Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

L’assistant vocal d’Amazon Alexa serait touché par une vulnérabilité

Après avoir piraté TikTok, Microsoft Azure, WhatsApp ou encore les ampoules Philips, c’est autour de Alexa, l’assistant vocal de Amazon d’être la cible de cette équipe spécialisée dans le piratage.

Encore une fois elle a réussi à pirater le programme, sous la spéculation selon laquelle les 200 millions d’appareils embarquant Alexa « pourraient être un point d’entrée privilégié pour les pirates informatiques ». L’équipe de recherche de Checkpoint met finalement en avant, de manière plus concrète « de sérieuses failles de sécurité chez Alexa ». Selon cette équipe : « en un seul clic, un utilisateur aurait pu abandonner son historique vocal, son adresse personnelle et le contrôle de son compte Amazon ».

Cet article va aussi vous intéresser : Les assistants vocaux de Google et Amazon sont vulnérables aux attaques

Les risques encourus par l’usage des enceintes connectées, de manière étendue des assistants virtuels sont généralement quelque chose qui sois pas inédit. L’année dernière déjà ce genre de dispositif au cœur plusieurs scandales, surtout qu’il a été mais en avant que les conversations et les échanges des utilisateurs de ces programmes et outils informatiques étaient enregistré dans le but d’améliorer des performances des intelligences artificielles en avant dans le développement du projet.

Mais aujourd’hui il ne faut pas être naïf, tout appareil que nous utilisons pouvant être connectés à Internet présente un risque d’une manière que ce soit. En ce qui concerne l’outil Amazon, l’équipe de recherche de la société de cybersécurité a soulevé que la méthode utilisée pour pirater Alexa n’a rien de sophistiqué.

Amazon un été averti de la vulnérabilité n’a pas manqué de déployer immédiatement les mises à jour affectant les logiciels incriminés.  À ce propos sont porte-parole déclarait : « la sécurité de ses appareils est une priorité absolue, et qu’ils apprécient le travail de chercheurs indépendants comme Check Point qui les signalent les problèmes potentiels. Ils ont réglé ce problème peu après qu’il ait été porté à leur attention, et ils continuent à renforcer nos systèmes. Ils n’ont connaissance d’aucun cas d’utilisation de cette vulnérabilité contre leurs clients ou d’exposition d’informations sur les clients ».

On peut supposer alors que le problème semble résolu pour le moment. Mais on se demande comment cela a-t-il pu arriver ? En quoi consiste véritablement cette vulnérabilité. Les chercheurs affirment avoir commencer par une technique de type phishing en envoyant un lien vérolé à une victime en particulier. Ce lien avait pour fonctionnalité de déclencher automatiquement la faille de sécurité, pouvant alors permettre à l’attaquant : « d’installer silencieusement des compétences sur le compte Alexa d’un utilisateur, d’obtenir une liste de toutes les compétences installées sur le compte, de supprimer silencieusement une compétence installée, d’obtenir l’historique vocal ou les informations personnelles de la victime ».

De façon simple, disons que si l’utilisateur clique sur le lien qui le reçoit. Il est alors dirigé vers un site de Amazon. Ce site bien évidemment et factice je sais que c’est une plate-forme préparée par le cybercriminel, pour injecter un coup de malveillant dans le terminal de ces derniers. De cette façon l’attaquant va tout simplement extraire applications liées à Alexa qui sont déjà installées par l’utilisateur, pour dérober leurs jetons de sécurité. Ensuite supprime en ligne des applications pour la remplacer par une autre conçu pour le piratage. Un instant où l’utilisateur demanderas à Alexa d’activer l’application, le cybercriminel pourra à l’heure être en activité.

Une compagne de piratage affectant Alexa peut être de manière sporadique ou ciblée. En effet soit les cybercriminels envoient massivement les liens à une liste de personne, en attendant sagement que cette dernière mord l’hameçon, où se concentre en particulier sur une victime de leur choix. Dans ce cas de figure, l’expert de Checkpoint Oded Vanunu note : « un attaquant pourrait mener une attaque plus élaborée en obtenant la liste des compétences et en remplaçant une de ses compétences par une compétence malveillante d’apparence similaire ». Malgré le fait qu’un tel exploit ne soit pas quelque chose d’assez sophistiqué. « Une combinaison de mauvaises configurations XSS, CSRF et CORS », pour un utilisateur, cette attaque semblerait transparente et sophistiquée ».

Dans ce contexte, Ekram Ahmed, porte-parole de Check Point donne quelques conseils pour ne pas se faire avoir par cette vulnérabilité : « Nous publions des conseils de sécurité et des directives sur l’utilisation d’Alexa.  Évitez les applications inconnues – ne les installez pas sur votre haut-parleur intelligent. Faites attention aux informations sensibles que vous partagez avec votre smart speaker, comme les mots de passe et les comptes bancaires. De nos jours, n’importe qui peut créer des applications d’assistant intelligent, alors renseignez-vous sur l’application avant de l’installer et vérifiez les autorisations dont elle a besoin. Tout le monde peut publier une compétence, et les compétences peuvent effectuer des actions et obtenir des informations ».

La vigilance est de mise car l’utilisation d’outils comme Alexa touche d’une certaine manière, nos données personnelles. « Les informations personnelles de tout utilisateur qui ont été partagées avec l’appareil Alexa pourraient être potentiellement en danger », a souligné Oded Vanunu. « Ces applications pourraient être des applications financières ou de détail. Avec cette attaque, je pourrais désinstaller et installer de fausses applications qui seront déclenchées par un appel à l’application désinstallée sécurisée » ajoute-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le réseau social chinois TikTok est accusé de collecter des informations à l’insu de ses utilisateurs

Au cœur d’une polémique, le réseau social chinois TikTok n’a pas été du tout discret sur ce coup.

En effet, déjà accusé à plusieurs reprises à d’espionner pour le compte de l’État chinois, ce dernier aurait, pour des utilités publicitaires, utiliser une faille de sécurité pour récolter certaines informations relatives aux terminaux des utilisateurs en particulier les adresses MAC. Et cela sans que ces derniers ne donnent leur accord explicite et volontaire.

Cet article va aussi vous intéresser : Le réseau social Chinois TikTok dans le collimateur des autorités québécois

Même si l’application chinoise a cessé d’utiliser cette astuce depuis le novembre 2019, il n’en demeure pas moins, qu’elle sera encore entachée par cette irrégularité. Selon les dernières informations, le réseau social aurait utilisé cette tactique de collecte illicite de données pendant près de 15 mois.

Cette information a été révélée par le Wall Street Journal, qui est dans ses écrits signifie que TikTok a littéralement détourné les informations pendant près de 1 ans. Les utilisateurs qui ont été ciblées selon le média américain était les utilisateurs de smartphones tournant sous l’OS de Google, Android. Cela s’apparente littéralement à un piratage informatique lorsqu’on sait que le consentement de ces derniers n’a pas été requis durant tout ce temps. Le journal américain mentionne que cette pratique aurait cessé à partir du 18 novembre 2019.

La raison pour laquelle le réseau social s’est intéressé aux adresses MAC des smartphones de ses utilisateurs, c’est tout simplement parce que c’est qu’un identifiant propre à la carte réseau de chaque terminal connecté à Internet. Il peut s’agir d’un smartphone d’une tablette, d’une console de jeux ou même d’un ordinateur. De par son unicité, à cette adresse va permettre d’identifier de manière persistante l’utilisateur, car il est incapable de ne la changer ni même de la réinitialiser.

Ainsi, collecter ces informations accroît le potentiel publicitaire de la plate-forme qui s’y adonne. Et cela peut-être une véritable source de revenu. En effet les adresses MAC permettent : « d’établir des profils de comportement du consommateur qui persistent malgré toute mesure de protection de la vie privée » pouvait-on lire sur le site 9to5Google. Dans ce cas de figure, la seule manière dont dispose l’utilisateur pour se libérer d’un quel suivi serait malheureusement de changer de terminal.

Concernant la collecte de l’adresse MAC, il faut noter que depuis 2015 le géant américain Google, l’a formellement est interdit sur sa plate-forme Android. Même avec le consentement de l’utilisateur, la pratique est formellement bannie par le géant américain. Ces derniers imposent applications présente dans sa boutique en ligne le PlayStore de ne pas collecter « des informations personnelles identifiables ou associées à un dispositif d’identification permanent ». La règle un club bien évidemment aussi bien les adresses MAC que les adresses IMEI et bien d’autres. Et bien sur la règle visiblement a été violée par le réseau social chinois. Selon le Wall Street Journal, TikTok se serait servi d’« une couche de chiffrement supplémentaire et inhabituelle » pour dissimuler, les informations qu’il collectait auprès des utilisateurs de son application Android. Un chiffrement qui malheureusement n’apporte de rien de plus pour la sécurisation de ces informations personnelles collectées. Si ce n’est bien sûr de rendre difficile de potentiel examens effectués par un tiers, pour s’informer des informations qui étaient récolté par l’application.

Interrogé par les journalistes du quotidien américain, les responsables de réseau social chinois n’ont pas tardé dans des commentaires. Ils ont tout simplement mentionné que la « version actuelle de TikTok ne collecte pas d’adresses MAC ». Du côté de Google, il a été indiqué qu’un examen minutieux sera livré pour éclaircir ma part d’ombre dans cette affaire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le géant américain Microsoft dépense plus de 13 millions de dollars comme récompenses pour la découverte de bugs

Dans un communiqué récemment publié, le géant de Redmond a signifié avoir dépensé près de 13,7 million de dollars dans des programmes de recherche de bug.

Ces dépenses ont couru entre le 1er juillet 2019 au 30 juin 2020 soit en une année. En échange, le géant américain affirme avoir reçu près de 1226 rapports de vulnérabilité. 327 chercheurs en sécurité informatique, répartis sur tous les continents du monde, à travers exactement 15 programmes de recherches de bugs ont profité de cette énorme somme d’argent.

Cet article va aussi vous intéresser : 100 000 dollars pour pirater Microsoft

La plus grosse récompense durant cette année a été à hauteur de 200 000 dollars.

En général, le programme de recherche de bug lancé par Microsoft se place comme étant l’une des principales sources de revenus des spécialistes de la sécurité informatique freelance, qui passent leur temps à rechercher des vulnérabilités dans les différents logiciels pour ensuite avertir le fournisseur. Au lieu de tout simplement le vendre à des pirates informatiques ou encore à des courtiers en passant par le marché noir, se muer en chasseur de bug et une activité légale qui peut rapporter gros selon la trouvaille.

Par rapport à l’année précédente, on dira que Microsoft a tout simplement triplés son budget de prime. En effet l’année dernière c’était 4,4 millions de dollars qui aurait été distribués dans les mêmes conditions. Parfois, les agents de Microsoft Security Response Center déclarent ceci dans un billet de blog : « Les chercheurs en sécurité sont une composante vitale de l’écosystème de cybersécurité qui protège toutes les facettes de la vie numérique et du commerce ». Ces derniers ajouteront que : « Les chercheurs qui consacrent du temps à découvrir et à signaler les problèmes de sécurité avant que les adversaires ne puissent les exploiter ont gagné notre respect et notre gratitude ».

Notons à titre de rappel que le bug Bounty et une prime qui est versée lors d’un programme, qui consiste pour des chercheurs à déceler dans des programmes informatiques (système d’exploitation, applications de gestion, soc.) des failles de sécurité, qui n’auraient pas été décelées par les fabricants et les visiteurs lors de la conception du programmes ou matériel informatique concerné. Tout ceci se déroule dans des conditions légales bien encadrées. Les chercheurs sont souvent connus d’avance. Ils sont tenus au respect de la confidentialité de leur trouvaille et ne sont en aucun cas autorisés à exploiter la vulnérabilité qu’ils découvriront. En ce qui concerne les failles de sécurité découvertes lors de ses programmes, les chercheurs impliqués doivent faire un rapport détaillé de la procédure qui leurs ont permis de découvrir cette vulnérabilité. Notons que les programmes de bug Bounty s’apparentent un peu au tests d’hacking généralement réalisés par des prestataires en particulier. Cependant ces derniers n’offrent pas les mêmes opportunités et les mêmes challenges que les bug Bounty. En effet, le programme de chasse de Primes de bug permet de multiplier le nombre de personnes qui auront la tâche de trouver la vulnérabilité. Et la plupart du temps de compétences qui sont la plupart ignorées par les prestataires de solutions de sécurité les tests d’hacking sont relevés. Sans oublier que le temps accordé à cette tâche et beaucoup de plus élevé que celui qui est généralement est consacré à un audit ponctuel. Sans oublier dans un certain sens que les angles d’attaques sont divers et originaux.

Pour ce qui concerne les primes octroyées par le géant de Redmond, leur subite augmentation s’explique notamment par les nombre de vulnérabilité qui auraient été découvertes, en particulier par l’équipe de Google, le Project Zéro. En effet, le 3 août dernier c’est-à-dire la semaine passée, l’équipe du géant américain mentionnait avoir découvert près de 11 failles de sécurité de type 0 day (ces failles de sécurité qui sont intrinsèquement liées soit à un matériel informatique ou un programme, et qui n’ont jamais été découvertes ni par l’éditeur ni par un chasseur de prime agréé, et donc n’aurait pas été corrigées.) qui auraient été exploitées durant le premier semestre de 2020. Le fait qu’il n’est pas négligeable quand on sait que découvrir des vulnérabilités de type 0 day est extrêmement rare.

Toutefois il ne faudrait pas oublier que durant le mois de mars, Microsoft corrigeait près de 115 failles de sécurité découvertes. Parmi ces vulnérabilités, une en particulière aurait décelée au niveau de l’exécution à distance des codes Microsoft Edge PDF (CVE-2020-1096). D’autres failles offraient la possibilité de corrompre la mémoire des Windows. Ces failles de sécurité ont malheureusement été exploitées avant même que Microsoft puisse produire des patchs de sécurité.

Par ailleurs, Microsoft explique l’augmentation des primes versées par le fait développement de nouveaux programmes informatiques. Il confirme aussi que la crise du au Coronavirus a été l’une des causes à considérer : « En plus des nouveaux programmes de primes, la pandémie de COVID-19 semble avoir eu un impact sur l’activité des chercheurs en sécurité. Dans l’ensemble de nos 15 programmes de primes, nous avons constaté un fort engagement des chercheurs et un volume de rapports plus élevé au cours des premiers mois de la pandémie », a signifié Jarek Stanley, responsable du programme de Microsoft Security Response Center.

Entre autres, on peut noter ces programmes de recherche de bug à titre d’illustration :

– le programme Microsoft Dynamics 365 Bounty lancé en juillet 2019 ;

– le programme Azure Security Lab lancé en août 2019 ;

– le programme Microsoft Edge on Chromium Bounty lancé en août 2019 ;

– Le programme Xbox Bounty lancé en janvier 2020 ;

– Le programme de recherche sur la sécurité d’Azure Sphere lancé en mai 2020.

En outre, le géant américain ne compte pas de divulguer la femme totale qu’il a dépensé depuis le début de ces programmes de chasse au Bug : « Notre programme Bug Bounty a démarré il y a sept ans dans le but de protéger davantage nos milliards de clients alors que les menaces de sécurité continuaient d’évoluer », note Jarek Stanley. Il ajoutera : « Nous ne pouvons pas divulguer le nombre exact de paiements depuis le début du programme de récompenses ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les responsables de sécurité des systèmes d’information sont sous pression à cause de la pandémie du coronavirus

Si nous devons nous référer à une étude récente mené par HackerOne, 70 % des responsables de sécurité des systèmes d’information français notent qu’il y a de fortes chances que leurs organisations soient touchées par une potentielle violation de données dû à la crise sanitaire que traverse le monde actuellement.

Cet article va aussi vous intéresser : Les professionnels de la sécurité informatique majoritairement touchés par le surmenage

L’étude a été menée à l’échelle mondiale et à impliquer très 1 400 responsables de sécurité informatique. Les pays qui ont été directement concernés sont l’Allemagne, la France, le Royaume-Uni, l’Australie, le Canada, Le Singapour et les États-Unis. Elle a porté sur l’impact de la crise du covid-19 sur le quotidien des responsables de sécurité. 30 % des responsables de sécurité sur le plan mondial et 36 % en France, remarque une forte augmentation des attaques informatiques contre les systèmes et réseaux de leurs organisations.

L’exposition aux fuites de données a été observé par 70 % des responsables français de sécurité informatique. « La crise liée au COVID-19 a fait basculer pratiquement tous les aspects de notre vie en ligne. La pression pour répondre aux exigences du travail à distance et aux demandes des clients en matière de services numériques a considérablement élargi les surfaces d’attaque, laissant les équipes de sécurité à bout de souffle » note Marten Mickos, le PDG de HackerOne. Il ajoute que : « La pandémie de COVID-19 a fait prendre conscience aux entreprises qu’elles ont été trop lentes dans leur transformation numérique. La pression que cela impose aux équipes de sécurité est immense. ».

32 % des responsables français ont signifié avoir connu une accélération de la transformation numérique de leur entreprise, il n’en demeure pas moins que 28 % ont reconnut que leurs organisations n’étaient pas prêtes pour un changement aussi précipité.

L’étude a aussi révélé quelque chose d’inquiétant. En effet 30 % des responsables de sécurité français on déclarer que le budget consacré à la sécurité informatique dans leur organisation a été demande touché à cause coronavirus. Sur le plan mondial de 25 % de responsables pensent pareillement. De côté français 28 % les externes interrogé ont affirmé qu’ils travaillaient avec des ressources moindres par rapport à l’avant coronavirus.

Le contexte a profité à l’entreprise HackerOne pour mettre en avant les profits le programme de chasses de bug. « Dans ce contexte d’urgence, de plus en plus d’organisations ont pris conscience des avantages de recourir à une communauté de hackers pour se protéger contre les activités malveillantes » souligne ainsi Marten Mickos.

De plus selon l’étude HackerOne, 33 % des responsables, et 30 % en moyenne dans le monde on signifier qu’avec leurs budgets qui se restreignent et leurs équipes qui diminuent, ils seraient prêts à accepter des rapports de vulnérabilité provenant d’autres chercheurs en dehors de ceux de leur organisation.

Pour finir, le rapport a aussi souligné que la médiatisation des incidents de sécurité impacte fortement les relations dans le milieu. En effet, 64 % des responsables de sécurité de système d’information dans le monde, ils font pour ce en France ont estimé et ne pas être favorable à entretenir des relations avec un fournisseur qui aurait été victime d’une violation de données médiatisée. C’est la même au cours des 2 dernières années. 61 % des responsables exige le programme de divulgation de vulnérabilité avant de conclure un quelconque contrat avec leurs fournisseurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçage mobile : le Québec se dirige de plus en plus vers l’adoption d’une application de suivi

Depuis un certain moment, le gouvernement Québécois a annoncé son désir d’instaurer une application de suivi, qui allait permettre d’assurer un bon de confinement et de plus près les interactions sociales face à la pandémie de la covid-19.

Cet article va aussi vous intéresser : Traçage mobile : l’énorme échec de l’application de tracking Australien

Si pour le moment ce gouvernement n’a pas encore pris une décision définitive, on notera que, la situation actuellement à croire qu’il le fera possible qu’elle le fera ces prochaines semaines.

En effet, le sondage lancé par le gouvernement déterminer si les citoyens québécois étaient favorables à l’instauration d’une application de suivi, a mis en évidence résultats c’est positif. Une grande partie des citoyens qui ont participé à ce sondage se sont démontrés favorables à l’idée.

Sur ce point le gouvernement n’a pas hésité à publié les résultats qu’il estime être positifs lors de la consultation publique. Cependant, on attend toujours l’avis des experts en technologie en éthique et même en Droit pour statuer définitivement.

Le temps pour simplement que 75 % des participants au sondage, qui a constitué près de 17 000 citoyens, ont donné un avis favorable à l’instauration de l’application de traçage mobile. L’idée est simple c’est de pouvoir analyser les différentes d’interaction que les citoyens auront pour ensuite informé si l’un d’entre eux a été au contact d’une personne qui sera déclaré positif à la maladie.

Pour la députée Joëlle Boutin, qui représente le gouvernement durant la commission, la décision définitive n’a pas encore été prise par ce dernier. Elle ajoute par ailleurs que les autorités ont déjà commencé à établir un ensemble de protocoles qui sera utilisé pour encadrer l’application. On note que l’application sera non seulement des involontaire mais aussi gratuite. D’un autre côté, la députée de Jean-Talon soulignera le fait que : « Il n’y aurait aucune géolocalisation, aucune technologie de GPS. On s’appuierait sur une technologie de type Bluetooth ». Le principe est que l’application le collecte aura pas de données personnelles ni de données biométriques et son utilisation restera anonyme.

De plus, on apprend que l’application à produire aura les mêmes traits que celle déjà en circulation à Ottawa, Alerte-COVID. Une application qui a été conçu par entreprise Shopify.

Toutefois, il faut noter que le gouvernement n’a pas participé à la commission initiée par certains élus pour l’éclaircissement de certaines questions portant sur la protection de la vie privée des citoyens. Cela se comprend nettement lorsqu’on sait que le mardi dernier, lance une grande partie des experts interrogés sur la question unanimement avoué que l’application jusqu’à présent n’est pas quelque chose qui a démontré son efficacité ailleurs dans le monde. Il exige une phase pilote avant tout déploiement dans le Québec.

Pour Jocelyn Maclure, le président de la Commission de l’éthique en science et en technologie « une application n’est pas une solution majeure à la lutte contre le virus, mais au mieux, il s’agit d’une mesure complémentaire. ». Son inquiétude demeure sur le fait que les employeurs ne peuvent pas leurs employés certaines contraintes à télécharger l’appli et l’installer sur leurs smartphones.

Pour la Ligue des droits et Libertés, les lois québécoises ne sont pas adaptées au développement d’une telle technologie. De son côté, Marwah Rizqy, la porte-parole de l’opposition officielle en matière d’administration gouvernementale déclare : « L’application de traçage ne répondra pas au vrai problème. Les bras qu’on a manqués, là, dans nos CHSLD, bien, c’est l’armée qui est venue répondre à ça, ce n’est pas l’application de traçage. Et au contraire, selon les différents rapports qui sont présentement déposés, ces applications pourraient faire en sorte qu’il y a un faux sentiment de sécurité ». Elle réaffirme concernant la protection des données personnelles et de la vie privée des Québécois : « Je suis très consciente que les GAFAM courent après ces données parce qu’ils font du croisement de données, c’est bien connu. Ils veulent identifier nos comportements, ils veulent savoir ce qu’on aime acheter. ».

Pour Québec solidaire, le gouvernement avant toutes actions doit s’inspirer de ce qui a déjà marché ou non dans les autres pays à propos de ce genre de technologie. Gabriel Nadeau-Dubois note à cet effet : « Ailleurs dans le monde, où ces applications-là ont été mises en place, elles ne sont pas efficaces. Qu’est-ce qui nous garantit qu’au Québec se sera différent? Parce que, pour qu’un outil soit utile il faut qu’il fonctionne, sinon il est inutile. ».

Le porte-parole du troisième groupe d’opposition, Martin Ouellet met en évidence l’enjeu principal du problème concernant cette technologie cette technologie : « Est-ce que le gouvernement du Québec pourrait donner les moyens à des populations plus à risque de mettre la main sur cette technologie? ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage