Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Pourquoi tant de personnes ont comme mot de passe « Dragon »

Chaque année depuis 2011, la société de sécurité SplashData a publié une liste des mots de passe les plus couramment utilisés, basée sur des caches d’informations d’identification de compte piratés. La liste annuelle, destinée à rappeler les mauvaises pratiques de mot de passe d’utilisateurs, inclut toujours des entrées prévisibles comme « abc123 », « 123456 » et « letmein ». Mais une entrée, se classant dans le top 20 chaque année, se démarque depuis le début, il s’agit de « dragon ».

Mais pourquoi ? Est-ce dû à la popularité de l’adaptation télévisuelle de Game of Thrones, qui a été créée la même année que la populaire liste de mots de passe ? Est-ce parce que tant de fans de Dungeons & Dragons ont eu leurs comptes pwned ? Eh bien, peut-être, en partie. Mais l’explication la plus convaincante est plus simple que vous ne le pensez.

Le phénomène « dragon » ne semble pas être une bizarrerie de la méthodologie d’analyse de mot de passe de SplashData. La créature a pris la 10ème place l’an dernier sur une autre liste de mots de passe, cette fois créée par la plateforme WordPress WP Engine, en utilisant les données compilées par le consultant en sécurité Mark Burnett. Dragon n’apparaît pas sur une liste créée par Keeper Security en 2016, mais celle-ci prend en compte les comptes probablement créés par des bots. Et les 100 meilleurs mots de passe sont restés relativement stables au cours des années, excluant largement un pic de Game of Thrones.

« J’ai énuméré dans mon livre des centaines de mots de passe qui contiennent le mot dragon », dit Burnett, dont les mots de passe parfaits sont sortis en 2005. « Les gens basent souvent leurs mots de passe sur quelque chose qui est important pour eux. Et entre D & D, Skyrim et Game of Thrones, les dragons ont joué un grand rôle dans notre culture. »

« Une des choses que nous avons vues est que les gens ont tendance à créer des mots de passe sur les choses qu’ils aiment. « 
Lorrie Cranor, Université Carnegie Mellon

La façon dont les chercheurs examinent les données de mot de passe peut également contribuer à la popularité du dragon. Alors que des dizaines de milliers de personnes l’utilisent probablement, le type de données de mot de passe auxquelles les chercheurs ont accès comporte des biais inhérents. Les universitaires ne peuvent pas appeler une entreprise et lui demander de remettre les mots de passe des clients, de sorte qu’ils s’appuient plutôt sur des informations d’identification piratées et divulguées au public.

Cela signifie souvent que les sites ont une sécurité globale médiocre et des exigences de mot de passe faibles. « Les sites qui ont les politiques de mot de passe les plus complexes ne fuient pas aussi souvent », explique Lorrie Faith Cranor, informaticienne à l’université Carnegie Mellon, qui étudie la création de mots de passe dans son laboratoire depuis plus de huit ans. « Dragon » pourrait être disproportionnellement populaire parce que les sites piratés sont moins susceptibles d’obliger les utilisateurs à inclure, disons, un nombre ou un caractère spécial dans leur mot de passe.

Le type de site dont provient un jeu de données de mot de passe peut également fausser les résultats. WP Engine a examiné 5 millions de mots de passe censés être associés à des comptes Gmail, par exemple. L’entreprise a examiné les adresses électroniques associées et a tenté d’estimer le sexe et l’âge des personnes qui les ont créées. Par exemple, « JohnDoe84@gmail.com » serait supposé être un homme né en 1984. En utilisant cette méthode, les chercheurs ont constaté que l’ensemble de données faussait les hommes, et vers les personnes nées dans les années 1980. C’est probablement parce que beaucoup d’informations d’identification proviennent d’eHarmony et d’un site de contenu pour adultes.

Vous pouvez imaginer comment, dans un ensemble de données comme celui-ci, « dragon » pourrait théoriquement apparaître plus souvent, étant donné que le Seigneur des Anneaux, Donjons & Dragons, et Game of Thrones sont relativement populaires parmi les hommes de leur début à la trentaine .

D’autres types de biais de données de mot de passe peuvent être plus évidents. En 2014 par exemple, Burnett a aidé SplashData à compiler sa liste annuelle de mots de passe communs. Quand il a couru les premiers numéros, il a remarqué que « lonen0 » est apparu incroyablement haut sur la liste, prenant la septième place. Cela ne s’est pas produit parce que des dizaines de milliers de personnes ont soudainement pensé à la phrase, mais parce que c’était le mot de passe par défaut pour une société belge appelée EASYPAY GROUP, qui avait subi un piratage. Dix pour cent des utilisateurs n’avaient tout simplement pas réussi à changer le mot de passe par défaut.

Une autre raison pour laquelle « dragon » semble si populaire, avec d’autres mots de passe comme « 123456 », c’est qu’ils sont incroyablement faciles à démasquer. Les entreprises « hachent » souvent les informations d’identification qu’elles stockent, donc dans le cas où un pirate les obtiendrait, elles sont plus difficiles d’accès qu’elles ne le seraient si elles étaient simplement en train de s’asseoir en clair. Les données hachées sont mathématiquement masquées pour ressembler à des chaînes aléatoires de caractères que les humains ne peuvent pas analyser. Certains schémas de hachage ont des faiblesses qui permettent aux pirates de les casser, mais même si les pirates ne peuvent pas exposer chaque mot de passe, ils peuvent toujours exécuter des scripts pour trouver les hachages les plus courants. « Ils utilisent d’abord des programmes informatiques qui utilisent les mots de passe les plus populaires », explique Cranor.

Les gens choisissent des mots de passe comme « dragon » pour la même raison qu’ils utilisent des noms communs.

Malgré des biais potentiels, des chercheurs comme Cranor et Burnett prennent le temps de construire leurs databas

Malgré des biais potentiels, des chercheurs comme Cranor et Burnett prennent le temps de construire leurs bases de données aussi soigneusement que possible. À ce stade, tant de sites Web ont été violés qu’ils ont des ensembles de données très robustes à analyser. Pourtant, selon M. Burnett, déterminer les mots de passe les plus couramment utilisés sur le Web ne peut probablement pas être considéré comme une véritable science, en raison des biais et du manque de contrôles.

La recherche de Cranor a montré que les gens choisissent des mots de passe comme «dragon» pour la même raison qu’ils utilisent des noms communs, comme Michael et Jennifer, ou des activités bien-aimées, comme le baseball. « L’une des choses que nous avons vues est que les gens ont tendance à créer des mots de passe à propos des choses qu’ils aiment », explique Cranor. « iloveyou’ est l’un des mots de passe les plus courants, dans toutes les langues. »

Dans sa recherche, Cranor s’est également demandé pourquoi tant de gens gravitent spécifiquement vers les animaux et les créatures mythiques en créant des mots de passe en particulier « singe », qui, comme le dragon, se classe toujours très bien. Au cours d’une étude qu’elle a menée, Cranor a demandé aux participants qui ont choisi le primate d’expliquer pourquoi ils l’avaient choisi.

« Fondamentalement, les gens ont dit qu’ils aiment les singes, les singes sont mignons », dit Cranor. « Certaines personnes ont dit qu’ils avaient un animal de compagnie nommé singe, ils avaient un ami dont le surnom était singe, tout était très positif. »

Il s’avère que beaucoup de gens ont choisi le dragon pour des raisons similaires. « J’ai commencé avec » dragon « au début des années 90, et il s’est transformé au fil du temps », a expliqué une personne qui utilise ce mot de passe à WIRED. « L’inspiration pour cela était un mélange d’avoir joué à Dungeons & Dragons pendant 10 ans à l’époque et d’avoir juste installé Legend of the Red Dragon. » (On leur a accordé l’anonymat pour des raisons évidentes liées au mot de passe.)

« Les mots de passe, m’a-t-on dit, étaient supposés rendre difficile l’accès à vos comptes pour les autres, et les dragons sont grands et effrayants et moins communs dans la vraie vie que les ours », a déclaré un autre utilisateur. « Il est vrai que j’utilisais surtout des forums et des jeux très ringards. »

Parfois, cependant, la raison pour laquelle vous choisissez « dragon » comme mot de passe est juste parce que vous êtes jeune et les dragons sont, eh bien, vraiment cool. Comme l’a dit un fan de dragon : « J’avais 13 ans à l’époque. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Piratage de compte Facebook : Des dizaines de milliers de mots de passe de compte piratés. Comment savoir si vous êtes concerné ?

Les pirates informatiques ont infecté les PC de plus de 40 000 utilisateurs de Facebook avec des logiciels malveillants. Une équipe d’experts en cybersécurité a averti que le géant américain Amazon pourrait être la prochaine cible.

A lire également « Comment il va pirater un compte Facebook ? »

Les coupables, dont les identités restent inconnues, ont utilisé des tactiques d’hameçonnage pour diriger les victimes vers une application mal connue piégée avec le cheval de Troie, qui a depuis été surnommée « Stresspaint » par des chercheurs du groupe de recherche sur les malwares de Radware.

La vague d’infections a été enregistrée entre le 12 avril et le 16 avril, ce qui a finalement permis au groupe d’accéder à des dizaines de milliers d’informations d’identification Facebook de la part des utilisateurs de Chrome. « Cette distribution rapide et le taux élevé d’infection indiquent que ce malware a été développé professionnellement », a conclu Radware dans son analyse de mercredi.

La campagne a semblé être orchestrée par l’intermédiaire d’email de courrier indésirable ou de liens envoyés sur Facebook lui-même. Alors que la voie exacte de l’infection reste trouble, les experts ont dit que ce qui se passe si une victime clique sur le lien de téléchargement de l’application est beaucoup plus clair.

L’application elle-même fonctionne comme annoncé, mais dans les fichiers d’arrière-plan sont supprimés qui peuvent rechercher des données enregistrées dans le navigateur Chrome. Ils sont conçus pour rechercher des cookies Facebook, qui sont des chaînes de texte utilisées pour stocker les informations de connexion.

« L’information est volée lorsque le logiciel malveillant est exécuté pour la première fois, si l’utilisateur exécute l’application à nouveau, et chaque redémarrage de l’ordinateur », a écrit le cabinet.

Voir toutes les meilleures photos de la semaine dans ces diaporamas

« C’est fait en copiant le contenu des cookies de navigateur Chrome et les fichiers de données de connexion à un nouvel emplacement et en interrogeant les données à partir de là. Une fois enregistrés, les identifiants de connexion ou les cookies Facebook sont trouvés, ils sont envoyés cryptés au C2. »

C2, un autre terme pour « serveur de commande et de contrôle », est essentiellement la base des opérations des pirates. Les experts ont déclaré que même si le motif reste flou, il pourrait s’agir de vendre les données, les demandes de rançon, l’espionnage ou le vol d’identité en ligne. Après que Radware ait eu accès au panneau de contrôle du malware, il a trouvé une section intitulée Amazon, ce qui l’a amené à suggérer que le site de shopping pourrait être la prochaine cible des escrocs.

Facebook a confirmé qu’il enquêtait sur l’épidémie de logiciels malveillants. Heureusement, Radware a déclaré qu’il était capable de découvrir les dossiers de tous les identifiants de compte volés. Rien n’indique que la sécurité de Facebook ait été compromise de quelque façon que ce soit.

Êtes-vous infecté ?

Pete Voss, directeur des communications de la division de sécurité de Facebook, a déclaré que la plate-forme « prend des mesures pour aider à protéger et à informer les personnes touchées ».

Tous ceux qui se sont vu confisquer leurs pouvoirs seront avisés, a-t-il dit.

« Nous encourageons les gens à vérifier les mails qu’ils reçoivent pour les domaines de confiance », a déclaré Voss dans un communiqué, ajoutant: « Facebookmail.com est un domaine commun que Facebook utilise pour envoyer des notifications lorsque nous détectons une tentative de connexion à votre compte ou de changement Un mot de passe. Si vous ne savez pas si un e-mail que vous avez reçu provient de Facebook, vous pouvez vérifier sa légitimité en visitant facebook.com/settings pour consulter la liste des e-mails relatifs à la sécurité récemment envoyés.

« Nous maintenons un certain nombre de systèmes automatisés pour aider à empêcher les liens et fichiers dangereux d’apparaître sur Facebook et dans Messenger. Si nous soupçonnons que votre ordinateur est infecté par un logiciel malveillant, nous vous fournirons une analyse antivirus gratuite. »

Les utilisateurs de Facebook devraient toujours se méfier des liens suspects, a souligné Radware. « Radware recommande aux particuliers et aux organisations de mettre à jour leur mot de passe actuel et de ne télécharger que des applications provenant de sources fiables », a déclaré l’équipe.

« Alors que ce malware s’étend rapidement, le groupe continuera certainement à essayer de trouver de nouvelles façons d’utiliser les actifs volés », a-t-il averti. « De tels groupes créent continuellement de nouveaux logiciels malveillants et des mutations pour contourner les contrôles de sécurité. »

Les nouvelles ont émergé à la suite du scandale des données Cambridge Analytica, qui impliquait l’utilisation abusive présumée de quelque 87 millions de comptes Facebook.

Le fondateur du réseau social, Mark Zuckerberg, a récemment reconnu que tous les utilisateurs de la plate-forme, plus de 2 milliards, couraient, jusqu’à récemment, le risque de voir leur information publique raturée. Le site Web a récemment mis à jour ses politiques de données.

3 astuces pour éviter un hack Facebook

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Méfiez-vous de la nouvelle escroquerie WhatsApp qui tente de pirater votre compte.

Les messages demandant des codes de vérification de compte WhatsApp sont envoyés aux victimes par des contacts.

Méfiez-vous des messages WhatsApp suspects, même s’ils sont envoyés par quelqu’un de votre liste de contacts. Dans un précédent poste, nous vous informions que les chercheurs avaient trouvé un moyen d’entrer dans les discussions de groupe WhatsApp, mais Facebook avait répondu que ce n’était pas un problème. Cependant, il y a une nouvelle escroquerie WhatsApp qui circule, dans laquelle les messages demandant des codes de vérification de compte WhatsApp sont envoyés aux victimes par des contacts, probablement dont les comptes ont été piratés.

La police de Singapour a averti mercredi des cas récents de personnes ayant perdu l’accès à leurs comptes WhatsApp qui avaient été repris par des escrocs, selon des informations parues dans Straits Times. Une fois que les victimes ont envoyé les codes de vérification aux escrocs, ils n’auront plus accès à leurs comptes WhatsApp.

Dans d’autres escroqueries signalées à l’étranger, des comptes compromis sont utilisés pour tromper les contacts des titulaires de comptes dans l’achat de cartes-cadeaux et l’envoi de mots de passe pour les cartes. Ces cartes-cadeaux ont ensuite été vendues en ligne.

La police a depuis conseillé aux gens de faire attention aux demandes inhabituelles reçues via WhatsApp, même si elles proviennent de contacts.

Comment rester en sécurité ?

Les personnes qui reçoivent de tels messages suspects doivent toujours appeler leurs contacts pour vérifier l’authenticité des demandes, a indiqué la police.

En outre, les utilisateurs peuvent protéger leurs comptes WhatsApp en activant la fonction « Vérification en deux étapes », qui se trouve sous « Compte » dans l’onglet « Paramètres » de l’application WhatsApp.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Notre futur sans mot de passe est proche (mais pas vraiment).

Les connexions sans mot de passe ont longtemps fait rêver les chercheurs en sécurité et les défenseurs de la vie privée, sans parler des personnes ordinaires qui utilisent chaque jour leurs mots de passe dans un navigateur. Dans un dernier article (Est-on proche de la fin du mot de passe ?), les efforts de l’industrie pour mettre fin à notre dépendance au mot de passe multi-caractères ont abouti à la proposition de nombreuses méthodes de connexion alternatives, y compris la vérification biométrique et l’utilisation de données comportementales pour prouver l’identité d’un individu. Mais la plupart de ces tentatives n’ont pas encore conduit à la terre promise : Un web sans mots de passe.

Maintenant, une nouvelle norme pour le Web est sortie et s’appelle WebAuthn. Il est salué comme un grand pas en avant dans l’authentification sécurisée et « probablement la mesure anti-phishing la plus efficace pour le web qui existe », selon Selena Deckelmann, directrice principale de l’ingénierie pour Mozilla Firefox. Il introduit un ensemble de règles pour le Web qui, si elles sont adoptées par les navigateurs et les sites Web populaires, signifieraient que les gens pourraient utiliser un seul appareil ou une seule empreinte digitale pour se connecter, eh bien, presque tout.

Mais comme les tentatives sans mot de passe avant elle, WebAuthn fait encore face à des obstacles avant que cela ne devienne quelque chose qui a un impact sur les masses. Certains experts en sécurité et en identité semblent réticents à prétendre que notre futur sans mot de passe est enfin arrivé. Et beaucoup de succès de WebAuthn se résume à savoir si des sites Web très populaires comme Amazon ou Facebook adopteront cette nouvelle norme.

La nouvelle norme WebAuthn est un effort conjoint entre le World Wide Web Consortium (WC3) et l’Alliance FIDO, composée d’une variété de sociétés technologiques et financières et présidée par des experts en identité en ligne. WebAuthn s’appuie sur deux spécifications préexistantes FIDO (U2F et UAF) que certains sites utilisent pour vérifier l’identité d’un utilisateur grâce à l’authentification 2FA ou à deux facteurs. Cette méthode de connexion, qui oblige un utilisateur à entrer à la fois un mot de passe et un moyen secondaire de vérification d’identité pour accéder à son compte, est une façon plus infaillible de confirmer l’identité de quelqu’un que de demander un mot de passe.

Tout autour du Web, l’authentification sans mot de passe est généralement proposée en tant qu’option secondaire pour la connexion à un site Web. En permettant aux navigateurs Web de gérer ces connexions en mode natif, les partisans de WebAuthn pourraient faire en sorte qu’ils deviennent le principal moyen d’autorisation des utilisateurs sur le Web. Google, Mozilla et Microsoft ont tous dit qu’ils sont à bord.

C’est beaucoup de jargon et un peu confus. Mais, fondamentalement, cela signifie que la connexion aux navigateurs et aux comptes en ligne pourrait être à la fois plus facile et plus sûre pour les consommateurs. Vous pouvez vous connecter soit en utilisant une clé physique qui se branche sur le port USB de votre ordinateur, comme le nouveau, 20 $ Yubikey a annoncé la semaine dernière qui prend en charge le nouveau protocole FIDO; ou en utilisant une connexion biométrique comme une empreinte digitale. Il pourrait y avoir un processus initial de connexion ou d’inscription qui impliquerait la saisie d’un mot de passe. Mais après cela, la connexion serait, en théorie, un processus en une étape.

Un exemple, dit Dave Bossio, un gestionnaire de programme de groupe pour la sécurité du système d’exploitation chez Microsoft, utiliserait Windows Hello comme un authentificateur pour votre navigateur sur votre ordinateur portable. Et puisque Windows Hello couvre trois formes d’authentification une épingle, un capteur d’empreintes digitales ou une caméra de reconnaissance faciale – cela donnerait aux gens différentes options. « Le navigateur [support] commencera à s’aligner au milieu de la seconde moitié de 2018 », dit Bossio, « alors il y aura une étape provisoire, une fois que cette partie aura permis à son backend de supporter FIDO2, et après qu’il s’agira d’une authentification en une seule étape de ce compte. »

À certains égards, la nouvelle norme est similaire à « TouchID d’Apple, mais un pas en avant », explique Zhiwei Li, le fondateur et PDG d’un démarrage de protection par mot de passe appelé Pepperword. Li a également acquis une certaine notoriété en exposant des vulnérabilités dans l’application de gestion de mot de passe LastPass en 2013.

« Avec TouchID, vous utilisez votre empreinte digitale pour vous connecter à un périphérique local.Avec FIDO2, vous pouvez réellement vous connecter à votre bureau en utilisant votre empreinte digitale sur votre téléphone », explique Li. En d’autres termes, il répliquerait le processus propriétaire qu’Apple a maintenant pour s’authentifier entre des périphériques, mais sur des produits non-Apple. « FIDO2 est en train de standardiser la manière de le faire, de bout en bout », dit Li. (Apple est le principal fabricant de navigateurs qui n’a pas exprimé de soutien pour WebAuthn.)

Ce qui peut être encore plus bénéfique que de simplifier les connexions est la protection contre les attaques de phishing: S’il n’y a pas de mot de passe à saisir, ce mot de passe ne peut pas être volé. « Je pense que c’est une grosse affaire pour les gens qui sont des célébrités ciblées, ou des personnes fortunées qui ont activement des gens qui tentent de pirater leurs comptes », explique Sarah Squire, architecte technique senior chez Ping Identity. Squire cite le scandale des photos de célébrités de 2014 comme un exemple d’une telle attaque. « Cela fait en sorte que quiconque se connecte à ce compte doit avoir une clé, comme un Yubikey, donc les gens ne peuvent pas facilement être phishing. »

Il y a une certaine ironie que cette solution futuriste implique toujours un dongle physique, quelque chose que j’ai mentionné à Squire et à d’autres. Les clés d’identité sécurisées, comme celles fabriquées par RSA, existent depuis au moins 15 ans, alors pourquoi les gens achètent-ils mieux un Yubikey ? Une réponse est pratique: vous n’avez besoin d’entrer dans aucune sorte de pin avec ce nouveau Yubikey. Vous venez de le brancher sur votre ordinateur. L’autre réponse est plus compliquée, c’est-à-dire qu’à certains égards, ce n’est pas mieux; les clés physiques peuvent encore être perdues ou volées, et vous transportez toujours un appareil supplémentaire avec vous.

Mais le plus grand défi auquel WebAuthn est confronté, plus important que les inconvénients ou les coûts associés aux périphériques physiques, est d’obtenir des sites Web populaires comme Amazon, Facebook ou tout autre site que vous visitez quotidiennement. C’est selon Samuel Weiler, membre du groupe de travail WebAuthn du WC3. « Les gestionnaires de mots de passe sont géniaux car ils peuvent être adoptés unilatéralement », explique M. Weiler. « Pour que cette technologie fonctionne, les sites web doivent faire des changements pour s’y adapter. »

Et Li dit que le processus d’intégration pour une entreprise comme Amazon peut être « compliqué », c’est pourquoi il y a le soutien initial des sociétés de navigation, mais pas des entreprises de commerce électronique ou des sites sociaux.

« Au départ, nous n’aurons pas ce futur glorieux sans mot », explique Deckelmann de Mozilla. « Au début, cela fonctionnera comme un second facteur, quelque chose que les sites web devront écrire un peu de code. »

Pourtant, si WebAuthn est largement adopté, WebAuthn a le potentiel d’offrir une « grande amélioration de l’expérience utilisateur », explique Deckelmann.

Et Li, avec d’autres, convient que WebAuthn déplace l’ensemble de l’industrie dans la bonne direction. « Les mots de passe ne sont pas un problème parce qu’un utilisateur se fout, je pense que tout l’écosystème est brisé », dit Li. « Et il faut quelqu’un comme FIDO pour le réparer. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Singapore Airlines enquête après que la femme a perdu 76 000 miles KrisFlyer dans un prétendu piratage.

Quand la directrice générale de 34 ans, Sherie Low, s’est connectée à son compte KrisFlyer dimanche (15 avril), elle a découvert que la majeure partie de ses miles avait été transféré sous le nom de quatre personnes Russes qu’elle ne connaissait pas.

Sur les 76,769 miles qu’elle avait, seulement 769 restaient.

Mme Low, qui a déclarée s’être inscrite pour la première fois à un compte sur le programme de fidélisation de Singapore Airlines (SIA) il y a 10 ans, a déclaré à Channel NewsAsia qu’elle s’était connectée pour la dernière fois à son compte.

Peu de temps après, entre le 24 mars et le 25 mars, quatre vols ont été échangés entre Francfort, Allemagne et Saint-Pétersbourg, à 12 500 milles chacun et 26 000 miles ont été convertis en points pour le programme de fidélisation Velocity de Virgin Australia.

Les rachats ont été effectués au nom de quatre personnes : Mme Kseniia Migel, Mme Elena Migel, M. Matvei Kotliar et M. Andrei Migel, tous détenteurs de passeports Russes. Selon les screengrabs partagées avec Channel NewsAsia, tous les quatre avaient été ajoutés en tant que nominés à son compte le 23 mars, juste un jour avant qu’ils aient commencé à faire des rachats.

Les nominés de KrisFlyer peuvent utiliser les miles d’un membre pour échanger des billets et des mises à niveau de vol.

Mme Low a déclarée à Channel NewsAsia qu’une fois qu’elle a remarqué l’activité suspecte, elle a appelé la hotline KrisFlyer.

Les représentants de la compagnie aérienne ont déclaré qu’ils ne voulaient pas lui donner un « faux espoir » qu’elle lui rapporterait des miles et qu’elle ne pourrait pas lui donner un délai pour l’enquête, a-t-elle dit.

Ils ont également dit que leur équipe d’enquête lui rappellerait dans les 24 heures, mais a seulement rappelé le lendemain pour « réitérer la même chose » qui était « qu’ils ne veulent pas me donner de faux espoirs ».

Sous son pseudonyme Facebook Kiki Koh, Mme Low a publié un compte-rendu du piratage allégué sur la page Facebook de SIA mardi.

« En tant que Singapourien et fidèle partisan de SIA, bien que je puisse choisir d’autres programmes de fidélité (pour) mes miles de carte de crédit, j’ai toujours choisi SIA », at-elle déclaré à Channel NewsAsia.

« Mais après cet incident, je chercherai probablement une compagnie aérienne dotée d’un meilleur système de sécurité. »

En réponse aux questions de Channel NewsAsia, SIA a déclaré : « Singapore Airlines peut confirmer que nous avons reçu cette plainte de notre membre de KrisFlyer concernant la perte de ses miles KrisFlyer. Nous sommes en train d’enquêter sur ce problème et nous suivrons directement le client. »

« Singapore Airlines est également consciente que certains comptes membres de KrisFlyer peuvent avoir été piraté en raison d’un possible phishing. Nous surveillons ces comptes de près et travaillerons avec les autorités compétentes dans leurs enquêtes, si nécessaire.

« Nous avons également contacté les membres concernés et leur avons conseillé de prendre différentes mesures pour empêcher le phishing : utiliser des mots de passe plus forts, changer régulièrement de mot de passe, utiliser un programme antivirus fiable et se connecter à leurs comptes KrisFlyer uniquement via site officiel SIA à www.singaporeair.com.

Bien qu’il y ait eu des alertes sur les rachats envoyés à une adresse e-mail liée à son compte Krisflyer, Mme Low a déclaré que le compte est inactif et qu’elle ne l’a pas vérifié.

Mme Low a dit qu’elle pensait que KrisFlyer devrait mettre à jour la sécurité de son système. Actuellement, les membres peuvent se connecter à leurs comptes en utilisant leur numéro de compte d’adhésion et un code PIN à six chiffres.

« À tout le moins, il devrait être protégé avec un mot de passe à usage unique », at-elle dit. « Ils ne peuvent pas avoir un système si fragile qui permet aux pirates d’entrer dans des comptes si facilement et aussi ajouter des candidats si facilement. »

Une autre personne a récemment posté sur la page Facebook de SIA au sujet d’un prétendu vol de miles KrisFlyer. Un utilisateur appelé Abhishek Singh a écrit le 25 février qu’il avait rapporté un vol de ses miles trois jours auparavant mais n’avait encore rien vu.

Samedi, SIA avait également envoyé un avis de sécurité en ligne par e-mail aux membres de KrisFlyer, leur demandant de se méfier des courriels d’hameçonnage qui pourraient cibler leurs comptes.

« Les rapports sur les attaques d’hameçonnage ont augmenté ces derniers mois et nous souhaitons conseiller à nos clients de se méfier des courriels, messages et appels téléphoniques non sollicités qui prétendent provenir de Singapore Airlines », a indiqué la compagnie dans l’avis.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage