Publié dans DroitSécurité

39

Dark web : Incognito Market escroque ses utilisateurs, puis les rançonne

Incognito MarketIncognito Market

Incognito Market, un marché noir de vente de drogues sur le « dark web », vient successivement d'escroquer ses utilisateurs, puis de les rançonner, sous peine de voir leurs données être publiquement exposées, rapporte le journaliste spécialisé Brian Krebs.

Après avoir procédé à un « exit scam » (quand les administrateurs dérobent les cryptoactifs déposés par les dealers et acheteurs et « partent avec la caisse »), Pharoah, l'administrateur d'Incognito Market, vient de publier un message à l'intention de ses utilisateurs, dealers et/ou acheteurs de drogues : « Nous avons une dernière petite surprise pour vous tous. Nous avons accumulé une liste de messages privés, d'informations sur les transactions et de détails sur les commandes au fil des ans. »

Se disant « surpris du nombre de personnes qui se sont fiées à notre fonctionnalité de "chiffrement automatique" », Pharoah précise que les « messages et identifiants de transaction n'ont jamais été supprimés après la période d'"expiration"… SURPRISE SURPRISE !!! »

Il menace dans la foulée de faire « fuiter auprès des forces de l'ordre » l'intégralité des 557 000 commandes et 862 000 identifiants de transactions de crypto-monnaies à la fin du mois de mai : « Le fait que vos informations et celles de vos clients figurent sur cette liste ne dépend que de vous », précise le message : « Et oui, il s'agit d'une extorsion !!!! ».

Le message d'extorsion affiche une page répertoriant la liste des utilisateurs d'Incognito Market, sur fonds rouge pour ceux qui n'ont pas payé la rançon exigée, vert pour ceux qui auraient déjà payé, afin de leur permettre de « voir quels vendeurs se soucient de leurs clients ».

Incognito Market a fixé le prix des rançons en fonction du statut des dealers au sein de la place de marché. Les vendeurs de « niveau 1 » peuvent espérer faire supprimer leurs informations en payant 100 dollars, mais ceux de « niveau 5 » doivent débourser 20 000 dollars.

39

Tiens, en parlant de ça :

La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Aller FISSA au Sénat

15:40 DroitSécu 2
logo apple en devanture de boutique

Apple autorise puis supprime un émulateur Game Boy sur iOS

Quel est ce phoque ?

14:09 Soft 15
Logo d'Android 14

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Ce n’est PAS une révolution

11:15 Soft 6
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

39

Fermer

Commentaires (39)


Bah mince, la note d'Incognito Market sur Trustpilot va descendre :ane:
Après quand t'achète des produits illégaux sur le darkweb, tu connais un peu les risques quand même..
Bah justement, pas vraiment :mdr:
Mais non faut juste regarder les avis. Le vendeur d'uranium enrichi chez qui j'ai commandé la dernière a été très cool. Y'avait même des bonbons dans le carton :yes:
Le "payment status" 😂
Modifié le 13/03/2024 à 07h44

Historique des modifications :

Posté le 13/03/2024 à 07h44


Le "payement status" 😂

Et oui ! 🤣
:kimouss:
Où est le popcorn?
- les vendeurs vont-ils déclarer aux CNILs la violation de données dont ils sont victimes ?
- les vendeurs vont-ils porter plainte ?
- les vendeurs vont-ils contacter leurs clients pour les avertir de la violation de données ?

:cbon: vive le darkoueb xD
Modifié le 13/03/2024 à 11h48

Historique des modifications :

Posté le 13/03/2024 à 08h27


- les vendeurs vont-ils déclarer aux CNILs la violation de données dont ils sont victimes ?
- les vendeurs vont-ils porter plainte ?
- les vendeurs vont-ils contacter leur client pour les avertir de la violation de données ?

:cbon: vive le darkoueb xD

Bah en France ils auraient gain de cause, tout comme lorsque tu dégages un voleur de chez toi en le blessant ou si tu le séquestres le temps que les Fdo arrivent: c'est toi qui prend :reflechis:

inextenza

Bah en France ils auraient gain de cause, tout comme lorsque tu dégages un voleur de chez toi en le blessant ou si tu le séquestres le temps que les Fdo arrivent: c'est toi qui prend :reflechis:
Dans le cas que tu décris, le voleur se ferait tout de même arrêter pour avoir fait quelque chose d'illégal (vol, effraction, ...).
Si tu le blesses en dehors du cadre de légitime défense ou que tu le séquestres, tu fais aussi quelques choses d'illégal.

inextenza

Bah en France ils auraient gain de cause, tout comme lorsque tu dégages un voleur de chez toi en le blessant ou si tu le séquestres le temps que les Fdo arrivent: c'est toi qui prend :reflechis:
Parce qu'on a un principe qui est qu'on ne peut faire justice soit-même.

C'est chiant, mais perso je préfère ça à des déglingués de la cafetière qui peuvent tirer à vue sous prétexte que t'as frôlé leurs plate bandes.

SebGF

Parce qu'on a un principe qui est qu'on ne peut faire justice soit-même.

C'est chiant, mais perso je préfère ça à des déglingués de la cafetière qui peuvent tirer à vue sous prétexte que t'as frôlé leurs plate bandes.
Il utilise de mauvais termes "séquestrer" par exemple, mais si tu interpelles un voleur en flagrant délit, tu as le droit de l'appréhender et de le conduire devant l'OPJ le plus proche. (article 73 du CPC)
Dans ce cas, ce n'est pas se faire justice soi-même.

Par contre, la force nécessaire à cette action doit être proportionnée, c'est la difficulté de la chose.

fred42

Il utilise de mauvais termes "séquestrer" par exemple, mais si tu interpelles un voleur en flagrant délit, tu as le droit de l'appréhender et de le conduire devant l'OPJ le plus proche. (article 73 du CPC)
Dans ce cas, ce n'est pas se faire justice soi-même.

Par contre, la force nécessaire à cette action doit être proportionnée, c'est la difficulté de la chose.
Je me souviens pourquoi je t'avais mis sur ma liste d'ignorés, toi.

https://www.bvoltaire.fr/point-de-vue-condamne-pour-avoir-maitrise-et-sequestre-un-cambrioleur/

Ah bah mince alors, "il" a utilisé le mauvais terme "séquestrer" dis donc!

inextenza

Je me souviens pourquoi je t'avais mis sur ma liste d'ignorés, toi.

https://www.bvoltaire.fr/point-de-vue-condamne-pour-avoir-maitrise-et-sequestre-un-cambrioleur/

Ah bah mince alors, "il" a utilisé le mauvais terme "séquestrer" dis donc!
C'est sûr que ce que j'écris doit changer de ce que tu lis sur un site d'actualité d'extrême droite. Ce dernier ne faisant que rapporter ce qu'un auditeur de l'émission « Les Grandes Gueules » a raconté sans en vérifier la véracité. Le gars en question qui pratique des sports de combat à haut niveau a peut-être usé d'un peu trop de force par rapport au jeune de 17 ans pour avoir été condamné.

Comme je le dis, il est tout à fait légal d'appréhender quelqu'un qui commet un délit puni de prison comme la violation de domicile ou la tentative de cambriolage. J'ai cité l'article du CPC.
En fait, il faut le conduire à un OPJ, donc au commissariat de police ou à la gendarmerie le plus proche ; c'est peut-être là le problème : attendre que la police vienne chez lui le chercher.

Mais comme le torchon où tu as lu ça n'a pas enquêté mais a préféré publier un "point de vue" à partir de ce récit, on ne saura jamais la vraie raison de sa condamnation. Je parierai bien pour coups et blessures ou un autre motif de ce genre.

fred42

C'est sûr que ce que j'écris doit changer de ce que tu lis sur un site d'actualité d'extrême droite. Ce dernier ne faisant que rapporter ce qu'un auditeur de l'émission « Les Grandes Gueules » a raconté sans en vérifier la véracité. Le gars en question qui pratique des sports de combat à haut niveau a peut-être usé d'un peu trop de force par rapport au jeune de 17 ans pour avoir été condamné.

Comme je le dis, il est tout à fait légal d'appréhender quelqu'un qui commet un délit puni de prison comme la violation de domicile ou la tentative de cambriolage. J'ai cité l'article du CPC.
En fait, il faut le conduire à un OPJ, donc au commissariat de police ou à la gendarmerie le plus proche ; c'est peut-être là le problème : attendre que la police vienne chez lui le chercher.

Mais comme le torchon où tu as lu ça n'a pas enquêté mais a préféré publier un "point de vue" à partir de ce récit, on ne saura jamais la vraie raison de sa condamnation. Je parierai bien pour coups et blessures ou un autre motif de ce genre.
Je ne connais pas ce site, je suis allé au plus rapide, car j'avais lu ce type d'articles par ailleurs, avec le même terme employé. Celui qui te gêne. Dans la presse généraliste.
Après, comme d'habitude, tu te places comme omniscient et grand inquisiteur, tu seras toujours en contradiction... j'ai l'habitude venant de toi, je laisse tomber.

inextenza

Je me souviens pourquoi je t'avais mis sur ma liste d'ignorés, toi.

https://www.bvoltaire.fr/point-de-vue-condamne-pour-avoir-maitrise-et-sequestre-un-cambrioleur/

Ah bah mince alors, "il" a utilisé le mauvais terme "séquestrer" dis donc!
Google ne trouvant aucune source fiable sur la réalité des faits énoncés par ce Mickaël, bien sûr anonyme, autant dire que c'est juste un gros bobard pour faire de l'audience. La totalité des liens trouvés se basent sur ce qu'il a raconté pendant l'émission.

Gamble

Google ne trouvant aucune source fiable sur la réalité des faits énoncés par ce Mickaël, bien sûr anonyme, autant dire que c'est juste un gros bobard pour faire de l'audience. La totalité des liens trouvés se basent sur ce qu'il a raconté pendant l'émission.
Toi aussi, tu as cherché une autre source ? :D
Je ne suis pas sûr que ça soit un bobard, c'est probablement fondé sur une vraie histoire, mais comme c'est la victime des voleurs (et de la justice :D) qui raconte l'histoire, qu'il n'est pas objectif et qu'il n'a pas forcément compris la justification du jugement, il raconte ça de son point de vue. Il y aurait eu un vrai journaliste qui se serait intéressé à l'affaire, on aurait au moins eu le fondement juridique du jugement.

inextenza

Je me souviens pourquoi je t'avais mis sur ma liste d'ignorés, toi.

https://www.bvoltaire.fr/point-de-vue-condamne-pour-avoir-maitrise-et-sequestre-un-cambrioleur/

Ah bah mince alors, "il" a utilisé le mauvais terme "séquestrer" dis donc!
Je t'invite à lire (ou relire) l'édito de Next sur l'importance de bien vérifier ses sources.

Nous avons ici :
- une quasi-absence sur le net de ce cas
- les 2 seuls cas que j'ai trouvé, c'est ton lien, et un autre site, dont l'article est là copie conforme de celui de boulveard voltaire
- aucun travail d'investigation n'a pu être fait
- il s'agit du témoignage d'un auditeur tout ce qu'il y a de plus anonyme (non, rien ne dit que Mickaël est son vrai prénom)
- les faits sont présentés de manière très biaisées (uniquement un seul point de vue)
- le replay de l'émission est disponible ici à 1h01min40s. Un policier intervient juste après pour dire qu'il est étonné et ne comprend pas très bien cette décision et parle de l'interprétation des faits pour pouvoir expliquer cette décision.

fdorin

Je t'invite à lire (ou relire) l'édito de Next sur l'importance de bien vérifier ses sources.

Nous avons ici :
- une quasi-absence sur le net de ce cas
- les 2 seuls cas que j'ai trouvé, c'est ton lien, et un autre site, dont l'article est là copie conforme de celui de boulveard voltaire
- aucun travail d'investigation n'a pu être fait
- il s'agit du témoignage d'un auditeur tout ce qu'il y a de plus anonyme (non, rien ne dit que Mickaël est son vrai prénom)
- les faits sont présentés de manière très biaisées (uniquement un seul point de vue)
- le replay de l'émission est disponible ici à 1h01min40s. Un policier intervient juste après pour dire qu'il est étonné et ne comprend pas très bien cette décision et parle de l'interprétation des faits pour pouvoir expliquer cette décision.
Oui, désolé je suis allé au plus rapide, car dans un passé récent j'ai croisé plusieurs autres articles de sources plus pertinentes. Je n'ai pas eu le temps de creuser davantage, surtout pour répondre à UN point irritant UNE personne coutumière du fait.

Ce type d'affaires mériteraient un article juridique effectivement étayé car on en entend/lit assez souvent, sans dépasser une cotation de source meilleur que F6 comme ici.

Donc OK, je mérite le goudron et les plumes parce que j'ai osée utiliser un mot interdit + allé au plus rapide (désolé mes pauses ne font pas 8 heures) ce qui a mené de taper un média à priori (je ne le connais pas) orienté.
A mon corps défendant, n'as-tu jamais entendu parler de cas de figure où la victime se retrouve en position d'accusé alors qu'il apparaitrait de prime abord que le présumé délinquant se victimise dans une situation qu'il a lui-même provoqué. Situation dans laquelle la réponse à priori répréhensible pourrait nous sembler moralement normale?
On peut saluer le travail de storytelling et l'expérience utilisateur soignée 😂

Reste qu'effectivement je vois un petit travers sur tous les chiffrements qu'on nous promet de plus en plus "de bout en bout"... On a aucun vrai moyen de vérifier (contrairement au petit cadenas du HTTPS par exemple, qui est généré par le navigateur et non par l'éditeur).
après il ne faut pas tout mélanger, en l'occurrence les utilisateurs qui n'auraient pas utilisé la fonctionnalité de "chiffrement automatique" et auraient chiffré leurs messages eux mêmes avec pgp sont tranquilles
Le HTTPS te certifie uniquement que tu es en communication chiffrée avec quelqu'un qui a un certificat valide en face, c'est loin d'être suffisant. Valide voulant dire qu'il respecte une chaine de certificats fournis avec le navigateur, et donc qu'il a été signé par le détenteur d'une clé privée correspondant à l'un des certificats de la chaîne.

Gamble

Le HTTPS te certifie uniquement que tu es en communication chiffrée avec quelqu'un qui a un certificat valide en face, c'est loin d'être suffisant. Valide voulant dire qu'il respecte une chaine de certificats fournis avec le navigateur, et donc qu'il a été signé par le détenteur d'une clé privée correspondant à l'un des certificats de la chaîne.
Je ne considère pas que c'est suffisant, je parlais simplement du principe d'une validation du chiffrement effectif réalisée par un tiers (le navigateur et les fournisseurs de certificats) plutôt que par l'éditeur lui-même.

Si ça peut clarifier ma tentative d'analogie, c'est comme si on jugeait que les certificats SSL auto-signés sont suffisants pour considérer que la connexion avec le site est sécurisée. Or, c'est pas le cas et on a des alertes aujourd'hui.

Alors que sur des sujets où l'éditeur dit "chiffrés de bout en bout" c'est souvent à croire sur parole (sauf en open source, où c'est vérifiable)
L'administrateur a intérêt à faire attention que ses propres données personnelles ne fuitent pas. Il y a un paquet de monde qui souhaite lui offrir quelques grammes de plomb.
Escroquer des dealers, en général ça finit mal.
Netflix les aurait contacté pour acheter les droits et en faire une série :ouioui:
Vous avez tous payé ? Deuxième surprise, c'était le FBI et on vous arrête quand même. Merci pour votre don aux oeuvres sociales des forces de l'ordre :D
Mais c’est génial. Avec du sinisme en plus ! Cœur avec les doigts!
Mais, que fait la CNIL?
Scam assez rigolo, personnellement je m'en tamponnerai qu'ils envoient aux autorités mes coordonnées mais en fonction de son pays d'achat ça peut être un peu différent j'imagine.
d'un point de vue légal, obtenir ce type d'informations de la part d'un pirate, je ne sais pas si c'est recevable, exploitable pour les forces de l'ordre de notre beau pays de France.

meyrand018

d'un point de vue légal, obtenir ce type d'informations de la part d'un pirate, je ne sais pas si c'est recevable, exploitable pour les forces de l'ordre de notre beau pays de France.
C'est à dire ?
Peux tu aller plus loin que le sous entendu ? Ou alors au minimum le sourcer ?

meyrand018

d'un point de vue légal, obtenir ce type d'informations de la part d'un pirate, je ne sais pas si c'est recevable, exploitable pour les forces de l'ordre de notre beau pays de France.
D'au fond de la mémoire, donc très très approximatif, je crois qu'en droit pénal, les preuves obtenues illégalement sont recevables, contrairement au droit civil.
Le trafic de drogue, je pense que c'est du pénal. Donc si mon raisonnement est bon, les preuves devraient être acceptées.

Si quelqu'un peut confirmer ou pas ce que je dis?

ForceRouge

D'au fond de la mémoire, donc très très approximatif, je crois qu'en droit pénal, les preuves obtenues illégalement sont recevables, contrairement au droit civil.
Le trafic de drogue, je pense que c'est du pénal. Donc si mon raisonnement est bon, les preuves devraient être acceptées.

Si quelqu'un peut confirmer ou pas ce que je dis?
https://codexavocats.ch/preuve-illicite/
Conformément à l’art. 141 al. 2 CPP, les preuves qui ont été administrées d’une manière illicite ou en violation de règles de validité par les autorités pénales ne sont pas exploitables, à moins que leur exploitation soit indispensable pour élucider des infractions graves.

Dans tous les cas, on admet l’exploitation d’une preuve obtenue d’une manière pénalement répréhensible par un particulier lorsqu’elle aurait pu être obtenue licitement par l’autorité s’il avait été fait appel à elle


Mais j'imagine qu'on ne peut pas condamner sur ces seules preuves illégales
On ne peut vraiment plus faire confiance à personne, si maintenant même les truands sont malhonnêtes ! 😱
Et ça servirait à quoi de payer, vu qu'il faudrait leur faire confiance pour bien effacer les données ensuite… :non:
Ca servirait a ce que le gentil admin se fasse une liste de bonnes poires qu'il pourra revendre à d'autres encore :D

Ou les refaire chanter 3 mois après la fin de l'ultimatum ^^
Bravo à Pharoah.

Et puis, c'est toujours une bonne idée d'arnaquer des dealers.
Qu'est ce qui pourrait mal se passer ?
Complément idiot :
1) je vois mal les autorités de chaque pays accorder la moindre confiance a des adresses données par une organisation qui vient justement de déclarer n'avoir aucune parole.
2) pourquoi l'utilisateur/Dealer pairais pour que ses données soit supprimé alors que l'organisation vient juste de déclarer n'avoir aucune parole (bis).
En fin de compte le kikoolol derrière ça n'auras pas plus d'argent,mais plus d'ennemi.
A mon avis un petit dessin de Flock samedi :mdr2:
je me lèche les babines à l'avance