Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Pirater un compte Instagram : 6 millions de fois

6 millions de comptes Instagram piratés : comment se protéger ?

La semaine dernière, le compte Instagram de Selena Gomez a été repris par des hackers qui ont posté sur son flux des photos explicites de l’ex-petit ami du chanteur, Justin Bieber. Gomez a repris le contrôle de son compte (qui est le compte le plus suivi sur la plate-forme, avec plus de 125 millions de followers) et les photos offensantes ont été effacées, mais l’incident préfigurait des problèmes beaucoup plus répandus.

Il y a quelques jours, Instagram a annoncé avoir corrigé une vulnérabilité qui avait apparemment permis à des tiers non autorisés d’obtenir les adresses e-mail et les numéros de téléphone associés aux comptes Instagram, même si ces informations étaient censées être privées et inaccessibles à des tiers. Armés des informations piratés, les hackers ont potentiellement tenté de déclencher et d’intercepter des messages de réinitialisation de mot de passe, de phishing ou d’ingénierie sociale des utilisateurs d’Instagram, ce qui pourrait expliquer le piratage du compte de Gomez.

Avant que le bug ne soit corrigé par Instagram, un hacker ou un groupe de pirates Instagram, a apparemment piraté une quantité importante de données qu’il offre maintenant en ligne au prix de 10 $ par compte (payables en Bitcoin naturellement), en nommant la base de données Instagram pillée « Doxagram ». Le Daily Beast prétend avoir vérifié que certaines des données fournies par le ou les pirates informatiques sont authentiques.

La partie responsable de Doxagram dit qu’elle a accumulé des données de plus de six millions d’utilisateurs. Bien sûr, Instagram compte plus de 700 millions d’utilisateurs mensuels actifs, donc six millions représentent moins de 1 % de la base totale d’utilisateurs Instagram,- mais cela représente encore de nombreuses personnes potentiellement mécontentes.

Parmi les récits dont les données Instagram ont été piratées figurent ceux de Kim Kardashian, Leonardo DiCaprio, Beyoncé, Taylor Swift et même la Maison Blanche.

Doxagram a connu des pannes périodiques alors que divers fournisseurs de services prennent des mesures pour l’arrêter, mais il semble être accessible à l’heure actuelle via le réseau Tor. Plus tôt aujourd’hui, la ou les personnes derrière Doxagram ont semblé tweeter en utilisant le pseudonyme Twitter @doxagram_insta; Twitter a depuis suspendu ce compte. Ironiquement, peu de temps avant la fermeture du compte Doxagram, son opérateur a tweeté un rappel à tous ceux qui utilisent le système pour acheter des données piratées: « Merci de garder vos informations de connexion en sécurité. par quelqu’un d’autre. » Oui. Ce serait des pirates informatiques conseillant aux gens d’acheter des informations volées comment ne pas devenir des victimes de pirates informatiques.

Alors, comment pouvez-vous protéger au mieux votre compte Instagram ?

1. Utilisez l’authentification multifacteurs.
2. Utilisez un mot de passe unique et puissant. Pour obtenir des conseils sur la façon de sélectionner un mot de passe fort et facile à mémoriser, consultez mon article « Comment créer des mots de passe résistant que vous pouvez facilement vous rappeler ».
3. Gardez votre application Instagram à jour.
4. Comme Instagram l’a conseillé, « Soyez vigilant sur la sécurité de votre compte et faites preuve de prudence si vous observez toute activité suspecte comme des appels entrants, des textes ou des e-mails non reconnus. » Ne répondez pas aux courriels ou aux textes vous demandant de réinitialiser les mots de passe ou autres. Ne cliquez jamais sur les liens dans les courriels ou les messages texte pour accéder à Instagram; Au lieu de cela, accédez au réseau social via l’application ou en tapant https://instagram.com dans un navigateur Web.
5. Si vous recevez un e-mail de réinitialisation du mot de passe Instagram et que vous n’avez pas demandé la réinitialisation du mot de passe, contactez Instagram. Pour ce faire, appuyez sur le menu « … » de votre profil, sélectionnez « Signaler un problème », puis sélectionnez « Spam ou abus ».

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

L’iPhone iOS 11.1 piraté

Un jour après la sortie d’iOS 11.1, les chercheurs en sécurité ont déjà hacké le système.

Les nouvelles de ces exploits sont venues du concours Mobile Pwn2Own de Trend Micro à Tokyo, où les chercheurs en sécurité ont découvert deux vulnérabilités dans Safari, le navigateur du système d’exploitation mobile.

Il a fallu quelques secondes aux chercheurs de Tencent Keen Security Lab pour exploiter deux bugs :
– Un dans le navigateur et un dans un service système qui permet à une application malveillante de persister pendant un redémarrage
– Un autre bug dans Safari a permis aux chercheurs de pirater le sandbox du navigateur et d’exécuter du code malveillant.

Les bugs ont valu aux chercheurs une récompense de 70 000 $.

Mais les détails spécifiques des exploits ne seront pas rendus publics tant qu’Apple n’aura pas corrigé les bugs ou qu’une période de divulgation d’une durée de trois mois expire.

On ne sait pas quand Apple va réparer le dernier bugs iOS 11.1.

iOS 11.1, la dernière version du système d’exploitation iPhone et iPad, a été lancée mardi, avec plusieurs nouvelles fonctionnalités, emojis et des correctifs de sécurité y compris un correctif pour la vulnérabilité du réseau sans fil KRACK.

Le logiciel a également corrigé 19 vulnérabilités supplémentaires, a confirmé Apple.

Ce n’est pas la première fois qu’Apple reste sur ses problèmes de sécurité. En septembre, un chercheur en sécurité a découvert une vulnérabilité le jour même du lancement du nouveau système d’exploitation d’Apple, macOS High Sierra. Apple a corrigé le bug une semaine plus tard.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les réseaux WiFi non sécurisé pourraient être hackés

Les réseaux WiFi non protégés pourraient être exposés à des hacks.

La connexion au WiFi a toujours eu le potentiel de laisser les internautes ouverts aux attaques de sécurité qui pourraient compromettre la sécurité des informations sensibles. Maintenant, de nouvelles recherches indiquent que le système d’authentification utilisé dans la majorité des connexions sans fil, à la maison et au bureau, est vulnérable à une faille de sécurité qui permet aux pirates d’intercepter les données personnelles partagées entre les appareils et les réseaux.

Les pirates peuvent tirer parti de l’incapacité du réseau à discerner un utilisateur de périphérique ordinaire d’un pirate qui imite le périphérique de quelqu’un d’autre. Lors de la connexion à un réseau, le système génère une séquence de numéros de nonce aléatoire qui permet à l’utilisateur de l’appareil et au réseau de communiquer dans un « handshake » confidentiel. Cependant, les pirates informatiques peuvent réutiliser cette clé de session pour écouter les données échangées entre l’utilisateur et le réseau.

Google et Microsoft ont tous deux réagi en publiant des correctifs de mise à jour pour protéger les internautes, mais de nombreux fabricants de routeurs n’ont pas encore réagi. Bien qu’il n’y ait aucune preuve directe jusqu’à présent que la faille dans le système ait été exploitée par des pirates informatiques, cette menace de piratage de la sécurité WiFi met en évidence un problème plus sérieux dans l’utilisation d’Internet aujourd’hui.

Ces failles de sécurité sont symptomatiques d’un monde où il existe une division croissante entre les «laïcs techniques» et les codeurs informatiques. La majorité des personnes qui naviguent sur Internet et se connectent à des réseaux le font sans la moindre connaissance du fonctionnement de l’infrastructure d’échange de données.

Nous ne pouvons plus naviguer sur Internet et utiliser des appareils avec la confiance naïve et aveugle dont nous avons bénéficié dans le passé. Il est curieux que seulement maintenant, en 2017, un problème comme celui-ci est trouvé sa popularité dans les nouvelles actuelles. En réalité, le manque de sécurité dans les réseaux est présent depuis plus de deux décennies. Fini le cryptage des mots de passe WEP et WPA : ils peuvent maintenant être piratés en quelques minutes. Au lieu de cela, le chiffrement WPA2 plus sécurisé reste la norme de l’industrie.

Mais aucun réseau WiFi ne peut pas être piraté et cette découverte récente nous rappelle brutalement qu’Internet n’est pas aussi sûr que nous le croyions.

Les entreprises technologiques ont réagi rapidement, encourageant les utilisateurs à surexploiter ces menaces et pour l’instant aucune donnée n’a été interceptée de manière malveillante. Cependant, la plupart des utilisateurs d’Internet n’a aucun moyen d’obtenir une assurance complète à ce sujet; ils n’ont tout simplement pas les compétences pour le vérifier.

Dans la crainte du piratage, beaucoup considèrent le gouvernement comme une source de cyber-régulation. En effet, Theresa May a proposé un nouveau manifeste sur la sécurité sur Internet dans lequel le gouvernement tenterait d’acquérir sa souveraineté sur le web et restreindrait la présence d’espaces de communication en ligne, principalement pour cibler le terrorisme.

Cependant, ces plans ont fait l’objet d’un examen minutieux, car les boucliers du gouvernement actuel peuvent être maîtrisés par n’importe quel enfant de 10 ans avec un iPhone et un VPN en quelques secondes. De plus, cette surveillance du grand frère de l’utilisation de l’Internet met fin à la distinction entre protéger les gens et les espionner.

Les voix cyber anarchistes du début des années 2000 nous rappellent que l’insécurité et l’absence de redevabilité des réseaux représentent la nature même d’Internet. C’est une partie de la société actuelle qui reste étonnamment non modérée et incontrôlée par rapport à la presse écrite et à d’autres formes d’expression sociopolitique.

Il semble que lorsqu’il s’agit de la sécurité sur Internet, il faut mettre davantage l’accent sur la prise de précautions personnelles. Le gouvernement n’aura jamais et ne devrait jamais avoir le contrôle d’Internet d’une manière aussi autoritaire.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les employés se font pirater leurs mots de passe

8 vérités que vous avez à faire face avec vos employés concernant la sécurité des mots de passe.

LastPass a publié le rapport The Password Exposé, mettant en évidence les défis de l’utilisation des mots de passe sur le lieu de travail des employés d’entreprises.

Selon le rapport, l’approche standard de la sécurité par mot de passe sur le lieu de travail a échoué et les entreprises ne répondent pas assez rapidement à cette défaillance.

« Pour la plupart des gens, la crainte d’oublier un mot de passe l’emporte de loin sur le risque apparemment faible d’être piraté », a déclaré le groupe.

Selon ses données à partir de l’analyse de données anonymisées provenant de plus de 30 000 entreprises, 91 % des employés comprennent que la réutilisation des mots de passe comporte de grands risques, mais 61 % continuent néanmoins à réutiliser les mots de passe.

« Que les mots de passe soient anciens, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la principale cause des piratages. Plus de 4,2 milliards d’identifiants ont fui en 2016, les pirates peuvent facilement utiliser des mots de passe volés pour accéder à un réseau d’entreprise et hacker des données « , a déclaré le groupe.

« Un seul mot de passe réutilisé peut pirater toute une organisation. »

LastPass a déclaré que les mots de passe sont une partie essentielle du flux de travail quotidien d’un employé et il était temps de regarder au-delà des hypothèses et de faire face au fait. À cette fin, il a fourni 8 vérités sur les mots de passe employés que les entreprises doivent savoir :

1. Les mots de passe sont le problème de tous.

LastPass estime que l’entreprise moyenne de 250 employés aura environ 47 750 mots de passe utilisés dans toute l’organisation.

Cela crée 47 750 points d’entrée possibles dans les systèmes de l’entreprise et personne ne peut connaître la force de chacun.

« Les chiffres ne mentent pas et les mots de passe sont hors de contrôle », dit-il.

2. Les employés sont débordés par les mots de passe.

Selon les données de LastPass, l’employé moyen doit garder environ 191 mots de passe. Les normes de l’industrie pointent vers un nombre inférieur (27), mais le groupe a déclaré que les gens ont tendance à sous-estimer le nombre de comptes qu’ils ont en ligne.

Les marketeurs ont des mots de passe pour un grand nombre de plateformes d’analyse, les administrateurs ont donné des mots de passe pour chaque serveur qu’ils gèrent, etc.

Ceci n’inclut pas les comptes personnels de chaque employé.

3. Les mots de passe sont un problème aggravant.

Alors que les employés commencent avec environ 20 mots de passe stockés dans leurs chambres fortes, cela double dans les trois mois, a déclaré LastPass.

Cela a conduit à 61 % des personnes utilisant le même mot de passe ou similaire sur le net.

« Les employés se noient dans les mots de passe en ce moment. Et c’est un problème qui continue de s’aggraver dans le cadre de leur travail quotidien », a-t-il déclaré.

4. Les employés se connectent constamment.

En moyenne, un employé doit taper des informations d’identification pour s’authentifier sur ses sites Web et applications 154 fois par mois.

Poussant les données plus loin, LastPass a dit que l’employé moyen passe 36 minutes par mois en tapant juste des mots de passe et ce résultat n’inclut pas les processus de rétablissement qui prennent encore plus de temps.

« Les employés souffrent d’inefficacités liées aux mots de passe, qui se traduisent directement par les résultats financiers d’une entreprise. »

5. Approuvé ou non, le partage de mot de passe est commun.

En moyenne, un employé partage environ 4 articles avec d’autres, selon les données de LastPass.

Le conseil de sécurité commun consiste à garder les mots de passe confidentiels sur le lieu de travail, cependant, le partage des informations d’identification et d’autres données sensibles est également essentiel pour faire le travail demandé.

Des comptes de médias sociaux de marque gérés par le marketing aux configurations de serveurs gérées par le service informatique, les employés de tous les services doivent partager leurs mots de passe.

6. C’est une ligne floue entre les mots de passe personnels et professionnels.

Il y a de plus en plus un croisement entre les applications personnelles et professionnelles des grandes entreprises (Google, Dropbox, etc.), ce qui estompe les frontières entre usage professionnel et usage personnel.

Les employés peuvent stocker des informations commerciales dans des comptes personnels et vice versa, a déclaré LastPass.

7. L’authentification unique (SSO) n’est pas une solution à guichet unique pour les mots de passe.

Alors que de nombreuses applications d’entreprise sont prêtes pour l’authentification unique, les données de LastPass montrent que plus de 50 % des sites Web et des services les plus populaires ne sont pas compatibles avec l’authentification unique.

Soit les équipes informatiques doivent assumer le fardeau de la configuration et du déploiement de ces services, soit, plus probablement, les employés doivent gérer eux-mêmes ces informations d’identification.

En sacrifiant ce contrôle et cette visibilité, l’informatique laisse de nouveau ces points d’entrée vulnérables à une mauvaise hygiène des mots de passe et à une mauvaise utilisation des employés.

8. Pas assez d’entreprises utilisent l’authentification multi-facteurs.

Seules 26,5 % des entreprises ont activé l’authentification multi-facteurs pour protéger leurs mots de passe, même si la tendance est à la hausse.

Cependant, l’authentification multi-facteurs ne résout pas tous vos problèmes de sécurité de mot de passe, a déclaré LastPass.

À moins que l’authentification multi-facteurs soit activée pour chaque connexion utilisée dans l’organisation (y compris les 191 employés par l’employé moyen), les mots de passe restent souvent une cible de faible valeur et à haute valeur pour les intrus cherchant un moyen d’y accéder.

Selon LastPass, les entreprises doivent créer un meilleur cadre pour la visibilité et le contrôle des mots de passe. Ceci comprend :

– Mettre au hasard chaque mot de passe pour chaque compte.
– Changer des mots de passe régulièrement.
– Appliquer des autorisations basées sur des rôles aux mots de passe.
– Assurer une supervision et une responsabilisation adéquates pour les informations d’identification partagées.
– Ajout de protection avec authentification multi-facteurs dans la mesure du possible.
– Désactivation des informations d’identification des employés après leur départ ou changement de poste.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Bientôt un compte GMail impossible à pirater ?

Avec une clé physique, Google dit qu’il peut vous protéger contre les pirates informatiques.

Les mots de passe ne sont pas parfaits, en effet, quiconque a dû les réinitialiser après un piratage de données peut vous le dire. Mais la biométrie ne l’est pas non plus, et tous les autres hackers de mots de passe ont largement relevé le défi.

Demandez autour de vous, les experts en sécurité vous diront que les mots de passe seront toujours possible à hacker.

Google le sait aussi. Avec les menaces constantes des pirates informatiques et des escrocs et maintenant même des attaquants soutenus par le gouvernement et les états, les chances sont grandes contre les utilisateurs de Google notamment de GMail. Les hackers doivent seulement gagner une fois alors que les entreprises technologiques doivent gagner à chaque fois.

Maintenant, le géant de la recherche pense qu’il peut arrêter même les plus sophistiqués des pirates. Au lieu de supprimer définitivement le mot de passe, le géant de la recherche veut donner une toute nouvelle couche de protection aux comptes à risque.

Entrez une clé physique, celle que vous pouvez attacher à vos clés de maison et de voiture (et une autre que vous gardez verrouillé en tant que sauvegarde). Ces deux appareils ressemblant à des clés USB, environ 20 € chacun et ils sont au cœur du prétendu Advanced Protection Program de Google, sur lequel la société parie pour garder ses comptes de messagerie aussi sécurisés que possible contre les pirates informatiques.

Le trousseau de clés ressemble beaucoup à une clé physique dans votre boîte de réception. Chaque fois que vous vous connectez à votre compte, GMail vous invite à utiliser la télécommande comme un appareil à deux facteurs. Vous pouvez le brancher en tant que clé USB ou appuyer sur le bouton Bluetooth et vous avez accès à votre compte.

En quoi cela diffère-t-il de l’authentification habituelle à deux facteurs que GMail offre déjà ?

Pour la plupart des gens, l’authentification à deux facteurs protège contre la plupart des attaques. Mais dans de rares cas, il a été montré que les codes à deux facteurs envoyés par SMS peuvent être interceptés. Les applications qui ont accès à votre smartphone peuvent théoriquement prendre des captures d’écran pendant qu’un code à deux facteurs est affiché. Ces types d’attaques sont généralement menés par des pirates informatiques sophistiqués tels que ceux qui travaillent pour un gouvernement étranger, avec les compétences et les ressources nécessaires pour cibler les individus importants.

Ces clés fonctionneront également uniquement sur les emails GMail authentiques, donc même si vous entrez votre adresse e-mail et votre mot de passe sur un faux site d’hameçonnage, votre clé physique ne fonctionnera pas, rendant ces informations siphonnées inutiles à un attaquant.

Même les pirates les plus durs seront impuissants pour accéder à votre compte sans votre clé physique, affirme Google.

Les comptes qui risquent le plus d’être pris pour cibles par des pirates informatiques sophistiqués, comme ceux des politiciens et des législateurs, des chefs d’entreprise, des activistes et même des reporters et journalistes qui doivent protéger leurs sources tout en étant intégrés dans des pays moins amicaux sont ceux que Google veut protéger en premier avec ce nouveau programme.

En tout, le programme ne prend que quelques minutes à configurer. Vos deux clés seront inscrites une clé Feitian va s’authentifier sans fil avec votre ordinateur ou téléphone et un autre Yubikey peut être utilisé dans le port USB.

Et le travail est fait ! Connectez-vous, branchez, appuyez sur un bouton et vous êtes dans votre compte. Beaucoup devront sacrifier une certaine commodité pour cette protection. Le programme verrouille les comptes GMail, de sorte qu’ils ne sont accessibles que via Gmail.com et les applications de l’entreprise, verrouillant ainsi les tiers. Quiconque se fie à d’autres applications, comme les applications de messagerie d’Apple pour iPhone ou Microsoft Outlook, n’aura pas de chance pour l’instant. Et rappelez-vous : la clé doit être physiquement avec l’utilisateur quand ils veulent se connecter, y compris lorsqu’ils voyagent à l’étranger.

Et si un utilisateur perd les deux clés, il n’y a pas de sauvegarde immédiate pour permettre à l’utilisateur de retrouver l’accès à son compte. Google indique qu’il faudra quelques jours pour examiner chaque demande de récupération.

Aussi rustiques que soient les touches physiques, et aussi frustrantes que des obstacles supplémentaires, surtout lorsque vous êtes pressé, Google affirme que ces clés offriront aux utilisateurs la meilleure protection possible. Et pour la fraction des comptes qui ont besoin de ce niveau de protection supplémentaire, c’est un petit problème, mais nécessaire, comparé au mal qui pourrait être fait si un compte était saccagé.

Mais il y a un long chemin à parcourir avant que cela atteigne le public principal, si jamais… Les clés physiques à deux facteurs sont considérées comme des niches et des gadgets pour beaucoup de personnes qui n’ont même pas encore pris les mesures de base à deux facteurs. Alors que certaines entreprises technologiques comme Facebook ont ​​offert un support pour les clés physiques pendant des mois, de nombreuses entreprises technologiques n’offrent toujours pas de double facteur au-delà des messages texte. Jusqu’à ce que d’autres entreprises adoptent des clés physiques pour plus de sécurité, ce niveau de fonctionnalités de sécurité supplémentaires ne sera probablement jamais adopté à grande échelle. C’est un début, mais c’est un pas prometteur de la part de l’entreprise et les utilisateurs qui en ont besoin devront encore attendre.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage