15 - Insaisissable ?
Par Jacques Favier le 28 mars 2015, 18:05 - du secret - Lien permanent
Je fonctionne comme tout un chacun par associations d'idées. Je relisais un article des Échos où l'on critiquait le caractère insaisissable, sinon impénétrable, de cette devise hybride de l'ère 2.0. Insaisissable, me suis-je dit, c'est une critique qui doit désormais s'entendre aussi à la lumière de l'inconcevable chypriation des comptes en banques, pratique inaugurée en avril 2013 et que la transposition d'une directive européenne va rendre progressivement commune (lire ici).
Insaisissables, (titre original Now you see me) c'est aussi un film qui fut un succès surprise de l'été 2013. Il met en scène non pas le fisc ou la troïka, mais quatre magiciens capables de dévaliser une banque à distance, de piller en public le compte en banque d'un millionaire qui se croyait plus malin qu'eux et de faire disparaître un coffre fort comme des prestidigitateurs feraient disparaître un lapin dans une boîte à malice.
Tout cela est-il sans rapport avec le bitcoin ?
Aurait-il plus à craindre des prestidigitateurs que des agents du fisc ?
Peut-être est-ce une simple marotte de ma part. Cependant le film m'a interpellé par l'écho du mot de magic qui revient dans tant de moocs, tutos et autres vidéos qui prétendent expliquer Bitcoin (et le reste) en quelques minutes à grand renfort de its amazing how it works...
Le premier tour de magie des quatre artistes est spectaculaire. Mais ces quelques secondes, n'est-ce pas le temps qu'il faut pour expédier son bitcoin au bout du monde, ou bien aller l'y chercher, en sautant par dessus les frontières, peut-être en traversant le béton armé mais aussi le blindages des régulations ? C'est donc aussi le temps qu'il faut pour le voler. Surtout s'il est dans un coffre fort grand ouvert...
Certes, peu de coffres restent grand ouverts. Mais si le second tour de magie, qui voit l'argent passer d'un compte en banque à d'autres, en public et devant la victime, a quelque chose de comique, c'est évidemment parce qu'une porte a été ouverte par la victime elle-même.
D'autre part, une actualité récente et tragique vient de rappeler que le blindage d'une porte n'est pas le seul élément de protection auquel il faille songer. Si les gens qui nous gouvernent avaient un peu de finesse et de littérature, ils y auraient songé avant le drame.
Mais le "mentaliste" ici n'est guère magicien. S'emparer des petits secrets de vos voisins est un jeu d'enfant. Tous les sites vous demandent le nom de jeune fille de votre mère et le nom de votre premier chien. Quelle blague... si je veux, avant dimanche prochain je saurai les vôtres !
Certes tout n'est pas dans le Who's who ou sur la page Facebook de vos enfants. Mais il n'y a rien de plus simple que d'appeler au téléphone, demander à une secrétaire le nom de jeune fille de la femme de son patron, demander aux gosses le nom de leur chien, et même de demander à un cadre de société cotée la parité finalement retenue pour l'opération financière confidentielle. Je ne conseille pas de se faire passer pour un flic (c'est un délit), au besoin, dire c'est pour la télé marche mieux et s'avère moins risqué.
Revenons au grand problème du bitcoin: où cacher sa clé? Après le billet que j'avais intitulé Licence Poétique, et dans lequel j'évoquais les possibilités de flesh-storage fournies par le cerveau humain, je me suis livré, plus ou moins volontairement, à diverses expériences. J'en ai tiré la matière d'un autre billet, publié sur le "coin-Coin" où je montrais comment une confiance trop naïve accordée au brain-wallet pouvait mener à se tirer une balle dans la cervelle. Des lecteurs m'ont envoyé des liens (voir ci-dessous) pour augmenter ma méfiance...
Un dernier mot : "Insaisissables" est sorti bien avant l'effondrement de Mt Gox. On pourrait en conclure que ça n'a rien à voir.
Sauf que les cambrioleurs ici n'ont pas de pied-de-biche mais un cerveau pour percer le cerveau de leur victime. La phrase culte du film : Look closely, because the closer you think you are, the less you will actually see met le doigt sur l'une des failles classiques de la sécurité.
Dans une économie de plus en plus digitalisée, cognitive, conceptuelle, c'est à dire une économie où un cerveau, parfois le même, peut servir de mémoire, de portefeuille, de coffre, de serrure et de clé, la sécurité des mémoires informatiques dans leurs data-storages surprotégés est à la merci d'une faiblesse de ce cerveau humain incapable de garder un secret même au petit coin).
Je n'ose pas ajouter : "ne le répétez pas..."
Pour aller plus loin, rire ou frémir :
- Sur la difficulté de trouver, même en plusieurs langues dont l'afrikaan, des phrases originales, voir une conversation sur reddit] (Merci à David Latapie)
- Pour apprendre comment voler du bitcoin (Merci à Addli Takkal-Bataille).
- Pour voir Madame Morano déballer ses secrets en juin 2012
- Sur les dangers de se parler à soi-même au petit coin.
Commentaires
Article très instructif.
Et pourquoi ne pas cacher sa clé privée sur un steganosaurus (à ne pas confondre avec les stegosaurus qui existent depuis 250 millions d'années) ?
(Presque) personne ne va y penser...
OpenPuff est la solution.
Quant à décrypter une clé privée... bof, c'est l'affaire d'une petite heure (je me fais peur à moi même, en écrivant ça...)
Il suffit de savoir écouter et de demander un peu d'aide à Adi Shamir (le S du RSA)... J'imagine que la NSA, avec son budget annuel d'une bonne dizaine de milliards de dollars peut faire ça les doigts dans le nez...
http://www.cs.tau.ac.il/~tromer/aco...
http://securityaffairs.co/wordpress...
http://www.clubic.com/antivirus-sec...
-------------
Merci ami, c'est rassurant ! Promis je parle de stegano un de ces jours !
JF
Super poste !
Si l'humain est aussi manipulable que l'informatique, reste donc ce bon vieux Gutenberg avec BitAddress ?
-----------------------
C'est probablement plus sûr que bien des alternatives. Jusqu'à preuve du contraire? JF
Une suggestion de lecture de mon ami Adli: un craqueur de mot de passe qui va le voir directement dans votre cervelle...