Discussion :

[Patrick Ruiz]

Coinbase suspend des comptes liés à des paiements de rançons en bitcoins
Quelle appréciation en faites-vous ?

Chaque métier impose à celui qui le pratique un code de conduite. Il se pourrait que, dans l’exercice du métier de consultant en cybersécurité, l’expert soit, sous certaines conditions, amené à effectuer le paiement d’une rançon. C’est en tout cas ce que rapporte Vinny Troia, fondateur de Night Lion Security, une firme américaine qui consulte dans le domaine de la cybersécurité.

« Nous investiguons constamment sur des incidents liés à la sécurité. Si un faussaire déclare pouvoir rendre à un client des documents volés contre de l’argent, le seul moyen de s’assurer qu’il les a effectivement est de les acheter », déclare Vinny. De telles transactions étant généralement effectuées en devises numériques, – bitcoin notamment – Vinny se sert de son portefeuille Coinbase pour satisfaire aux exigences des faussaires.

Vinny a été interrogé par Coinbase sur la façon dont il se sert des bitcoins dans son compte. Il a alors répondu : « je suis à la tête d’une firme de sécurité. Je procède à des paiements de rançons et achète des documents sur le dark Web à la requête de mes clients », une réponse qui apparemment n’a pas plu à Coinbase puisque Coindesk rapporte qu’après avoir reçu notification du caractère illégal de ses transactions, son compte et tous ceux qu’il a essayés de créer par la suite ont été bloqués. « Les comptes de tous les membres de ma famille sont bloqués », s’est-il d’ailleurs plaint.

Au-delà de l’argumentaire de Vinny Troia construit sur la requête d’un client de procéder à des transactions de ce type, l’on pourrait penser que Coinbase est en tort dans ce cas, sur la base des conditions utilisateur de la plateforme. La section de ces dernières intitulée « Paiements à l’endroit de tierces parties » stipule en effet que : « Coinbase n’a aucun contrôle et n’engage pas sa responsabilité quant à ce qui concerne la livraison, la qualité, la sécurité, la légalité ou tout autre aspect des biens et services que vous pourriez acquérir ou céder à de tierces parties ».

De plus, l’appendice 1 de ces conditions d’utilisation, relatif aux activités prohibées, ne liste pas de façon explicite l’activité que mène Vinny Troia. Tout cela suppose donc que passé les formalités de création de compte, chaque utilisateur est libre de disposer des bitcoins dans son compte – ou d’autres devises numériques – à sa guise. Ainsi, du point de vue des conditions d’utilisation de la plateforme, Vinny Troia serait en règle.

Coinbase, semble-t-il, s’appuie sur les dispositions de la loi américaine relative au blanchiment d’argent. En vertu de ces dernières, toute institution financière doit prendre les mesures nécessaires pour empêcher les pratiques consistant à générer de l’argent par le biais d’actions illégales. Il s’avère justement que le hacker auquel un consultant comme Vinny Troia consent à verser de l’argent est la personne directement visée par les dispositions de cette loi, toutes choses qui, sur la base des déclarations de Vinny Troia, ont conduit au blocage de son compte.

Voilà une situation bien controversée qui oppose le besoin peut-être légitime d’un client de tenter le coup du paiement de la rançon dans l’espoir de relancer au plus vite une activité à l’arrêt et des dispositions légales que, dans ce cas, Coinbase ne fait qu’appliquer.

Source : Coindesk

Et vous ?

Qui de Vinny Troia ou de Coinbase est le plus à blâmer d'après vous ?

Voir aussi :

Royaume-Uni : les entreprises empilent de plus en plus de bitcoins pour se préparer à satisfaire les auteurs des ransomwares
Des hackers turcs auraient menacé de supprimer plus de 300 millions de comptes iCloud si Apple ne verse pas une rançon de 75 000 dollars en bitcoins

[threshold]

Pourquoi Coindesk ne bloquerait elle pas les comptes de ceux qui reçoivent l'argent ou du moins les dénoncer publiquement (s'ils sont chez d'autres prestataires) ?

[laside]

même si l'intention semble louable, payer une rançon sera toujours profitable pour les criminels. Pour le coup je suis du coté de coinbase, et de manière générale pour ne jamais verser de rançon peut importe le domaine(pardon aux familles tout ça).

[Vulcania]

même si l'intention semble louable, payer une rançon sera toujours profitable pour les criminels. Pour le coup je suis du coté de coinbase, et de manière générale pour ne jamais verser de rançon peut importe le domaine(pardon aux familles tout ça).

Et pour le cas d'un chercheur en sécurité, pour essayer de trouver une faille dans la clé privée du ransomeware ? Là ok, les créateurs du ransomeware gagnent quelques raçons, mais leur logiciel devient inoffensif car les gens pourront déchiffrer leurs documents.
Là en l’occurrence, acheter des documents sur le dark web pour savoir ce qui s'y trame me semble être une méthode efficace, sinon c'est comme se bander les yeux, tu vois plus la menace, mais la menace te verra toujours

[laside]

Et pour le cas d'un chercheur en sécurité, pour essayer de trouver une faille dans la clé privée du ransomeware ? Là ok, les créatures du ransomeware gagnent quelques raçons, mais leur logiciel devient inoffensif car les gens pourront déchiffrer leurs documents.
Là en l’occurrence, acheter des documents sur le dark web pour savoir ce qui s'y trame me semble être une méthode efficace, sinon c'est comme se bander les yeux, tu vois plus la menace, mais la menace te verra toujours

Je suis assez d’accord avec toi, ma réponse était impulsive. Mais on entend tellement parler de ransomware en ce moment, je n'arrive pas à savoir s'il est plus efficace de ne pas payer en espérant décourager les propagateurs, que de les contrer, et voir fleurir de nouveau ransomware exploitant d'autre failles.

[Pierre Fauconnier]

C'est à la Justice de s'en mêler et non à une entreprise privée... Si demain, la cause que je défends déplait aux gestionnaires de mon argent, ils me bloqueront?

[gandalflemaia]

C'est à la Justice de s'en mêler et non à une entreprise privée... Si demain, la cause que je défends déplait aux gestionnaires de mon argent, ils me bloqueront?

Désolé de contre dire mais non... Je travaille dans le service informatique d'une institution financière. La lutte contre l'"Anti-Money Laundering" et le "Terrorist financing" sont maintenant de la responsabilité de tous les maillons. Coindesk étant au courant de l'utilisation faites des fonds, elle a obligation de bloquer immédiatement les mouvements et de faire un signalement à l'autorité compétente. Ce n'est d'ailleurs pas propre au USA. C'est pareil en Europe...

[koyosama]

Sur le principe j'ai rien contre, mais il n'y a aucune autorite competente comme tu vois dans les films avec un kidnapping.
Quand tu as une activite a faire tourne et que ton serveur est supose protege est hacke.

Je trouve sa dommage car des fois tu as beau protege ton serveur, mais tu peux te faire avoir avec le social ingeneering. J'avais dans Capital ou Zone Interdite que les francais ont invente l'arnaque tekephonique aupres des grandes entreprises. C'est super complique comme process our le proteger. Certaines companies n'ont pas les moyens de s'offrir de la securite.

Bizarrement c'est le dernier commitstrip :



En fait tu as cas dur a gerer, des situations qui aurait du mettre en place. Mais tu es touche par ses cas precis :

• Informations exposes : est-ce qu'on doit rien faire et laisser le faire. Par exemple le dernier hack pour le derniere "Pirate des caraibes", ils l'ont bien geres, mais pour le game of throme saison 4 ou 5. On avait vu l'avant premiere sur internet avant la sortie officielle. Je peux aussi detruire des vies familliales entier si j'interviens pas. Par exemple, le cas des sites de rencontres et d'adultere en ligne.
• Service non utilisable mais critique : Je me rappelle d'un reportage en Estonie, qui avait une avancee technologique a l'epoque c'est arrive, que les services (banque, transaction financiere, ...) ont ete bloques et les gens se sont rendus dans la rue pour manifester. Le NHS en angleterre c'est ce qui s'est passe et des personnes n'ont pas pu se faire soigner localement.
• Paiement legales : Si en fait le paiement est legal, pourquoi le bloquer et comment le justifier. Surtout que c'est pour des raisons de securite et d'image c'est injuste pour le hacker qui fait que son travail.

En fait tous ces trucs arrivent, c'est la faute ou pas de l'entreprise est d'affaire plus competentes. Mais dans l'evenement avec le Ransomware Wannacry par exemple, j'ai vu aucune autorite competente pour t'aider, juste les etats qui cachaient les informations ou les entreprises reagissent tous differenment celon l'entreprise.
Quand tu as un kidnapping quelqu'un tu vas voir la police. Mais quand tu as un hack tu vas voir qui. Tout le monde te ferme les portes et pouf personne ne peut plus rien pour toi.

J'avais vu un article ou une bloggeuse avait un site sur Godaddy, cela peut arriver a tout le monde. Meme en allant avoir la bonne personne, elle n'a pas pu faire grand chose. On a invente tous ces CMS et dit a tout le monde que creer un site en un jour c'est simple (sa qui fait le reve internet, ouvrir un commerce avec aucune notion d'ingenerie).

Et meme les mechaniques mis en place par le site des fois est un peu dangereux et super complique. Il y a trois ans, j'ai presque jamais quitte mon pays et soudaiement, je decide d'aller en Chine. Je suis allez en Chine pour la premiere fois et tous mes mails ont ete bloque car mon IP etaient pas francais. Et bim, je ne peux plus aller sur live, gmail et yahoo. J'avais un systeme en place pour relinker tous les elements comme une toile si jamais ce genre de cas arrivaient mais tous les mails etaient bloquer. Si j'avais pas fait des copie cache de mail pour m'identifier j'aurais ete vraiment dans la merde. Donc la double authenfication, sa marche si tu quitte jamais ton pays, les paypal telephonique sa existe pas ou existait pas ou je ne connaissais vraiment pas, car on change de numero de telephone et qaund tu arrive dans un nouveau pays tu as perdu ce numero.

Juste pour dire que la securite c'est devenu super chiant et tu as mis 1000 parametres a rendre en compte et tu commences a devenir paranoiac. Demande plus d'institution de protection numerique pour les particuliers, une insurance numerique pour les particuliers. J'aimerais bien aller pisser sans a m'inquiete a chaque fois que je suis filme.

En plus vous etes en France, mais moi j'ai la reine d'Angletere qui a fait une annonce pour foutre des une politique numerique derisoire aupres de son gouvernement. En gros, elle concede a la politique de theresa may qui etait de d'autorise le non-chiffrage des donnees. Alors je sais pas trop mais le particulier anglais n'est pas trop fautif, un peu comme le Grenfell Tower, tu as le council,e le gouvernement, les properietaires et les reisdents qui n'ont jamais demande ce genre de materiel et pourtant derriere ils se passent des trucs degeulasse. Dans le cas de cette incendie, imaginez que le gouvernement ne les rembourse pas sous pretexte que la loi a preconiser que c'est le particulier qui est responsable alors qu'il n'est pour rien.

Juste pour dire que les entreprises ne sont pas des dieux non plus, elles sont humaines aussi.

[indigo82]

Sur le principe j'ai rien contre, mais il n'y a aucune autorite competente comme tu vois dans les films avec un kidnapping.
Quand tu as une activite a faire tourne et que ton serveur est supose protege est hacke.

Je trouve sa dommage car des fois tu as beau protege ton serveur, mais tu peux te faire avoir avec le social ingeneering. J'avais dans Capital ou Zone Interdite que les francais ont invente l'arnaque tekephonique aupres des grandes entreprises. C'est super complique comme process our le proteger. Certaines companies n'ont pas les moyens de s'offrir de la securite.

Bizarrement c'est le dernier commitstrip :



En fait tu as cas dur a gerer, des situations qui aurait du mettre en place. Mais tu es touche par ses cas precis :

• Informations exposes : est-ce qu'on doit rien faire et laisser le faire. Par exemple le dernier hack pour le derniere "Pirate des caraibes", ils l'ont bien geres, mais pour le game of throme saison 4 ou 5. On avait vu l'avant premiere sur internet avant la sortie officielle. Je peux aussi detruire des vies familliales entier si j'interviens pas. Par exemple, le cas des sites de rencontres et d'adultere en ligne.
• Service non utilisable mais critique : Je me rappelle d'un reportage en Estonie, qui avait une avancee technologique a l'epoque c'est arrive, que les services (banque, transaction financiere, ...) ont ete bloques et les gens se sont rendus dans la rue pour manifester. Le NHS en angleterre c'est ce qui s'est passe et des personnes n'ont pas pu se faire soigner localement.
• Paiement legales : Si en fait le paiement est legal, pourquoi le bloquer et comment le justifier. Surtout que c'est pour des raisons de securite et d'image c'est injuste pour le hacker qui fait que son travail.

En fait tous ces trucs arrivent, c'est la faute ou pas de l'entreprise est d'affaire plus competentes. Mais dans l'evenement avec le Ransomware Wannacry par exemple, j'ai vu aucune autorite competente pour t'aider, juste les etats qui cachaient les informations ou les entreprises reagissent tous differenment celon l'entreprise.
Quand tu as un kidnapping quelqu'un tu vas voir la police. Mais quand tu as un hack tu vas voir qui. Tout le monde te ferme les portes et pouf personne ne peut plus rien pour toi.

J'avais vu https://medium.freecodecamp.com/hackers-stole-my-website-and-i-pulled-off-a-30-000-sting-operation-to-get-it-back-143d43ee3742 un article ou une bloggeuse avait un site sur Godaddy[/URL], cela peut arriver a tout le monde. Meme en allant avoir la bonne personne, elle n'a pas pu faire grand chose. On a invente tous ces CMS et dit a tout le monde que creer un site en un jour c'est simple (sa qui fait le reve internet, ouvrir un commerce avec aucune notion d'ingenerie).

Et meme les mechaniques mis en place par le site des fois est un peu dangereux et super complique. Il y a trois ans, j'ai presque jamais quitte mon pays et soudaiement, je decide d'aller en Chine. Je suis allez en Chine pour la premiere fois et tous mes mails ont ete bloque car mon IP etaient pas francais. Et bim, je ne peux plus aller sur live, gmail et yahoo. J'avais un systeme en place pour relinker tous les elements comme une toile si jamais ce genre de cas arrivaient mais tous les mails etaient bloquer. Si j'avais pas fait des copie cache de mail pour m'identifier j'aurais ete vraiment dans la merde. Donc la double authenfication, sa marche si tu quitte jamais ton pays, les paypal telephonique sa existe pas ou existait pas ou je ne connaissais vraiment pas, car on change de numero de telephone et qaund tu arrive dans un nouveau pays tu as perdu ce numero.

Juste pour dire que la securite c'est devenu super chiant et tu as mis 1000 parametres a rendre en compte et tu commences a devenir paranoiac. Demande plus d'institution de protection numerique pour les particuliers, une insurance numerique pour les particuliers. J'aimerais bien aller pisser sans a m'inquiete a chaque fois que je suis filme.

En plus vous etes en France, mais moi j'ai la reine d'Angletere qui a fait une annonce pour foutre des une politique numerique derisoire aupres de son gouvernement. En gros, elle concede a la politique de theresa may qui etait de d'autorise le non-chiffrage des donnees. Alors je sais pas trop mais le particulier anglais n'est pas trop fautif, un peu comme le Grenfell Tower, tu as le council,e le gouvernement, les properietaires et les reisdents qui n'ont jamais demande ce genre de materiel et pourtant derriere ils se passent des trucs degeulasse. Dans le cas de cette incendie, imaginez que le gouvernement ne les rembourse pas sous pretexte que la loi a preconiser que c'est le particulier qui est responsable alors qu'il n'est pour rien.

Juste pour dire que les entreprises ne sont pas des dieux non plus, elles sont humaines aussi.

Cette BD est marrante mais c'est souvent ce qui arrive quand on ne prend pas garde à la sécurité d'un site...

[mm_71]

C'est à la Justice de s'en mêler et non à une entreprise privée... Si demain, la cause que je défends déplait aux gestionnaires de mon argent, ils me bloqueront?

Paypal fait déjà ça très bien.