Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Un hacker prouve qu’il est facile de pirater l’authentification à deux facteurs.

Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer sur des liens.

Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l’introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L’authentification à deux facteurs (2FA) est considérée comme un moyen d’améliorer considérablement la sécurité, mais il s’avère que leur contournement est assez simple. Notamment les utilisateurs de Facebook qui ont été presque obligé d’utiliser cette méthode de protection anti-piratage.

Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Il a déjà démontré à quel point il est facile de saisir les détails d’un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui pirater ses identifiants de connexion et son accès au site. L’outil Evilginx que Kevin a utilisé pour l’aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.

L’attaque est simple. Il nécessite un e-mail qui semble « correct » pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé.

Si vous cliquez sur le bouton « Connexion » dans l’e-mail, l’internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C’est un autre point auquel un utilisateur suspect va s’arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.

Pendant ce processus, il est possible de pirater le nom d’utilisateur, le mot de passe et le cookie de session du compte LinkedIn. À ce stade, le nom d’utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L’accès est alors accordé.

Ce que Mitnick essaie de prouver est, même avec 2FA, l’utilisateur est le maillon faible. S’il ne prend pas le temps de vérifier où il entre ses informations sécurisées, aucune sécurité dépendant de l’utilisateur, aussi forte soit-elle, ne fonctionnera.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

La police de la ville utilise les simulateurs de Lego pour enseigner aux entreprises la cybersécurité.

La police de la ville de Londres propose de former les chefs d’entreprise et la sécurité informatique à la cybersécurité en utilisant une simulation de Lego étonnamment proche de la réalité.

Le conseil d’administration a eu des décisions difficiles à prendre. L’entreprise venait de reprendre une centrale hydro-électrique.

Les systèmes informatiques de bureau et le système de contrôle industriel SCADA étaient connectés à Internet et tous étaient potentiellement menacés par les pirates informatiques et les virus. Il y avait peu ou pas de sécurité en place (voir 46 % des organisations ne changent jamais de stratégie de cybersécurité, même après une attaque ou un piratage).

Bienvenue dans le jeu de simulation de cyber sécurité de la police de la ville de Londres. Dévoilé cette semaine dans le cadre du programme Cyber Griffin de la force pour aider les entreprises du Square Mile à améliorer leur sécurité, le jeu vise à encourager les conseils d’administration et leurs équipes informatiques à réfléchir et à se préparer aux problèmes de sécurité avant qu’ils ne surviennent.

En tant qu’administrateurs, nous avions un budget annuel de sécurité de 100 000 £ et un large éventail d’options pour le dépenser. Pare-feux, antivirus, vidéosurveillance, audits d’actifs, évaluations de menaces, mises à niveau du système d’exploitation et formation à la sécurité, nous en avions besoin, mais avec un budget limité, nous devions établir des priorités.

Tout le monde a échangé avec leurs pensées :

« Nous pourrions commencer par les bases comme l’anti-virus, puis faire une évaluation de la menace plus tard. »

« Nous avons aussi besoin de vidéosurveillance parce que nous ne savons pas qui travaille là-bas. »

« Nous avons également besoin d’un pare-feu dans le bureau, car ils sont tous sur Facebook à l’heure du déjeuner. »

« Qu’en est-il des risques de GDPR [General Data Protection Regulation] ? Si les emails de nos clients sont piratés, nous pourrions être exposés à d’énormes demandes de rançons, ce qui mettrait l’entreprise en faillite. »

Les discussions étaient à la fois provocatrices et exaspérantes. Quel que soit le choix que nous avons fait, nous étions, par défaut, en laissant une autre partie de l’entreprise vulnérable.

Ben Shreeve, auparavant à l’Université de Lancaster et qui fait maintenant partie du groupe de cybersécurité de l’Université de Bristol, a développé le jeu pour aider les chefs d’entreprise à comprendre les complexités de la cybersécurité.

La centrale électrique est fabriquée à partir de Lego et les joueurs peuvent choisir de dépenser leur budget de sécurité annuel sur une gamme d’options parfois déconcertante, représentée par des cartes à jouer de couleur.

Prendre la mauvaise décision et vous risquez d’être piraté, attaqué, condamné à une demande de rançon par les hackers et potentiellement faire faillite.

Au cours des deux dernières années, de nombreuses entreprises ont pris part au jeu et ont attiré l’attention des forces de police à l’extérieur de la ville de Londres, y compris la police métropolitaine et les forces régionales.

Charlie Morrison est sergent dans l’unité de cybercriminalité de la police de la ville de Londres. Il encourage les administrateurs à jouer au jeu avec leur équipe de sécurité informatique dans le cadre du programme Cyber Griffin.

« Il y a pas mal de batailles entre les PDG et les informaticiens », a-t-il déclaré. «Les informaticiens sont fondamentalement frustrés par le fait qu’ils ont besoin des PDG pour comprendre les problèmes. Les PDG estiment que c’est un problème fondamentalement technique. Et chacun d’eux, à travers ses propres expériences, sent que l’autre est en faute.  »

Au bout de deux heures, les membres du conseil commencent à voir leurs spécialistes en informatique sous un jour différent, dit Morrison. Ils réalisent que la sécurité est une question de conseil, mais la réputation et la mission de l’entreprise sont entre les mains du département informatique.

« Nous pensons que le jeu est un très bon moyen de faire en sorte que les décideurs de ces entreprises réfléchissent aux concepts de la cybersécurité », a-t-il déclaré. « Le jeu est vraiment bon pour vous amener à réfléchir à ces choses avant la journée. »

Il n’y a jamais eu un plus grand besoin de formation en cybersécurité. Le nombre de violations de données, orchestrées pour la plupart par des organisations parrainées par l’État, a atteint des niveaux records l’an dernier, selon une étude du National Cyber Security Center.

Les sociétés touchées comprenaient Yahoo, qui a admis que trois millions de clients avaient été touchés par une violation en 2013 et Equifax, où des informations personnellement identifiables sur 145 millions d’utilisateurs américains et 700 000 utilisateurs britanniques ont été compromises.
Fraude de PDG

Beaucoup de ces attaques ne commencent pas avec la technologie, mais avec les gens et l’erreur commise par de nombreux conseils lors de la simulation est de se concentrer trop sur les solutions technologiques. De nombreuses attaques commencent par l’envoi de courriels d’hameçonnage par des criminels, qui tentent d’inciter les membres du personnel à ouvrir des documents liés à des logiciels malveillants.

Les groupes criminels organisés et les groupes parrainés par des États-nations peuvent faire des efforts extrêmes pour rechercher une cible sur les médias sociaux afin de créer une attaque de harponnage extrêmement convaincante.

« Nous sommes tombés sur un incident où il y avait un peu de surf sur l’épaule quelqu’un dans une pièce dans un café, à l’écoute », a déclaré Morrison. « C’est quelque chose qui, à ma connaissance, est arrivé mais c’est très rare. »
Morrison a rencontré des entreprises qui ont été victimes d’une attaque de phishing sophistiquée, dans laquelle un criminel avait envoyé un courriel prétendant provenir du PDG demandant le transfert immédiat de centaines de milliers de livres vers un compte bancaire. L’escroquerie connue sous le nom de l’arnaque au faux président est étonnamment commune et il n’est pas inhabituel pour les entreprises de perdre d’énormes sommes d’argent.

Dans un autre cas, un criminel est entré dans un bureau avec un kit de nettoyage, disant qu’il était là pour nettoyer les Macs. Le jour suivant, l’entreprise a découvert que 20 ordinateurs étaient manquants.

Mais la cybercriminalité est difficile à contrôler. « Vous ne pouvez pas nécessairement arrêter votre sortie du problème à cause de la manière transnationale, multipliée par voie électronique, il fonctionne », a déclaré Morrison. « Vous avez également des difficultés à trouver des victimes en raison de la nature sous-déclarée du crime. »

Mais des initiatives comme le jeu de cyber-sécurité de la police de la ville de Londres peuvent faire une grande différence. Les principales menaces à la cybersécurité sont les suivantes : les script kiddies, qui utilisent des outils de piratage pour trouver des systèmes informatiques vulnérables; les hacktivistes, motivés politiquement; les groupes criminels organisés, qui veulent gagner de l’argent; et les États-nations.

« Si je regardais n’importe quel autre domaine de la police, je chercherais des tactiques très différentes pour essayer de les combattre », a déclaré Morrison. Mais dans la cybercriminalité, les mêmes défenses ont un impact contre tous les attaquants. « C’est une énorme opportunité », at-il ajouté.

Le programme Cyber Griffin de la police de la ville de Londres vise à aider les entreprises de la ville à mieux se préparer à répondre aux cyberattaques. Cela inclut l’envoi de formateurs spécialisés dans des entreprises pour leur parler de leurs plans de continuité d’activité. Le programme couvrira les menaces et les plans de redressement, aidera l’entreprise à voir comment elle perçoit les risques et ce qu’elle doit faire pour les réduire.

Un autre domaine où la police de la ville de Londres croit qu’elle a quelque chose à offrir est d’enseigner aux entreprises comment utiliser les techniques de prise de décision de la police lors d’une simulation de cyberattaque sous haute pression. Les entreprises qui y participent peuvent s’attendre à ce que les attaquants aient fait leurs devoirs et se soient préparés aux attaques d’ingénierie sociale qu’ils peuvent utiliser contre les dirigeants de l’entreprise.

« Cela va mettre l’accent sur le processus de prise de décision », a déclaré Morrison. « Le résultat final serait que l’entreprise a eu l’occasion de forer son plan et si elle le juge utile, d’utiliser les mécanismes de police pour prendre des décisions. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Nouvelle attaque de hacker, Rowhammer peut être utilisé pour pirater les appareils Android à distance.

Des chercheurs de Vrije Universiteit à Amsterdam ont démontré qu’il est possible d’utiliser une attaque Rowhammer pour pirater à distance les téléphones Android.

Qu’est-ce qu’une attaque Rowhammer ?

« L’attaque Rowhammer cible la conception de la mémoire DRAM. Sur un système où la DRAM n’est pas suffisamment rafraîchie, des opérations ciblées sur une rangée de mémoire DRAM peuvent influencer les valeurs de mémoire sur les lignes voisines », explique succinctement la division CERT du Software Engineering Institute (SEI) de l’université Carnegie Mellon.

Le résultat d’une telle attaque est que la valeur d’un ou plusieurs bits dans la mémoire physique (dans ce cas, la mémoire GPU) est inversée et peut offrir un nouvel accès au système cible.

Les attaques réussies de Rowhammer ont déjà été démontrées contre des machines locales, des machines distantes et des machines virtuelles Linux sur des serveurs cloud.

L’attaque de GLitch.

Les chercheurs ont baptisé leur attaque « GLitch », car elle exploite WebGL, une API JavaScript pour rendre les graphiques interactifs dans les navigateurs Web, pour déterminer la disposition physique de la mémoire de la mémoire DRAM avant de commencer l’attaque Rowhammer ciblée.

Les smartphones vulnérables peuvent être ciblés en incitant les utilisateurs à visiter un site Web hébergeant un JavaScript malveillant. Une exploitation réussie entraîne l’exécution d’un code malveillant sur les appareils, mais uniquement dans le cadre du privilège du navigateur, ce qui signifie qu’une compromission complète de l’appareil n’est pas possible mais que le vol de mot de passe est.

« L’impact de la combinaison de l’attaque par canal latéral et de l’attaque de Rowhammer a été démontré pour contourner le bac à sable de Firefox sur la plate-forme Android », a noté la division SEI CERT.

« Il est important de comprendre que l’attaque de GLitch n’a été démontrée qu’avec succès sur le téléphone Nexus 5, sorti en 2013. Le téléphone Nexus 5 a reçu sa dernière mise à jour de sécurité logicielle en octobre 2015 et est donc déjà un utilisation. Plusieurs autres téléphones lancés en 2013 ont été testés, mais n’ont pas pu être attaqués avec succès avec l’attaque de GLitch. Les taux de réussite sur les téléphones plus récents que les modèles 2013 n’ont pas été fournis. Les appareils non Android n’ont pas été testés.  »

Les chercheurs ont indiqué à Wired que l’attaque pouvait être modifiée pour cibler différentes architectures de téléphones et différents navigateurs.

Pour atténuer le risque de cette attaque particulière, Google et Mozilla ont déjà publié des mises à jour pour Chrome et Firefox qui désactivent les minuteurs WebGL de haute précision utilisés pour fuir les adresses mémoire.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un hacker désactive le système public de vélos de ville de Copenhague.

Un hacker non identifié a piraté le réseau de vélos de ville de Bycyklen de Copenhagen et a supprimé la base de données complète de l’organisation, ce qui a empêché l’accès du public aux bicyclettes pendant le week-end.

Le piratage a eu lieu dans la nuit du vendredi 4 au samedi 5 mai, a indiqué l’organisation sur son site internet.

Bycyklen a qualifié le piratage de « plutôt primitif », faisant allusion au fait qu’il aurait pu être réalisé « par une personne ayant une grande connaissance de son infrastructure informatique ».
Tous les vélos étaient en panne samedi !

Tous les 1 860 vélos de l’organisation étaient en panne samedi matin à cause du piratage.

Les vélos concernés fonctionnent avec une tablette Android qui se connecte à la base de données Bycyklen pour enregistrer les détails de location des vélos exposés à travers la ville. Sans la base de données, les utilisateurs n’étaient pas en mesure de déverrouiller les vélos de leurs supports. Les utilisateurs locaux peuvent également créer des comptes en utilisant leurs e-mails pour déverrouiller les vélos plus rapidement.

Bycyklen a déclaré sur Facebook que la résolution du problème nécessitait une mise à jour manuelle de tous les vélos. Les employés ont restauré 200 vélos samedi après avoir repéré les vélos et redémarré la tablette Android.

L’entreprise a déclaré que la remise en état de tous les vélos « prendrait du temps ».

Bycyklen indique que le hacker n’a pas pris de données utilisateur.

Dans une mise à jour sur son site Web publié lundi, Bycyklen a déclaré qu’après avoir terminé l’analyse de l’attaque, il n’a trouvé aucun signe de piratage de données par le pirate informatique.

« L’attaque visait directement notre entreprise, pas nos utilisateurs », a déclaré la compagnie. « Nous ne conservons pas les informations relatives aux cartes de paiement, mais nous conservons uniquement les adresses e-mail, les numéros de téléphone et les codes PIN de nos utilisateurs pour les vélos Bycyklen. »

« Pour des raisons de sécurité, nous encourageons tous nos utilisateurs à changer leur code PIN dès que possible », a déclaré la société. Bycyklen organise maintenant une « chasse au trésor » sur sa page Facebook, demandant aux utilisateurs de signaler un dysfonctionnement, afin que les employés puissent les mettre à jour et les restaurer.

Le piratage est arrivé à un moment très gênant, car Copenhague accueille également le Championnat du monde de hockey sur glace.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Correction d’un bug Windows critique aujourd’hui activement exploité pour pirater les utilisateurs.

Microsoft a corrigé mardi deux vulnérabilités de Windows que les pirates exploitent activement dans la nature pour installer des applications malveillantes sur les ordinateurs des utilisateurs involontairements.

La première vulnérabilité réside dans le moteur VBScript inclus dans toutes les versions actuellement prises en charge de Windows. Ce que l’on appelle une faille « use-after-free » impliquant la façon dont le moteur traite la mémoire de l’ordinateur permet aux pirates d’exécuter le code de leur choix qui s’exécute avec les mêmes privilèges système choisis par l’utilisateur connecté. Lorsque des utilisateurs ciblés sont connectés avec des droits d’administration, les attaquants qui exploitent le bug peuvent prendre le contrôle total du système. Dans le cas où les utilisateurs sont connectés avec des droits plus limités, les pirates peuvent toujours être en mesure d’augmenter les privilèges en exploitant une vulnérabilité distincte.

CVE-2018-8174, comme la faille est formellement indexée, est activement exploitée par des attaquants, ont indiqué les responsables de Microsoft. La vulnérabilité a été découverte par le fournisseur d’antivirus Kaspersky Lab, qui l’a ensuite signalé à Microsoft.
Cette faille concerne notamment :
– Les cibles reçoivent un document RTF Microsoft Office malveillant.
– Après son ouverture, le document malveillant entraîne le téléchargement de la seconde étape de l’exploit sous la forme d’une page HTML avec code malveillant.
– Le code malveillant déclenche le bug de mémoire use-after-free.
– Le shellcode d’accompagnement télécharge et exécute ensuite une charge utile malveillante.

Le chercheur en sécurité de Kaspersky Lab, Anton Ivanov, a écrit ce qui suit dans un email :

« Cette technique, jusqu’à sa correction, permettait aux criminels de forcer Internet Explorer à se charger, quel que soit le navigateur utilisé, augmentant ainsi une surface d’attaque déjà énorme… Nous invitons les organisations et les utilisateurs privés à installer immédiatement les correctifs récents, car il faudra longtemps avant que les exploits de cette vulnérabilité ne deviennent des kits d’exploitation populaires et ne seront pas seulement utilisés par des acteurs sophistiqués de la menace, mais aussi par des cybercriminels standards. »

Dans un avis publié mardi, les responsables de Microsoft ont déclaré que les attaquants pourraient également exploiter la vulnérabilité en hébergeant un exploit sur un site Web ou dans des publicités de site Web et en trompant une cible pour afficher le contenu malveillant avec le navigateur IE. Ni Microsoft ni Kaspersky Lab n’ont fourni de détails sur les personnes qui exploitent la vulnérabilité, sur les personnes exploitées ou sur l’ampleur des failles. Microsoft a attribué à CVE-2018-8174 la note « critique », la note de gravité la plus élevée de l’entreprise.

La deuxième vulnérabilité est une faille d’escalade de privilèges dans le composant Win32k de Windows. « Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau », ont écrit les responsables de Microsoft dans un avis séparé. « Un hacker pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec des droits d’utilisateur complets. » Le défaut est noté « important », un niveau inférieur à « critique ». Microsoft n’a pas fourni de détails sur les exploits in-the-wild.

Au total, Microsoft a publié 68 bulletins de sécurité mardi dans le cadre de sa publication mensuelle des correctifs. Vingt-et-un correctifs ont été jugés critiques, 45 ont été jugés importants et deux ont été jugés de faible gravité. D’autres bulletins remarquables ont corrigé des vulnérabilités d’exécution de code à distance dans les environnements Hyper-V et Hyper-V SMB de Microsoft et une vulnérabilité d’usurpation de SDK Azure IoT.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage