Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

La sécurité des mots de passe et de l’authentification

Yubico Ponemon Institute a mené des études portant sur les différents comportements liés à l’utilisation des mots de passe mais aussi au mode d’authentifications.

Le rapport a été intitulé « State of Password and Authentication Security Behaviours ». L’étude a pour objectif de mieux appréhender certaines pratiques liées aux habitudes en matière d’utilisation de modèle de tentes ification et de mot de passe des professionnels de la sécurité informatique et des différents utilisateurs des services numériques. Et il faut noter qu’elle n’est pas la première du genre.

Ce mot de passe va aussi vous intéresser : Des pirates informatiques chinois arrivent à contourner la double authentification

Pour mener à bien ce rapport Ponemon Institute interroger exactement 2507 professionnel de la sécurité informatique pousse actif. Ces derniers ont été interrogés en France, en Australie, en Suède, au Royaume-Uni, en Allemagne et aux États-Unis. En plus des spécialistes, 563 utilisateurs actifs ont été aussi approchés.

La conclusion de l’étude a démontré, qu’il demeure toujours un risque quant aux comportement des spécialistes et utilisateurs finaux quand il s’agit de l’utilisation des modes d’authentification et des mots de passe classique. Par ailleurs, un écart conséquent entre les exigences de la sécurité informatique et les attitudes adoptées par les différents acteurs du milieu est à observer. On se demande alors si nous sommes face à une négligence ou tout simplement un manque de maîtrise de l’univers numérique. C’est alors que l’on se penche du côté de la nature même les outils déployés lors de l’instauration des systèmes d’information dans les entreprises par exemple.

Il a été démontré à ce niveau que les utilisateurs finaux ont cette tendance à ne pas adopter facilement les exigences souhaitées ou mises en avant par les fournisseurs de solution numériques. Et l’une des raisons qui peut expliquer cela est développé par le CEO et cofondatrice de Yubico de Stina Ehrensvärd : « Professionnels de l’informatique ou non, les utilisateurs ne veulent pas que la sécurité soit un fardeau. Elle doit être facile à utiliser et doit fonctionner instantanément.  Pendant des années, il a été quasiment impossible de faire rimer sécurité et simplicité d’utilisation. Aujourd’hui, les nouvelles technologies d’authentification permettent enfin d’atteindre cet équilibre. Avec la disponibilité de clés de sécurité et de connexions sans mot de passe, il est grand temps que les entreprises franchissent un palier en matière de sécurité. Elles peuvent faire bien mieux qu’utiliser des mots de passe et c’est d’ailleurs ce que les utilisateurs exigent. ».

Du côté des menaces informatiques, plus de 57 % des professionnels de la sécurité informatique qui ont été interrogés en France ont affirmé avoir été victime d’une attaque informatique. Environ 17 % d’entre eux ont reconnu avoir été victime de vol d’identifiant et 8 % signifie avoir subi un man-in-the-middle.

En outre, 44 % des utilisateurs finaux approchés ont reconnu avant été victime d’une attaque informatique par hameçonnage (phishing) au boulot. D’un autre côté, 58 % des spécialistes de la sécurité ont aussi affirmé que leurs entreprises avaient dû modifier leur méthode d’usage des moyens d’authentification dont les mots de passe. Les raisons ont été évoquées plus haut.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Les spécialistes de la sécurité informatique, des agents indispensables de nos jours

De nos jours, les personnes susceptibles d’occuper les postes de responsable de sécurité des systèmes d’information sont très demandées sur le marché du travail.

Pour ne pas dire qu’elles sont convoitées. Le secteur est en pleine expansion et le besoin se fait ressentir de plus en plus. Dans le secteur, il n’est pas rare d’assister à des débauchages, à des promotions internes, des mutualisations ou même des embauches externes.

Cet article va aussi vous intéresser : Que faire lorsque l’on est victime d’une attaque informatique ?

Par exemple, dans la ville de Marseille, le responsable de la sécurité a mentionné qu’il a dû pratiquement chasser des têtes avant de pouvoir constituer son équipe composée des 5 spécialistes de la sécurité informatique. Pour la ville de Paris en outre, du côté sud, ils ont réussi à former une équipe surtout à trouver un spécialiste à la tête de cette équipe en moins de 1 mois et demi. Ils seront chargés de veiller à la sécurisation des données, mais aussi à la définition une politique visant à anticiper les potentielles menaces.

Ce qui dénote clairement la course aux spécialistes pour ne pas dire la chasse aux spécialistes. Et ce ne sont plus seulement les entreprises qui s’y mettent mais les collectivités territoriales aussi occupe une grande partie de cette course. « Les recrutements de spécialistes en sécurité informatique sont un véritable problème », expliquait l’un des responsables de la sécurité informatique les systèmes d’information d’une ville bretonne. Pour Damien Alexandre, le spécialiste « collectivités » du Clusif, une association dédiée à la cybersécurité « Le profil difficile à trouver actuellement, c’est celui du délégué à la protection des données ».

Par ailleurs, les collectivités territoriales n’ont pas la même chance sur le marché du recrutement en ce qui concerne le fait de dénicher des talents en la matière. « Les grandes collectivités ont les moyens financiers de recruter une personne dédiée », mettait en avant Emmanuel Vivé, le directeur général de l’association pour le développement et l’innovation numérique des collectivités (Adico).

Le système contractuel est le plus utilisé pour le recrutement des responsables de sécurité informatique. Il est possible pour ces experts de la cybersécurité de mettre en avant leur talent contre des rémunérations qui peuvent aller de 60 000 à 80 000 € par an. Ce qu’ils gagnent 2 fois moins lorsqu’ils travaillent pour des collectivités. « Dans l’informatique ou la cybersécurité, la rémunération peut poser problème, car ce sont des profils assez pointus qui sont chassés, Mais les candidats sont de plus en plus en quête de sens : servir un territoire et contribuer à l’intérêt général sont autant de dimensions intéressantes. » souligne Sigrid Berger, fondatrice de la plateforme de recrutement Profil public.

Dans ce contexte, il faut développer des arguments susceptibles de convaincre ses experts de vouloir bien se donner à fond pour une collectivité territoriale. Par exemple du côté de la ville de Marseille, la directrice des services numériques de la ville Arielle Muller déclare : « Nous avons une politique de sécurité élaborée, cela permet d’être plus attractifs ».

Mais cela suffit-il ? Visiblement non vu que certaines villes décident de procéder à des promotions en interne. Ce qui revalorise l’agent mais aussi lui donne envie de faire plus. « Nous les assistons avec un plan de formation, de coaching et d’assistance »: affirmait le directeur des services du cabinet de conseil Ageris, Denis Virole.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Vulnérabilité bluetooth, plusieurs smartphones mis en danger

Des chercheurs spécialisés en sécurité informatique d’une Université de Singapour ont découvert récemment plusieurs failles de sécurité SweynTooth qui affectent et la technologie Bluetooth Low Energy.

Le fait que cette dernière technologie soit embarquée dans plusieurs systèmes de puce tel que Cypress, Dialog, Microchip, Semiconductors… En tout, plus d’une quinzaine de système sur puce que l’on peut facilement trouver dans environ 450 produits serait donc touchée par la vulnérabilité. Cette faille de sécurité s’est alors dénommée SweynTooth.

Cet article va aussi vous intéresser : Les appareils qui fonctionnent avec la technologie Bluetooth seraient vulnérables

Il n’y a rien d’inédit à cela, on le sait tous les technologies Bluetooth n’échappe aucunement à quelques vulnérabilité par-ci par-là. on se rappelle alors de la découverte faite par des spécialistes de la sécurité concernant la faille CVE-2018-5383, qui pourrait permettre aux spécialistes du piratage informatique de non seulement intercepter les échanges de données, mais aussi de les endommager. Certaines failles de sécurité viennent à peine d’être découvertes offrant les mêmes possibilités.

Concernant la vulnérabilité SweynTooth, les chercheurs qui l’ont découvert sont experts en technologie et design de l’Université de Singapour et sont connus sous les noms de Matheus E. Garbelini, Sudipta Chattopadhyay, Chundong Wang. Ils réussirent à mettre à nu plus d’une dizaine du genre. « Les vulnérabilités peuvent être utilisées par un attaquant qui se trouve dans le champ d’émission Bluetooth et peuvent faire planter les appareils concernés, forcer un redémarrage, les bloquer ou contourner le mode de couplage BLE sécurisé et accéder aux fonctions réservées aux utilisateurs autorisés », explique Bleepingcomputer.

Apparemment, les chercheurs avaient découvert depuis la fin de l’année 2019 l’ensemble de ces failles mais, à cause du protocole, mais il a fallu attendre 90 jours avant de faire une publication officielle pour l’annoncer. Parmi ces vulnérabilité, « on trouve Zero LTK Installation (CVE-2019-19194 ), Link Layer Length Overflow ( CVE-2019-16336 , CVE-2019-1751 Link Layer LLID deadlock ( CVE-2019-17061 et CVE-2019-17 Truncated L2CAP ( CVE-2019-17517 ), Silent Length Overflow ( CVE-2019-17518 ), Invalid Connection Request (CVE-2019-19193 ), Unexpected Public Key Crash ( CVE-2019-17520 ), Sequential ATT Deadlock ( CVE-2019-19192) , Invalid L2CAP fragment ( CVE-2019-19195 ) et Key Size Overflow ( CVE-2019-19196 ). »

Plusieurs centaines de périphériques à travers le monde utilise ces différentes puces touchées par les vulnérabilités évoquées plus haut. De nombreux accessoires en font recourt tels que les montres connectées, des systèmes de gestion de la domotique…

Cependant, les fabricants de puces et autres fournisseurs des périphériques concernés par les failles de sécurité n’ont pas encore fait des déclarations officielles concernant de potentiels correctifs de sécurité. Ce qui pourrait peut-être dire que tous les appareils déjà en circulation sont non seulement vulnérables, mais aurait pu être déjà victimes des quelques attaques informatiques jusqu’à présent non déclarées. Ce qui serait sage alors c’est de conseiller aux utilisateurs des outils déjà en circulation de faire très attention à leur usage. Voir s’en passer si aucune mise à jour de sécurité n’est proposée jusqu’à lors. En fait, les utilisateurs des différents outils concernés par la généralité devrait si possible, et cela est important de faire les contrôles de sécurité de leurs systèmes pour s’assurer qu’il n’y a pas eu d’intrusion.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Quand le système de reconnaissance faciale est trompé par une impression 3D

Suite à un test mené par un média américain, il a été mis en évidence qu’une simple tête imprimée en 3D était en mesure de tromper des technologies de reconnaissance faciale embarquée dans plusieurs modèles de smartphone.

Alors la question de savoir si la reconnaissance faciale qui se trouve embarquée dans nos smartphones est véritablement fiable à l’instar du mot de passe qui est tant critiqué aujourd’hui par les spécialistes de la sécurité informatique, nous devons véritablement trouver une réponse satisfaisante. Ou bien peut être demander si le visage peut-être piraté. Du moins c’est ce qui a été démontré par le média américain Forbes. Les journalistes de Forbes, ont utilisé une tête par une 3D. Après l’avoir fait analyser par le système de reconnaissance faciale de plus d’une cinquantaine de modèle de smartphones, il a été observé les systèmes de reconnaissance se sont fait avoir par de simple copie.

Cet article va aussi vous intéresser : La polémique de la technologie de reconnaissance faciale

Fait à base de plâtre comme matière première, le visage utilisé a réussi à déverrouiller plus de 4 marques de téléphone fonctionnant sous Android. On parle notamment de Galaxy S6, le LG G7 ThinQ, le one plus 6, et le Galaxy Note 8. Mais à l’opposé de ces Téléphones sous Androïd, iPhone x de Apple quant à lui n’a pas été trompé par le visage modélisé en plâtre.

L’inquiétude se formalise alors. Tous ces téléphones utilisent la reconnaissance faciale comme système de sécurité, on se demande alors si nous ne sommes pas face à une grosse faille. Par ailleurs le système de reconnaissance faciale produit par Microsoft « Windows Hello » a aussi réussi à ne pas se faire avoir par le visage factice.

Pour essayer de se justifier la société coréenne LG a essayé de relativiser :  « chez nous, la reconnaissance faciale est une solution de déverrouillage secondaire (…) nous souhaitons l’améliorer avec une deuxième étape de reconnaissance que nous sommes en train de développer».

Du côté des Samsung il a été noté que « la reconnaissance faciale est une solution moins sécurisée qu’un mot de passe ou qu’un code PIN ». Et cela peut se comprendre quand on sait que le géant Coréen Samsung privilégie plutôt la mise à jour de la reconnaissance d’iris de l’œil, système de sécurité qui n’a pas pu être trompée par le visage modélisé.

Cependant il faudrait revenir au point de départ. Ce système a été présenté plusieurs comme étant un moyen de sécurité très efficace. Son déploiement se fait de plus en plus. Surtout, au niveau des téléphones intelligents. Et il n’est pas rare de voir dans la majorité des nouveaux modèles récent ce système embarqué d’office. On s’en sert aujourd’hui pour plusieurs choses. Ce n’est plus cantonné dans le fait de déverrouiller son smartphone.  Les utilisateurs aujourd’hui ont la possibilité d’utiliser ce système pour effectuer des transactions en ligne par exemple. On se rappelle alors qu’en 2017, Apple avait notifié le fait que la reconnaissance faciale était plus sûr que la lecture de l’empreinte digitale. Cependant, les failles de sécurité et les bugs n’ont pas cessé de mettre en doute la fiabilité de ce modèle de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage