Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Top 10 des mots de passe que les hackers adorent voir.

Tout bon professionnel de la sécurité de l’information sait que les bons mots de passe doivent être faciles à retenir, mais difficiles à deviner, et ce, parce qu’il y a des tentatives constantes pour déchiffrer vos mots de passe. Une étude récente de la Clark School of Engineering de l’Université du Maryland est l’une des premières à quantifier le taux quasi constant d’attaques de pirates informatiques ayant accès à Internet toutes les 39 secondes en moyenne et les noms d’utilisateur et mots de passe non sécurisés utilisés qui donnent aux attaquants plus de chances de succès.

L’étude a décrit le comportement de la «force brute» pirates informatiques ou ceux qui utilisent de simples programmes d’automatisation logicielle pour attaquer de manière aléatoire un grand nombre d’ordinateurs. Les chercheurs ont trouvé quels noms d’utilisateur et mots de passe étaient utilisés le plus souvent, ainsi que ce que font les pirates informatiques lorsqu’ils ont accès à un ordinateur.

À la télévision et dans les films, ces types de pirates informatiques ont été décrits comme des personnes rancunières qui ciblent des institutions spécifiques et tentent manuellement de s’introduire dans leurs ordinateurs. Mais en réalité, la plupart de ces attaques utilisent des scripts automatisés qui recherchent indifféremment des milliers d’ordinateurs à la fois, recherchant des vulnérabilités.

Les données de l’étude ont fourni des preuves quantifiables du fait que des ordinateurs connectés à Internet sont régulièrement victimes d’attaques. Les ordinateurs de l’étude du Maryland ont été attaqués en moyenne 2 244 fois par jour.

L’étude reposait sur le principe qu’une sécurité faible était installée sur quatre ordinateurs Linux connectés à Internet. Les chercheurs ont ensuite enregistré ce qui s’était passé lors de l’attaque des machines individuelles. Ils ont découvert que la grande majorité des attaques provenaient de pirates informatiques relativement peu sophistiqués utilisant des « scripts de dictionnaire », un type de logiciel qui parcourt des listes de noms d’utilisateur et de mots de passe courants essayant de pénétrer dans un ordinateur.

« Root » était le nom d’utilisateur le plus utilisé par les dictionnaires, 12 fois plus souvent que « Admin ». Un accès «root» réussi ouvrirait l’ensemble de l’ordinateur au pirate, tandis que «Admin» accorderait l’accès à des privilèges d’administration quelque peu moindres.

Les autres noms d’utilisateurs figurant dans les scripts des pirates étaient « test », « guest », « info », « admin », « mysql », « user », « admin » et « oracle ». Tout devrait être évité en tant que noms d’utilisateur.

Les chercheurs ont découvert que le stratagème habituel consistant à deviner les mots de passe consistait à entrer à nouveau ou à essayer des variantes du nom d’utilisateur. Quelque 43 % de toutes les tentatives de recherche de mots de passe ont tout simplement repris le nom d’utilisateur. Le nom d’utilisateur suivi de « 123 » était le deuxième choix le plus éprouvé. Les autres mots de passe couramment utilisés sont « 123456 », « mot de passe », « 1234 », « 12345 », « password », « 123 », « test » et « 1 ». Ces résultats corroborent les avertissements des experts en sécurité selon lesquels un mot de passe ne doit jamais être identique ni même associé à son nom d’utilisateur associé.

Une fois que les pirates informatiques ont accès à un ordinateur, ils agissent rapidement pour déterminer s’il peut leur être utile. Au cours de l’étude, la séquence d’actions la plus courante des pirates informatiques consistait à vérifier la configuration logicielle de l’ordinateur auquel on accédait, à modifier le mot de passe, à vérifier la configuration matérielle et / ou logicielle, à télécharger un fichier, à installer le programme téléchargé, puis à l’exécuter.

Qu’est-ce que les pirates cherchent à accomplir ?

Les scripts renvoient une liste des «prospects les plus probables»aux ordinateurs des pirates informatique qui tentent ensuite d’accéder au plus grand nombre possible et de les pirater. Souvent, ils ouvrent des «portes arrières» des entrées non détectées de l’ordinateur qu’ils contrôlent afin de pouvoir créer des «réseaux de moustiquaires» à des fins lucratives ou criminelles. Un botnet est un ensemble d’ordinateurs piratés contrôlés par des robots logiciels autonomes répondant à un pirate informatique qui manipule les ordinateurs à distance. Les réseaux de zombies peuvent notamment commettre des hacks ou des usurpations d’identité, perturber d’autres réseaux et endommager des fichiers informatiques.

L’étude a fourni des preuves statistiques solides corroborant les idées reçues sur la vulnérabilité des noms d’utilisateur / mots de passe et les comportements d’attaque après compromission. Les utilisateurs d’ordinateurs doivent éviter tous les noms d’utilisateur et mots de passe identifiés dans la recherche et choisir des mots de passe plus longs, plus difficiles et moins évidents, combinant des lettres majuscules et minuscules et des chiffres non susceptibles de faire l’objet d’une attaque au dictionnaire.

La plupart des professionnels de la sécurité de l’information interdisent les mots de passe partagés dans leurs centres de données. Si un mot de passe partagé est piraté, cela peut signifier qu’un ou deux ordinateurs vulnérables peuvent compromettre le fonctionnement d’un plus grand nombre d’ordinateurs au sein d’une institution.

A lire également : Les hackers utilisent la messagerie vocale pour pirater des comptes WhatsApp.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Attention aux faux piratages Facebook qui incite les gens à penser que leur compte a été piraté.

Au cours du week-end, vous avez peut-être vu une vague d’amis paniqués dans vos flux de nouvelles Facebook, publiant des avertissements : leurs comptes Facebook ont été piratés; n’acceptez pas les demandes d’amis qui semblent provenir d’eux. Ou peut-être avez-vous reçu un message privé vous avertissant que votre compte avait été aussi piraté.

L’avertissement se répand sous la forme d’un message envoyé par un ami. Le message affirme que l’expéditeur a reçu une demande suspecte de votre part et que la bonne façon de remédier à cette nouvelle inquiétante est de envoyé à vous avec tous vos amis.

Voici le message :

« Bonjour… J’ai en fait reçu une autre demande d’ami de votre part que j’ai ignorée, alors vous voudrez peut-être consulter votre compte. Tenez votre doigt sur le message jusqu’à ce que le bouton Transmettre apparaisse … puis appuyez sur Transférer et toutes les personnes que vous souhaitez renvoyer aussi… Je devais les faire individuellement. VEUILLEZ NE PAS ACCEPTER UNE NOUVELLE DEMANDE D’AJOUT DE MOI À CE MOMENT. »

Devriez-vous être inquiet ? Eh bien, nous avons de bonnes et de mauvaises nouvelles. La bonne nouvelle est la suivante : il y a des chances que vous n’ayez pas été piraté si vous avez reçu ce message, que vous ne soyez pas usurpé sur Facebook et qu’aucune demande frauduleuse d’un ami n’ait été envoyée.

Un porte-parole de Facebook a déclaré dans un communiqué envoyé par courrier électronique que la société avait «entendu dire que certaines personnes voyaient des messages à propos de comptes usurpés sur Facebook», des messages qu’ils assimilaient à une chaîne de lettres ou à un courrier électronique. Bien que l’usurpation de compte soit une réalité, le volume de messages diffusés sur Facebook ne reflète pas une hausse importante du nombre de comptes usurpés sur le service.

Si vous recevez l’un de ces messages, vous pouvez faire plusieurs choses : tout d’abord, vérifiez sur le compte de votre ami et assurez-vous qu’il ne s’agit pas d’une usurpation de son compte réel (si vous recherchez son nom et trouvez deux comptes complètement identiques, un très bon signe que l’on a usurpé son compte). Et si une usurpation de votre ami vous a envoyé un message, signalez ce compte à Facebook, les comptes usurpés violent les normes communautaires de Facebook.

Mais, sur la base d’un échantillon de vos amis et collègues, la plupart des personnes qui envoient et reçoivent ces messages sont vraisemblablement de vraies personnes qui utilisent leur compte réel. Le canular se propage sous le vent des bonnes intentions. Dans ce cas, ignorez simplement le message.

Cependant, ce qui est étrange, c’est que les gens partagent (peut-être distraitement) un message contenant les mots «En fait, j’ai reçu une autre demande d’un ami de votre part», même quand ils n’ont reçu aucune demande frauduleuse de cette sorte.

Les messages alarmants et urgents ont le pouvoir de devenir viraux sur Facebook, qu’ils soient vrais ou non. Les messages sont essentiellement la prochaine génération de lettres en chaîne, censées fournir des informations importantes et des conséquences désastreuses si elles ne sont pas partagées par le destinataire. Plus tôt cette année, un canular prétendant que Facebook était sur le point de limiter votre flux de nouvelles à 26 amis est devenu viral grâce à des utilisateurs bien intentionnés qui ont copié et collé les « nouvelles » perturbantes dans leurs propres flux. Et il y a le canular immortel du droit d’auteur. Vous connaissez celui-ci : le paragraphe de texte à consonance légale que les gens publient dans leurs flux Facebook dans une tentative malavisée d’empêcher Facebook de reprendre le droit d’auteur sur tout ce qu’ils publient.

Ces messages tendent à devenir viraux en exploitant les véritables craintes concernant le pouvoir de Facebook. Le canular du droit d’auteur est, en partie, un souvenir de ce que nous publions sur les médias sociaux et de ce que ces entreprises font avec ces informations. Le canular des 26 amis est intervenu lorsque Facebook a annoncé d’importants changements dans la façon dont il sélectionnait les publications à afficher dans votre fil d’actualité, ce qui a provoqué beaucoup de spéculation et d’inquiétude quant à la façon dont les algorithmes de la société choisissent ce que vous voyez.

De même, le canular « vous avez été piraté » s’est propagé à la suite de vraies nouvelles concernant la sécurité de Facebook : des dizaines de millions de comptes ont été hacké par un piratage massif. Les utilisateurs affectés par ce piratage Facebook ont été forcés de se déconnecter de leurs comptes par mesure de sécurité. Facebook a également placé un message en haut du flux de nouvelles expliquant ce qui est arrivé aux 50 millions d’utilisateurs dont les informations ont été piraté. Ce message était réel.

A lire également : Comment hacker un compte Facebook ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google ferme Google+ après qu’un bug de l’API qui affiché les mots de passe plus de 500 000 utilisateurs.

Google a annoncé la fermeture du réseau social Google+ après que les ingénieurs de la société eurent découvert un bug d’API qui aurait pu révéler des données de profil privées pour plus de 500 000 utilisateurs de Google+.

Le bug se trouvait dans l’API Google+ People.

La société a déclaré que le bug se situait dans l’API Google+ People. Par défaut, les utilisateurs de Google+ peuvent accorder l’accès à leurs données de profil à des applications tierces. Comme avec Facebook et Twitter, les utilisateurs de Google+ peuvent également autoriser une application tierce à accéder aux informations de profil public des amis d’un utilisateur.

Dans un article de blog, Ben Smith, associé Google et vice-président de l’ingénierie chez Google, a déclaré que le bug permettait aux applications tierces d’accéder également aux données des utilisateurs marquées comme privées et pas seulement aux données publiques que les applications auraient normalement été autorisées à utiliser. voir.

Selon la documentation de l’API de profil Google+, les champs de profil peuvent stocker un trésor de détails utilisateur sensibles, tels que nom, adresse e-mail, profession, sexe, âge, surnom, date de naissance, pour n’en nommer que quelques-uns.

Le bug a été corrigé en mars 2018.

Google a déclaré avoir découvert et immédiatement corrigé le bug de l’API en mars 2018.
« Nous pensons que cela s’est produit après le lancement, suite à l’interaction de l’API avec un changement ultérieur de code Google+ », a déclaré Smith. La société a déclaré n’avoir trouvé « aucune preuve qu’un développeur soit au courant de ce bug ou de l’utilisation abusive de l’API, ni aucune preuve de l’utilisation abusive des données du profil ».

Google a indiqué qu’il ne pouvait pas déterminer quels utilisateurs étaient concernés par ce bug, car l’API avait été conçue pour conserver les journaux pendant seulement deux semaines et n’avait pas accès aux données historiques plus longtemps.

« Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant la correction du bug et, à partir de cette analyse, les profils de plus de 500 000 comptes Google+ ont potentiellement été affectés », a déclaré Smith. « Notre analyse a montré que jusqu’à 438 applications ont pu utiliser cette API. »

Le bug a peut-être eu une fuite de données utilisateur depuis 2015.

Un article du Wall Street Journal publié au même moment dans le blog de Google affirmait que le bug de l’API était bien pire et qu’il risquait de laisser filtrer des données d’utilisateurs depuis 2015. date limite. Selon le même rapport, Google aurait couvert l’incident au lieu de le rendre public, craignant « un intérêt réglementaire immédiat ».

Google rejoint désormais Twitter et Facebook pour révéler une violation de la confidentialité au cours des trois dernières semaines. Des poursuites ont été engagées contre Facebook après l’annonce de son infraction de sécurité et des enquêtes sont en cours dans l’UE.

Quant à Google+, le géant de la recherche ne le manquera pas beaucoup car le site n’a jamais été lancé par les utilisateurs finaux. Google a déclaré que 90% de toutes les sessions Google+ ne duraient pas plus de cinq secondes, confirmant ainsi les rumeurs selon lesquelles le site serait davantage une ville fantôme que Twitter et Facebook.

Google+ prendra sa retraite en août 2019

Smith a déclaré que Google+ cesserait ses activités au cours des dix prochains mois, période au cours de laquelle les utilisateurs pourront télécharger ou migrer leurs données, et que le site serait définitivement supprimé en août 2019.

Dans le cadre de son article de blog sur la divulgation des piratages, Google a également annoncé de nouvelles fonctionnalités de confidentialité pour les comptes Google et les données des utilisateurs.

A lire également : 6 façons de pirater un compte GMail facilement.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les hackers utilisent la messagerie vocale pour pirater des comptes WhatsApp.

Une autre attaque de piratage de compte en ligne a émergé, ciblant cette fois WhatsApp.

L’agence Israélienne chargée de la cybersécurité a averti ses citoyens de l’attaque, qui peut souvent être menée sans aucune connaissance ni interaction de leur part. L’attaquant n’a besoin que du numéro de téléphone de la victime.

D’abord documenté par des chercheurs en sécurité l’année dernière, la faille de sécurité frappe maintenant le grand public. La semaine dernière, l’Autorité nationale israélienne de cybersécurité avait émis une alerte pour avertir que les utilisateurs de WhatsApp pourraient perdre le contrôle de leurs comptes.

Le hack met à profit la tendance des utilisateurs à ne pas modifier les informations d’accès par défaut sur les numéros de messagerie vocale des téléphones portables. L’attaquant demande à enregistrer le numéro de téléphone de la victime dans l’application WhatsApp sur son propre téléphone. Par défaut, WhatsApp envoie un code de vérification à six chiffres dans un message texte SMS au numéro de téléphone de la victime, pour vérifier que la personne à l’origine de la demande en est le propriétaire.

Idéalement, la victime verrait le message, l’avertissant que quelque chose se passait. Le pirate l’évite en lançant l’attaque à un moment où la victime ne veut pas répondre à son téléphone, par exemple au milieu de la nuit ou en vol. De nombreux utilisateurs peuvent même avoir leur téléphone réglé sur «Ne pas déranger» pendant cette période.

L’attaquant n’a pas accès au téléphone de la victime et ne peut donc pas voir le code lui permettant de le saisir. WhatsApp propose alors d’appeler le numéro de la victime avec un message téléphonique automatisé lisant le code. Comme la victime n’accepte pas d’appels, le message automatisé est laissé sous forme de messagerie vocale.

L’attaquant exploite ensuite une faille de sécurité sur de nombreux réseaux d’opérateurs, qui fournissent des numéros de téléphone génériques que les utilisateurs peuvent appeler pour accéder à la messagerie vocale. La seule information d’identification requise pour entendre la messagerie vocale est un code PIN à quatre chiffres. De nombreux opérateurs le définissent par défaut à un nom simple, tel que 0000 ou 1234. Ces mots de passe par défaut sont facilement découverts en ligne.

Lorsque l’attaquant utilise le code PIN par défaut pour accéder à la messagerie vocale de la victime, il peut entendre le code, puis l’entrer sur son propre appareil, en transférant le numéro de téléphone de la victime à son propre compte WhatsApp.

Pour sceller l’accord, l’attaquant peut ensuite activer la vérification en deux étapes, qui est une fonctionnalité optionnelle proposée par WhatsApp depuis 2017. Pour ce faire, l’utilisateur doit définir un code confidentiel personnalisé, qu’il doit ensuite ressaisir s’il souhaite revérifier. leur numéro de téléphone. Activer cette fonction empêche la victime de reprendre le contrôle de son propre numéro de téléphone.

Le chercheur en sécurité Martin Vigo a exploré et développé les attaques par messages téléphoniques automatisés lors d’une conférence à DEF CON en août intitulée « Compromettre les comptes en ligne en détruisant les systèmes de messagerie vocale ». Il est allé au-delà des simples codes confidentiels de messagerie vocale par défaut, en utilisant un script Python qui oblige les comptes de messagerie vocale forcés à l’aide de l’API de téléphonie basée sur le cloud Twilio.

Au cours de l’entretien, il a appelé plusieurs services en ligne qui, selon lui, étaient vulnérables à de telles attaques. PayPal, Netflix, Instagram et LinkedIn prennent en charge la réinitialisation du mot de passe par appel téléphonique automatisé, a-t-il déclaré, ajoutant qu’Apple, Google, Microsoft et Yahoo prennent en charge l’utilisation de la messagerie vocale automatisée pour l’authentification à deux facteurs (2FA).

Dans un article de blog décrivant la conversation, il a déploré le fait que nous utilisions encore des technologies vieilles de 30 ans pour sécuriser des systèmes sensibles.

Comment pouvez-vous protéger votre WhatsApp et d’autres comptes des pirates de l’air ?

Si vous devez utiliser un service qui repose sur des messages vocaux automatisés, définissez un code PIN fort pour votre boîte de réception de messagerie vocale.

Enfin, activez la vérification en deux étapes sur votre compte WhatsApp en ouvrant WhatsApp et en sélectionnant Paramètres> Compte> Vérification en deux étapes>

A lire également :Comment pirater un compte WhatsApp ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un iPhone peut-il être piraté ?

En tant qu’utilisateur d’iPhone, vous vous sentez en sécurité, mais un iPhone peut-il être piraté ?

L’iPhone est réputé pour sa sécurité et pour éloigner les pirates de vos informations personnelles. Mais, comme tout ce qui fonctionne avec un logiciel, il est toujours vulnérable aux attaques.

En d’autres termes, oui, votre iPhone peut être piraté.

Dans cet article, nous allons vous aider à apprendre à être des utilisateurs d’iPhone responsables et à éviter les piratages. Nous vous expliquerons également comment procéder si vous pensez que votre iPhone a été piraté.

Comment pirater un iPhone ?

Apple crypte automatiquement votre iPhone. Même eux doivent avoir la clé (alias votre mot de passe) pour accéder à vos informations.

Et ces applications que vous aimez télécharger ? Chacun d’entre eux passe par un processus de sélection. Les chances qu’une application de l’App Store soit réellement une façade pour les pirates informatiques sont plutôt minces, bien que nous sachions que cela peut arrivé. Alors, comment votre iPhone peut-il être piraté ?

Votre iPhone peut être piraté si vous le jailbreakez, si vous ouvrez des messages provenant de personnes que vous ne connaissez pas, branchez votre iPhone sur des bornes de recharge avec un logiciel malveillant, etc. La bonne nouvelle est qu’en général, il est presque certainement possible de l’éviter en suivant les étapes décrites dans cet article.

Ne jailbreakez pas votre iPhone !

Jailbreaker un iPhone signifie que vous avez utilisé un programme ou un logiciel pour contourner le logiciel et les paramètres par défaut du téléphone.

Mais cela contourne également de nombreuses règles de sécurité qui vous protègent, ainsi que vos informations. Un iPhone jailbreaké peut télécharger des applications depuis des magasins d’applications autres que Apple. Vous pensez peut-être économiser quelques euros, mais ce que la chose que vous faites vraiment, c’est que vous vous exposez à de nombreux risques potentiels.

La vérité est qu’il n’y a que très peu de raisons pour qu’un utilisateur moyen d’iPhone envisage de jailbreaker son téléphone. Ne le fais pas.

Supprimer les messages de personnes que vous ne connaissez pas.

Certaines des attaques de piratage les plus courantes proviennent de programmes appelés logiciels malveillants. Les logiciels malveillants sont un type de logiciel que les pirates peuvent utiliser pour voir ce que vous faites sur votre iPhone ou même le contrôler.
En raison des règles de sécurité d’Apple, les logiciels malveillants ne proviendront pas de l’App Store. Mais cela peut venir du fait de cliquer sur des liens dans votre courrier électronique ou vos messages, ou même simplement de les ouvrir.

Il suffit de n’ouvrir que les messages et les courriels de personnes que vous connaissez. Si vous ne connaissez pas la personne ou si l’aperçu du message affiche un caractère étrange ou une icône en forme de bloc, ne l’ouvrez pas. Supprimez-le simplement.

Si vous avez ouvert un tel message, ne cliquez sur rien. Un message peut vous amener sur un site Web et tenter de télécharger des logiciels malveillants ou de les installer automatiquement dès que vous essayez de regarder ce que vous avez été envoyé, alors faites attention!

Soyez prudent avec les réseaux WiFi publics.

Vous pensez peut-être que c’est pratique quand un café, un restaurant, une bibliothèque ou un hôtel offre une connexion WiFi gratuite.

Choisissez des réseaux WiFi sécurisés, mais les réseaux WiFi publics peuvent être exploités par des pirates. Ne vous connectez pas à votre banque ou à d’autres sites sensibles lorsque vous êtes en W-Fi public.

Pratiquer la navigation sécurisée.

Les sites Web sont un autre endroit possible où vous pouvez accidentellement choisir un logiciel qui permet aux pirates d’accéder à votre iPhone. Si vous le pouvez, ne visitez que des sites Web connus.

Evitez de cliquer sur tout ce qui apparaît.

Oui, les annonces pop-up sont une partie malheureuse de la vie. Mais ils peuvent aussi être les sources de malware. Si une fenêtre contextuelle s’empare de votre écran, cherchez un moyen sûr de fermer la fenêtre sans cliquer sur «ok» ou «continuer» ou quelque chose du genre.

Évitez les chargeurs publics.

En 2012, des chercheurs de Georgia Tech ont créé un logiciel utilisant un port de charge public pour télécharger un logiciel de piratage sur un iPhone. Le piratage a été fait au nom de la connaissance et l’équipe a communiqué ses découvertes à Apple afin de renforcer la sécurité de l’iPhone, mais le risque était toujours réel.

C’est formidable qu’il y ait plus de ports de charge publics et de cordons disponibles, des aéroports aux festivals de musique. Si vous souhaitez charger et rester en sécurité, apportez votre propre source d’alimentation portable pour rester chargé. Ou, si vous devez utiliser la source publique, laissez votre iPhone verrouillé tant qu’il est branché.

L’iPhone étant verrouillé, les chercheurs géorgiens n’ont pas pu accéder au téléphone pour installer des logiciels malveillants.

A lire également : Comment piirater un iPhone en 7 étapes ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage