Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Une faille de sécurité présente sur des modèles Samsung aurait permis de pirater les Galaxy depuis 6 ans

Récemment Samsung a corrigé une faille de sécurité qui aurait apparue depuis 2014 sur tous les smartphones de modèle Galaxy.

Cette vulnérabilité pouvait permettre aux pirates informatiques de non seulement espionner les messages envoyés par les utilisateurs de ces modèles, mais aussi dérobés leurs données personnelles. Alors si vous possédez une marque de type Galaxy, vous devez absolument faire la mise à jour de mai 2020 pour vous protéger de potentielles cyberattaques.

Cet article va aussi vous intéresser : Une potentielle faille de sécurité découverte sur les mobiles Samsung

Cette faille a été découverte par un chercheur de l’équipe de recherche en sécurité de Google, le Project Zero, Mateusz Jurczyk. Et selon ses commentaires, cette faille de sécurité est extrêmement grave. « La brèche est située dans la surcouche Android développée par le constructeur, dans le système de gestion du format d’image personnalisé « Qmage » (.qmg). Tous les smartphones signés Samsung prennent en charge ce format, notamment présent dans les thèmes et les animations de la surcouche, depuis 2014. » expliqua ce dernier. Avec cette vulnérabilité, il était assez simple à n’importe quel cybermalveillant d’avoir connaissance des SMS reçus et envoyés via l’application de messagerie de la firme coréenne « Samsung Messages. ». De la sorte, un hacker expérimenté, serait en mesure de s’introduire dans la bibliothèque graphique d’Android dont la fonctionnalité consiste à rédiriger les images reçues par le smartphone, tout le temps gérant le chargement les formats des images, inclut le le Qmage de Samsung. Mais pour réussi son coup et pouvoir pénétrer dans la bibliothèque d’Android, le cyber malveillant doit au préalable acculer le smartphone ciblé de plusieurs MMS. Il faut entre 50 et 300 MMS pour être en mesure d’exploiter convenablement la faille de sécurité et de ce fait, contourner les différents mécanismes de sécurité développé par Google sur son système d’exploitation. Selon le chercheur de Project Zero, Mateusz Jurczyk, il faut environ 1 heure pour mettre en place tout le processus. C’est alors que le pirate informatique pourra exécuter un code de malveillant dans la bibliothèque graphique du système de Google. Une fois tout ceci accompli, le cybermalveillance aura alors un accès au contenu de la messagerie, que la cible utilise l’application de Samsung pour sa messagerie. Et ce n’est pas tout, en effet il lui sera alors possible de collecter certaines des informations relativent à l’historique des appels, pour contacter aux photos et vidéos qui seront stockées dans la mémoire du téléphone et même activer le microphone de l’appareil.

La société coréenne à été averti par le chercheur de Google seulement le mois de février dernier. C’est alors qu’un correctif a été développé et mis à la disposition des utilisateurs des modèles Galaxy pour ce mois de mai. Par conséquent, les utilisateurs sont invités à ne pas retarder la mise à jour de leur appareil. Car chaque seconde est une mise en danger. Pour faire la mise à jour, il faudrait accéder au menu paramètres, ensuite cliquer sur la section « à propos de l’appareil » et par la suite sur « mise à jour logicielle. ».

Ce genre de vulnérabilité sont très courantes et malheureusement, elles sont difficilement détectable. Les mises à jour restent à peu près les seuls remparts pour de potentiels exploit. Donc, les utilisateurs doivent être plus vigilants, et savoir détecter certains signes qui peuvent démontrer qu’ils sont en train d’être pirater. Il peut s’agir par exemple d’une augmentation accrue de la consommation de votre dernier internet. De autre côté, le téléphone bugera un peu de temps en temps. Vu que la collecte de données ne peut se faire sans exécution de code malveillant sur le smartphone, avoir un anti-virus pourrait vous aider à détecter ce genre de faille. Rester constamment informé, et bien sûr, il ne faut négliger aucune mise à jour.

Cette vulnérabilité touche essentiellement les modèle Samsung, c’est-à-dire la majorité des smartphones produits par la firme en coréenne. Ce qui sous entend que vous en avez peut-être. Pour le moment cette faille de sécurité ne se limite qu’à ceux la, cependant rien n’indique que de potentiels modèles autres que les galaxy ne sont pas touchés. Espérons donc que le géant coréen exige le contrôle de sécurité sur les autres mobiles tels que les A séries par exemple.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Il faut renforcer les mots de passe

Les cyber-incidents se sont multipliés depuis 2 mois et il y a de fortes chances que cela continue pendant un peu longtemps.

Les pirates informatiques ont le vent en poupe et ciblent pratiquement tout ce qu’ils peuvent toucher, notamment les applications de visioconférence qui sont à la mode de nos jours, les établissements de santé, l’Organisation mondiale de la santé, les entreprises privées dans une partie de leurs salariés sont en télétravail, à cause des mesures de confinement générale.

Cet article va aussi vous intéresser : La sécurité des mots de passe et de l’authentification

Parlant du télétravail l’un des boosters de la cybercriminalité durant ces 2 derniers mois, il faut noter que les entreprises se sont organisées et ont fait de leur mieux pour sécuriser au maximum la collaboration à distance. Mais tout ceci a été une épreuve dans l’ensemble qui a permis de déceler les insuffisances et les qualités des différents réseaux et systèmes d’information. À ce titre, les sociétés de spécialisée dans la sécurité informatique n’ont jamais été autant sollicitées sur une période aussi courte.

Cependant tous les systèmes de sécurité ont a été confrontés à différent difficultés. En particulier, les mots de passe qui ont été mis en danger par l’explosion des campagnes de phishing. Il y a 3 jours de cela c’était la journée mondiale du mot de passe. Une journée qui a permis de ré visiter et de voir dans quelle mesure l’adapter aux besoins et réalités de l’authentification actuelle, qui pendant très longtemps a été la base de la sécurité de connexion. De nos jours,  le mot de passe est fragile face à l’explosion des services numériques, et au développement constant de méthode de cybercriminalité. Il est d’ailleurs beaucoup critiqué. Les spécialistes sont de plus en plus attirés vers des solutions impliquant les technologie d’authentification biométrique. En début de cela, les spécialistes continuent de le renforcer et expliquer qu’il peut toujours être utile, mais avec un usage discipliné. « Les pirates peuvent déchiffrer un mot de passe à 7 caractères en 0,29 milliseconde. De nombreuses entreprises savent aujourd’hui identifier les problèmes relatifs aux mots de passe, mais beaucoup peinent encore à intégrer le fait que la sécurité doit être au cœur du processus de développement logiciel. Car l’une des parties les plus importantes d’une application Web est le mécanisme d’authentification, qui va au-delà de la barrière du mot de passe. Ce mécanisme sécurise le site et crée également des limites pour chaque compte utilisateur. » explique Nabil Bousselham, architecte de solutions chez Veracode.

Ce dernier explique qu’il est possible de mettre à l’abri des attaques toujours en disant le mot de passe, mais pas seulement ça : « Au cours de cette nouvelle décennie axée sur les données, un simple mot de passe statique ne suffira pas. Bien que les entreprises sont conscientes du rôle que joue la sécurité applicative dans la protection des données, les banques et les autres secteurs doivent s’approprier davantage l’authentification des applications pour aider à détecter les accès frauduleux à un compte », declare Nabil Bousselham.

Par conséquent, il faut noter que le mot de passe comme méthode de sécurisation de l’authentification et de la connexion ne suffit plus à lui seul aujourd’hui. Il faudrait alors l’accompagner avec plusieurs mesures, telle que l’authentification à multiples facteurs par exemple. Il conclura en notant ces derniers conseils aux entreprises : « En cette Journée mondiale du Mot de passe, j’appelle donc les entreprises à responsabiliser les développeurs en les formant aux meilleures pratiques en matière de codage sécurisé et en fournissant les bons outils. L’objectif est d’éviter que les utilisateurs ne soient exposés davantage aux violations de données. Par ailleurs, les utilisateurs doivent activer l’authentification multifactorielle afin de réduire le risque de prise de contrôle par les cyber attaquants (…) De manière générale, les mots de passe doivent toujours être uniques, régulièrement renouvelés et stockés dans un coffre-fort sécurisé. Certaines informations d’identification devront être mémorisées. N’hésitez donc à pas constituer un mot de passe long et difficile à deviner ».

Si l’évidence montre qu’aujourd’hui, le mot de passe n’arrive plus à sécuriser convenablement les connexions, il m’en demeure pas moins, que l’on ne peut s’en débarrasser aussi précipitamment. Son utilité demeure et peut renforcer pas différentes méthodes qui aujourd’hui existe bel et bien.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

3 conseils pour un déconfinement en toute sécurité

Après 8 semaines de confinement, le télétravail s’est peu un peu intégré dans les habitudes professionnelles.

Si au début le travail à distance a été adopté de manière précipitée par rapport aux circonstances, le tendons inéluctablement vers un déconfinement. En effet dans pas longtemps, les collaborateurs et employés retournerons dans les bureaux et le travail classique commencera. C’est pour cette raison que toutes les entreprises doivent se préparer pour ce retour.

Cet article va aussi vous intéresser : StopCoviD, le déploiement de plus en plus polémique

Il y va de la sécurité des systèmes d’information. Il est clair que le télétravail a été la source de beaucoup de plusieurs incidents en matière de sécurité informatique, mais le déconfinement risque aussi d’en être un autre tremplin. Et pour cause, le travail à distance a exposé les entreprises à travers ses employés qui n’ont pas toujours été sages, surtout qu’ils étaient dans un cadre non professionnel. De tout évidence, la collaboration à distance ne peut ne pas se faire sans accrocs. C’est d’ailleurs pour cette raison que Sophos, la firme de sécurité, donne 3 conseils à respecter pour ne se mettre en danger.

En premier lieu, il faudrait appréhender deux types d’employés au retour du déconfinement. D’un côté, ceux qui ont démarré le télétravail avec un ordinateur portable fourni par l’entreprise sans rien de plus. Et de l’autre côté, ce qui se sont servis de leurs propres terminaux, donc auront avec eux des outils de stockage amovible (Clés USB, disque SD, Disque externe) contenant des fichiers importants.

L’entreprise de sécurité propose ces trois étapes :

– « Implémenter la gestion des solutions de sécurité dans le cloud » : la disposition classique des solutions antivirus utilisées par les entreprises passent généralement par l’usage de consoles physiques sur le site de l’entreprise. Alors que cette manière de fonctionner peut poser un problème quant au déploiement des mises à jour de sécurité. En effet, un employé peut ne pas avoir accès à certaines mises à jour et sécurité, et donc ne pas signaler d’incidents ou de virus alors que ce n’est pas forcément pas le cas. De ce fait si les périphériques et terminaux dans ce genre de conditions sont automatiquement connecté à un réseau, le risque devient réel et peut causer plus de dégâts. C’est pour cette raison, qu’il est recommandé aux entreprises de vérifier l’état de ces outils avant une quelconque synchronisation et utilisation à travers le réseau de l’entreprise. De plus, les entreprises se doivent : « d’envisager de remplacer la solution de sécurité utilisée par une solution qui dispose d’une console dans le cloud capable de gérer les mises à jour, les configurations et les alertes même lorsque l’utilisateur n’est pas au bureau, en identifiant et en résolvant tout problème de sécurité, même à distance. ».

– « Vérifier les clés USB et autres supports de stockage » : si ce processus semble évident, toutes les entreprises risquent de ne pas le faire. Ce manque de discipline pourrait être la cause de beaucoup de problèmes dans l’avenir. Le but est très simple, c’est d’éviter que les employés qui pendant ces 8 semaines à travailler loin de l’entreprise en utilisant souvent des terminaux privés ou en faisant d’autres ‘actions en plus du travail, aient d’une manière contracter un programme malveillant sur un ou plusieurs de leurs différents équipements. Il est donc indispensable, de s’assurer que ces périphériques externes de stockage puissent être contrôlés et si possible désinfectés avant tout usage dans le réseau de l’entreprise. « Il est recommandé de suivre cette méthode pour éviter que les employés qui ont travaillé sur leur ordinateur personnel, parfois non protégé, ne mettent l’entreprise en danger par des clés USB apportées au bureau pour partager ou archiver les fichiers utilisés à la maison pendant la période de télétravail. Enfin, le moment est peut-être venu d’envisager l’élimination de l’utilisation des clés USB et autres supports portables car ces supports amovibles représentent un risque énorme de perte et de vol, avec des méthodes très difficiles à crypter et à protéger. » notait Sophos.

– « Assurer la transparence avec le service informatique » : Le dernier conseil sera pour les dirigeants d’entreprise. Ces derniers doivent motiver leurs employés et tout autre collaborateur de signaler toutes les anomalies même à distance aux responsables de service de sécurité avant pendant et au retour du télétravail. Si le problème est survenu durant ces derniers temps, pendant que le télétravail est toujours en activité, il est essentiel que l’équipe service informatique en soit informé pour éviter toute propagation. « Les équipements personnels utilisés pour le télétravail doivent bénéficier des mêmes normes de sécurité que celles en cours dans le périmètre de l’entreprise. » indiquait Sophos.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Journée mondiale du mot de passe : doit-on se débarrasser du mot de passe ?

Le mot de passe existe depuis 1960.

Il a fait son temps, il reste et encore bien utile. Cependant, suites à de nombreux problèmes, les fournisseurs de solutions numériques, les spécialistes de la sécurité informatique et même les utilisateurs commencent de plus en plus à se projeter vers d’autre alternatives d’authentifications. Aujourd’hui, avec le développement de l’intelligence artificielle et du machine learning, les méthodes de reconnaissance faciale, la reconnaissance vocale et de lecteurs d’empreintes digitales sont de plus en plus en train de se démocratiser et prendre de l’ampleur. Est-ce suffisant pour inquiéter le mot de passe ? Bien sûr l’avenir nous le dira.

Cet article va aussi vous intéresser : La journée mondiale du mot de passe

Par ailleurs, on ne peut pas nier une forte évolution des systèmes d’authentification biométrique, qui se fondent essentiellement sur les caractéristiques du corps humain, qui sont uniques, pour valider une identité. Leur particularité les rendent un peu plus sûres que le mot de passe classique, c’est un pour cette raison que les spécialistes ont tendance à les privilégier. « Au cours des dernières semaines, nous avons pu constater une augmentation flagrante du volume de fraudes : entre +200 % et +400 % selon les secteurs d’activité. Du social engineering au phishing en passant par la création de faux sites internet, les cybercriminels tirent profit de toute faille de sécurité favorisée par la pandémie actuelle et les changements qu’elle a induits. C’est en particulier la sécurité des mots de passe et PIN, fondée sur un « savoir », qu’ils mettent à rude épreuve. A l’heure où l’activité en ligne bat des records et les entreprises sont contraintes de déployer le télétravail à grande échelle sans compromettre leur sécurité, le recours à la biométrie est plus que jamais nécessaire, explique Brett Beranek, Vice-président et Directeur général de la division Sécurité et Biométrie chez Nuance Communications, une firme spécialisée solution de sécurité. La Journée mondiale du mot de passe est l’occasion d’appeler à une extrême prudence : les fraudeurs sont à l’affût de toute vulnérabilité dans la nouvelle organisation des entreprises, et exploitent les craintes des consommateurs. Gardons cependant à l’esprit que l’innovation émerge souvent de contextes incertains, et que cette période pourrait donc aider à déployer les solutions qui nous protégeront mieux à l’avenir. ».

Pour résumer, le mot de passe en lui-même présente un risque indéniable aujourd’hui. De ce fait, migrer vers les solutions de sécurité à la base biométrique sera une chance de rattraper un peu le retard des spécialistes de la sécurité, sur les cybermalveillants.

Simon Marchand, Chef de la prévention de la fraude au sein de la division Sécurité et Biométrie de la firme Nuance expliquait les principaux inconvénients liés à l’usage continue des mots de passe, démontrant la fiabilité technologie biométrique de l’importance adaptation rapide des habitudes en la matière : « A mesure que les consommateurs vont être confrontés à une activité frauduleuse en plein essor – particulièrement en ces temps de pandémie – ils attendront une meilleure protection de la part des entreprises avec lesquelles ils échangent. Beaucoup d’entre eux prendront même les devants, cessant d’utiliser des services basés sur des méthodes de protection archaïques comme les mots de passe, pour se tourner vers des approches plus innovantes et rassurantes comme les technologies biométriques.

La biométrie a fait ses preuves pour aider à attraper des cybercriminels au moment-même où ils essayent de commettre une fraude, et pour permettre de prévenir cette situation. Plus d’un tiers (36%) des consommateurs se déclarent disposés à collaborer avec des entreprises qui utilisent la biométrie. Un quart (25%) d’entre eux souhaitent même que davantage d’entreprises y aient recours.

Les organisations doivent en permanence travailler à équilibrer une expérience utilisateur fluide et facilement accessible avec de solides mesures de sécurité. Les consommateurs se servent de plus en plus des canaux digitaux, sur lesquels ils attendent un certain niveau de sécurité. En revanche, ils ne souhaitent pas ressentir la moindre frustration en utilisant ces services. Les mots de passe sont non seulement une contrainte pour les utilisateurs, mais ils présentent par essence un degré de protection limité. En cette Journée mondiale du mot de passe, il est grand temps de repenser nos méthodes d’authentification. ».

Pour conclure, plusieurs solutions existent aujourd’hui pour remplacer le mot de passe. Les développements continuent et peu à peu, il ne sera pas étonnant de voir moins d’utilisation de cet ancien protocole de sécurité. Mais pour l’heure, mot de passe demeure.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Mieux sécuriser vos comptes : avec ou sans mots de passe ?

Aujourd’hui, 7 Mai, c’est la journée mondiale du mot de passe.

Un jour important pour se poser plusieurs questions sur cette méthode de protection et d’authentification. Dans une dynamique qui tend à supprimer totalement le mot de passe, l’on se demande alors si on peut véritablement s’en débarrasser.

Cet article va aussi vous intéresser : La journée mondiale du mot de passe

Dans tous les cas, le mot de passe n’est pas encore mort et il peut toujours servir. Existant depuis 1960, l’explosion d’Internet a mis en avant pendant un certain moment l’utilisation de cette méthode authentification qui a toujours fait le pair avec le login. Mais le développement rapide des services du numérique, la multiplication des plateformes web et l’adaptation de la cybercriminalité passant par de mauvaises pratiques d’utilisation ont terni l’image peu à peu du mythique mot de passe. Les utilisateurs ont tellement de comptes et de services qui exigent des mots de passe qu’ils sont tentés des fois de céder à la facilité. Conséquences, nous auront droit au fameux « 123456 » ou « QWERTY » ou pire, l’adoption d’un même mot de passe pour plusieurs comptes. C’est est nettement dangereux.

Malheureusement, tout ceci a rendu les mots de passe très facile à pirater. Ce qui met régulièrement en danger les utilisateurs qui ne font pas suffisamment d’efforts pour constituer non seulement des mots de passe fort, mais aussi pour adopter de bonnes pratiques. « On trouve également des atrocités comme qwerty, alerte, motdepasse, password, jetaime et autres [prénom de mon fils]+[sa date de naissance] . Cette liste reprend les 100 pires mots de passe de 2019. Les mots de passe simples sont devenus extrêmement faciles à casser via des attaques par dictionnaire. Ils ne pourront pas protéger vos comptes contre les attaques. Or il est facile de sous-estimer la valeur des données qui se cachent derrière un compte qui revêt à vos yeux peu d’importance. Un hacker pourrait pourtant s’en servir pour obtenir, par exemple, la réponse à vos questions de sécurité de votre boite mail. » expliquait Romain Pomian-Bonnemaison, journaliste.

Ce dernier conseille de profiter de ce jour pour réinitialiser votre mot de passe. Car en effet, c’est le conseil phare que l’on donne dans la gestion des authentifications sur mot de passe. C’est de changer le régulièrement.

Les alternatives pour renforcer vos mots de passe

Depuis un moment, on annonce la mort du mot de passe. Jusqu’à présent ce dernier tient encore le coup. Mais bien sûr cela s’explique facilement par le fait qu’il est ancré dans les habitudes des utilisateurs. Ainsi, le supprimer automatiquement risque de créer un problème de convenance et d’adaptation. Car si le mot de passe à lui seul n’est pas fiable aujourd’hui, associé à l’authentification à double facteur, il devient redoutable. Cependant les alternatives existent bel et bien pour renforcer le mot de passe, et jouent assez bien leur rôle.

– Le gestionnaire de mot de passe : celui-ci n’est pas véritablement une alternative au mot de passe vu que son rôle est le gérer. On dira plutôt que c’est une adaptation aux besoins de plusieurs utilisateurs qui ont généralement du mal à retenir plusieurs mots de passe pour leurs différents comptes. L’avantage de cet outil et de permettre à utilisateur de varier les mots de passe. Ce qui est d’ailleurs plus sécuritaire. Certains systèmes d’exploitation tel que Mac OS en dispose d’une façon native. D’autres vous permettront même de générer des mots de passe que vous n’aurez pas besoin de forcément les mémoriser.

– L’authentification à double facteur. Elle non plus n’est pas une alternative proprement dit. C’est plutôt un moyen qui vient au soutien aux mots de passe dans la majeure partie des cas que nous observons. En effet lorsqu’une personne essaie de se connecter sur une plate-forme en particulier, tel que Facebook, après s’être enregistrée avec son login et son mot de passe, il lui sera demandé de confirmer l’identité de l’utilisateur à travers un code qu’elle recevra soit par mail ou par SMS. Une couche de sécurité supplémentaire qui est bien utile et régulièrement exigé ou recommander.

– Les clés de sécurité tel que Google TITAN. Ce sont les équipements qui contiennent un certificat. Son utilisation intervient comme une une sorte de double facteurs pour l’authentification, mais cette fois sans code et envoyer par email. Il vous suffit simplement de le brancher son ordinateur smartphone pour que l’authentification soit validé automatiquement.

Sur ce nous vous souhaitons une bonne journée mondiale du mot de passe. Faites attention, et soyez disciplinés.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage