Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

« 123456 »: Aujourd’hui, c’est « Change Your Password Day »

Aujourd’hui, le 1er février, vous devriez penser à vos mots de passe.

Parce que trop de mots de passe sont incertains, trop faciles à pirater et donc faciles à déchiffrer. Un changement de mot de passe régulier peut aider. Ou peut-être pas ?

Chaque année, les sociétés de sécurité informatique et les développeurs de mots de passe identifient les mots de passe les plus utilisés au monde. Ici, « mot de passe » et « 123456 » sont les plus utilisés, les meilleurs sont « 1234567890 », « qwerty », dans le top 25 on trouve « Star Wars » et « admin » et bien sûr « batman », « mot de passe » et « azerty ». Il n’y a même pas besoin d’une attaque en brute force pour les pirater. Selon l’Institut Hasso Plattner de l’Université de Potsdam, un internaute sur cinq utilise le même mot de passe pour plusieurs services. Par conséquent, aujourd’hui, même si cela semble stupide, leurs comptes sont piratable a été déclaré « Change Your Password Day ». Ce qu’il faut c’est de rendre les gens conscients du fait que les mots de passe ne sont pas seulement un labeur laborieux, mais un dispositif de sécurité sérieux au moins jusqu’à ce que des alternatives se révèle être fiable etadapté à un usage quotidien en toute sécurité.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Mots de passe : 4 possibilités biométriques et comment ils peuvent être hackés.

Les méthodes de sécurité d’authentification s’améliorent tout le temps, mais elles ne sont toujours pas infaillibles.

Les mots de passe présentent de nombreux problèmes de sécurité. Les utilisateurs choisissent toujours des mots de passe courts et évidents ou utilisent les mêmes mots de passe sur tous leurs comptes. Pendant ce temps, les organisations auxquelles nous faisons confiance pour protéger nos données subissent souvent des piratages et finissent par perdre des millions d’informations d’identification de leurs clients. Tout cela entraîne une norme d’authentification à laquelle nous ne pouvons pas faire confiance.

Mais ne vous inquiétez pas encore ! Les mots de passe ne sont pas le seul facteur possible d’authentification. Vous pouvez utiliser de nombreux autres facteurs pour vous identifier, notamment les certificats numériques, les authentifications matériels et la biométrie. À l’heure actuelle, la biométrie est en vogue, principalement parce qu’elle est plus pratique. Plutôt que de devoir mémoriser une centaine de mots de passe différents, n’est-ce pas génial de simplement appuyer votre doigt sur un capteur ou de regarder votre ordinateur ou votre téléphone pour vous connecter ? Comme vous l’avez probablement remarqué, cela semble être le futur de l’authentification, avec de nouveaux exemples comme Hello de Microsoft et FaceID d’Apple.

Mais la biométrie résout-elle vraiment tous nos problèmes de sécurité d’authentification ?

Je dirais non. Bien que la biométrie soit assez précise, elle n’est pas infaillible. Au fil des ans, les pirates informatiques et les chercheurs ont souvent battu des solutions biométriques. Regardons les quatre meilleurs hacks biométriques du passé.

1. Gummy Bears Beat Up Lecteurs d’empreintes digitales.

Quand on pense à la biométrie, on pense probablement aux empreintes digitales. Les lecteurs d’empreintes digitales ont été l’une des premières formes de biométrie utilisées en informatique et elles sont très répandues aujourd’hui. Cependant, ils ont également été l’une des premières biométriques que les chercheurs ont trouvé comment les détourner à bas prix.

En 2002, un chercheur nommé Tsutomu Matsumoto a partagé comment pirater les lecteurs d’empreintes digitales avec de vieux oursons gommeux. Matsumoto a tiré des empreintes d’un verre en utilisant les mêmes techniques que les forces de l’ordre et ensuite utilisé les empreintes pour faire un doigt sur les matériaux gommeux. Avec un peu de travail, beaucoup de ces créations astucieuses ont trompé les capteurs d’empreintes digitales.

Bien sûr, au fil du temps, la biométrie est devenue plus avancée. Les capteurs modernes lisent à des résolutions plus élevées ou recherchent de nouveaux facteurs tels que la chaleur ou les pulsations cardiaques. Cependant, les techniques utilisées par les chercheurs pour les vaincre ont également évolué. En 2013, le Chaos Computer Club a battu le lecteur TouchID de l’iPhone peu après sa sortie. Encore plus récemment, les chercheurs ont piraté les lecteurs d’empreintes digitales avec du papier et de la colle.

Nous ne pouvons pas encore totalement leur faire confiance.

2. Faking Out Iris Scanners.

Nous avons tous vu des scanners d’iris sophistiqués dans les films, mais ces biométriques basées sur les yeux n’existent pas seulement dans la fiction.

Malheureusement, ils ne sont pas plus infaillibles que les lecteurs d’empreintes digitales. En 2012, les chercheurs ont partagé le fait sur comment ils pourraient contourner les lecteurs d’iris avec des images répliques d’iris. L’aspect le plus intéressant de cette recherche était de savoir comment ils répliquaient les faux iris à partir des données d’iris stockées dans la base de données du système biométrique. De la même manière que les fuites de la base de données de mot de passe entraînent des mots de passe piratés, une violation de la base de données iris pourrait entraîner des scanners oculaires trompés.

3. Paper Faces Fool Scanners visage.

La dernière tendance en matière de biométrie est la numérisation faciale. Avec des fonctionnalités telles que Hello de Microsoft, vous pouvez déverrouiller votre ordinateur ou votre téléphone en le regardant. Cela ressemble à un rêve d’utilisabilité, mais c’est encore trivial à battre.

Retour en 2011, un blogueur et chercheur a rapidement appris que vous pourriez facilement tromper les scanners faciaux Android avec une image fixe. Vous prenez une photo fixe de vous-même, montrez-la au téléphone, et voilà, vous êtes. Au crédit des fournisseurs, ils ont mis à jour leur technologie de scanner facial pour effectuer des vérifications de « vivacité », recherchant une sorte de mouvement le visage en regardant la caméra était une vraie personne. Malheureusement, un clin d’oeil Photoshopped pourrait contourner cette nouvelle vérification. Juste en éditant vos yeux fermés et en basculant entre deux photos fixes, vous pourriez passer ces contrôles de vivacité. Les bonnes nouvelles sont que la reconnaissance faciale est toujours en évolution.

4. Imprimantes 3D Crack 3-D Scanners faciaux.

En 2017, Apple a publié une nouvelle fonctionnalité de numérisation faciale appelée FaceID. En surface, l’expérience de l’utilisateur est comme n’importe quel autre lecteur facial. Cependant, sous le verre du téléphone est la technologie qui devrait rendre la reconnaissance faciale beaucoup plus précise et difficile à battre. Essentiellement, le téléphone comprend un capteur (TrueDepth) qui envoie des milliers de faisceaux de lumière infrarouge, qui cartographie votre visage avec précision. Cela permet au téléphone de stocker une sorte de représentation numérique 3D de votre visage, qu’il peut reconnaître sous plusieurs angles. Apple renforce cette fonctionnalité avec l’apprentissage automatique, qui peut vous reconnaître même lorsque vous portez des chapeaux, des lunettes ou d’autres accessoires qui pourraient confondre les scanners faciaux classiques.

Tout cela devrait rendre la biométrie faciale à toute épreuve et la rendre plus forte. Cependant, environ une semaine après la sortie de FaceID par Apple, un groupe de sécurité vietnamien a prétendu l’avoir piraté. Le hack nécessitait une imprimante 3D, des images infrarouges 2-D des yeux, de la poudre de pierre et beaucoup d’artisanat pour créer un masque qui pourrait tromper FaceID. Pour être juste, aucun autre groupe de recherche (à ma connaissance) n’a vérifié cette attaque de façon indépendante.

Je soupçonne que nous pourrions voir des mises à jour qui rendent plus difficile à tromper, mais jusqu’à présent, la numérisation faciale en 2D et en 3D ne sont pas parfaites.

Il peut sembler que je peins une image sombre pour l’avenir de la biométrie, mais ce n’est pas vrai. Les fournisseurs biométriques apprennent de ces erreurs et ajoutent de nouvelles fonctionnalités qui rendent leurs systèmes plus robustes. Pendant ce temps, de nouvelles options biométriques continuent d’émerger, telles que le rythme cardiaque, la cadence de frappe, et même les ondes cérébrales.

L’histoire nous a montré que les attaquants motivés peuvent trouver un moyen de copier, de voler ou de contourner les facteurs dont ils ont besoin. Si nous dépendons uniquement de la biométrie, nous subirons probablement les mêmes types de problèmes que les mots de passe rencontrés. Seulement maintenant, lorsqu’un pirate réplique votre empreinte digitale ou votre visage, vous ne pouvez plus l’utiliser pour l’authentification.

La biométrie jouera un rôle important dans l’avenir de l’authentification. Cependant, aucune possibilité d’authentification n’est infaillible. Plutôt que de dépendre entièrement d’une nouvelle forme de biométrie avancée, la solution la plus sûre consiste à implémenter l’authentification multifactorielle en utilisant plus d’un facteur pour tout ce que vous voulez sécuriser.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les hackers disposent d’une variété d’outils à leur disposition pour pirater les mots de passe de votre entreprise et pirater vos données.

Suivez ces étapes pour les contrecarrer.

L’utilisation de mots de passe traditionnels est une dangereux pour les entreprises de nos jours. Une approche beaucoup plus raisonnable consiste à protéger les données propriétaires par des moyens tels que l’authentification multifactorielle, les services d’authentification unique ou la biométrie. Selon les conclusions récentes des chercheurs en sécurité, la majorité des piratages de données survenues en 2017 tournaient autour des informations d’identification hackées ou faiblement accessibles.

Disséquons les méthodes de craquage de mot de passe les plus courantes que les auteurs en ligne utilisent pour pirater les entreprises et les particuliers.

Fichiers de mots de passe hashés compromettants.

Lorsque les cybercriminels obtiennent les mots de passe d’une organisation, c’est probablement parce qu’ils ont pu pirater le fichier de mots de passe. Il existe des entreprises qui conservent les listes de mots de passe sous forme de texte en clair. Une tactique plus sécurisée consiste à stocker les fichiers de mots de passe sous forme hachée. Cependant, aucune technique assez fiable ne suffit de nos jours.

En un mot, le hachage de mot de passe indique un mécanisme de transformation unidirectionnelle d’un mot de passe qui ne peut pas être inversé pour obtenir la chaîne d’origine. Lorsqu’un employé tente de se connecter avec son mot de passe normal, le module d’authentification le transforme automatiquement en formulaire haché et compare la chaîne à la valeur stockée dans la base de données. Si ces valeurs correspondent, la connexion est réussie.

Les acteurs de la menace qui accèdent à un fichier de mot de passe haché peuvent s’appuyer sur des «tables arc-en-ciel» pour inverser les fonctions de hachage. Étant donné que ce type d’activité nécessite une puissance de calcul importante, les pirates peuvent utiliser un matériel de craquage de mots de passe spécialement conçu, utiliser un botnet ou louer de l’espace auprès de fournisseurs de cloud.

En outre, il existe des services sur le dark web qui permettent aux auteurs d’externaliser la tâche de traitement des données. Dans ce cas, ils peuvent louer le service pour une durée déterminée et même obtenir un support technique.

En fin de compte, n’importe quel mot de passe peut être craqué tant que les attaquants ont le temps et les ressources suffisantes sur leurs mains. Ainsi, votre compte GMail peut être facilement piraté. La seule question est de savoir combien de temps cela prend. C’est habituellement une question de jours ou même d’heures, pas d’années comme avant.

Cela s’applique à pratiquement n’importe quel mot de passe créé par un humain. Les mots de passe générés par ordinateur ont tendance à être plus difficiles à déchiffrer de cette manière, mais ils sont encore moins sûrs à utiliser que l’authentification multifactorielle.

Un élément particulièrement déconcertant dans un scénario de hachage de mot de passe volé est que toute la routine de traitement et de craquage est exécutée sur la machine du malfaiteur. L’attaquant n’a pas besoin d’interagir avec l’infrastructure de la société cible en cours de route; par conséquent, aucun drapeau rouge ne sera levé. Des milliers de mots de passe peuvent être craqués en quelques heures tant que l’ordinateur de l’escroc a assez de puissance de traitement.

Attaques à grande échelle utilisant des botnets.

Les cybercriminels peuvent utiliser des botnets pour compromettre de gros services en ligne. Cette technique leur permet d’essayer de nombreuses combinaisons différentes de noms d’utilisateur et de mots de passe communs ou ceux obtenus à partir de vidages d’informations d’identification qui se produisent régulièrement. Ces listes peuvent être achetées sur le web sombre à moindre coût. Ils proviennent généralement de violations de base de données, telles que le piratage de messagerie Yahoo qui a compromis des milliards de comptes.

Imaginons un scénario où un acteur de la menace souhaite accéder à des comptes de messagerie. Les tentatives de connexion au même compte plusieurs fois génèrent des alertes. Pour contourner ces mesures de sécurité, l’attaquant commence par une liste d’adresses électroniques divulguées et une liste des mots de passe les plus fréquemment utilisés. Ensuite, ils essaient d’entrer dans chacun de ces comptes de messagerie avec l’un des mots de passe les plus courants, générant un seul échec par compte. Quelques jours plus tard, ils essaient un autre mot de passe commun pour chaque adresse e-mail. En utilisant un botnet à cet effet, les escrocs font croire que les tentatives de connexion proviennent de différentes sources.

Une bonne réponse à ce vecteur d’attaque est l’authentification à deux facteurs, où vous recevez un code secret que vous devez saisir chaque fois que vous tentez de vous connecter. Des technologies sophistiquées telles que la reconnaissance faciale et la biométrie comportementale sont également concernées. L’utilisation de services d’authentification tiers tels que Google ou Facebook est une autre bonne pratique qui minimise également le nombre de mots de passe dont vous devez vous souvenir.

Est-ce que les pirates ont déjà votre mot de passe ?

Lorsque les cybercriminels ciblent une personne, leur point de départ consiste à vérifier si les informations de connexion de cette personne ont déjà été volées à d’autres services. Si c’est le cas, il est probable que le même mot de passe soit utilisé pour le compte ciblé.

La plupart des utilisateurs ont des dizaines, voire des centaines de comptes en ligne différents. Il est trop difficile de se souvenir des mots de passe pour tous ces comptes; par conséquent, les gens ont tendance à utiliser seulement quelques mots de passe, avec quelques variations mineures.

Certaines personnes pensent qu’elles sont complètement sécurisées si elles ont un mot de passe très complexe et l’utilisent pour tous leurs comptes. C’est une illusion. Dans le cas où les pirates obtiennent ce mot de passe, toutes vos informations sont à risque. Peu importe la force du mot de passe si vous le réutilisez. En passant, il existe des ressources en ligne qui vous permettent de savoir si l’un de vos comptes protégés par mot de passe a été violé dans le passé.

Les incidents dans lesquels les pirates informatiques utilisent des logiciels malveillants et volent le mot de passe de leur compte de messagerie électronique sont particulièrement préjudiciables. De cette façon, les chapeaux noirs peuvent se connecter et réinitialiser les mots de passe pour les autres services que la victime utilise. En outre, si un site Web ou un service d’entreprise interne n’a aucune limitation en ce qui concerne les tentatives de connexion, il peut forcer le mot de passe par une attaque de dictionnaire ou par des solutions de cracking comme Hashcat, Mimikatz ou John the Ripper. Lorsqu’ils se lancent à la poursuite d’une cible de grande envergure, les escrocs peuvent effectuer des opérations OSINT (intelligence open source) afin de déterminer les réponses probables aux questions de sécurité accompagnant la récupération du mot de passe.

Les mots de passe créés par les humains, quelle que soit leur complexité, s’avèrent être des fruits à portée de main pour les pirates informatiques. Les technologies pour les fissurer ont considérablement évolué au fil du temps, alors que les gens restent assez prévisibles pour générer des mots de passe piratables. C’est un paradigme où les attaquants gagnent et les utilisateurs perdent.

Votre mot de passe est-il assez fort ?

Malheureusement, la plupart des services en ligne suivent des pratiques de renforcement des mots de passe qui sont dépassées. Leurs exigences se résument habituellement à huit caractères ou plus et à une combinaison obligatoire de symboles, de chiffres, de majuscules et de minuscules. Cela peut prendre quelques minutes ou même quelques secondes à un ordinateur pour créer un mot de passe répondant à ces critères.

Tout cela représente un sérieux défi pour les utilisateurs finaux et les fournisseurs de services. Il est trop difficile pour une personne moyenne de créer des dizaines de mots de passe uniques et longs pour les sites Web qu’elle utilise, de les changer régulièrement et de les mémoriser tous.

Il est recommandé d’utiliser les mots de passe les plus longs possibles pour les services en ligne et de tirer parti d’une solution de gestion des mots de passe réputée pour les stocker. En outre, vous devez sauvegarder le coffre-fort avec une phrase secrète principale d’environ 30 caractères. Assurez-vous que ce n’est pas une citation d’un roman ou tout ce qui peut être trouvé sur Internet. Il est important de noter que tous vos mots de passe doivent être générés de manière aléatoire et n’avoir que peu de sens ou aucun sens. Si vous pouvez vous en souvenir et le dire à quelqu’un, ce n’est pas un bon mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

35 000 smartphones au Vietnam infectés par le virus de piratage de mots de passe sur Facebook.

Plus de 35 000 smartphones au Vietnam ont récemment été infectés par le virus GhostTeam qui est conçu pour pirater les mots de passe des comptes Facebook.

Le virus GhostTeam a été diffusé via des applications Vietnamiennes populaires sur Google Play, selon la première société de sécurité informatique du Vietnam, BKAV.

Les pirates mettent des applications populaires « propres » telles que le calendrier, la lampe de poche et la boussole sur Google Play. Lorsque les utilisateurs installent les applications, ils affichent des alertes de sécurité, telles que le ralentissement du téléphone et l’infection virale, qui appellent les utilisateurs à suivre les instructions affichées.

Si les utilisateurs font comme suggéré, le virus de GhostTeam sera installé sur leurs téléphones et piratera les mots de passe de leurs comptes de Facebook.

Google Play a supprimé les applications de sorte que le nombre de smartphones infectés par le virus GhostTeam est en baisse, a déclaré BKAV.

À la fin de l’année 2017, le Vietnam comptait 127,4 millions d’abonnés aux services de téléphonie fixe et mobile, en baisse de 2,1% par rapport à fin 2016, a indiqué l’autorité Vietnamienne des télécommunications.

Plus précisément, le nombre d’abonnés à la téléphonie mobile a diminué de 1,3% à 119,7 millions, principalement parce que le ministère de l’Information et des Communications a renforcé la gestion des abonnements de téléphonie mobile prépayés.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Une mauvaise protection par mot de passe laisse les joueurs en ligne exposés aux attaques de piratage, selon l’enquête de Kaspersky.

Le jeu en ligne est rapidement devenu une industrie extrêmement lucrative, avec plus de personnes possédant des comptes de jeux. Selon une étude de Kaspersky Lab, plus de la moitié (53 %) des personnes jouent régulièrement en ligne, chiffre qui atteint 64 % pour les 25-34 ans et 67 % pour les 16-24 ans. Il est également potentiellement lucratif pour les cybercriminels, car les comptes de jeu piratés peuvent être vendus sur le marché noir.

Malgré les menaces, les joueurs laissent souvent leurs comptes en ligne vulnérables aux tentatives de piratage, mettant en péril leurs précieux progrès, leurs données personnelles et potentiellement leur revenu.

L’audience mondiale des jeux qui a été menée par des plateformes en ligne telles que Steam, PlayStation Network et Xbox Live est maintenant estimée entre 2,2 milliards et 2,6 milliards et continue de croître. Cela fait du secteur une cible claire pour les cybercriminels qui cherchent à perturber les opérations en ligne et à accéder à des données telles que les mots de passe et les informations bancaires, clairement démontrées par les attaques récentes sur les plateformes Xbox et PlayStation.

Avec plus de la moitié des internautes jouant régulièrement en ligne, les cybercriminels disposent d’un énorme réservoir de cibles potentielles. En outre, le jeu est devenu une partie importante de la vie de beaucoup de gens, avec des utilisateurs se tournant vers des jeux quand ils s’ennuient ou se sentent seuls et pour socialiser avec des amis. Les attaques réussies peuvent donc être préjudiciables aux joueurs, car non seulement des données sont volées, mais ils perdent l’accès à leurs jeux.

Parmi les personnes ayant connu une attaque réussie ou tentée sur l’un de leurs comptes en ligne, 16 % ont identifié leurs comptes de jeu comme étant une cible, un chiffre qui atteint 21 % pour les hommes. Comme 55 % des gens ne peuvent pas restaurer rapidement les détails de leur compte de jeu en cas de perte, la détresse qui accompagne de telles attaques est considérablement amplifiée.

Plutôt que d’être une activité réservée à la maison, le jeu est devenu une partie intégrante de la vie quotidienne de nombreuses personnes, comme en témoigne le fait que presque une personne sur trois (27 %) utilise régulièrement un smartphone pour jouer en ligne. Bien que les périphériques ne soient pas intrinsèquement sécurisés, près d’un quart (23 %) des personnes utilisent le WiFi public pour se connecter aux comptes de jeux et 56 % déclarent ne prendre aucune précaution de sécurité supplémentaire lors de l’utilisation des réseaux publics. des risques. Ce danger est encore renforcé par le fait que seulement 5 % des personnes ont choisi leur compte de jeu comme étant l’un des trois qui nécessitent les mots de passe les plus forts.

En outre, étant donné que de nombreux profils en ligne sont aujourd’hui connectés, les victimes peuvent facilement perdre l’accès à plusieurs comptes, tels que les comptes de messagerie électronique et les comptes de médias sociaux, qui sont importants pour eux de différentes manières. Alors que cela peut être émotionnellement dommageable pour les utilisateurs tranquilles, les joueurs professionnels peuvent être encore plus gravement touchés, perdant potentiellement un revenu précieux.

« Avec un trésor d’informations personnelles maintenant disponibles en ligne, les cybercriminels ont plus que jamais l’occasion de mettre la main sur les données privées des utilisateurs, qu’ils peuvent ensuite vendre sur le marché numérique noir », a déclaré Andrei Mochola, responsable des affaires grand public chez Kaspersky Lab.

« Les joueurs en ligne amateurs et professionnels sont naturellement préoccupés par le fait que leurs comptes soient piratés ou verrouillés en oubliant leurs mots de passe, un dilemme auquel les utilisateurs doivent faire face tous les jours, beaucoup choisissant l’option la moins sécurisée. Même si, en prenant les précautions appropriées et en utilisant des mots de passe forts et uniques, les utilisateurs sont assurés que leurs précieux comptes sont protégés et que tous leurs efforts n’ont pas été menés à bien. »

Des produits comme Kaspersky Password Manager peuvent aider les joueurs à sécuriser leurs comptes en ligne.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage