Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Les applications de traçage contre le coronavirus, une décision qui doit relever des Etats

Dans les définitions de stratégie de lutte contre la prolifération du coronavirus, l’idée a été émise d’établir un système de traçage des individus.

De la sorte, les individus pourraient alors être alertés lorsqu’ils ont été en contact avec des personnes détectées positif au CoviD-19. Si cela est encore un projet pour certains États et autres institutions, d’autres l’ont déjà mis en pratique l’instar de la Corée du Sud. Pourtant la question reste toujours sensible. Pour beaucoup de personnes, cette question ne doit pas être traité de manière banale.

Cet article va aussi vous intéresser : Traçage numérique et Covid-19 : le risque de la cybermalveillance à prendre en compte

Le PDG de l’Inria (l’Institut national de recherche en sciences et technologies du numérique), Bruno Sportisse estime que le projet de création de système de traçage des citoyens ne doit relever que des Etats. Sa position se situe après un rapport qui devrait être produit par son institution concernant la future application qui sera utilisée pour aider à la circonscription de l’épidémie. La proposition de l’Institut national de recherche en sciences et technologies du numérique dans le document qui sera fourni porte essentiellement sur la gestion des données, qui devraient être confiées aux autorités sanitaires, pour non seulement gagner en efficacité mais pour éviter de mauvaises interprétations de données. Cela gagnera en crédibilité mais aussi permettra de réduire au maximum les faux positifs. « Si l’application génère trop de faux positifs, ce n’est pas tolérable, ça veut dire qu’il faut changer des choses dans le système. Pour que ça puisse avoir lieu, il faut que l’autorité sanitaire ait la main » sur le système et son algorithme, Soulignait à l’AFP M. Sportisse.

« Les données, partagées volontairement à la suite d’un dépistage, seraient les identifiants anonymes et temporaires des appareils croisés pendant la période d’incubation du virus: rien qui permette de retrouver l’identité des personnes concernées ou de recomposer leurs interactions sociales. » décrit le Dirigeant de l’INRIA.

Mais cela ne suffit pas pour mettre fin au débat. L’importance du serveur central dans ce débat rend encore plus difficile la prise de position, surtout que cela a pratiquement stoppé une initiative à l’échelle européenne. Si le principe de l’anonymat et du respect des règles de protection relatives aux données personnelles a été mis en avant, il n’empêche que rien n’est si évident en matière de gestion des données. Par ailleurs, des chercheurs de l’École polytechnique de Lausanne, en Suisse, qui avaient auparavant proposé un projet un peu plus décentralisé, se sont inquiétés face au manque de transparence dans l’organisation et l’orientation dont font preuve les États lors de tel projet. Pour ces derniers, les solutions centralisés sont des risques et facilitent à coup sûr les manipulations de données. Sur cette question, M. Sportisse rassure en expliquant que : « Plusieurs protocoles sont mis en concurrence. C’est sain, c’est le jeu des échanges scientifiques. ». Il ne partage pas clairement les idées qui partent sur « les qualités supposées d’un système décentralisé. » qui « ne relèvent pas de la rigueur scientifique. » « Le pair à pair n’existe pas pour ce type de projets principalement en raison de l’impact des failles de sécurité qui pourraient exister. » ajoute-il. Pour lui : « Des approches supposées être très décentralisées, qui pourraient avoir les faveurs de communautés réticentes à accorder leur confiance à une autorité centrale » qui obligerait clairement à mettre en place et système qui va consister à stocker dans chaque terminal appartement aux utilisateurs différents identifiants. Il y aura trop des détails à prendre en compte et cela risque de porter atteinte à l’efficacité de l’outil. C’est d’ailleurs pour cette raison qu’il maintient sa position selon laquelle les protocoles doivent « relever des Etats. ».

Concernant l’implémentation logicielle du protocole proposé par l’Inria, le PDG de l’Institut a assuré que le code sera partagé librement. Cependant, il ne fait pas allusion aux partenaires produits qui seront engagés sur le problème, ni même le calendrier. Ce qui est certain, c’est que ce projet sera difficilement développé sans la participation des deux géants que sont Apple et Google, qui possèdent à eux deux, la quasi-totalité des parcs logiciels de smartphones à travers leurs différents systèmes d’exploitation. Sans oublier le fait que ces deux Américains ont décidé de collaborer sur un projet similaire. Cependant le leur est beaucoup plus inspiré des chercheurs de la Lausanne avec un système décentralisé qui est hors du contrôle des autorités sanitaires. « Notre protocole repose sur d’autres hypothèses (…) Les paramètres du modèle de transmission et les données statistiques ne doivent pas être entre les mains d’une compagnie privée, aussi innovante soit-elle. » leur répondait à l’AFP concernant une possible collaboration avec le privé, M. Sportisse qui ne manque pas d’ailleurs de saluer cette alliance « sans précédent dans l’histoire de l’informatique. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

100 000 $ pour trouver une faille dans le système anti-triche de Valorant

Riot a proposé une de 157 097 dollars à la personne qui trouvera une faille de sécurité dans Vangard, le système anti triche de l’entreprise.

L’annonce été faite hier et se présente clairement comme la prime la plus élevée dans pour dans ce genre jusqu’à présent. Publiée sur la plateforme de HackerOne, il est possible, aux utilisateurs intéressés par le bug Bounty d’avoir accès à quelques notes pour être en mesure d’identifier des vulnérabilités.

Cet article va aussi vous intéresser : Ces hackers qui gagnent beaucoup d’argent… légalement

En réalité, il y a plusieurs niveaux de récompense qui ne sont pas similaires. Plus la faille de sécurité est dangereuse plus la prime est élevée. La récompense commence à partir de 25 000 dollars américains, pour une vulnérabilité qui pourrait permettre à une personne extérieure d’avoir accès à des informations personnelles des utilisateurs de la plate-forme, on va s’étendre jusqu’à 157 000 dollars si la faille de sécurité permet : « l’exécution de code au niveau du noyau », ce qui pourrait permettre à un cybermalveillant de porter atteinte à l’intégrité de l’ordinateur de façon plus profonde. Des exemples ont été fournis par l’entreprise sur sa page officielle au dédiée aux primes.

Dans la pratique, ce type d’offres n’est pas vraiment inédite. En effet, plusieurs éditeurs proposent ce genre de bug Bounty en passant par HackerOne. Mais il faut avouer que la proposition faite par Riot est une première car aucune n’a encore atteint ce niveau. En effet, par exemple Valve propose souvent des primes allant jusqu’à 3000 dollars  Américain maximum selon la gravité de la famille découverte. Nintendo jusqu’à 20 000 dollars américains pour la découverte des failles selon leur gravité aussi et Rockstar Games propose un maximum de 10 000 $ US. Aucun n’atteint la barre des 100 000 dollars proposé par Riot. Si une telle proposition est inédite, dans notre cas, elle puisse sa source dans la fameuse controverse qui concernait directement son système d’anti triche dénommé Vangard, qui s’installait sur les terminaux des utilisateurs lorsqu’il jouait au nouveau jeu de tir compétitif, Valorant. Le problème était lié au fait que le programme critiqué (Vangard) continuait de fonctionner sur les ordinateurs des joueurs avec beaucoup plus de privilèges qu’il ne devrait avoir pour fonctionner normalement. La société éditrice a essayé de calmer les critiques en affirmant que son programme était constamment testé pour empêcher d’autres formes de vulnérabilité pour affecter les ordinateurs des utilisateurs. Dans la prime proposée pour justifier sa thèse et rassurer. « Nous voulons que les joueurs continuent à jouer à nos jeux en toute tranquillité d’esprit, et nous mettons notre argent là où nous sommes », avait signifié l’équipe de sécurité anti-émeute de Riot. Elle ajoutera par ailleurs : « Si vous pensez que vous avez trouvé une faille dans Vanguard qui compromettrait la sécurité et la confidentialité des joueurs, veuillez soumettre un rapport immédiatement. »

Ce n’est pas une première fois que l’éditeur de jeux lance une prime. Même si celle-ci est la plus élevée, depuis 2014, il est possible de participer au programme de bug Bounty de Riot sur HackerOne. Avant cela, les prix variaient entre 250 dollars américain et 4000 dollars selon une certaine présentation. Selon les chiffres publiés par l’entreprise, Riot aurait payé dans le cadre de ce genre de programme près de 2 millions de dollars américains. De plus, il faut noter que le jeux Valorant est en version Bêta, donc n’est accessible que pour deux joueurs ayant des clés. Vangard qui y sera associé présente une architecture suivante telle décrite par Benjamin Flann Vanese : « Vanguard est constitué de trois composants : le client, le driver et la plateforme. Le client (mode utilisateur) gère toutes les détections anti-triche tant que le jeu tourne. Le client a besoin de communiquer avec la plateforme pour détecter et pour permettre à un joueur de jouer. Le client ne considère pas une machine comme bonne, à moins qu’elle ne reconnaisse les drivers ; les machines qui ne le sont pas ne peuvent pas être utilisées pour jouer à VALORANT. Le driver ne collecte ou n’envoie aucune information sur votre ordinateur. Le driver a été approuvé par le certificat de validation étendu de Riot, qui a aussi été signé par Microsoft pour l’identification logicielle. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Peut-on parler de campagne de dénigrement pour l’application HouseParty ?

Depuis plusieurs mois, l’application ludique de vidéoconférence Houseparty est impliquée dans une vague d’accusations et de démentis concernant la fiabilité de son utilisation.

En effet selon certains messages qui circulent, cette application serait impliquée dans plusieurs piratage. Même si cela a été plusieurs fois rejeté par l’éditeur, il n’en demeure pas moins que cette campagne continue. En effet on peut lire dans différents messages, ce genre de texte : « Effacez Houseparty ! Mon compte Spotify a été piraté après que j’ai installé l’application ! ». Les messages d’accusation sont en plusieurs langues, ils sont perceptibles sur différents réseaux sociaux.

Cet article va aussi vous intéresser : Le streaming constitue-t-il un danger en matière de cybersécurité

Notons que l’application de visioconférence dédiée spécial au jeu a été racheté en 2019 par Epic game, l’éditeur du jeu Fortnite, et avec le confinement qui a démarré depuis la moitié du mois de mars dernier, son utilisation s’est accrue considérablement à l’instar de de son confrère Zoom. Selon une étude menée par AppAnnie, le site Spécialisé, HouseParty s’est placé à la première place des applications les plus téléchargées sur iPhone depuis le 21 mars dernier

Par ailleurs, la société éditrice de Houseparty continue de démentir les différents propos lié à un quelconque piratage : « Tous les comptes Houseparty sont en sécurité », écrivait le compte officiel de la société sur Twitter, 30 mars. Elle continue en soulignant : « Notre service est sécurisé, n’a jamais été compromis et ne collecte pas les mots de passe pour d’autres sites. ». étant la filiale d’une société dont la valeur en bourse s’élève à plus de 15 milliards de dollars, les pertes financières seront énormes si la rumeur continuent de circuler et touchent la cible en plein cœur. « Je ne peux pas vous jurer que [Houseparty] ne contient aucun bug, parce que je n’ai pas pu analyser son code, et qu’il est presque impossible d’être certain qu’une application est exempte de bugs (…) Mais [les accusations publiées sur les réseaux sociaux] semblent sous-entendre que Houseparty est un logiciel malveillant, qui tente activement de pirater tous les aspects de votre vie en ligne, ce qui est hautement fantaisiste. » écrivait un chercheur en sécurité de l’entreprise sécurité informatique Sophos du nom de Paul Ducklin.

Pour le moment, pour ceux qui évoquent l’idée de piratage informatique, et ce qui comment à douter, aucune preuve ne justifie cette hypothèse.  Mais la rumeur ne se limite pas simplement au piratage pur et simple, il a aussi été question de fuite de données concernant les mots de passe. Ce qui aurait pu permettre à des personnes extérieures de se connecter à certains comptes d’utilisateurs en se servant de ces informations. Si l’on ne peut exclure la possibilité qu’il y ait une faille de sécurité ou même un bug quelconque, car cela existe dans toutes les applications possibles, dans le contexte ici cela semble bien curieux. En effet, il semble assez étonnant qu’une fuite de données touchant des milliers de personnes, à travers le monde, puisse passer aussi inaperçue, surtout des données de connexion tels que les mots de passe. Surtout qu’en cas de vol de mot de passe, le geste le plus recommandé généralement est de changer ces mêmes informations au lieu de désinstaller l’application concernée.

« A y regarder de plus près, une partie des témoignages publiés en ligne semblent par ailleurs sujets à caution. Non pas que leurs auteurs mentent forcément : plusieurs rapportent avoir été piratés par le biais d’e-mails frauduleux, très courants, qui peuvent parfaitement avoir été reçus sans qu’ils aient aucun rapport avec Houseparty ; certains attribuent à Houseparty des piratages ou tentatives de piratage sans autre lien que le fait d’avoir installé récemment l’application ». Notait Damien Leloup, journaliste au Monde. Certains ont même avoué qu’ils n’avaient pas pensé auparavant à l’application lors de leur piratage qu’après avoir pris connaissance des messages dans l’accusant directement. On pouvait lire dans certains témoignages : « Tout le monde devrait supprimer Houseparty, j’ai eu ces mails bizarres durant la semaine et je n’y ai pas plus pensé que ça avant de voir les tweets de tout le monde. ».

Malheureusement, l’application de visioconférence de jeux, n’a pas bonne réputation dans sa manière de gérer les données de ses utilisateurs. Sa popularité fait d’elle sujette à beaucoup de critiques et aussi de ragots de tout genre. Certaines pratiques et certaines exigences lors de l’utilisation de l’application y sont aussi pour quelque chose. En effet, HouseParty exigent bon nombre de permissions, trop de permission aux goûts de certains sans oublier qu’il enregistre les données de localisation sur sa version mobile. Par ailleurs, il lui a été beaucoup reproché d’avoir des conditions générales d’utilisation peu claires. Autant de points négatifs qui ont sûrement susciter une envie collective de mener une campagne de dénigrement. La société éditrice de l’application envisage de son côté une campagne rémunérée de dénigrement. Selon elle certaines personnes auraient été payées pour mener ce genre de dénigrement à plusieurs échelles. Si elle n’a pas expliqué les raisons qui lui pousse à croire cela, elle proposera le 31 mars dernier la somme de 1 millions à toutes personnes qui prouvera que « les récentes rumeurs de piratage ont été diffusées dans le cadre d’une campagne payée de dénigrement visant à nuire à Houseparty ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

500 000 dollars pour des failles de Zoom

Des cybercriminels proposent pour la somme de 500 000 dollars, de mettre à la disponibilité de l’acheteur, une faille de sécurité permettant utilisateurs de l’application de visioconférence Zoom.

Il est clair alors que ces hackers ont forcément trouvé des failles zero days. Pour un prix aussi élevé, il semble selon toute vraisemblance la faille de sécurité est très importante et qui permettrait de mener des actions assez sévères à l’encontre des utilisateurs de l’application. En clair, les informations auxquelles auraient une personne qui aurait cette faille de sécurité semble de véritablement importante. On pense que ce ne peut pas être certaines informations personnelles qui nécessiteraient être en contact direct avec un utilisateur pour pouvoir l’obtenir ou être l’utilisateur lui-même. Peut-être même plus.

Cet article va aussi vous intéresser : Fuite de données chez Zoom

Depuis la montée en puissance de l’application de visioconférence Zoom, la problème ne cesse de pleuvoir de part et d’autre. De 10 millions d’utilisateurs en fin 2019 à 200 millions en avril 2019, c’est un exploit que peu d’applications de son genre pourrait s’en vanter. Cependant, le succès est souvent une épée à double tranchant. Depuis le mois de mars, Zoom est ballotté entre faille de sécurité et scandale, passant de l’application la plus appréciée à l’application qui fait plus tôt douter. Et il est très évident qu’une application dont la croissance a été fulgurante a bel et bien attiré l’attention des cybercriminels. Surtout, les récents problèmes de sécurité et de bug rencontrés par l’application de visioconférence a forcément mis la puce à l’oreille de ces derniers. Actuellement, c’est clair que les experts de la cybersécurité se sont mis en tête de disséquer le code de l’application dans le but de trouver une possible faille de sécurité à monnayer. En début de ce mois d’Avril, cela se confirme. En effet, le site américain Motherboard, dévoilait alors deux failles Zéro day sur la version Mac OS et Windows de Zoom. Et malheureusement comme les failles n’étaient pas connus de l’éditeur de l’application, il n’a pas pu apporter à temps les correctifs de sécurité nécessaire. Et il semblerait que jusqu’à présent ces vulnérabilité cours toujours, donc exploitable par les cybermalveillants.

Cependant, en proposant 500 000 dollars pour vendre une vulnérabilité, on se dit que non seulement elle est importante, mais que la cible recherchée ici par les cybercriminels est d’un niveau assez élevé. Selon certains experts qui ont émis des suppositions sur la question, il peut s’agir d’une faille de sécurité assez critique qui donnerait la possibilité aux pirates informatiques d’exécuter à distance un code malveillant. En d’autres termes, un hacker qui a accès à une telle faille pourra installer des programmes malveillants sur le terminal de la personne ciblée. il sera possible aussi aux détenteurs de cette faille d’accéder au contenu même du terminal dans son ensemble, aux différentes conversations engagées entre les utilisateurs. Ce qui pourrait faciliter en somme une sorte d’espionnage.

Il est clair que cela va intéresser de potentiels clients. La somme est certes élevée mais pas du tout exagérée. On sait dans la pratique courante qu’une faille Zero day peut se vendre jusqu’à 2 millions de dollars. Bon, cela va dépendre aussi de la popularité du système et de ce que peut servir la faille. Pour le directeur de l’équipe de recherche et d’analyse de l’entreprise de Russe de cybersécurité Kaspersky, Costlin Raiu il est clair que le prix de la faille de sécurité mis en vente est surévalué, cependant, il ne doute pas que « des personnes paieront sûrement. Si plusieurs experts estiment que la vulnérabilité devrait être jusqu’à deux fois moins chère, c’est parce qu’une d’une condition essentielle à son exploitation limite grandement son exploitation : il faut que le hacker soit en appel avec sa victime. ».

D’un autre côté, les dirigeants de l’application de visioconférence ont annoncé publiquement être au courant de la vente de la faille en question. Cependant, ils avouent n’avoir pas réussi à encore identifier les failles en question. Par ailleurs, ils ont ajouté que si des personnes commençaient à exploiter cette faille, il sera possible de glaner suffisamment d’informations pour les localiser.

Si tout logiciel ou programme informatique a des failles Zero day. Cet énième problème risque de ternir l’image de Zoom. Surtout que les grands noms (Spacex, Google…) Ont professionnellement demandé à leurs employés de ne plus utiliser l’outil en question.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Télétravail et cybersécurité

Cela fait plus de 1 mois que le confinement général a été annoncé par le gouvernement Français.

Pour pallier au problème lié à une telle décision du gouvernement, plusieurs entreprises ont décidé de se tourner vers le travail à distance.

Cet article va aussi vous intéresser : Confinement et la Cybersécurité : les RSSI et entreprises s’inquiètent

Aujourd’hui en France en compte près de 8 millions de télétravailleurs. Une telle situation bien que nécessaire présente sur un certain plan beaucoup de risques. En effet, le télétravail expose de plus en plus les entreprises aux cybercriminels. Car, ces dernières sont contraintes à offrir leurs réseaux dans certaines conditions pour faciliter le travail à distance. Depuis lors, il a été observé une forte augmentation les cyber-attaques et des tentatives d’intrusions répétées. Les pirates informatiques ont le vent en poupe. Sachant que les employés et toutes les personnes impliquées dans ce genre de système ne sont pas toujours disciplinés, les désastres n’est jamais très loin. Alors l’on se demande comment faire pour assurer une position stable et sécuritaire vers le télétravail et se maintenir dans ce système jusqu’à la fin du Confinement. Comment arriver à se protéger les attaques incessantes des cybermalveillants ?

Il faut d’abord accepter une logique très claire dans le domaine de la sécurité informatique. Aucune entreprise, aucune structure publique comme privée n’est à l’abri des cybercriminels. Il n’y a pas de protection à 100 % quand on parle de cybersécurité. Le consultant en cybersécurité et en TIC, Régis Le Guennec notait ceci : « Aucune entreprise n’est protégée à 100% ». Cependant il précise une autre réalité. Si aucune entreprise en est protégé à 100 % de la cybercriminalité, cela n’exclut pas le fait que les entreprises en n’ont pas le même niveau de sécurité.  Car il y a une échelle. « Il y a un décalage. Les grandes sociétés ont déjà mis en place des ressources afin de se protéger quand certaines TPE et PME, elles, prennent tout juste conscience des risques liés aux cyberattaques. ».  Notait l’expert. Il ajoutera par la suite : « Dans ce domaine, il n’existe pas de risque 0, aucune entreprise n’est protégée à 100%. Mais il faut déployer des ressources afin de se rapprocher autant que possible de ces 100%, en adoptant les bonnes pratiques et en sensibilisant les collaborateurs. ».

Par ailleurs, il serait opportun de s’interroger sur le mode de fonctionnement des cybercriminels. Comment peuvent-ils passer de l’hameçonnage au rançongiciel ? Comment arrivent-ils à s’organiser ? à cette question les spécialistes ont toujours affirmé que les pirates informatiques avaient un procédé bien défini par rapport à l’objectif qu’ils s’étaient fixées. Cependant, « Les cyberattaques les plus courantes sont le phishing (hameçonnage), le ransomware (rançongiciel) et le blocage des services. » explique Régis Le Guennec. Alors que l’hameçonnage vise à tromper les utilisateurs dans l’objectif de leur dérober certaines informations importantes, l’attaque au rançongiciel lui prend un système informatique en otage pour exiger de la part des responsables du système le versement une rançon. « Souvent le hacker envoie un message accompagné d’une pièce jointe, qui, lorsqu’on clique dessus, accède à votre disque dur pour le chiffrer. Ensuite, vous recevez un autre message dans lequel on vous demande de payer telle somme pour déchiffrer votre disque dur, sous peine de perdre vos données. » souligne l’expert.

Les risques liés aux cyber-attaques sont divers. Ils varient selon la portée de l’attaque, les moyens employés par les cybercriminels sans oublier leurs objectifs. Par conséquent, une attaque informatique initiée dans le but d’espionner est littéralement différente au niveau de ses conséquences quand l’attaque vise à déstabiliser le système d’information par exemple. Cela il va de même quand l’objectif est de voler simplement des données, ce qui est d’ailleurs une activité courante chez les cybercriminels. « À titre d’exemple, les données d’un profil complet (soit les données bancaires, les comptes des réseaux sociaux, des sites e-commerce, etc.) se marchandent pour environ 1100 € sur le darkweb. » souligne l’expert.

Dans la pratique, les pirates informatiques sont distingués en deux catégories principales. Ils sont associés à l’expression hacker. On parle alors des “white hats” et des hackers « black Hats ». De façon claire, les premiers sont les gentils. Les seconds sont les méchants. On parle souvent de hacker éthique et de hacker malveillant. Les hackers éthiques sont des personnes qui aident les entreprises à découvrir les failles de sécurité et voir dans quelle mesure les colmater. Quant aux autres ce sont les cybercriminels classique. Régis Le Guennec note à ce propos : « Les “white hats” ou chapeaux blancs, sont des hackers éthiques, dont les intentions ne sont pas malveillantes. Ce sont eux qui vérifient l’étanchéité des entreprises en matières d’intrusions et de failles potentielles. De l’autre côté, on retrouve les “black hats” ou chapeaux noirs. À l’inverse des hackers éthiques, les chapeaux noirs sont des cybercriminels animés par l’envie de nuire ou des mercenaires qui sont embauchés pour attaquer des états et des entreprises du CAC40 ». Il ajoutera par la suite : « Entre ces deux catégories de hackers, on retrouve les chapeaux gris, qui n’ont pas de mauvaises intentions mais qui agissent parfois dans l’illégalité pour arriver à leur fin, comme c’est le cas des activistes, ou hacktivistes, à l’image des Anonymous. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage