Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Protégez vos connexions avec de meilleures protections pour les mots de passe.

Les mots de passe sont quelque chose que presque tout le monde utilise quotidiennement. Qu’il s’agisse de se connecter à des ordinateurs, à des comptes de messagerie, à des comptes de réseaux sociaux ou à des comptes bancaires, les mots de passe garantissent la sécurité de nos vies personnelles en ligne. Avez-vous pris en compte le nombre de comptes en ligne auxquels vous accédez ? En passant par les impôts jusqu’aux cartes de fidélité, vous pourriez facilement avoir besoin d’une centaine ou plus de mots de passe différents et forts.

La plus part des personnes utilisent un mot de passe simple et le réutilisent pour plusieurs comptes. Les cybercriminels parient sur cette pratique lorsqu’ils utilisent différentes méthodes pour accéder aux mots de passe.

A lire aussi : Quelles sont les solutions gratuites pour générer un mot de passe ?

Dans une attaque par force brute, les pirates utilisent un logiciel automatisé qui tente d’interminables combinaisons de lettres, de chiffres et de caractères spéciaux. Une attaque par dictionnaire personnalisée repose sur une base de données remplie de mots, de noms et d’expressions courantes tels que « ilovemykids », « mot de passe » ou « admin123 » pour deviner les connexions les plus utilisées.

Un mot de passe valide qui est hacké dans un piratage de données est une autre façon pour les pirates d’accéder à vos comptes. Il existe des dizaines de sites Web clandestins qui achètent et vendent des noms d’utilisateur et des mots de passe piratés. Les connexions pour les comptes chez Airbnb, CreditKarma et Uber coûtent 15 $ chacune. Les noms d’utilisateur et les mots de passe valides pour les comptes actifs à Navy Federal Credit Union peuvent être achetés pour 60 $ pièce.

Une fois qu’un identifiant de connexion valide est acheté ou piraté, les hackers le comparent régulièrement à des comptes liés à des institutions financières telles que PayPal. S’ils piratent votre compte et que vous réutilisez ce mot de passe pour vos comptes bancaires, vous risquez de perdre beaucoup d’argent. Pire encore, si vous utilisiez ce même mot de passe pour d’autres comptes, les pirates pourraient prendre le contrôle de vos courriels, des réseaux sociaux et d’autres comptes financiers ou pire, ils pourraient voler votre identité.

Il ne suffit pas d’utiliser un mot de passe unique pour chaque site auquel vous accédez, il devrait aussi être fort. Idéalement, les mots de passe devraient être complexes et longs, d’au moins 12 à 15 caractères. Un générateur de mot de passe aléatoire peut en créer de complexes comme ceci : ySSwCxPK. À seulement huit caractères, cela serait craqué dans environ trois heures si un attaquant utilisait un outil automatisé pour essayer 10 000 combinaisons par seconde. En doublant la longueur du mot de passe à 16 caractères (GpDjwmXaLeNHbhfG), il faudrait plus de 100 ans pour déchiffrer le mot de passe à 10 000 tentatives par seconde.

Vous pouvez vérifier la sécurité de votre mot de passe, puis vous engager à utiliser un générateur de mot de passe aléatoire pour chacun de vos comptes. Augmenter le nombre de caractères dans un mot de passe et utiliser des caractères aléatoires plutôt que des mots devinables améliore la sécurité en rendant les attaques en force brute plus difficiles. Après des heures ou des jours d’attaques par force brute, les hackers se déplacent généralement vers des cibles plus faciles.

Certaines personnes utilisent des phrases de mot de passe très long comme l’ouverture à l’adresse de Gettysburg ou un autre passage mémorable. Alors que tout ce qui est de 16 caractères ou plus est hautement sécurisé, il n’est pas facile de le répéter pour les nombreux comptes auxquels on accède et cela conduit inévitablement à l’écriture des connexions. Tant que votre mot de passe est toujours caché, une liste maîtresse fonctionne jusqu’à ce que vous deviez quitter la maison ou partager l’accès à une connexion avec un collègue. Voyager n’importe où avec une liste principale des mots de passe à votre vie en ligne n’est jamais une bonne idée.

L’utilisation de mots de passe uniques et complexes peut limiter les dégâts qu’une seule connexion volée pourrait avoir sur votre sécurité en ligne. L’utilisation de l’authentification à deux facteurs (2FA) pour les comptes en ligne ajoute une autre couche de sécurité. Les utilisateurs doivent saisir la seconde information pour s’identifier lors de la connexion, le plus souvent un code de chiffres qui change à chaque fois. Toutes les entreprises ne proposent pas cela, mais si votre compte l’a, activez-le. L’authentification à deux facteurs rend beaucoup plus difficile la piratage de votre compte avec un mot de passe volé, car le pirate informatique aurait besoin du code d’accès textuel ou envoyé par e-mail pour se connecter à votre compte. Pour une liste des sites Web prenant en charge 2FA, consultez twofactorauth.org.

Même si vous avez des mots de passe forts et que vous ne les réutilisez pas pour plusieurs comptes, vos informations pourraient être piraté.
Une alternative à la création et à la mémorisation de mots de passe complexes, longs et complexes pour chaque site important avec lequel vous traitez est d’externaliser ce problème à un gestionnaire de mots de passe. Un gestionnaire de mots de passe est une application logicielle qui stocke et gère les mots de passe pour les comptes en ligne, en les enregistrant dans un format crypté avec un accès sécurisé aux mots de passe via un mot de passe unique. Un bon gestionnaire de mots de passe aura également un algorithme fort et sécurisé qui génère des mots de passe complexes et aléatoires pour vous. La combinaison de ces deux éléments est la mesure la plus simple que vous pouvez prendre pour améliorer la force et la sécurité de votre mot de passe.

N’oubliez pas de créer un seul mot de passe principal unique et complexe et de ne jamais réutiliser ce mot de passe pour autre chose. Mémorisez un seul mot de passe et vous aurez toujours accès à toutes vos informations de connexion.

Plus important encore, personne d’autre n’aura accès.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les objets connectés Alexa, Siri et l’assistant Google peuvent entendre des commandes que l’oreille humaine ne peut pas entendre.

Cela peut vous sembler un bruit blanc, mais cette astuce peut être manipulée pour contenir les messages qu’Alexa, Siri et Google Assistant comprennent.

Des chercheurs de plusieurs universités des États-Unis et de Chine ont mis au point une méthode de piratage du bruit blanc pour hacker les assistants numériques dans l’exécution de commandes.

Appelé « audio contradictoire », l’astuce consiste à créer « une fonction de perte » basée sur CTC [connectionist temporal classification] perte qui prend une transcription désirée et un fichier audio en entrée et renvoie un nombre réel en sortie, explique U.C. Candidat au doctorat à Berkeley Nicholas Carlini.

L’enregistrement du piratage est exécuté à travers un processus appelé descente de gradient jusqu’à ce que la distorsion soit minimisée mais toujours efficace pour déclencher une réponse d’assistants numériques comme Siri, Alexa et l’Assistant Google.

Des expériences comme celles-ci font ressortir un problème qui ne fera que grandir au fur et à mesure que les assistants numériques deviendront plus omniprésents : ils peuvent être piratés de façon nouvelle et différente puisqu’ils s’appuient sur des commandes vocales.

Comme le souligne Sheng Shen de l’Université de l’Illinois à Urbana-Champaign, les commandes n’ont même pas besoin d’être audibles, elles peuvent être ultrasoniques. Shen s’est penché sur la possibilité de commandes en dehors de la gamme des ouvertures d’audition humaine, en passant des commandes en ligne et en faisant d’autres choses malveillantes sans que le propriétaire de l’appareil entende une seule chose.

Les entreprises avec des assistants numériques ou des enceintes intelligentes devraient-elles être inquiètes ?

Les assistants numériques connaissent une popularité croissante, mais ils sont encore une technologie relativement nouvelle. Je me souviens quand la reconnaissance de la parole était si pauvre que c’était comique, et maintenant seulement une dizaine d’années plus tard, les machines peuvent reconnaître la parole aussi bien, sinon mieux, que les humains.

La reconnaissance vocale de l’IA est encore à ses balbutiements, ce qui signifie que les gens trouveront des façons intéressantes de la hacker. Comme utiliser un sifflet Cap’n Crunch d’une boîte de céréales pour tromper les téléphones payants en donnant des appels gratuits, cette dernière attaque est simplement l’évolution de l’utilisation d’un système contre lui-même, et rendra les assistants numériques (comme avec les téléphones) plus sûrs. le long terme.

Ceux qui utilisent des assistants numériques devraient-ils être concernés en ce moment ? Pas nécessairement. Les exploits actuels ont une portée relativement étroite et leur utilisation répandue est peu probable à ce stade.

L’équipe de Carlini a créé des enregistrements conçus pour tromper Google Assistant, mais en réalité, ils ne réussissent que contre DeepSpeech de Mozilla. 100 % de réussite, mais seulement avec succès contre un moteur de synthèse vocale qui est peu utilisé par rapport à Google Assistant, Siri et Alexa.

Il est peu probable qu’un pirate qui se cache dans les buissons puisse pirater votre Amazon Echo en utilisant son smartphone de sitôt. Espérons que Google, Amazon et Apple feront leurs propres recherches et corrigeront les exploits de reconnaissance de la parole avant qu’ils ne deviennent monnaie courante.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les applications Android peuvent suivre les connexions réseaux. Est-il temps d’utiliser un VPN ?

Alors que Google est enfin sur le point de résoudre le problème des applications de surveillance de l’activité du réseau, cela ne se produira que sur la prochaine version d’Android, connue sous le nom d’Android P.

Pendant des années, les applications ont été en mesure de découvrir quelles autres applications se connectaient à Internet, quand elles se connectent et à quoi elles se connectent. Bien qu’ils ne puissent pas accéder au contenu transmis, ils peuvent identifier n’importe quelle connexion pour voir si les applications se connectent à un certain serveur, tel que le serveur d’une institution financière.

NordVPN dit que Google Play était rempli de trackers cachés et que chaque application téléchargée mettait les victimes dans un « réseau de surveillance ».

Alors que Android P est uniquement en phase bêta, NordVPN indique que les utilisateurs Android peuvent rencontrer d’autres failles de sécurité avant que le système d’exploitation ne commence à être déployé sur tous les périphériques.

La plupart des applications auront toujours un accès illimité à l’activité réseau au moins jusqu’en 2019. À partir de 2019, Android utilisera une nouvelle logique pour la façon dont les applications accèdent aux API.

«Le suivi des utilisateurs sans leur consentement mine la confidentialité et la sécurité de base», commente Marty P. Kamden, directeur marketing de NordVPN.

« Les applications peuvent surveiller l’activité du réseau même sans demander d’autorisations sensibles. En outre, cette faille de confidentialité pourrait facilement être exploité à des fins malveillantes, par exemple, lorsque l’historique de navigation de l’utilisateur est collecté, son profil en ligne peut être créé. »

Il est indiqué que Google est responsable de la protection de l’activité réseau des utilisateurs contre le suivi, mais les utilisateurs devraient également utiliser des moyens supplémentaires pour protéger leur vie privée en ligne. Un VPN est un moyen pour les utilisateurs de se connecter à Internet.

NordVPN offre cinq conseils aux utilisateurs d’Android qui veulent protéger leurs appareils.

1. Assurez-vous de ne pas télécharger de fausses applications, ne cliquez pas sur les messages d’hameçonnage. Les applications originales de Google Play peuvent comporter des trackers qui vendent les données des utilisateurs aux annonceurs. Cependant, les fausses applications sont encore plus dangereuses.

En implantant de fausses applications sur les appareils des gens, les pirates informatiques ou même les gouvernements peuvent assembler des messages texte, l’historique de navigation, les journaux d’appels et les données de localisation.

Les cibles peuvent être suivies et leurs données peuvent être volées, car ils ont téléchargé une fausse version d’applications de messagerie comme Signal ou WhatsApp à travers des messages d’hameçonnage reçus sur Facebook ou WhatsApp.

2. Soyez sérieux au sujet des mots de passe. La plupart des utilisateurs d’Internet réutilisent le même mot de passe sur plusieurs comptes. Une fois qu’un pirate est capable de lire l’un des mots de passe d’une personne, il peut déverrouiller tous ses appareils et lire ses courriels, entrer ses comptes bancaires, etc. La meilleure façon de procéder est l’un des gestionnaires de mots de passe qui génèrent et stockent différents mots de passe pour chaque compte.

3. Acceptez toutes les mises à jour logicielles et correctifs de sécurité. Les appareils Android de la même manière qu’Apple ont récemment révélé des vulnérabilités de processeur, conçues pour pirater un smartphone. La seule façon d’éviter ces défauts de puce Intel, AMD et ARM est de mettre à jour le téléphone chaque fois que des correctifs sont publiés.

4. Installez un VPN. Vous avez peut-être téléchargé des applications sans logiciel malveillant et installé les derniers correctifs de sécurité, mais toutes vos communications et votre navigation sur Internet peuvent toujours être interceptées si vous n’utilisez pas de VPN. Un VPN crypte en toute sécurité toutes les informations circulant entre un appareil et un serveur VPN. Il est indispensable sur tous les appareils, en particulier s’ils utilisent des réseaux WiFi ouverts.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Valve vous paiera pour pirater Steam.

Dans une bizarre tournure du destin, au lieu d’appeler la police à cause des pirates informatiques, de forcer le FBI à les arrêter ou d’essayer de déboucher des avocats après avoir essayé de trouver un nouveau logiciel, Valve paie des gens pour pirater Steam.

Selon HackerOne, Valve est en train de payer des hackers pour pirater Steam. L’objectif est d’améliorer les fonctionnalités de sécurité et l’ergonomie de Steam ainsi donc Valve lance un programme de primes HackerOne pour récompenser les pirates avec l’opportunité de gagner de l’argent en trouvant des problèmes de connexion, exploits, fraude potentielle ou problèmes techniques qui peuvent être hackés.

Le programme de prime a un niveau de récompenses, y compris un score CVSS basé sur les problèmes faibles, moyens, élevés et critiques qui sont pesés sur une carte de score minimum / maximum. Au minimum, vous gagnerez 0 $ pour simplement signaler un défaut de sécurité faible, mais l’avantage est que si c’est un défaut de sécurité faible jugé digne d’une attention immédiate, il peut également justifier un paiement maximal de 200 $.

Les problèmes moyens valent beaucoup plus, à partir d’un minimum de 250 $ si le CVSS se situe entre 4,0 et 6,9. À la limite supérieure des émissions moyennes, vous recevrez un maximum de 1 000 $, ce qui est assez impressionnant.

Sur le haut de gamme, les choses deviennent vraiment intéressantes. Les problèmes de sécurité qui se situent entre 7,0 et 8,9 sur l’échelle CVSS vous rapporteront un minimum de 500 $ et bien plus de 2 000 $ dans le haut de la fourchette.

Ce qui est intéressant est que la dernière entrée, les problèmes critiques classés entre un CVSS de 9,0 et 10,0 commencent à 1500 $ mais il n’y a pas de plafond sur le paiement maximum, ce qui signifie qu’il pourrait être très lucratif si quelqu’un réussissait à trouver une faille de sécurité très dangereuse.

Valve centre la chasse aux primes d’exploitation autour du client Steam et des jeux internes de Valve, tels que Half-Life, Team Fortress et Portal. Le programme de primes couvrira le client Steam, les portails de la communauté Steam, le magasin de jeux Steam, la page de logiciels de Valve, le portail Web de Counter-Strike, le portail Web DOTA 2, le site Web de Team Fortress et les différents sous-domaines.

En outre, si vous pouvez trouver des failles dans le client pour Windows, Mac et Linux, l’utilitaire de ligne de commande, SteamOS, le SDK Steamworks, le SDK mobile, les serveurs Steam dédiés ou l’aspect communauté multijoueur des jeux de Valve, porter des récompenses avec eux aussi bien.

Gardez à l’esprit que si vous rencontrez des exploits ou des bogues en dehors de la portée du programme de primes actuel, vous ne serez pas récompensé pour avoir découvert et découvert ces bogues.

Ce n’est pas parce que Valve veut que les pirates piratent et fassent ouvrir son logiciel que la société donne carte blanche aux serveurs Steam de DDOS et qu’elle ne cautionne pas le spamming, l’ingénierie sociale ou toute attaque terroriste physique contre le siège social de Valve

Toutes les primes importantes sont classées comme critiques, donc si vous pouvez trouver et rapporter n’importe quels bugs de logiciel, vous serez en mesure de faire une pièce décente pour vos efforts.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Lorsque les appareils médicaux sont piratés, la plupart du temps les hôpitaux ne le savent pas.

La menace pour les dispositifs médicaux est réelle et se produit maintenant et c’est un problème de sécurité des patients, beaucoup plus que celui de la conformité HIPAA.

Les trois derniers mois ont vu un record de rappels de dispositifs médicaux, en hausse de 126 % au premier trimestre de 2018 par rapport à l’année dernière, selon l’indice Stericycle Recall. Le plus gros coupable était le logiciel, ce qui n’est pas surprenant compte tenu de l’augmentation des appareils de haute technologie qui fonctionnent souvent sur les systèmes existants.

Alors que de nombreux systèmes de santé ont des plates-formes héritées sur certains aspects de son réseau – pensons aux IRM et aux appareils à rayons X, les dispositifs médicaux sont un outil qui peut directement mettre en danger les patients en cas de défaillance.

« La sécurité sur les appareils n’a pas seulement un impact sur HIPAA, elle affecte la sécurité des patients », a déclaré Christian Dameff, MD, un médecin de salle d’urgence à l’Université de Californie à San Diego.

« Non seulement la sécurité des patients est-elle un réel problème avec une violation d’appareil médical, mais ces piratages sont déjà en cours », a expliqué Jeff Tully, anesthésiste et pédiatre à UC Davis. « WannaCry a paralysé les systèmes hérités du National Health Service du Royaume-Uni et ils n’étaient pas la cible initiale. »

Tully et Dameff ont pris des médecins sans méfiance et les ont placés dans des simulateurs de dispositifs médicaux simulés et ont ensuite demandé s’ils pensaient qu’une pompe avait été piratée.

« Et tous ont dit non » indique Tully. « Ils ont une confiance implicite et ils n’ont pas l’infrastructure. C’est une configuration parfaite pour que [les dispositifs médicaux] soient piratés. »

Le problème est suranné, les systèmes hérités avec des mots de passe codés en dur qui peuvent être trouvés avec une simple recherche Google, a expliqué Tully. Les gens ne cherchent pas ce genre de violation.

Selon la cible, il peut être assez simple d’entrer, a expliqué Dameff. Même si un grand réseau hospitalier est moins susceptible de réussir dans cette zone avec une architecture élaborée et éprouvée, les petits fournisseurs disposant de moins de ressources risquent de ne pas être aussi chanceux.

« La pénurie de sécurité, couplée à l’architecture de ces réseaux, les dispositifs hérités, les systèmes obsolètes – et les surfaces d’attaque énormes – ce sont des dégâts que nous allons nettoyer », a déclaré Dameff.

La paire a étudié les hacks sur les stimulateurs cardiaques, les appareils d’éclairage, les pompes à insuline et similaires, et Tully a déclaré qu’ils démontrent l’impact sur les soins aux patients si un pirate était capable de pénétrer dans l’appareil. Comme les deux sont des médecins actifs, leur mission est personnelle.

« Notre objectif principal est de traduire aux personnes qui ne comprennent pas l’impact sur ceux dans le cadre de soins », a déclaré Dameff. « Ce que nous devons faire est de changer le paradigme pour créer une stratégie pour sécuriser ces appareils. »

L’espoir est de remettre en question les hypothèses et de sensibiliser les OPCC à prendre en compte ces éléments, et de voir les scénarios cliniques qui peuvent se produire lorsqu’un dispositif médical est compromis, explique Tully.

Il s’agit de « reconnaître que ça va arriver, que vais-je faire pour me préparer maintenant ? », A-t-il ajouté.

Tully et Dameff montreront des simulations réelles de l’anatomie d’un hack de dispositif médical au forum HIMSS Healthcare Security à San Francisco.