Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Les nouveaux Mac étaient vulnérables au piratage lors de leur première connexion WiFi, révèlent des chercheurs en sécurité.

Lors de la conférence sur la sécurité de Blackhat à Las Vegas cette semaine, les chercheurs en sécurité ont découvert un bug de sécurité MacOS qui affectait les nouveaux appareils. Quand ils se connectent à un réseau WiFi pour la première fois, il est possible, même si ce n’est pas facile, d’installer un logiciel malveillant sur le système.

Lors de sa découverte, les chercheurs, Jesse Endahl, le responsable de la sécurité de la société de gestion Mac Fleetsmith et Max Bélanger, ingénieur de Dropbox, ont informé Apple de leurs découvertes. Ils ont retardé la divulgation de la vulnérabilité jusqu’à ce qu’elle ait été corrigée, ce qu’Apple a fait en juillet avec macOS 10.13.6. Les machines qui exécutent d’anciennes versions de macOS sont toujours vulnérables, mais comme ce bug n’affecte que les nouveaux périphériques, les risques d’exploitation de cette vulnérabilité devraient être minces.

Selon WIRED, cela fonctionne comme ceci : « Quand un Mac s’allume et se connecte au WiFi pour la première fois, il se connecte essentiellement avec les serveurs d’Apple pour dire : « Je suis un MacBook avec ce numéro de série. Est-ce que j’appartiens à quelqu’un ? Que dois-je faire ?’ Le système vérifie ensuite si le numéro de série est déjà inscrit dans le système d’entreprise d’Apple. Les chercheurs ont trouvé un problème lors d’une étape de ce processus, lorsque la machine est dirigée vers le Mac App Store pour télécharger des logiciels d’entreprise. Si un pirate peut s’insérer à ce stade du processus d’installation, il peut demander à la machine de télécharger des logiciels malveillants plutôt que des logiciels d’entreprise légitimes.

Le malware peut être n’importe quoi : un enregistreur de touches ou un écran de saisie, ou un logiciel qui s’infiltre dans le reste du réseau de l’entreprise. Les chercheurs pensent que ce n’est pas le genre de chose que les hackers moyens seraient intéressés à entreprendre, mais que vous pourriez voir avec une attaque parrainée par l’État. (Et compte tenu des révélations complexes sur la mesure dans laquelle la Russie semble avoir pénétré les systèmes électoraux américains, cela semble être une préoccupation légitime.)

Historiquement, les machines Windows étaient plus connues pour les problèmes de sécurité des logiciels malveillants que les périphériques Mac, mais avec la popularité croissante des Mac, en particulier sur le lieu de travail, ce n’est pas toujours le cas. L’année dernière, des recherches sur la sécurité ont révélé un grave problème de sécurité de MacOS qui permettait aux pirates de voler les mots de passe d’un utilisateur stockés dans leur trousseau, par exemple. Et le malware russe qui était utilisé pour pirater la DNC affectait également les ordinateurs Apple.

Comme toujours, les découvertes sur les vulnérabilités de sécurité comme celles-ci soulignent l’importance de maintenir les machines à jour avec les mises à jour du système.

A lire aussi : Sécuriser son WiFi pour protéger son ordinateur

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Apprenez à pirater le mot de passe WiFi des routeurs modernes.

Le piratage des mots de passe WiFi est devenu populaire car les gens sont toujours à la recherche de l’Internet gratuit. Mais en raison des progrès de la technologie, la saisie des mots de passe est devenue une tâche difficile. La raison en est la mise en œuvre des protocoles WPA / WPA2 (accès protégé par WiFi). Ils ont rendu les routeurs modernes plus sûrs et moins facile à pirater.

Heureusement, les chercheurs en sécurité ont révélé une nouvelle façon de pirater ces routeurs WiFi modernes. Ce nouveau piratage a été découvert accidentellement par Jens Steube (développeur principal de Hashcat, un outil de craquage de mots de passe), alors qu’il analysait le nouveau protocole WPA3. Selon lui, ce piratage fonctionnera explicitement contre les protocoles de réseau sans fil WPA / WPA2 avec les fonctionnalités d’itinérance basées sur PMKID (Pairwise Master Key Identifier) activées. Ce hack permettra sûrement aux attaquants (aka.Hackers) de récupérer les mots de passe de connexion de la clé pré-partagée (PSK).

Comment pirater le mot de passe WiFi avec PMKID ?

Le PMKID basé sur la poignée de main à 4 voies est synonyme de protocole de gestion de clés par paires. Selon Steube (chercheur en sécurité), les méthodes d’attaque par wifi précédentes exigent que quelqu’un se connecte au réseau pour que les pirates puissent capturer EAPOL (protocole EAP (Extensible Authentication Protocol)), un protocole d’authentification réseau utilisé dans IEEE 802.1X. alors que le nouveau hack n’exige pas qu’un utilisateur se trouve sur un réseau cible pour capturer les informations d’identification. Voici les étapes pour effectuer ce piratage WiFi :

Étape 1 : Un pirate peut utiliser un outil tel que hcxpcaptool pour demander le PMKID au point d’accès ciblé et transférer la trame reçue dans un fichier.

$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 -enable_status

Étape 2 : À l’aide de hcxpcaptool, la sortie (au format pcapng) de l’image peut être convertie en un format de hachage accepté par Hashcat comme ceci.

$ ./hcxpcaptool -z test.16800 test.pcapng

Étape 3 : Maintenant, vous pouvez utiliser cet outil de craquage de mot de passe pour obtenir le mot de passe WPA PSK (clé pré-partagée) et Boom vous l’avez fait !

$ ./hashcat -m 16800 test.16800 -a 3 -w 3 ‘? l? l? l? l? l? lt!’

C’est le mot de passe de votre réseau sans fil ciblé qui peut prendre du temps à se fissurer en fonction de sa complexité ou de sa longueur.

Maintenant, nous ne sommes pas sûrs de quels fournisseurs cette technique fonctionnera. Mais Steube a déclaré qu’il fonctionnerait contre tous les réseaux 802.11i / p / q / r avec des fonctions d’itinérance activées (la plupart des routeurs modernes). Il est donc fortement conseillé aux utilisateurs de protéger leurs réseaux WiFi avec un mot de passe sécurisé, par exemple en utilisant des chiffres, des caractères et certains caractères spéciaux, car ils sont difficiles à déchiffrer. Enfin, nous voulons admettre que ce piratage ne fonctionnera pas contre le WPA3 de prochaine génération simplement en raison du nouveau protocole plus difficile à casser.

Ou utilisez PASS WIFI qui vous retrouvera les mots de passe WiFi :

A télécharger ici https://www.passwordrevelator.net/fr/passwifi.php

A lire aussi : La protection WiFi WPA3 est là et il est plus difficile de la pirater.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les pirates peuvent saisir pratiquement tous vos comptes en ligne et c’est la faute de votre messagerie vocale.

Qui aurait pensé que finalement, ce serait une simple boîte vocale qui serait la porte d’entrée du pirate ?

Vos comptes Google, Microsoft, Apple, WhatsApp et même Signal ont tous un talon d’Achille, le même, en fait. Et il se trouve que si vous ne faites pas attention, un pirate informatique pourrait utiliser cette faiblesse pour reprendre votre identité en ligne.

Martin Vigo un chercheur en sécurité s’adressant à un groupe enthousiaste de pirates informatiques et de chercheurs en sécurité lors de la convention annuelle DEF CON à Las Vegas. Vigo a expliqué comment il a réussi à réinitialiser les mots de passe d’un large éventail de comptes en ligne à partir d’une messagerie vocale.

Vous voyez, a-t-il expliqué à la foule, lorsque vous demandez une réinitialisation du mot de passe sur des services tels que WhatsApp, vous avez la possibilité de demander à recevoir un appel avec le code de réinitialisation. Si vous manquez l’appel téléphonique, le service automatisé laissera un message avec le code.

Mais qu’en est-il si vous n’essayiez pas de réinitialiser votre mot de passe, mais qu’il s’agit en fait d’un pirate ? Et si ce pirate avait également accès à votre messagerie vocale ?

Voici l’exemple : Vigo a écrit un script automatisé qui peut pratiquement pirater la plupart des mots de passe de la messagerie vocale sans que le propriétaire du téléphone ne le sache jamais. Avec cet accès, vous pouvez obtenir le code de réinitialisation du mot de passe d’un compte en ligne et par conséquent, le contrôle du compte lui-même.

Et non, votre authentification à deux facteurs n’empêchera pas un pirate de réinitialiser votre mot de passe.

L’une des diapositives de Vigo présente la structure de base de l’attaque :

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée.

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d’appels, OSINT, HLR)

3. Lancez le processus de réinitialisation du mot de passe en utilisant la fonction « Appelez-moi »

4. Écoutez le message enregistré contenant le code secret

5. Bingo!

Une démo enregistrée qu’il a jouée sur scène a montré une variation de cette attaque sur un compte PayPal.

« Dans trois, deux, un, boum, le voilà », a déclaré Vigo aux applaudissements du public. « Nous venons de pirater PayPal. »

Vigo a pris soin de noter qu’il avait divulgué de manière responsable les vulnérabilités aux entreprises concernées, mais qu’il avait reçu une réponse moins que satisfaisante de la part de nombreuses personnes. Il prévoit de publier une version modifiée de son code à Github lundi.

Notamment, il nous assure qu’il a modifié le code pour que les chercheurs puissent vérifier que cela fonctionne, mais aussi pour que les scripteurs ne puissent pas commencer à réinitialiser les mots de passe de gauche à droite.

Alors, maintenant que nous savons que cette menace existe, que pouvons-nous faire pour nous protéger ? Heureusement, Vigo a quelques suggestions.

Avant tout, désactivez votre messagerie vocale. Si vous ne pouvez pas le faire pour quelque raison que ce soit, utilisez le code PIN le plus long possible, également aléatoire. Ensuite, essayez de ne pas fournir votre numéro de téléphone aux services en ligne, sauf si vous devez absolument le faire pour 2FA. En général, essayez d’utiliser des applications d’authentification sur les systèmes 2FA basés sur SMS.

Mais, la plus efficace de ces options est de fermer complètement votre messagerie vocale.

A lire aussi : Pourquoi la biométrie vocale mettra fin à l’ère du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un geste de la main pourrait être votre prochain mot de passe.

Selon les chercheurs, le système de sécurité doit être suffisamment robuste pour reconnaître des vitesses et des formes légèrement différentes tout en détectant des tentatives frauduleuses.

Un nouveau système peut regarder le doigt d’une personne en effectuant un mouvement dans l’air comme une signature ou en dessinant une forme pour authentifier son identité. Le framework, appelé FMCode, utilise des algorithmes alimentés par un capteur ou une caméra portable et peut identifier correctement les utilisateurs entre 94,3 % et 96,7 % du temps sur deux appareils de gestes différents après avoir seulement vu le mot de passe plusieurs fois, selon les chercheurs.

La méthode, décrite dans un nouvel article des informaticiens Duo Lu et Dijiang Huang de l’Université d’Arizona, évoque certaines des questions délicates concernant la confidentialité des données biométriques telles que la reconnaissance faciale. Il résout également le problème de la mémorisation de longues chaînes de caractères nécessaires à la plupart des connexions sécurisées. Les interactions gestuelles peuvent être utiles lorsqu’un clavier est impraticable, comme l’utilisation d’un casque VR ou dans une situation où la minimisation du contact avec l’environnement est nécessaire pour la propreté, comme une salle d’opération.

Dans le document, qui a été publié sur le serveur de préimpression d’Arxiv.org ce mois-ci, les chercheurs définissent certains des obstacles à surmonter pour développer le FMCode. À la différence des mots de passe, les mouvements des doigts dans les airs ne seront pas exactement les mêmes à chaque fois. Un système doit donc être suffisamment robuste pour reconnaître des formes et des vitesses légèrement différentes tout en détectant des tentatives frauduleuses. Le système doit être capable de le faire avec seulement quelques exemples, car la plupart des utilisateurs ne seraient pas disposés à écrire leur code d’accès des centaines ou des milliers de fois.

Pour résoudre ces problèmes, les chercheurs se sont tournés vers l’apprentissage automatique. L’équipe a conçu des classificateurs capables de repérer les parodies tout en tolérant des variations mineures de l’utilisateur réel, et a construit un réseau neuronal convolutionnel (CNN) pour indexer les signaux de mouvement des doigts avec des méthodes d’augmentation des données.

Un simple geste avec le doigt.

Le FMCode est assez sûr contre la plupart des tentatives de devinettes et de la mystification, ou lorsqu’un attaquant connaît le geste, disent les chercheurs. Mais aucun système n’est infaillible. FMCode peut être trompé si le système n’est pas configuré pour vérifier l’utilisateur avec un ID de compte. Les chercheurs ont également indiqué qu’ils envisageaient de travailler sur des attaques futures, où le code secret des gestes d’une personne est enregistré puis rejoué plus tard pour tenter de tromper le système.

Reste à savoir si de nombreuses personnes seront intéressées par le contrôle gestuel, du moins à tout moment. L’intérêt et le développement de la technologie ont pris de l’ampleur au fil des ans, avec des films comme Minority Report et Iron Man qui ont attiré l’attention sur les interactions futuristes. Nintendo a sorti un gant filaire qui pourrait contrôler certains aspects du jeu à des ventes médiocres en 1989 à Leap Motion, qui a été publié à de bonnes critiques lors de son lancement en 2013 mais n’est toujours pas populaire. Des entreprises comme Sony tentent de créer des interfaces gestuelles, tandis que Facebook, Microsoft, Magic Leap et d’autres parient que nous aurons besoin d’un contrôle gestuel dans leurs environnements VR et AR.

Les chercheurs ont interrogé les participants à l’étude sur leurs réflexions sur l’utilisation de FMCode par rapport à d’autres méthodes de connexion, telles que les mots de passe traditionnels et la reconnaissance faciale sur les appareils mobiles. Bien que FMCode ait obtenu de très bons résultats en matière de sécurité, les utilisateurs ont trouvé qu’il était généralement moins facile à utiliser et pire pour la vitesse. Bien sûr, avec un matériel amélioré et un avenir avec plus de failles de sécurité, ces problèmes pourraient disparaître avec une vague de main.

A lire aussi : L’introduction de la biométrie entraînera-t-elle la fin du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google ne veut pas que vous ayez à penser à la cybersécurité.

Votre sécurité en ligne ne devrait pas être votre problème, cela devrait être le problème des géants de la technologie.

Parisa Tabriz, surnommée «Google Princess Security» et directrice de l’ingénierie de la société, a prononcé le discours liminaire lors de la conférence Black Hat sur la cybersécurité, mercredi à Las Vegas, où elle a discuté de l’état de la cybersécurité.

Au fur et à mesure que les cyberattaques surviennent dans notre vie quotidienne, les pirates informatiques ciblant les courriels, les cartes de crédit et la politique, il y a de quoi s’inquiéter de la sécurité. Mais la sécurité devrait être au point où les géants de la technologie peuvent protéger tout le monde en ligne pendant qu’ils naviguent sur le Web en toute sécurité, a déclaré M. Tabriz dans une interview mardi.

Son but ultime pour Google est de faire en sorte que la sécurité soit une seconde nature, ce n’est pas quelque chose que vous devez activement penser à réaliser. Et c’est aux architectes d’Internet de les corriger, a noté Tabriz.

Ces changements ont eu lieu chez Google ces quatre dernières années, mais vous ne les avez peut-être pas remarqués. Selon M. Tabriz, l’approche de Google a consisté à introduire progressivement de nouvelles fonctionnalités de sécurité afin de faciliter la tâche des utilisateurs sans les confondre.

Ce qu’elle veut faire, c’est éviter de créer une «fatigue d’alerte», c’est-à-dire quand une personne devient indifférente aux avertissements parce qu’elle est apparue si souvent. Au cours des quatre dernières années au cours de cet effort, Google a constaté que les gens devenaient trop confus s’ils apportaient ces modifications rapidement.

Vous avez peut-être remarqué certains de ces changements au cours des deux derniers mois.

Pendant un certain temps sur Chrome, le navigateur afficherait un verrou vert avec « Secure » écrit à côté pour montrer aux gens qu’ils étaient sur une page sûre. Tabriz a déclaré que Google a décidé de s’en débarrasser car il souhaitait que la sécurité devienne une hypothèse par défaut, et que le fait de taper sur une étiquette le ferait ressortir davantage.

C’est pourquoi en juillet, Chrome a commencé à afficher « Not Secure » dans le navigateur si vous visitiez un site Web qui n’offrait pas de protection HTTPS.

Mais Google ne peut pas faire grand-chose seul. Pour que l’Internet atteigne l’objectif de Tabriz, elle a déclaré que tous les géants de la technologie devaient intervenir.

« Il n’est pas correct que seuls Facebook et Google utilisent HTTPS », a déclaré M. Tabriz. « Même s’il ne s’agit que d’un blog individuel, vous voulez toujours avoir l’assurance que les personnes qui lisent votre blog obtiennent réellement le contenu réel et que votre FAI ne les altère pas. »

A lire aussi : Google va maintenant alerter les administrateurs G Suite lorsque les comptes sont ciblés par des pirates soutenus par le gouvernement.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage