Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Les objets connectés Alexa, Siri et l’assistant Google peuvent entendre des commandes que l’oreille humaine ne peut pas entendre.

Cela peut vous sembler un bruit blanc, mais cette astuce peut être manipulée pour contenir les messages qu’Alexa, Siri et Google Assistant comprennent.

Des chercheurs de plusieurs universités des États-Unis et de Chine ont mis au point une méthode de piratage du bruit blanc pour hacker les assistants numériques dans l’exécution de commandes.

Appelé « audio contradictoire », l’astuce consiste à créer « une fonction de perte » basée sur CTC [connectionist temporal classification] perte qui prend une transcription désirée et un fichier audio en entrée et renvoie un nombre réel en sortie, explique U.C. Candidat au doctorat à Berkeley Nicholas Carlini.

L’enregistrement du piratage est exécuté à travers un processus appelé descente de gradient jusqu’à ce que la distorsion soit minimisée mais toujours efficace pour déclencher une réponse d’assistants numériques comme Siri, Alexa et l’Assistant Google.

Des expériences comme celles-ci font ressortir un problème qui ne fera que grandir au fur et à mesure que les assistants numériques deviendront plus omniprésents : ils peuvent être piratés de façon nouvelle et différente puisqu’ils s’appuient sur des commandes vocales.

Comme le souligne Sheng Shen de l’Université de l’Illinois à Urbana-Champaign, les commandes n’ont même pas besoin d’être audibles, elles peuvent être ultrasoniques. Shen s’est penché sur la possibilité de commandes en dehors de la gamme des ouvertures d’audition humaine, en passant des commandes en ligne et en faisant d’autres choses malveillantes sans que le propriétaire de l’appareil entende une seule chose.

Les entreprises avec des assistants numériques ou des enceintes intelligentes devraient-elles être inquiètes ?

Les assistants numériques connaissent une popularité croissante, mais ils sont encore une technologie relativement nouvelle. Je me souviens quand la reconnaissance de la parole était si pauvre que c’était comique, et maintenant seulement une dizaine d’années plus tard, les machines peuvent reconnaître la parole aussi bien, sinon mieux, que les humains.

La reconnaissance vocale de l’IA est encore à ses balbutiements, ce qui signifie que les gens trouveront des façons intéressantes de la hacker. Comme utiliser un sifflet Cap’n Crunch d’une boîte de céréales pour tromper les téléphones payants en donnant des appels gratuits, cette dernière attaque est simplement l’évolution de l’utilisation d’un système contre lui-même, et rendra les assistants numériques (comme avec les téléphones) plus sûrs. le long terme.

Ceux qui utilisent des assistants numériques devraient-ils être concernés en ce moment ? Pas nécessairement. Les exploits actuels ont une portée relativement étroite et leur utilisation répandue est peu probable à ce stade.

L’équipe de Carlini a créé des enregistrements conçus pour tromper Google Assistant, mais en réalité, ils ne réussissent que contre DeepSpeech de Mozilla. 100 % de réussite, mais seulement avec succès contre un moteur de synthèse vocale qui est peu utilisé par rapport à Google Assistant, Siri et Alexa.

Il est peu probable qu’un pirate qui se cache dans les buissons puisse pirater votre Amazon Echo en utilisant son smartphone de sitôt. Espérons que Google, Amazon et Apple feront leurs propres recherches et corrigeront les exploits de reconnaissance de la parole avant qu’ils ne deviennent monnaie courante.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les applications Android peuvent suivre les connexions réseaux. Est-il temps d’utiliser un VPN ?

Alors que Google est enfin sur le point de résoudre le problème des applications de surveillance de l’activité du réseau, cela ne se produira que sur la prochaine version d’Android, connue sous le nom d’Android P.

Pendant des années, les applications ont été en mesure de découvrir quelles autres applications se connectaient à Internet, quand elles se connectent et à quoi elles se connectent. Bien qu’ils ne puissent pas accéder au contenu transmis, ils peuvent identifier n’importe quelle connexion pour voir si les applications se connectent à un certain serveur, tel que le serveur d’une institution financière.

NordVPN dit que Google Play était rempli de trackers cachés et que chaque application téléchargée mettait les victimes dans un « réseau de surveillance ».

Alors que Android P est uniquement en phase bêta, NordVPN indique que les utilisateurs Android peuvent rencontrer d’autres failles de sécurité avant que le système d’exploitation ne commence à être déployé sur tous les périphériques.

La plupart des applications auront toujours un accès illimité à l’activité réseau au moins jusqu’en 2019. À partir de 2019, Android utilisera une nouvelle logique pour la façon dont les applications accèdent aux API.

«Le suivi des utilisateurs sans leur consentement mine la confidentialité et la sécurité de base», commente Marty P. Kamden, directeur marketing de NordVPN.

« Les applications peuvent surveiller l’activité du réseau même sans demander d’autorisations sensibles. En outre, cette faille de confidentialité pourrait facilement être exploité à des fins malveillantes, par exemple, lorsque l’historique de navigation de l’utilisateur est collecté, son profil en ligne peut être créé. »

Il est indiqué que Google est responsable de la protection de l’activité réseau des utilisateurs contre le suivi, mais les utilisateurs devraient également utiliser des moyens supplémentaires pour protéger leur vie privée en ligne. Un VPN est un moyen pour les utilisateurs de se connecter à Internet.

NordVPN offre cinq conseils aux utilisateurs d’Android qui veulent protéger leurs appareils.

1. Assurez-vous de ne pas télécharger de fausses applications, ne cliquez pas sur les messages d’hameçonnage. Les applications originales de Google Play peuvent comporter des trackers qui vendent les données des utilisateurs aux annonceurs. Cependant, les fausses applications sont encore plus dangereuses.

En implantant de fausses applications sur les appareils des gens, les pirates informatiques ou même les gouvernements peuvent assembler des messages texte, l’historique de navigation, les journaux d’appels et les données de localisation.

Les cibles peuvent être suivies et leurs données peuvent être volées, car ils ont téléchargé une fausse version d’applications de messagerie comme Signal ou WhatsApp à travers des messages d’hameçonnage reçus sur Facebook ou WhatsApp.

2. Soyez sérieux au sujet des mots de passe. La plupart des utilisateurs d’Internet réutilisent le même mot de passe sur plusieurs comptes. Une fois qu’un pirate est capable de lire l’un des mots de passe d’une personne, il peut déverrouiller tous ses appareils et lire ses courriels, entrer ses comptes bancaires, etc. La meilleure façon de procéder est l’un des gestionnaires de mots de passe qui génèrent et stockent différents mots de passe pour chaque compte.

3. Acceptez toutes les mises à jour logicielles et correctifs de sécurité. Les appareils Android de la même manière qu’Apple ont récemment révélé des vulnérabilités de processeur, conçues pour pirater un smartphone. La seule façon d’éviter ces défauts de puce Intel, AMD et ARM est de mettre à jour le téléphone chaque fois que des correctifs sont publiés.

4. Installez un VPN. Vous avez peut-être téléchargé des applications sans logiciel malveillant et installé les derniers correctifs de sécurité, mais toutes vos communications et votre navigation sur Internet peuvent toujours être interceptées si vous n’utilisez pas de VPN. Un VPN crypte en toute sécurité toutes les informations circulant entre un appareil et un serveur VPN. Il est indispensable sur tous les appareils, en particulier s’ils utilisent des réseaux WiFi ouverts.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Valve vous paiera pour pirater Steam.

Dans une bizarre tournure du destin, au lieu d’appeler la police à cause des pirates informatiques, de forcer le FBI à les arrêter ou d’essayer de déboucher des avocats après avoir essayé de trouver un nouveau logiciel, Valve paie des gens pour pirater Steam.

Selon HackerOne, Valve est en train de payer des hackers pour pirater Steam. L’objectif est d’améliorer les fonctionnalités de sécurité et l’ergonomie de Steam ainsi donc Valve lance un programme de primes HackerOne pour récompenser les pirates avec l’opportunité de gagner de l’argent en trouvant des problèmes de connexion, exploits, fraude potentielle ou problèmes techniques qui peuvent être hackés.

Le programme de prime a un niveau de récompenses, y compris un score CVSS basé sur les problèmes faibles, moyens, élevés et critiques qui sont pesés sur une carte de score minimum / maximum. Au minimum, vous gagnerez 0 $ pour simplement signaler un défaut de sécurité faible, mais l’avantage est que si c’est un défaut de sécurité faible jugé digne d’une attention immédiate, il peut également justifier un paiement maximal de 200 $.

Les problèmes moyens valent beaucoup plus, à partir d’un minimum de 250 $ si le CVSS se situe entre 4,0 et 6,9. À la limite supérieure des émissions moyennes, vous recevrez un maximum de 1 000 $, ce qui est assez impressionnant.

Sur le haut de gamme, les choses deviennent vraiment intéressantes. Les problèmes de sécurité qui se situent entre 7,0 et 8,9 sur l’échelle CVSS vous rapporteront un minimum de 500 $ et bien plus de 2 000 $ dans le haut de la fourchette.

Ce qui est intéressant est que la dernière entrée, les problèmes critiques classés entre un CVSS de 9,0 et 10,0 commencent à 1500 $ mais il n’y a pas de plafond sur le paiement maximum, ce qui signifie qu’il pourrait être très lucratif si quelqu’un réussissait à trouver une faille de sécurité très dangereuse.

Valve centre la chasse aux primes d’exploitation autour du client Steam et des jeux internes de Valve, tels que Half-Life, Team Fortress et Portal. Le programme de primes couvrira le client Steam, les portails de la communauté Steam, le magasin de jeux Steam, la page de logiciels de Valve, le portail Web de Counter-Strike, le portail Web DOTA 2, le site Web de Team Fortress et les différents sous-domaines.

En outre, si vous pouvez trouver des failles dans le client pour Windows, Mac et Linux, l’utilitaire de ligne de commande, SteamOS, le SDK Steamworks, le SDK mobile, les serveurs Steam dédiés ou l’aspect communauté multijoueur des jeux de Valve, porter des récompenses avec eux aussi bien.

Gardez à l’esprit que si vous rencontrez des exploits ou des bogues en dehors de la portée du programme de primes actuel, vous ne serez pas récompensé pour avoir découvert et découvert ces bogues.

Ce n’est pas parce que Valve veut que les pirates piratent et fassent ouvrir son logiciel que la société donne carte blanche aux serveurs Steam de DDOS et qu’elle ne cautionne pas le spamming, l’ingénierie sociale ou toute attaque terroriste physique contre le siège social de Valve

Toutes les primes importantes sont classées comme critiques, donc si vous pouvez trouver et rapporter n’importe quels bugs de logiciel, vous serez en mesure de faire une pièce décente pour vos efforts.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Lorsque les appareils médicaux sont piratés, la plupart du temps les hôpitaux ne le savent pas.

La menace pour les dispositifs médicaux est réelle et se produit maintenant et c’est un problème de sécurité des patients, beaucoup plus que celui de la conformité HIPAA.

Les trois derniers mois ont vu un record de rappels de dispositifs médicaux, en hausse de 126 % au premier trimestre de 2018 par rapport à l’année dernière, selon l’indice Stericycle Recall. Le plus gros coupable était le logiciel, ce qui n’est pas surprenant compte tenu de l’augmentation des appareils de haute technologie qui fonctionnent souvent sur les systèmes existants.

Alors que de nombreux systèmes de santé ont des plates-formes héritées sur certains aspects de son réseau – pensons aux IRM et aux appareils à rayons X, les dispositifs médicaux sont un outil qui peut directement mettre en danger les patients en cas de défaillance.

« La sécurité sur les appareils n’a pas seulement un impact sur HIPAA, elle affecte la sécurité des patients », a déclaré Christian Dameff, MD, un médecin de salle d’urgence à l’Université de Californie à San Diego.

« Non seulement la sécurité des patients est-elle un réel problème avec une violation d’appareil médical, mais ces piratages sont déjà en cours », a expliqué Jeff Tully, anesthésiste et pédiatre à UC Davis. « WannaCry a paralysé les systèmes hérités du National Health Service du Royaume-Uni et ils n’étaient pas la cible initiale. »

Tully et Dameff ont pris des médecins sans méfiance et les ont placés dans des simulateurs de dispositifs médicaux simulés et ont ensuite demandé s’ils pensaient qu’une pompe avait été piratée.

« Et tous ont dit non » indique Tully. « Ils ont une confiance implicite et ils n’ont pas l’infrastructure. C’est une configuration parfaite pour que [les dispositifs médicaux] soient piratés. »

Le problème est suranné, les systèmes hérités avec des mots de passe codés en dur qui peuvent être trouvés avec une simple recherche Google, a expliqué Tully. Les gens ne cherchent pas ce genre de violation.

Selon la cible, il peut être assez simple d’entrer, a expliqué Dameff. Même si un grand réseau hospitalier est moins susceptible de réussir dans cette zone avec une architecture élaborée et éprouvée, les petits fournisseurs disposant de moins de ressources risquent de ne pas être aussi chanceux.

« La pénurie de sécurité, couplée à l’architecture de ces réseaux, les dispositifs hérités, les systèmes obsolètes – et les surfaces d’attaque énormes – ce sont des dégâts que nous allons nettoyer », a déclaré Dameff.

La paire a étudié les hacks sur les stimulateurs cardiaques, les appareils d’éclairage, les pompes à insuline et similaires, et Tully a déclaré qu’ils démontrent l’impact sur les soins aux patients si un pirate était capable de pénétrer dans l’appareil. Comme les deux sont des médecins actifs, leur mission est personnelle.

« Notre objectif principal est de traduire aux personnes qui ne comprennent pas l’impact sur ceux dans le cadre de soins », a déclaré Dameff. « Ce que nous devons faire est de changer le paradigme pour créer une stratégie pour sécuriser ces appareils. »

L’espoir est de remettre en question les hypothèses et de sensibiliser les OPCC à prendre en compte ces éléments, et de voir les scénarios cliniques qui peuvent se produire lorsqu’un dispositif médical est compromis, explique Tully.

Il s’agit de « reconnaître que ça va arriver, que vais-je faire pour me préparer maintenant ? », A-t-il ajouté.

Tully et Dameff montreront des simulations réelles de l’anatomie d’un hack de dispositif médical au forum HIMSS Healthcare Security à San Francisco.

Un hacker prouve qu’il est facile de pirater l’authentification à deux facteurs.

Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer sur des liens.

Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l’introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L’authentification à deux facteurs (2FA) est considérée comme un moyen d’améliorer considérablement la sécurité, mais il s’avère que leur contournement est assez simple. Notamment les utilisateurs de Facebook qui ont été presque obligé d’utiliser cette méthode de protection anti-piratage.

Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Il a déjà démontré à quel point il est facile de saisir les détails d’un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui pirater ses identifiants de connexion et son accès au site. L’outil Evilginx que Kevin a utilisé pour l’aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.

L’attaque est simple. Il nécessite un e-mail qui semble « correct » pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé.

Si vous cliquez sur le bouton « Connexion » dans l’e-mail, l’internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C’est un autre point auquel un utilisateur suspect va s’arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.

Pendant ce processus, il est possible de pirater le nom d’utilisateur, le mot de passe et le cookie de session du compte LinkedIn. À ce stade, le nom d’utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L’accès est alors accordé.

Ce que Mitnick essaie de prouver est, même avec 2FA, l’utilisateur est le maillon faible. S’il ne prend pas le temps de vérifier où il entre ses informations sécurisées, aucune sécurité dépendant de l’utilisateur, aussi forte soit-elle, ne fonctionnera.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage