Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Voter sur un smartphone : le dilemme américain pour les élections à venir

L’objectif est de permettre à certaines personnes telles que les militaires déployés hors des territoires américains et les personnes handicapées de la Virginie-Occidentale d’être en mesure de participer par eux-mêmes et directement en votant lors des élections à venir.

Cependant, l’idée de permettre le vote par smartphone ne semble pas fait plaisir à tout le monde. Et pour cause la question de la sécurité informatique n’est pas totalement une question que l’on pourrait dire résolue. Même si cela s’est déjà passé, en 2018 lors des élections ou des militaires ont réussi à voter via une application dénommé Voatz (application basée sur la technologie de la blockchain), il n’en demeure pas moins que le fait de le reconduire encore pose un problème pour plusieurs personnes, y compris les experts de la sécurité informatique.

Cet article va aussi vous intéresser : Le système de vote Russe pour les élections municipales de Moscou

Même si la même application de vote a été testé dans plusieurs états dont l’Oregon, l’Utah, le Colorado et même le Washington, plusieurs chercheurs en sécurité informatique notamment certains provenant du MIT (Massachusetts Institute of Technology) ont préconisé aux autorités américaines de tout simplement « abandonner l’appli pour l’instant ». En effet, ils assurent avoir découvert plusieurs vulnérabilités qui pourraient être exploitées lors des élections à venir. Non seulement, ces vulnérabilités permettront de détourner des voix. Mais il sera possible aussi à travers elles de déterminer quels électeurs auront voté pour quel candidat.

De son côté, l’éditeur de l’application de vote électronique a rétorqué en affirmant que l’étude menée par ses chercheurs était « pleine de défauts ». Car pour lui, ils ne se sont pas basés sur la dernière version de l’application Voatz. Opposition qui aujourd’hui a de quoi à relancer le débat. Pour continuer à soutenir son application et le système de vote en ligne, la société éditrice de l’application cherche à mettre en avant l’idée selon laquelle le système sur lequel fonctionne n’est rien d’autre que la blockchain, qui est réputé être inviolable. Par ailleurs, le porte-parole de l’entreprise déclaré ceci : « Nous utilisons les dernières technologies, reconnaissance faciale et biométrique pour vérifier l’identité des électeurs, la cryptographie pour produire un bulletin […] et la blockchain pour des audits rigoureux après l’élection, afin d’assurer le respect du choix des électeurs sans avoir besoin de révéler leur identité ».

Pour contrer les dires de la société, Matt Blaze, professeur de l’université de Georgetown, spécialisé dans la cryptographie affirme Ceci : « La blockchain résout un problème qui n’existe pas, celui de sécuriser des votes déjà effectués (…) Mais elle ne résout pas le problème de comment savoir si ce sont bien ces candidats qui ont été choisis. ».

En outre, le vote électronique pose un problème essentiel hormis l’intégrité du choix des votants. Celui de leur anonymat. Le sacro-saint principe du vote réside dans le fait qu’on ne puisse pas identifier le citoyen qui décide de voter pour tel ou tel candidat. Cependant, si la technologie de la blockchain qu’elle soit en mesure de garantir le choix effectif des citoyens, ce qui n’est pas du tout évident, il n’en demeure pas moins qu’il serait difficile pour n’importe quel système informatique de garantir l’anonymat des votants. Voir impossible même. Pour Andrew Appel : « Le vote sur internet ne peut être sécurisé par aucune technologie connue ».

Par conséquent, les arguments en faveur du vote électronique semble primer sur ceux tendant le faire accepter. Comme pour montrer à quel point le vote électronique n’est pas une nécessité pour le moment voir pour jamais, la présidente de L’ONG Verified Voting Foundation (VVF), Barbara Simons déclare ouvertement : « C’est un mythe. Il n’y a quasiment aucune preuve montrant que le vote en ligne améliore la participation électorale ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



La serrure numérique, une question de sécurité informatique

L’avantage de ces outils connectés, c’est qu’ils sont très pratiques.

Ils permettent par exemple à un enfant qui a perdu son trousseau de clés de pouvoir rentrer sans souci dans son domicile ou permettre à un parent qui passe à l’improviste d’accéder au domicile à travers une clé virtuelle. Mais leur caractère connecté, pose le plus souvent la problématique de la sécurité.

Cet article va aussi vous intéresser : Les menaces informatiques des nouveaux outils connectés

Ce sont les outils qui sont assez populaires aux États-Unis. En France par contre, le déploiement d’un tel système se fait très lentement. D’un autre côté, il existe différents modèles et modes de fonctionnement, c’est ce qui marque une grande variation de ce produit connecté. Alors qu’il existe certains qui complètent les verrous qui existent déjà, d’autres les ont complètement remplacé. Il y a certains modèles qui peuvent être déverrouiller grâce à un objet qui prend la forme d’une clé, d’un d’un porte-clé ou même un bracelet. Pour certains modèles suffit de taper un code pour que la porte s’ouvre alors que d’autres possèdent des enceintes Bluetooth permettant à l’utilisateur de le déverrouiller grâce à un smartphone. C’est d’ailleurs par ce procédé qu’il est possible d’envoyer une clé virtuelle à une autre personne. En tenant compte de cette spécification. Ces serrures numériques doivent être assez solide non seulement sur le plan mécanique mais aussi sur le plan technique et informatique. Car, le premier danger ne sera pas une effraction classique mais plutôt un piratage.

 Selon une enquête menée près des spécialistes du journal Le Monde, il a été révélé que dans la majeure partie des cas ces serrures numériques ne répondaient pas aux normes de sécurité requises. Selon Anthony Rose et Jake Krasnov, 70 % des serrures testées présentait un niveau de sécurité jugé « nul ou pauvre ». Nos chercheurs noterons : « A l’époque, nous avons relevé des erreurs sur beaucoup de produits vendus comme sûrs ». Cependant aujourd’hui, ces derniers estiment que le niveau de sécurité de ses outils a quand même connu une évolution : « Beaucoup d’entreprises prennent désormais le temps de concevoir des applications robustes et de sécuriser [les communications]. L’idée est de faire en sorte qu’une attaque coûte trop cher au voleur, ou prenne trop de temps comparativement à un autre type d’attaque [mécanique par exemple]. Toutefois, le marché comporte toujours beaucoup de serrures connectées qui rognent sur la sécurité. »

Du côté du Centre national de prévention et de protection (CNPP), le directeur du pôle laboratoire malveillance, Hervé le Coq et Ibrahim Daoudi, un ingénieur informatique ont noté aussi que le niveau sécuritaire des serrures numériques a beaucoup progressé depuis 2016. L’institution reconnait de façon officielle que la serrure répondant à la norme A2P sont assez résistantes ils peuvent offrir à leur utilisateur une protection adéquate. Pour le moment, je ne sais pas encore prononcer sur celles qui répondent à la norme A2P@, alors que les premières serrures qui ont fonctionné avec ce protocole n’ont reçu qu’une seule étoile sur 3. « Cela correspond à un agresseur de niveau 1, un “script kiddie” [un débutant] qui, pour schématiser, reproduit des tutoriels d’effraction repérés sur YouTube. Nous n’avons pas encore testé de serrure qui mérite une deuxième étoile, et serait donc capable de résister à un informaticien doté de petites connaissances en hacking. Encore moins à un agresseur de niveau trois, un expert en cybersécurité malveillant. », en outre, « il n’est pas complètement impossible qu’un jour nous retirions le certificat numérique A2P@ à une serrure connectée, si une faiblesse importante est repérée. ». Notait le responsable de la CNPP. Car en pratique, il est totalement impossible pour les experts de la sécurité informatique de prévoir toutes les failles de sécurité sans y être confrontées directement par une attaque.

