Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

L’iPhone iOS 11.1 piraté

Un jour après la sortie d’iOS 11.1, les chercheurs en sécurité ont déjà hacké le système.

Les nouvelles de ces exploits sont venues du concours Mobile Pwn2Own de Trend Micro à Tokyo, où les chercheurs en sécurité ont découvert deux vulnérabilités dans Safari, le navigateur du système d’exploitation mobile.

Il a fallu quelques secondes aux chercheurs de Tencent Keen Security Lab pour exploiter deux bugs :
– Un dans le navigateur et un dans un service système qui permet à une application malveillante de persister pendant un redémarrage
– Un autre bug dans Safari a permis aux chercheurs de pirater le sandbox du navigateur et d’exécuter du code malveillant.

Les bugs ont valu aux chercheurs une récompense de 70 000 $.

Mais les détails spécifiques des exploits ne seront pas rendus publics tant qu’Apple n’aura pas corrigé les bugs ou qu’une période de divulgation d’une durée de trois mois expire.

On ne sait pas quand Apple va réparer le dernier bugs iOS 11.1.

iOS 11.1, la dernière version du système d’exploitation iPhone et iPad, a été lancée mardi, avec plusieurs nouvelles fonctionnalités, emojis et des correctifs de sécurité y compris un correctif pour la vulnérabilité du réseau sans fil KRACK. Nous avions aussi déjà parlé des failles de sécurité de OS X et iOS 8 dans un précédent article.

Le logiciel a également corrigé 19 vulnérabilités supplémentaires, a confirmé Apple.

Ce n’est pas la première fois qu’Apple reste sur ses problèmes de sécurité. En septembre, un chercheur en sécurité a découvert une vulnérabilité le jour même du lancement du nouveau système d’exploitation d’Apple, macOS High Sierra. Apple a corrigé le bug une semaine plus tard.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les réseaux WiFi non sécurisés pourraient être hackés

Les réseaux WiFi non protégés pourraient être exposés à des hacks.

La connexion au WiFi a toujours eu le potentiel de laisser les internautes ouverts aux attaques de sécurité qui pourraient compromettre la sécurité des informations sensibles. Maintenant, de nouvelles recherches indiquent que le système d’authentification utilisé dans la majorité des connexions sans fil, à la maison et au bureau, est vulnérable à une faille de sécurité qui permet aux pirates d’intercepter les données personnelles partagées entre les appareils et les réseaux.

Les pirates peuvent tirer parti de l’incapacité du réseau à discerner un utilisateur de périphérique ordinaire d’un pirate qui imite le périphérique de quelqu’un d’autre. Lors de la connexion à un réseau, le système génère une séquence de numéros de nonce aléatoire qui permet à l’utilisateur de l’appareil et au réseau de communiquer dans un « handshake » confidentiel. Cependant, les pirates informatiques peuvent réutiliser cette clé de session pour écouter les données échangées entre l’utilisateur et le réseau.

Google et Microsoft ont tous deux réagi en publiant des correctifs de mise à jour pour protéger les internautes, mais de nombreux fabricants de routeurs n’ont pas encore réagi. Bien qu’il n’y ait aucune preuve directe jusqu’à présent que la faille dans le système ait été exploitée par des pirates informatiques, cette menace de piratage de la sécurité WiFi met en évidence un problème plus sérieux dans l’utilisation d’Internet aujourd’hui.

Ces failles de sécurité sont symptomatiques d’un monde où il existe une division croissante entre les «laïcs techniques» et les codeurs informatiques. La majorité des personnes qui naviguent sur Internet et se connectent à des réseaux le font sans la moindre connaissance du fonctionnement de l’infrastructure d’échange de données.

Nous ne pouvons plus naviguer sur Internet et utiliser des appareils avec la confiance naïve et aveugle dont nous avons bénéficié dans le passé. Il est curieux que seulement maintenant, en 2017, un problème comme celui-ci est trouvé sa popularité dans les nouvelles actuelles. En réalité, le manque de sécurité dans les réseaux est présent depuis plus de deux décennies. Fini le cryptage des mots de passe WEP et WPA : ils peuvent maintenant être piratés en quelques minutes. Au lieu de cela, le chiffrement WPA2 plus sécurisé reste la norme de l’industrie.

Mais aucun réseau WiFi ne peut pas être piraté et cette découverte récente nous rappelle brutalement qu’Internet n’est pas aussi sûr que nous le croyions.

Les entreprises technologiques ont réagi rapidement, encourageant les utilisateurs à surexploiter ces menaces et pour l’instant aucune donnée n’a été interceptée de manière malveillante. Cependant, la plupart des utilisateurs d’Internet n’a aucun moyen d’obtenir une assurance complète à ce sujet; ils n’ont tout simplement pas les compétences pour le vérifier.

Dans la crainte du piratage, beaucoup considèrent le gouvernement comme une source de cyber-régulation. En effet, Theresa May a proposé un nouveau manifeste sur la sécurité sur Internet dans lequel le gouvernement tenterait d’acquérir sa souveraineté sur le web et restreindrait la présence d’espaces de communication en ligne, principalement pour cibler le terrorisme.

Cependant, ces plans ont fait l’objet d’un examen minutieux, car les boucliers du gouvernement actuel peuvent être maîtrisés par n’importe quel enfant de 10 ans avec un iPhone et un VPN en quelques secondes. De plus, cette surveillance du grand frère de l’utilisation de l’Internet met fin à la distinction entre protéger les gens et les espionner.

Les voix cyber anarchistes du début des années 2000 nous rappellent que l’insécurité et l’absence de redevabilité des réseaux représentent la nature même d’Internet. C’est une partie de la société actuelle qui reste étonnamment non modérée et incontrôlée par rapport à la presse écrite et à d’autres formes d’expression sociopolitique.

Il semble que lorsqu’il s’agit de la sécurité sur Internet, il faut mettre davantage l’accent sur la prise de précautions personnelles. Le gouvernement n’aura jamais et ne devrait jamais avoir le contrôle d’Internet d’une manière aussi autoritaire.

Nos conseils :
Sécuriser son WiFi pour protéger son ordinateur
Eviter un pirate d’hacker un réseau WiFi

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les employés se font pirater leurs mots de passe

8 vérités que vous avez à faire face avec vos employés concernant la sécurité des mots de passe.

LastPass a publié le rapport The Password Exposé, mettant en évidence les défis de l’utilisation des mots de passe sur le lieu de travail des employés d’entreprises.

Selon le rapport, l’approche standard de la sécurité par mot de passe sur le lieu de travail a échoué et les entreprises ne répondent pas assez rapidement à cette défaillance.

« Pour la plupart des gens, la crainte d’oublier un mot de passe l’emporte de loin sur le risque apparemment faible d’être piraté », a déclaré le groupe.

Selon ses données à partir de l’analyse de données anonymisées provenant de plus de 30 000 entreprises, 91 % des employés comprennent que la réutilisation des mots de passe comporte de grands risques, mais 61 % continuent néanmoins à réutiliser les mots de passe.

« Que les mots de passe soient anciens, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la principale cause des piratages. Plus de 4,2 milliards d’identifiants ont fui en 2016, les pirates peuvent facilement utiliser des mots de passe volés pour accéder à un réseau d’entreprise et hacker des données « , a déclaré le groupe.

« Un seul mot de passe réutilisé peut pirater toute une organisation. »

A lire aussi : Faut-il utiliser un gestionnaire de mot de passe ?

LastPass a déclaré que les mots de passe sont une partie essentielle du flux de travail quotidien d’un employé et il était temps de regarder au-delà des hypothèses et de faire face au fait. À cette fin, il a fourni 8 vérités sur les mots de passe employés que les entreprises doivent savoir :

1. Les mots de passe sont le problème de tous.

LastPass estime que l’entreprise moyenne de 250 employés aura environ 47 750 mots de passe utilisés dans toute l’organisation.

Cela crée 47 750 points d’entrée possibles dans les systèmes de l’entreprise et personne ne peut connaître la force de chacun.

« Les chiffres ne mentent pas et les mots de passe sont hors de contrôle », dit-il.

2. Les employés sont débordés par les mots de passe.

Selon les données de LastPass, l’employé moyen doit garder environ 191 mots de passe. Les normes de l’industrie pointent vers un nombre inférieur (27), mais le groupe a déclaré que les gens ont tendance à sous-estimer le nombre de comptes qu’ils ont en ligne.

Les marketeurs ont des mots de passe pour un grand nombre de plateformes d’analyse, les administrateurs ont donné des mots de passe pour chaque serveur qu’ils gèrent, etc.

Ceci n’inclut pas les comptes personnels de chaque employé.

3. Les mots de passe sont un problème aggravant.

Alors que les employés commencent avec environ 20 mots de passe stockés dans leurs chambres fortes, cela double dans les trois mois, a déclaré LastPass.

Cela a conduit à 61 % des personnes utilisant le même mot de passe ou similaire sur le net.

« Les employés se noient dans les mots de passe en ce moment. Et c’est un problème qui continue de s’aggraver dans le cadre de leur travail quotidien », a-t-il déclaré.

4. Les employés se connectent constamment.

En moyenne, un employé doit taper des informations d’identification pour s’authentifier sur ses sites Web et applications 154 fois par mois.

Poussant les données plus loin, LastPass a dit que l’employé moyen passe 36 minutes par mois en tapant juste des mots de passe et ce résultat n’inclut pas les processus de rétablissement qui prennent encore plus de temps.

« Les employés souffrent d’inefficacités liées aux mots de passe, qui se traduisent directement par les résultats financiers d’une entreprise. »

5. Approuvé ou non, le partage de mot de passe est commun.

En moyenne, un employé partage environ 4 articles avec d’autres, selon les données de LastPass.

Le conseil de sécurité commun consiste à garder les mots de passe confidentiels sur le lieu de travail, cependant, le partage des informations d’identification et d’autres données sensibles est également essentiel pour faire le travail demandé.

Des comptes de médias sociaux de marque gérés par le marketing aux configurations de serveurs gérées par le service informatique, les employés de tous les services doivent partager leurs mots de passe.

6. C’est une ligne floue entre les mots de passe personnels et professionnels.

Il y a de plus en plus un croisement entre les applications personnelles et professionnelles des grandes entreprises (Google, Dropbox, etc.), ce qui estompe les frontières entre usage professionnel et usage personnel.

Les employés peuvent stocker des informations commerciales dans des comptes personnels et vice versa, a déclaré LastPass.

7. L’authentification unique (SSO) n’est pas une solution à guichet unique pour les mots de passe.

Alors que de nombreuses applications d’entreprise sont prêtes pour l’authentification unique, les données de LastPass montrent que plus de 50 % des sites Web et des services les plus populaires ne sont pas compatibles avec l’authentification unique.

Soit les équipes informatiques doivent assumer le fardeau de la configuration et du déploiement de ces services, soit, plus probablement, les employés doivent gérer eux-mêmes ces informations d’identification.

En sacrifiant ce contrôle et cette visibilité, l’informatique laisse de nouveau ces points d’entrée vulnérables à une mauvaise hygiène des mots de passe et à une mauvaise utilisation des employés.

8. Pas assez d’entreprises utilisent l’authentification multi-facteurs.

Seules 26,5 % des entreprises ont activé l’authentification multi-facteurs pour protéger leurs mots de passe, même si la tendance est à la hausse.

Cependant, l’authentification multi-facteurs ne résout pas tous vos problèmes de sécurité de mot de passe, a déclaré LastPass.

À moins que l’authentification multi-facteurs soit activée pour chaque connexion utilisée dans l’organisation (y compris les 191 employés par l’employé moyen), les mots de passe restent souvent une cible de faible valeur et à haute valeur pour les intrus cherchant un moyen d’y accéder.

Selon LastPass, les entreprises doivent créer un meilleur cadre pour la visibilité et le contrôle des mots de passe. Ceci comprend :

– Mettre au hasard chaque mot de passe pour chaque compte.
– Changer des mots de passe régulièrement.
– Appliquer des autorisations basées sur des rôles aux mots de passe.
– Assurer une supervision et une responsabilisation adéquates pour les informations d’identification partagées.
– Ajout de protection avec authentification multi-facteurs dans la mesure du possible.
– Désactivation des informations d’identification des employés après leur départ ou changement de poste.

Cet article vous intéressera : Pourquoi ne faut-il pas partager ses mots de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Bientôt un compte GMail impossible à pirater ?

Avec une clé physique, Google dit qu’il peut vous protéger contre les pirates informatiques.

Les mots de passe ne sont pas parfaits, en effet, quiconque a dû les réinitialiser après un piratage de données peut vous le dire. Mais la biométrie ne l’est pas non plus, et tous les autres hackers de mots de passe ont largement relevé le défi.

Demandez autour de vous, les experts en sécurité vous diront que les mots de passe seront toujours possible à hacker.

Google le sait aussi. Avec les menaces constantes des pirates informatiques et des escrocs et maintenant même des attaquants soutenus par le gouvernement et les états, les chances sont grandes contre les utilisateurs de Google notamment de GMail. Les hackers doivent seulement gagner une fois alors que les entreprises technologiques doivent gagner à chaque fois.

Maintenant, le géant de la recherche pense qu’il peut arrêter même les plus sophistiqués des pirates. Au lieu de supprimer définitivement le mot de passe, le géant de la recherche veut donner une toute nouvelle couche de protection aux comptes à risque.

Entrez une clé physique, celle que vous pouvez attacher à vos clés de maison et de voiture (et une autre que vous gardez verrouillé en tant que sauvegarde). Ces deux appareils ressemblant à des clés USB, environ 20 € chacun et ils sont au cœur du prétendu Advanced Protection Program de Google, sur lequel la société parie pour garder ses comptes de messagerie aussi sécurisés que possible contre les pirates informatiques.

Le trousseau de clés ressemble beaucoup à une clé physique dans votre boîte de réception. Chaque fois que vous vous connectez à votre compte, GMail vous invite à utiliser la télécommande comme un appareil à deux facteurs. Vous pouvez le brancher en tant que clé USB ou appuyer sur le bouton Bluetooth et vous avez accès à votre compte.

En quoi cela diffère-t-il de l’authentification habituelle à deux facteurs que GMail offre déjà ?

Pour la plupart des gens, l’authentification à deux facteurs protège contre la plupart des attaques. Mais dans de rares cas, il a été montré que les codes à deux facteurs envoyés par SMS peuvent être interceptés. Les applications qui ont accès à votre smartphone peuvent théoriquement prendre des captures d’écran pendant qu’un code à deux facteurs est affiché. Ces types d’attaques sont généralement menés par des pirates informatiques sophistiqués tels que ceux qui travaillent pour un gouvernement étranger, avec les compétences et les ressources nécessaires pour cibler les individus importants.

Ces clés fonctionneront également uniquement sur les emails GMail authentiques, donc même si vous entrez votre adresse e-mail et votre mot de passe sur un faux site d’hameçonnage, votre clé physique ne fonctionnera pas, rendant ces informations siphonnées inutiles à un attaquant.

Même les pirates les plus durs seront impuissants pour accéder à votre compte sans votre clé physique, affirme Google.

Les comptes qui risquent le plus d’être pris pour cibles par des pirates informatiques sophistiqués, comme ceux des politiciens et des législateurs, des chefs d’entreprise, des activistes et même des reporters et journalistes qui doivent protéger leurs sources tout en étant intégrés dans des pays moins amicaux sont ceux que Google veut protéger en premier avec ce nouveau programme.

En tout, le programme ne prend que quelques minutes à configurer. Vos deux clés seront inscrites une clé Feitian va s’authentifier sans fil avec votre ordinateur ou téléphone et un autre Yubikey peut être utilisé dans le port USB.

Et le travail est fait ! Connectez-vous, branchez, appuyez sur un bouton et vous êtes dans votre compte. Beaucoup devront sacrifier une certaine commodité pour cette protection. Le programme verrouille les comptes GMail, de sorte qu’ils ne sont accessibles que via Gmail.com et les applications de l’entreprise, verrouillant ainsi les tiers. Quiconque se fie à d’autres applications, comme les applications de messagerie d’Apple pour iPhone ou Microsoft Outlook, n’aura pas de chance pour l’instant. Et rappelez-vous : la clé doit être physiquement avec l’utilisateur quand ils veulent se connecter, y compris lorsqu’ils voyagent à l’étranger.

Et si un utilisateur perd les deux clés, il n’y a pas de sauvegarde immédiate pour permettre à l’utilisateur de retrouver l’accès à son compte. Google indique qu’il faudra quelques jours pour examiner chaque demande de récupération.

Aussi rustiques que soient les touches physiques, et aussi frustrantes que des obstacles supplémentaires, surtout lorsque vous êtes pressé, Google affirme que ces clés offriront aux utilisateurs la meilleure protection possible. Et pour la fraction des comptes qui ont besoin de ce niveau de protection supplémentaire, c’est un petit problème, mais nécessaire, comparé au mal qui pourrait être fait si un compte était saccagé.

Mais il y a un long chemin à parcourir avant que cela atteigne le public principal, si jamais… Les clés physiques à deux facteurs sont considérées comme des niches et des gadgets pour beaucoup de personnes qui n’ont même pas encore pris les mesures de base à deux facteurs. Alors que certaines entreprises technologiques comme Facebook ont ​​offert un support pour les clés physiques pendant des mois, de nombreuses entreprises technologiques n’offrent toujours pas de double facteur au-delà des messages texte. Jusqu’à ce que d’autres entreprises adoptent des clés physiques pour plus de sécurité, ce niveau de fonctionnalités de sécurité supplémentaires ne sera probablement jamais adopté à grande échelle. C’est un début, mais c’est un pas prometteur de la part de l’entreprise et les utilisateurs qui en ont besoin devront encore attendre.

Profitez des conseils de nos experts : Comment récupérer votre compte GMail piraté et augmenter sa sécurité.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Votre email a été piraté ? Voici ce qu’il faut faire !

Comment savez-vous si votre email a été piraté ? Et que faites-vous si c’est le cas ?

De nos jours, les attaques de piratage GMail à grande échelle sont devenues monnaie courante. Souvent, ces attaques compromettent de grandes bases de données commerciales contenant les données personnelles d’un grand nombre de personnes.

Ce qui est pire, c’est que parfois ces attaques profitent des « dorks », ou des employés de l’entreprise qui supportent la base de données qui répond à une tentative d’hameçonnage ou qui laissent certaines données sans protection par accident.

D’un cas à l’autre, c’est la même histoire : les pirates informatiques exploitent les vulnérabilités et les failles d’un système de sécurité donné, généralement en volant des mots de passe, en utilisant des chevaux de Troie, des attaques sans fil et d’autres tactiques sournoises.
Il existe un site Internet qui répond sous le nom de HaveIbeenPwned pour voir si votre email a été piraté.

Petit rappel sur les plus grands hacks et les piratages de sécurité les plus récentes :

1 – Panama Papers :

L’un des plus grands cas de piratage avec les conséquences les plus profondes de l’histoire est le «piratage de Panama Papers» avec la fuite de millions de documents classifiés (2,6 téraoctets de données).

Les hackers ont hacké le système de sécurité de l’entreprise Mossack Fonseca et volé des documents qui contiennent des informations privées de politiciens de haut rang, de criminels et d’athlètes professionnels.

2 – Dyn :

Une attaque DDoS (Distributed Denial of Service) submerge un serveur et le rend inaccessible en envoyant un grand nombre de requêtes dans un court laps de temps.

Le 21 octobre 2016, les sites Internet de Twitter, Airbnb, Spotify, PayPal, Github, Soundcloud et bien d’autres étaient inaccessibles pendant quelques heures, principalement pour les utilisateurs résidant sur la côte Est des États-Unis. Cette panne a été causée par une attaque DDoS massive et sophistiquée contre les serveurs de Dyn, un fournisseur d’accès Internet majeur.

3 – Yahoo :

Yahoo a été victime de nombreux piratages massives de la sécurité, dont une fin 2014, entraînant des fuites de données impliquant au moins 500 millions de comptes.

Yahoo a soupçonné une entité soutenue par l’Etat derrière l’attaque, le ministère de la Justice a officiellement impliqué un groupe de quatre personnes soutenues par le gouvernement russe, deux agents de renseignement russes et deux hackers pour l’action.

Votre email a été compromis ? Voici comment savoir et que faire :

Si vous recevez des réponses à des messages que vous n’avez pas envoyés, des messages d’avertissement concernant la suppression de votre compte ou un service auquel vous êtes abonné commencent à envoyer des e-mails, vous avez peut-être rencontré une tentative de piratage.

Il existe de nombreux signes d’alerte et heureusement qu’il existe des services en ligne qui vous permettent de savoir si votre adresse e-mail a été piratée.

Vous pouvez consulter des services tels que « Have I Been Pwned » en entrant votre adresse e-mail dans le champ correspondant et la fonctionnalité vous dira si vous avez été compromis.

Si votre courrier est effectivement répertorié, les sites Web vers lesquels votre e-mail a été divulgué s’afficheront.

Vous devriez alors demander au site Web de supprimer les informations divulguées, de garder un œil sur vos comptes bancaires et évidemment de changer votre mot de passe dès que possible.

Il existe quelques règles à suivre pour créer un mot de passe fort : utilisez autant de caractères que vous le pouvez, utilisez des chiffres, des lettres majuscules et minuscules et des caractères spéciaux. N’utilisez pas un mot qui peut être trouvé dans un dictionnaire et ne réutilisez pas le mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage