Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Le chercheur ont piraté un cadenat à empreintes digitales intelligent en quelques secondes.

Le cadenas « intelligent » Tapplock, qui a reçu de nombreuses critiques dithyrambiques de la part de sites d’information technologiques et de YouTubers, peut être forcé de s’ouvrir en moins de deux secondes avec un smartphone.

La découverte a été faite par Andrew Tierney, chercheur de Pen Test Partners, qui a décidé de tester la sécurité du logiciel utilisé par le produit après avoir vu un YouTuber ouvrir un Tapplock verrouillé en dévissant simplement son dos et quelques vis internes.

Rompre dans le cadenas « intelligent ».

Tapplock One est un cadenas qui peut être ouvert en plaçant votre doigt sur le capteur d’empreintes digitales, via Bluetooth via une application de téléphone ou en appuyant sur le bouton d’alimentation sur certain modèle.

Tierney a découvert que la communication entre le verrou et l’application n’est pas cryptée et que l’application enverrait la même chaîne de données via Bluetooth Low Energy (BLE) à la serrure à chaque connexion, ce qui signifie qu’elle est vulnérable aux attaques.

« L’application vous permet de partager le cadenat avec quelqu’un d’autre, révoquant les autorisations à une date ultérieure. J’ai partagé le verrou avec un autre utilisateur et scanné les données BLE. Ils étaient identiques aux données de déverrouillage normales. Même si vous révoquez des autorisations, vous avez déjà donné à l’autre utilisateur toutes les informations dont il a besoin pour s’authentifier avec le verrou », a-t-il également découvert.

Enfin, il a découvert que la seule chose que le pirate doit savoir pour le faire est l’adresse MAC BLE qui est diffusée par le verrou, car la clé de déverrouillage est basée sur elle. Cela lui a permis de créer un script qui chercherait des Tapplocks (via Bluetooth) et les débloquerait.

Partage de la découverte avec le fabricant.

Tierney a été choqué par la faible sécurité du produit et a contacté le fabricant pour voir s’ils étaient au courant de ces défauts. Ils ont dit qu’ils étaient au courant du bug, mais n’ont rien fait pour informer les clients actuels et futurs acheteurs à leur sujet.

Il a décidé de leur donner sept jours pour trouver des solutions et apparemment, ils ont demandé aux utilisateurs de mettre à jour leur application et de mettre à jour le micrologiciel du cadenas.

Mais ce qui contrarie Tierney, c’est qu’ils n’ont pas réussi à expliquer le risque que ces défauts comportent.

« L’avis n’indique pas clairement que n’importe qui peut ouvrir un verrou, ni qu’un verrou de remplacement temporaire doit être utilisé jusqu’à ce que la mise à jour du micrologiciel soit appliquée. C’était agréable d’être crédité pour le travail, bien que nous préférerions que Tapplock ait contacté de manière proactive tous les clients avec un plan clair d’explication, d’atténuation et de remédiation », a-t-il noté.

En fin de compte, c’est un peu démoralisant que le constructeur n’ait pas pensé à mettre en place une meilleure sécurité dès le départ et n’ait pas cherché à corriger les failles si elles étaient, comme on dit, au courant.

Il semble que, du moins pour l’instant, nous devions compter sur des chercheurs en sécurité qui se démèneraient pour sonder les différentes offres et partager les failles avec le public afin de forcer la main des fabricants.

Ce n’est pas la première fois qu’un objet connecté est piraté, nous en avions déjà parlé, il est possible de pirater une voiture sans clé.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Cortana vous permet de changer les mots de passe sur les PC verrouillés.

Microsoft a corrigé une vulnérabilité dans l’assistant intelligent Cortana qui aurait permis à un pirate ayant accès à un ordinateur verrouillé d’utiliser l’assistant intelligent et d’accéder aux données sur le périphérique, exécuter du code malveillant ou même changer le mot de passe du PC pour accéder à l’intégralité du périphérique.

Nous avions déjà parlé de cette faille importante de sécurité dans cet article : Les pirates peuvent utiliser Cortana pour pirater un PC Windows verrouillé.

Le problème a été découvert par Cedric Cochin, Architecte de la sécurité cybernétique et Senior Principle Engineer chez McAfee. Cochin a rapporté en privé les problèmes qu’il a découverts à Microsoft en avril.

La vulnérabilité est CVE-2018-8140, que Microsoft a classée comme une élévation de privilège et corrigée hier lors des mises à jour de sécurité mensuelles Patch Tuesday de la société.

Cochin dit que le problème était présent en raison de différentes bizarreries dans la façon dont Cortana permet aux utilisateurs d’interagir avec le système d’exploitation Windows 10 sous-jacent, tandis que dans un état verrouillé.

Les chercheurs ont découvert plusieurs caractéristiques qui pourraient être combinées en une attaque plus large :

≗ Les utilisateurs peuvent commencer à taper après avoir dit « Hey Cortana » et émettre une commande vocale. Cela amène une fenêtre de recherche spéciale avec diverses fonctionnalités et capacités.

≗ Les utilisateurs peuvent taper du texte dans cette fenêtre contextuelle, qui recherche l’index de l’application de l’ordinateur portable et son système de fichiers. En tapant certains mots, comme « pas » (comme dans le mot de passe), cette recherche peut faire apparaître des fichiers contenant cette chaîne dans leurs chemins de fichier ou dans le fichier lui-même. Passer la souris sur l’un de ces résultats de recherche peut révéler l’emplacement du fichier sur le disque, ou le contenu du fichier lui-même (gros problème si le détail divulgué est un mot de passe).

≗ Les utilisateurs peuvent accéder au menu contextuel après avoir utilisé la même astuce pour commencer à taper après avoir déclenché Cortana. Ces menus incluent diverses options sensibles, telles que «Ouvrir l’emplacement du fichier», «Copier le chemin d’accès complet», «Exécuter en tant qu’administrateur» ou, plus dangereux, «Exécuter avec PowerShell».

≗ En utilisant la même astuce pour commencer à taper après l’émission d’une commande vocale Cortana, les attaquants peuvent exécuter des fichiers ou exécuter des commandes PowerShell.

Combinant tous ces problèmes en une attaque, Cochin indique qu’un pirate ayant accès à un ordinateur verrouillé peut effectuer le hack suivant :
≗ Le pirate connecte une clé USB contenant un script PowerShell illicite. Windows alertera l’utilisateur de ce nouveau disque en affichant la lettre du lecteur USB comme une petite notification dans la partie inférieure inférieure de l’écran. Cela permet au pirate de connaître le chemin exact du fichier de son script malveillant.
≗ Le hackeur émet une commande vocale Cortana mais commence à taper sur le clavier pour interrompre l’exécution de la commande vocale. Cela ouvre une fenêtre de recherche spéciale Cortana.
≗ Il exécute une commande PowerShell avec des arguments CLI pour exécuter le script PowerShell malveillant trouvé sur le lecteur USB.
≗ Le script PowerShell malveillant s’exécute, bien que l’ordinateur soit verrouillé. Le hacker peut utiliser PowerShell pour réinitialiser le mot de passe, désactiver le logiciel de sécurité, exécuter des commandes chaînées ou tout ce qu’il veut.

Il est conseillé aux utilisateurs de mettre à jour la dernière version de Windows ou de désactiver Cortana sur l’écran de verrouillage.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Yahoo a été infligé d’une amende de 250 000 £ pour piratage qui a touché 515 000 comptes britanniques.

ICO affirme que la firme «n’a pas réussi à empêcher» le piratage parrainé par la Russie en 2014 après le hack de 500 millions de comptes Yahoo.

Marissa Mayer s’était pourtant excusé pour le piratage massif des comptes Yahoo! mais cela n’a pas servi puisque Yahoo a été condamné à une amende de 250 000 £ sur un piratage à partir de 2014 qui a touché plus de 515 000 comptes de courrier électronique britanniques co-marqués avec Sky, a annoncé le Commissariat à l’information.

Les données personnelles de 500 millions d’utilisateurs dans le monde ont été piraté lors d’une cyberattaque commanditée par l’État en 2014, révélée en 2016. Les données hackées comprenaient des noms, des adresses électroniques, des numéros de téléphone, des mots de passe et des questions de sécurité cryptées.

L’ICO a déclaré l’amende liée à l’impact sur 515.121 comptes qui ont été co-marqués en tant que services Sky et Yahoo au Royaume-Uni, pour lequel Yahoo! UK Services Ltd est le responsable du traitement des données.

Le responsable de la protection des données a déclaré que l’entreprise Internet n’avait « pas réussi à empêcher » le piratage parrainé par la Russie suite à une enquête menée en vertu du Data Protection Act 1998. James Dipple-Johnstone, commissaire adjoint aux opérations de l’OIC, a critiqué les insuffisances place depuis longtemps à Yahoo sans être « découvert ou adressé ».

ICO a indiqué que Yahoo n’avait pas pris de mesures appropriées pour empêcher le piratage de données et n’avait pas réussi à s’assurer que les données étaient traitées par la branche américaine de Yahoo avec des normes appropriées de protection des données.

Dipple-Johnstone a déclaré : « Les défaillances identifiées par notre enquête ne sont pas ce que nous attendons d’une entreprise qui a amplement l’opportunité de mettre en œuvre des mesures appropriées et potentiellement empêcher les données des citoyens britanniques d’être hackées. »

Yahoo a refusé de commenter. L’entreprise a depuis été acquise par le câblo-opérateur Américain Verizon et a été fusionnée avec l’autre société Internet originale AOL pour former Oath, un opérateur de divers sites de spécialistes et de services Internet.

« Nous acceptons que des cyber-attaques se produisent et que les cybercriminels deviennent plus avisés et plus déterminés, la protection des données devient encore plus difficile », a déclaré Dipple-Johnstone. « Cependant, les organisations doivent prendre des mesures appropriées pour protéger les données de leurs clients contre cette menace. »

Yahoo a également souffert d’un piratage de données plus importante en 2013 qui a touché 1 milliard de comptes, mais il n’a été révélé en 2016, après la divulgation du piratage en 2014.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

‘Brain Password’ en développement pour contrer le cyber-piratage

Pour surmonter la simplicité des mots de passe, de nombreux smartphones intègre la reconnaissance faciale, les empreintes digitales et d’autres systèmes biométriques.

Le problème avec ces outils faciles à utiliser est qu’une fois qu’ils sont piratés, vous ne pouvez pas les réinitialiser. Un utilisateur ne peut pas développer une nouvelle empreinte ou iris si cette information est divulguée et donc il ne peut pas le réinitialiser comme un mot de passe.

Wenyao Xu, chercheur à l’école d’ingénierie et de sciences appliquées de l’Université de Buffalo : « C’est pourquoi nous développons un nouveau type de mot de passe, qui mesure vos ondes cérébrales en réponse à une série d’images et utilise ces mots comme mots de passe. »

« Ce code est essentiel, facile à utiliser et facile à réinitialiser une fois découvert », a-t-il déclaré, selon l’agence de presse Allemande.

Xu a ajouté qu’il était motivé pour créer un mot de passe biométrique annulable après que les pirates ont hacké les fichiers d’empreintes digitales des travailleurs du Bureau Américain de la gestion personnelle en 2015.

Afin d’enregistrer les ondes cérébrales pour les utiliser comme mots de passe, l’utilisateur doit porter un casque, similaire à des casques de réalité virtuelle, impliquant six électrodes pour enregistrer trois activités cérébrales en réponse aux images montrées.

Le nouveau système enregistre trois fois l’activité cérébrale : deux servent de fondations et la dernière vise à enregistrer le mot de passe. L’utilisateur voit les trois images en succession rapide et le processus est répété trois fois de plus. À la fin de la quatrième fois, après 4,8 secondes, le mot de passe du cerveau est prêt.

Selon le site Phys.org, le port d’un micro-casque peut ne pas intéresser les internautes habituels, a dit Xu qui pourrait changer au fil du temps, surtout si l’appareil est repensé en quelque chose comme Google Glass.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les mots de passe complexes sont un moyen de dissuader le piratage informatique.

En termes de calcul, il existe essentiellement deux types de mots de passe: simples et complexes.

Les mots de passe simples, par définition, ont tendance à être courts et contiennent des progressions de caractères faciles à prévoir, comme « 123456 » ou « catanddog ».

La recherche indique que la plupart des mots de passe simples peuvent être découverts par un programme de piratage en quelques secondes ou minutes (selon le mot de passe) et que la plupart des gens utilisent des mots de passe simples (souvent identiques) pour presque tous leurs comptes en ligne.

Les mots de passe complexes, d’un autre côté, tendent à être plus longs et contiennent un plus large éventail de lettres, de chiffres, de symboles et de majuscules dans leurs combinaisons.

Selon la recherche, ces derniers sont plus longs à décoder en raison de leur imprévisibilité et de leur longueur, et dans de nombreux cas, les algorithmes de piratage expireront avant qu’ils ne soient capables de décoder ces mots de passe. Un exemple de mot de passe complexe complexe serait « #$A1iEns_48622 ».

Cela étant dit, il convient de noter qu’il n’y a aucune garantie que quelqu’un avec un mot de passe simple sera piraté ou que quelqu’un avec un mot de passe complexe sera toujours en sécurité.

Les algorithmes de piratage, comme tout le monde informatique, sont en constante évolution et cela signifie que ce qui pourrait vous protéger aujourd’hui peut s’avérer être un faible moyen de défense demain. De même, il existe également des cas où un mot de passe fort n’assure pas la sécurité d’un algorithme de piratage, comme dans le phishing, dans lequel l’utilisateur est amené à fournir volontairement des informations de connexion à un pirate. Dans ces cas, le fait de savoir comment ces menaces fonctionnent sera votre meilleure forme de protection. Veuillez voir les colonnes précédentes sur ce sujet pour plus d’informations.

Comme pour tout ce qui touche à l’informatique, il est toujours préférable de faire preuve de prudence et de prendre des mesures maintenant pour vous protéger au lieu d’attendre qu’un problème se produise et de réagir ensuite après coup. En tant que tel, il est recommandé de créer des mots de passe complexes pour vos comptes plus tôt que plus tard.

De même, il est recommandé d’utiliser un mot de passe différent pour chaque plate-forme ou site Web avec lequel vous avez un compte sécurisé. Si l’utilisation du même mot de passe pour chaque connexion est plus facile à retenir, elle vous rend également plus vulnérable aux menaces.

Si les pirates informatiques obtiennent vos identifiants de connexion pour un site, par exemple et que vous utilisez le même mot de passe sur plusieurs sites, ils peuvent également accéder à ces autres sites sans trop d’efforts.

La complication ici, bien sûr, est que le suivi d’un certain nombre de mots de passe complexes peut être difficile. Heureusement, l’utilisation d’un programme de gestion de mot de passe peut aider.

Ce sont des programmes qui génèrent, stockent, récupèrent et gardent une trace de vos mots de passe complexes sur plusieurs sites. En plus de cela, certains stockent également les numéros PIN, les numéros de carte de crédit et les numéros CVV en toute sécurité.

Alors que de nombreux navigateurs contiennent aujourd’hui des coffres-forts numériques, ceux-ci ne sont pas aussi sécurisés que ces gestionnaires de mots de passe autonomes. Certains titres recommandés incluent : Roboform, Keepass et Dashlane, tous gratuits à télécharger et installer.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage