

                      "Block ciphers (symmetric encryption algorithms): IDEA, CAST5, Camellia, Triple DES, AES, Blowfish, and Twofish." - wikipedia pour gpg

                      gpg utilise CAST5 par défaut.

                      "La première sécurité est la liberté"

                      • [^] # Re: Bitcoin :)

                        Posté par  (site web personnel) . Évalué à 2.

                        Merci poir l'info. donc remplacer "PGP" dans mon commentaire par "CAST5" (j'imagine que du coup c'est ce qui est le plus utilisé)

                      • [^] # Re: Bitcoin :)

                        Posté par  . Évalué à 3.

                        gpg utilise CAST5 par défaut.

                        Seulement lorsque gpg est utilisé en mode de chiffrement symétrique (option -c). En mode asymétrique, le premier algorithme de chiffrement symétrique proposé par défaut est AES256 (CAST5 est aussi proposé par défaut, mais avec une précédence moindre).

                      • [^] # Re: Bitcoin :)

                        Posté par  . Évalué à 2.

                        gpg utilise CAST5 par défaut.
                        Je ne savais pas, mais ce n'est pas une bonne chose. La taille de bloc est trop petite (64 bits). En chiffrant grosso modo 32 giga-octets avec la même clef (dérivée, par exemple, d'un même mot de passe), on est quasiment sûr qu'il y a eu deux blocs chiffrés identiques (paradoxe des anniversaires), et plein de mauvaises choses arrivent d'un point de vue cryptographique.

                        Il vaut bien mieux utiliser des chiffrement de blocs 128 bits au moins.

                      • [^] # Re: Bitcoin :)

                        Posté par  . Évalué à 3.

                        Je ne pense pas que ce soit CAST5 par défaut pour les messages.

                        http://www.gnupg.org/documentation/manuals/gnupg/OpenPGP-Options.html
                        C'est pour l'algorithme de protection des clés par mot de passe.

                        Pour les messages, je pense que c'est plutôt que le message est chiffré par une clé AES-128 elle même chiffrée par RSA.

                    • [^] # Re: Bitcoin :)

                      Posté par  (site web personnel) . Évalué à 1.

                      Cela doit sûrement varier avec la compilation, voici les algorithmes pris en charge sur Debian Sid :

                      $ gpg --version
                      gpg (GnuPG)  
                      1.4.14
                      (...)
                      
                      Algorithmes pris en charge :
                      Clef publique : RSA, RSA-E, RSA-S, ELG-E, DSA
                      Chiffrement : IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
                                     TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
                      Hachage : MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
                      Compression : Non compressé, ZIP, ZLIB, BZIP2
                      
              • [^] # Re: Bitcoin :)

                Posté par  (site web personnel) . Évalué à 2.

                PRISM : les dessous de l'affaire Lavabit dévoilés sur SSL. Faut croire qu'ils n'y arrivent pas si même cette cible ne les motive pas à casser la clé qui va bien.

                • [^] # Re: Bitcoin :)

                  Posté par  . Évalué à 4.

                  Ça dépend, peut-être que c'est plus rapide / facile pour eux de récupérer les infos de cette manière qu'en cassant la clé ou en analysant des millions de trames IP.

                  Et les théoriciens du complot feront sans doute remarquer que ça peut être également un moyen pour faire croire qu'ils ne peuvent pas faire mieux que d'aller frapper à la porte des fournisseurs de services pour avoir ces accès.

                  « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

          • [^] # Re: Bitcoin :)

            Posté par  . Évalué à 6.

            D'ailleurs avant cette année, il me semble que le grand public n'avait jamais entendu parler de cette agence.

            Si si, elle est présente dans grand nombre de films et de séries (et ça doit probablement être le cas pour les jeux vidéos) dont une partie de la trame repose sur un quelconque complot gouvernemental.

          • [^] # Re: Bitcoin :)

            Posté par  (site web personnel) . Évalué à 5.

            C'est pas la première fois que je vois passer des news sur le
            FBI qui les font passer pour des incompétents, et j'en ai aussi
            vu passer sur la CIA.

            autre solution, la répartition de la compétence au sein de la CIA et du FBI suit une courbe en cloche classique, et ils emploient des humains d'un modèle classique capable d'un vaste pan de choses, ie des foirages comme des actions brillantes.

            Enfin, ta théorie du complot est pas mal non plus :)

        • [^] # Re: Bitcoin :)

          Posté par  (site web personnel) . Évalué à 3.

          D'où l'idée de la partition cachée… Avec par exemple 10% des transactions dans la partition visible et 90% dans l'autre partition.

          «Chef, on a rien trouvé d'autre sur son ordi. Mais au fait, je vous l'avais pas encore dit, mais en fait j'avais prévu de poser ma dém'. J'ai prévu de prendre un peu de temps pour moi-même, au soleil, avec la Ferrari que je vais m'acheter.»

      • [^] # Re: Bitcoin :)

        Posté par  . Évalué à 4.

        Si je ne me trompe pas (j'ai plus la source), il a été arrêté dans dans une bibliothèque alors qu'il utilisait son laptop. Ils ont attendu (ceux qui l'ont arrêté), qu'il rentre son mot de passe avant de le stopper (j'imagine que lorsqu'il se log dans sa session, ça "déverrouille" sa partition).

        • [^] # Re: Bitcoin :)

          Posté par  . Évalué à 10.

          depuis, un agent est posté en faction 24h/24 pour bouger la souris pour éviter que le fond d'écran reverrouille le PC

      • [^] # Re: Bitcoin :)

        Posté par  . Évalué à 10.

        4 hypothèses :

        1. Bonjour on est le FBI, c'est quoi ton mot de passe ? Quoi tu ne veux pas le dire ? Il parait que tu y stockes des données pour al-quaida. On va donc t'inculper pour terrorisme. Comme on est aux USA, ça veut dire que tu n'as pas le droit de passer de coup de fil, pas le droit à un avocat, et qu'on va te mettre dans une base à nous à l'étranger où tu seras toujours sous contrôle US, mais les lois US (celles qui « protègent » les détenus, pas les autres) ne s'appliqueront plus.

        Le FN est un parti d'extrême droite

    • [^] # Re: Bitcoin :)

      Posté par  (site web personnel) . Évalué à 4.

      Et dire qu'une simple arrestation dans des activités illégales peut faire chuter la valeur du Bitcoin de 10%

      SilkRoad a je crois beaucoup aider pour faire connaître le bitcoin en 2011 à une population non geek.
      Je ne suis pas étonné que sa fermeture ait un effet sur le cours du bitcoin.

      • [^] # Re: Bitcoin :)

        Posté par  . Évalué à 2.

        C'est plutôt un effet d'annonce, car la valeur a l'air de sacré bien tenir. 12 millions de bitcoins en circulation, peut être 30000 ou 40000 qui se sont fait scraper dans l'opération… Ça fait aux maximum 0.3% des btc en circulation.

        • [^] # Re: Bitcoin :)

          Posté par  . Évalué à 4.

          Le fait que 0.3% des bitcoins disparaissent de la circulation n'est pas ce qui fait chuter sa valeur, mais le fait que silk road ferme.
          Si le bitcoin résiste c'est que les gens ont confiance, a court terme une nouvelle plateforme remplacera silk road.

  • # Oh oui !

    Posté par  . Évalué à 10.

    Chapeau au journaliste qui a réussi à écrire "IllJackYouOffSoHard" dans le Monde.

  • # Pas si simple que ça

    Posté par  (Mastodon) . Évalué à 6.

    • [^] # Re: Pas si simple que ça

      Posté par  (site web personnel) . Évalué à 8.

      Bruce Schneier écrivait que même les personnes sensées être très bien informées et prudentes finissent par faire une ou des erreurs.

      https://www.schneier.com/blog/archives/2013/03/our_internet_su.html

      Un pirate informatique chinois s'est un jour connecté à Facebook depuis le même réseau que pour ses attaques.

      Le leader de LulzSec a oublié d'anonymiser son IP pour IRC.

      La maîtresse du directeur du FBI ne communiquait avec lui que par des réseaux publics (café, hôtel). Le FBI a fait le lien avec ses déplacements.

      • [^] # Re: Pas si simple que ça

        Posté par  . Évalué à 7.

        La maîtresse du directeur du FBI ne communiquait avec lui que par des réseaux publics (café, hôtel). Le FBI a fait le lien avec ses déplacements.
        Ils étaient malins toutefois, ils n'envoyaient pas les mails mais communiquaient par brouillon gmail (avec une même boîte).
        C'est peut-être pour ça que ça a mis du temps pour les coincer.

  • # Moralité

    Posté par  (site web personnel) . Évalué à 4.

    Tout point de centralisation, caché ou visible, est vulnérable. Si tout le monde se donne rendez-vous au même endroit pour faire des choses interdites, a un moment ça va mal se passer.

    • [^] # Re: Moralité

      Posté par  . Évalué à 3.

      Conclusion, pour un marché de la drogue tranquille, après avoir décentralisé la monnaie y faut aussi décentraliser correctement la plateforme d'échange.

      Ou que les États arrêtent de faire chier sur un truc qui les regardent pas et légalisent, aussi.

      • [^] # Re: Moralité

        Posté par  . Évalué à 9.

        Mieux : se passer du marché de la drogue. Soit en arretant de se droguer, soit en produisant sa propre drogue

        • [^] # Re: Moralité

          Posté par  . Évalué à 3.

          Je dis pas le contraire. Sauf que l'État fait qu'il est beaucoup plus dangereux de planter que d'acheter…

          • [^] # Re: Moralité

            Posté par  . Évalué à 2.

            Dans les textes, oui, tu risque plus.

            Mais je pense quand meme que dans la pratique t'es quand meme beaucoup plus tranquil (a condition de faire ca bien, de pas empuanter tes voisins, etc).

          • [^] # Re: Moralité

            Posté par  (site web personnel) . Évalué à 3.

            Je dis pas le contraire. Sauf que l'État fait qu'il est beaucoup plus dangereux de planter que d'acheter…

            Pas forcément, tout dépend du volume.
            Si le volume suffit pour une personne ou deux et guère plus, ça ressemble à de la production personnelle ce qui est peu punie (car tu ne fais pas de profits et tu n'alimentes pas des activités et filières plus terribles encore).

            S'ils te saisissent plusieurs dizaines de plants et que tu fais passer ça pour de la consommation personnelle, ça ne fonctionnera pas et tu vas prendre cher car on se doutera de ce que devient tout cela. Mais ce serait pareil si tu achètes à un fournisseur un gros volume aussi.

            Un texte de loi fixe des maximum et des minimum pour les peines, souvent la fourchette est très large pour pondérer suivant la situation (circonstances atténuantes ou aggravantes).

            • [^] # Re: Moralité

              Posté par  . Évalué à 2.

              J'aimerais bien croire que c'est comme ça, et dans certains cas (la plupart ?) ça l'est probablement. Malheureusement ces histoires de peines variables et d'interprétation font que, dans le climat actuel de guerre contre la drogue, on peut très bien se manger de très grosses peines pour quatre pauvres pieds (quoi que, même avec quatre pieds on peut faire de jolis bénefs), pour l'exemple. Y suffit que le juge ai décidé que la drogue c'est mââl et qu'on va quand même pas laisser ces petits cons de jeunes faire pousser des substances illicites impunément. Je connais par exemple le cas d'un mec qui a pris de la taule pour un pied en plein air au fond de son jardin.

              Et c'est le risque maximal qui compte dans l'évaluation de la dangerosité.
              Mais peut-être que je sous-estime la sagesse et la mesure de nos organes juridiques ?

              • [^] # Re: Moralité

                Posté par  . Évalué à 1.

                La réponse simple à cette question est oui et non.

                En fait une ordonnance des années 80 fait que la simple consommation de stup n'est souvent jamais poursuivie (sauf récidive avérée). Or la production c'est autre chose. Même dans le cas d'une production personnelle, l'avertissement de rigueur qu'on utilise pour un simple pétard n'est plus de mise, malgré grosso modo que l'échelle du délit soit la même. Donc tu risques fort de passer voir le juge si tu te fais choper avec ne serait-ce qu'un pied.

                • [^] # Re: Moralité

                  Posté par  . Évalué à 5.

                  Oui, et non.

                  La derniere (et seule) fois ou je me suis fait gauler, (a aller pecho comme un con rue st michel a rennes), les stups ont ete tres clairs "Honnetement, on se fout un peu de toi, on veut choper la bande qui deal ici, et qui vient de paris. Fait pousser dans un placard, t'auras de la meilleur qualite et t'auras beaucoup moins de probleme avec nous".
                  Alors, ok, c'est pas lui qui va me juger, mais ca reste lui qui va m'arreter.

                  Ca depend probablement de comment tu presentes et de ton mode de vie, mais:
                  - T'as vachement moins de risques de te faire gauler si tu traines pas avec des dealers. Reste le probleme d'avoir les flics qui frappent a ta porte, mais ca arrive assez rarement quand meme
                  - Ca me parait assez peu probable que t'ai de serieux problemes pour un ou deux pieds, tant que t'as un mode de vie "normal" a cote (i.e., un taff, tu payes tes factures, t'as pas de casier etc).

                  Je sais qu'on se plait bien a dire que les stups sont cons comme des manches, mais ils sont pas si debiles que ca, et connaissent le milieu des stupéfiants bien mieux que ce qu'on veut croire (dans le meme tonneau, les rapports de la MILDT sont plutot precis et tres bien informes). Ils savent tres bien quelles sont les cibles prioritaires, et qu'emmerder qq1 qui a deux pieds de weed quand la mafia marocaine fait rentrer des tonnes de teushi de qualite excecrable en france est pas tres malin.

                  Linuxfr, le portail francais du logiciel libre et du neo nazisme.

      • [^] # Re: Moralité

        Posté par  . Évalué à 2.

        Ouais, alors pour le coup, attacher un hash cryptographique fort a ta transaction illegale, qui permet de remonter jusqu'a ton compte, je suis pas sur que ca soit la meilleure idee pour pas laisser de traces.
        Je dit ca, je dit rien, hein.

        Jusqu'a preuve du contraire, le cash pour acheter de la drogue, ca reste le moyen qui laisse le moins de traces. Et en personne, si possible, ca evite de devoir donner son adresse.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Moralité

          Posté par  . Évalué à 6.

          Jusqu'a preuve du contraire, le cash pour acheter de la drogue, ca reste le moyen qui laisse le moins de traces. Et en personne, si possible, ca evite de devoir donner son adresse.

          Wai, mais ça impose de se déplacer pour aller voir le livreur. Ce n'est pas très Web 2.0.

  • # Une autre explication

    Posté par  (site web personnel) . Évalué à 1.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.