Comme quoi, il existe toujours une vulnérabilité peu importe les moyens de sécurité déployés.  « Une chose contre laquelle il est impossible de planifier sa défense, ce sont les nouvelles failles informatiques, les “zero-day. Elles peuvent introduire une faiblesse que le concepteur n’a jamais envisagée, lui ou les éventuels sous-traitants qui l’aident en testant la sécurité de l’appareil avant sa sortie. » expliquait-Anthony Rose.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Le business des Zéro days

Aujourd’hui, il n’est pas rare que des entreprises proposent les sommes énormes à des individus qui seront en mesure de découvrir des vulnérabilités dans leur système.

Dans la majorité des cas, on parlera de Zero day, des vulnérabilités particulières. On parle de vulnérabilité Zero day lorsque nous sommes en face d’une faille de sécurité que le fabricant n’a pas découvert lui-même lors de la mise en service de son outil informatique. Et cette faille « peut ensuite être exploitée avant que le fabriquant ne s’en rende compte et la corrige en urgence. Cette attaque est alors nommée attaque zero day » explique ainsi, la firme de cybersécurité Symantec. Selon elle : « Il n’existe quasiment aucune défense contre une attaque zero day ».

Cet article va aussi vous intéresser : L’équipe du Project Zero trouve des failles de sécurité dans MacOs

En pratique ces failles de sécurité sont assez rares. Cependant les attaques informatiques se fondant sur ces failles de sécurité ne manquent pas. Par exemple, par une étude sur des données collectées d’environ 11 millions d’usagers système d’exploitation Windows, la firme de cybersécurité Symantec a démontré que de 2008 à 2011, il y a eu 18 attaques qui furent menées en se fondant sur des vulnérabilité Zero day. En 2013, plus de 11 attaques informatiques ont eu lieu grâce à ces vulnérabilités selon la société de cybersécurité FireEyes.

En outre, il existe bel bien marché autour de Zero days. Ce marché peut être légal où illégal tout dépend de l’intention des personnes qui sont impliquées dans cette histoire. Sur le plan légal, il existe des entreprises qui sont spécialisés dans la mise en relation des pirates informatiques et des institutions concernées par ces failles Zero days. La plus célèbre n’est autre que la fameuse société américaine hackerOne fondée en 2012. Son rôle principal consiste à mettre en relation les pirates informatiques qui sont susceptibles de découvrir des vulnérabilités de type Zero day avec des entreprises. Poussant ainsi ces pirates informatiques à rester dans la légalité et ne pas divulguer ces failles de sécurité à des personnes qui pourraient les utiliser à mauvais escient. « Certains de nos clients ont des programmes de primes, d’autres non, mais ils utilisent tous notre plateforme pour mieux gérer et traiter ce qui leur arrive de la communauté hacker. Nous faisons cela pour aider les équipes d’intervention à avoir les meilleurs rapports possibles sur les failles. » affirmait, Katie Moussouris, directrice des affaires publiques pour HackerOne. Parmi ces clients HackerOne peut compter de grands noms tel que Dropbox, Airbnb, Snapchat et Twitter.

À l’instar de hackerOne, la firme de mise en relation Zerodium s’est aussi spécialisée dans ce genre de schéma. Contrairement à la première qui met en relation les hackers et les entreprises, Zerodium lui se contente de racheter les vulnérabilités découvertes par ces hackers pour les revendre aux États ou autres Structures prêtes à payer cher pour les avoir. Certains l’accusent même de commercer souvent avec des criminels.

Mais l’activité qui met le plus en valeur le commerce de Zero days se situe au niveau des fameuses Bug Bounty programs. Chaque année, les grands fournisseurs de services numériques proposent à la communauté de pirates informatiques de verser une compensation financière pouvant aller souvent jusqu’à des millions de dollars à ceux parmi eux qui réussissent à découvrir une vulnérabilité dans un système particulier. Le réseau social Facebook s’est d’ailleurs plusieurs fois vanté d’avoir versé dans le cadre de ce genre de programme décembre pouvant se lever à des millions de dollars. « La meilleure chose que nous avons faite [pour la sécurité de Facebook] est d’avoir mis en place un programme de primes depuis de nombreuses années », a souligné Sheryl Sandberg, directrice des opérations de Facebook.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



La NSA et la CIA accusées d’avoir mis à la disposition du monde entier les méthodes de chiffrement « troués »

Ces derniers temps, les services de renseignements Américains sont pointés du doigt à cause de certaines de leurs pratiques dénuées de bonne foi.

Depuis 50 ans maintenant, la CIA et la NSA auraient commercialisé à plusieurs gouvernements à travers le monde entier des programmes de chiffrement assortis de failles de sécurité pour permettre à l’état américain d’espionner le monde entier.

Cet article va aussi intéresser : La faille de sécurité Microsoft qui fit réagir la NSA

Le bras de fer qui a opposé le géant Apple à la police fédérale américaine, le FBI a remis à jour le débat qui portait sur le chiffrement des communications. Et bien sûr, comme on le sait déjà, le conflit qui a opposé ces deux entités portait sur la mise en place de porte dérobée pour permettre aux autorités américaines d’accéder aux contenus des terminaux utilisés, produits par la marque Apple. Cependant, ce débat n’est pas mais apparu d’ici peu il y a longtemps qu’il existe. En effet, le journal américain le Washington post a révélé que les services de renseignement américain se repose depuis toujours sur ces portes dérobées placées dans les systèmes de communication même sécurisés.

Mais elle a fait que nous intéresse ici concernant Crypto AG. Une entreprise suisse qui est spécialisée dans la commercialisation de « machines à chiffrer ». Mais l’on vient d’apprendre que depuis tout ce temps, cette société spécialisée dans le chiffrement, était manœuvrée, en secret par la CIA, les services secrets américains et les services de renseignement allemands. Et cela leur a permis d’espionner les communications, censées être sécurisées de plus de 120 pays à travers le monde. Cela est mis en évidence par un article publié par Wikimédia dont voici un extrait : « L’opération, qui a hérité des noms de code Thesaurus et Rubicon, commence en 1950 quand Boris Hagelin, alors président de Crypto AG, accepte de vendre des machines obsolètes à certains pays, réservant les fleurons de l’entreprise à des pays approuvés par les États-Unis. Dix ans plus tard, la CIA verse des centaines de milliers de dollars à Hagelin pour des dépenses “marketing” consistant à convaincre les gouvernements partout dans le monde d’adopter les solutions de Crypto AG. En 1967, une nouvelle étape est franchie et la H-460, nouvelle machine de l’entreprise, est directement construite par la NSA. Tout cela, bien évidemment, dans le plus grand des secrets. ».

Si durant l’époque, Crypto AG intéressait l’Allemagne de l’Ouest de la France, c’est plutôt à la CIA le PDG de l’entreprise acceptera de la vendre. ce qui bien sûr permettra à partir de cet instant aux services secrets américains et ouest allemands d’espionner les conversations de plusieurs pays notamment l’Inde, le Pakistan, l’Iran, le pays de l’Amérique latine et même le Vatican. En 1990, les services de renseignements de l’Allemagne de l’Ouest vont se retirer du partenariat ce qui va pousser les États-Unis à continuer l’espionnage seul. Jusqu’à l’apparition des méthodes de chiffrement électronique. Malgré la liquidation de Crypto AG en 2018, plusieurs pays continuent d’utiliser ces machines.

En dehors de cette histoire, il est de façon notoire reconnu aujourd’hui que les services de renseignement américain pour habitude de profiter des failles de sécurité pour espionner à tout bout de champ. Le fait que la NSA ait révélé à Microsoft une faille de sécurité assez majeur pour que continuellement ses services sont à la recherche de ce genre de vulnérabilité. La révélation d’Edward Snowden ont mis le point sur quelque chose qui se passait depuis des années mais l’on sait qu’il y a encore des pratiques similaires qui continuent de proliférer.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



L’approche de Trend Micro de la cybercriminalité en 2020

La firme de sécurité informatique d’origine japonaise parle de ces prévisions concernant la sécurité informatique pour 2020.

Son inquiétude se porte particulièrement sur différentes formes de cyber menaces qu’elles soient anciennes aux nouvelles. « Détecter et contrer à temps des attaques aussi sophistiquées menées par des cybercriminels professionnels est un défi majeur (…) Les menaces qui combinent attaques de la chaîne d’approvisionnement et exploitation de vulnérabilités spécifiques sont particulièrement insidieuses – à l’image de la vague d’attaques d’Emotet qui touche de nombreuses entreprises en Suisse depuis l’automne dernier.

Cet article va aussi vous intéresser : La cybercriminalité de masse en croissance

Ce type d’attaques montre à quel point les cybercriminels professionnels utilisent désormais des stratégies sophistiquées. » Écrivait Richard Werner, Business Consultant chez, la firme de cybersécurité, Trend Micro. Il essaie de mettre en évidence que la cybersécurité aujourd’hui est mise à rude épreuve, face à une certaine sophistication des attaques des cybercriminels. La société de sécurité informatique s’intéresse beaucoup plus à un programme particulier dénommé Emotet.

Mis à jour en 2014 par Trend Micro, ce programme informatique continue de faire davantage de dégâts. Il est reconnu comme étant un des logiciels malveillants les plus nocifs qui soit et dont le développement continu. En seulement 5 ans, Emotet aura occasionné des dégâts évalués à des millions de dollars en termes de coût de récupération des systèmes endommagés. Une telle efficacité de pirate informatique à l’usage de ce programme malveillant s’explique selon les experts par une certaine expérience de ces cybermalveillants, à l’utilisation intensif de malwares utiles pour s’en prendre à des systèmes bancaires et à dérober des données sensibles.

Par ailleurs, les tactiques utilisées par les cybercriminels sont précisément adaptées au système informatique utilisée par les PME, et il se pourrait qu’en pratique, certains des pirates se font aider par d’autres spécialistes. « En plus de sa fonction de cheval de Troie bancaire, Emotet récolte aussi des e-mails dans Outlook. Le malware espionne les carnets d’adresses électroniques et les communications mail de ses victimes. » explique Richard Werner. Dans un premier temps, le programme malveillant Emotet est diffusé à travers des adresses mail utilisées et affinées par les pirates informatiques pour envoyer des courriers électroniques qu’ils interceptent via des spams.

D’un autre côté, les entreprises a fait la remarque d’une augmentation des tentatives de piratage par la méthode de l’hameçonnage. Une recrudescence des arnaques aussi au CEO a aussi été observé. On peut alors déduire que les données souvent compromises lors d’une attaque particulière seront revendus à d’autres cybercriminels qui s’en serviront pour d’autres actions.

En plus de Emotet, votre malware commence à servir peu à peu. Leur dangerosité n’est plus à démontrer à l’instar de cheval de Troie Trickbot. Plus souvent utilisé pour voler des données sensibles, ce programme malveillant est reconnu utilisé la faille EternalBlue, pour diffuser à travers les réseaux des données. Aussi, les pirates qui l’utilisent, arrivent facilement à espionner leurs victimes.

Au-delà du cheval de Troie parlant maintenant du rançongiciel Ryuk. L’un des plus célèbres de sa catégorie. Mais avant celui-ci, certains pirates informatiques avaient tendance à utiliser d’autres programmes assez sophistiqués et discret qui leur ont permis pendant longtemps de profiter de leur crime sans être véritablement mis à nu.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage