Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Votre mot de passe est facile à pirater !

La vie moderne exige de nous une série apparemment infinie de choix triviaux, dont la moindre n’est pas l’obligation de créer un mot de passe pour votre compte web de cent-et-unième.

Qui peut être dérangé pour créer et mémoriser encore un bolus sinueux de charabia alphanumérique ? Pas beaucoup d’entre nous, semble-t-il. Selon un nouveau rapport de Splashdata, le mot de passe le plus courant en 2017 était « 123456 », suivi de près par ce vieux mot de passe fidèle, « password », qu’il est charmant de voir encore si populairement déployé.

Est-ce la paresse pure, le manque d’éducation à la sécurité ou autre chose ?

Certains des autres mots de passe populaires sur la liste de Splashdata (extraits principalement d’une énorme fuite des détails des clients Adobe) commencent à peindre un portrait intrigant de l’identité numérique collective. N’est-il pas réconfortant de voir « iloveyou » au n ° 9 ? (À moins que les gens ne le tapent pour eux-mêmes, ce qui impliquerait qu’une utilisation intensive d’Internet vous transforme en un narcissique mousseux). Au n°14 est « letmein », qu’on ne peut s’empêcher d’entendre comme contenant un « goddammit » implicite à la fin. (Il nous rappelle aussi qu’un mot de passe a été prononcé à l’origine pour obtenir l’accès à des parties sécurisées d’un palais ou d’une installation militaire). Un peu étonnant, le No 17 est singe, soit par admiration générale pour nos cousins ​​simiens, soit insoupçonnés jusqu’ici. La popularité croissante du spectacle de kung-fu des années 1970 est difficile à dire.
À 24 sur la liste, vraisemblablement contribué par beaucoup de fans de The X-Files, est « trustno1 ».

Mais cela semble un peu contradictoire. Si vous étiez vraiment un passionné de science-fiction paranoïaque qui croyait que le gouvernement était dirigé par des extraterrestres, ne choisiriez-vous pas un mot de passe plus fort ? D’un autre côté, si c’est le gouvernement qui s’en prend particulièrement à vous, vous allez suspecter que les mots de passe ne sont pas pertinents, puisque nous savons maintenant que la NSA et le GCHQ peuvent pirater n’importe quoi.

Mais les espions ne sont pas les seuls à regarder. En effet, il y a aussi des cyber-gangs qui montent des attaques sophistiquées sur des sites Web afin de trouver des informations d’identification, des informations sur les cartes de crédit, etc. Pourquoi leur rendre la tâche facile ? Tom Stafford, professeur de psychologie et de sciences cognitives à l’Université de Sheffield, déclare: « La plupart des gens semblent croire qu’il y a peu de risque d’avoir des mots de passe faibles, la plupart d’entre nous semblent compter sur la sécurité par l’obscurité. » un choix judicieux comme de plus en plus de nos vies sont en ligne.

De plus, on sait depuis longtemps que même lorsque les gens sont encouragés à choisir un mot de passe plus fort que « 123456 » ou « admin », ils tendent à tomber dans des schémas prévisibles. Selon une étude réalisée en 2006 par Shannon Riley sur la psychologie de la génération de mots de passe, les utilisateurs utilisent généralement les dates de naissance, les dates anniversaires, les numéros de téléphone, les numéros de plaque d’immatriculation, les numéros de sécurité sociale, etc. dérivée de zones prévisibles et d’intérêts dans la vie de la personne et pourrait être devinée par la connaissance de base de ses intérêts. D’où tous les détectives de la télévision qui devinent avec brio que le mot de passe du portable du suspect est le nom de son chien.

Nous devrions hésiter à interpréter ces résultats comme montrant que les utilisateurs ordinaires d’Internet sont simplement stupides, cependant. Splashdata, la société qui a compilé cette liste, vend un logiciel de gestion de mot de passe, il est donc compréhensible que la leçon qu’elle tire de ses conclusions est que les gens devraient choisir des mots de passe plus forts, peut-être avec l’aide de ses propres produits. Alors pourquoi pas eux ?

Une raison pourrait être que, puisque nous pensons tous que certains de nos comptes (par exemple, bancaires, Facebook) sont plus importants que d’autres (un Tumblr qui vous envoie une photo d’un chaton tous les matins), nous pensons que cela n’a pas d’importance si nous utilisons des mots de passe faibles pour ce dernier. Mais c’est risqué car cela signifie que ces services deviennent une cible importante pour les pirates, comme l’a fait Adobe. En effet, l’augmentation de l’authentification à deux facteurs où vous avez besoin à la fois d’un mot de passe et d’un code unique généré par votre smartphone pour vous connecter commence à faciliter le problème des mots de passe. Ce sont donc ces comptes « jetables » qui sont vraiment dangereux. De plus, selon une étude réalisée en 2010 par Joseph Bonneau et Sören Preibusch, de nombreux sites utilisent des mots de passe principalement pour des raisons psychologiques, à la fois pour justifier la collecte de données marketing et pour établir des relations de confiance. Avec les clients en d’autres termes, la demande de mot de passe est un placebo commercialement motivé pour commencer.

La deuxième raison pour laquelle les gens pourraient être amenés à choisir des mots de passe aussi faibles quand ils peuvent s’en tirer est que la façon dont la technologie essaie de nous sauver de nous-mêmes est si irritante. Vous connaissez l’exercice sur certains sites Web : votre mot de passe doit comporter entre huit et douze caractères et contenir un mélange de lettres majuscules et minuscules, ainsi que des chiffres, des signes de ponctuation, des symboles monétaires… Il est peu probable que vous vous souveniez de l’un de ceux-ci, encore moins des dizaines.

Stafford dit: « Pour moi, les mots de passe sont un bon exemple de la technologie qui nous demande de ressembler davantage à des ordinateurs qu’à des ordinateurs qui apprennent à nous ressembler: les mots de passe recommandés sont des chaînes arbitraires de chiffres et de chaînes. Pour les ordinateurs de stocker et difficile pour les humains. C’est la réserve des premiers rêves de l’intelligence artificielle, demandant à notre intelligence d’être plus comme l’artificiel. »

En l’occurrence, c’est aussi simplement une mauvaise sécurité. Au point de vue mathématique, une expression pittoresque telle que « citron Beyoncé enclume gâteau » est beaucoup plus difficile à casser que « j &! Wo078: (((« , parce que chaque caractère supplémentaire de la longueur du mot de passe étend les possibilités combinatoires de façon vertigineuse. C’est bien connu des fans du web-comic XKCD, qui a expliqué pourquoi une tentative de brute-force pour pirater le mot de passe « batterie de cheval correcte » prendrait un ordinateur rapide 550 ans. La blague de geek est que, puisque ce dessin animé est apparu, le mot de passe de tout le monde est maintenant « agrafe de batterie de cheval correcte.

Le remplacement en gros de mots de passe textuels par des biométriques fiables (tels que les scanners d’empreintes digitales) est l’une de ces promesses technologiques qui existent depuis des décennies et qui n’ont pas encore abouti malgré le capteur d’empreintes digitales du nouvel iPhone. En attendant, j’aime à penser aux millions de personnes qui choisissent le mot de passe pour leur mot de passe comme une sorte de mouvement dissident silencieux, une vague virtuelle de protestation sardonique contre les multiples ennuis laborieux de l’existence numérique.

Si vous doutez qu’un simple mot de passe puisse être sarcastique, pensez au numéro 25 de la liste la plus populaire, « 000000 », qui a un curieux analogue historique. À la fin des années 1970, selon le livre récent d’Eric Schlosser sur la sécurité nucléaire, Command and Control, il fut décidé que les missiles nucléaires Minuteman de l’armée de l’air américaine devaient tous être munis d’un code avant leur lancement. Dans ce que Schlosser appelle un « acte de défiance » contre les soucis de sécurité, l’USAF a mis le mot de passe à « 00000000 » partout. Je ne sais pas pour vous, mais cela met la possibilité qu’un compte Twitter soit piraté dans une sorte de perspective.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Pirater un compte Instagram : 6 millions de fois

6 millions de comptes Instagram piratés : comment se protéger ?

La semaine dernière, le compte Instagram de Selena Gomez a été repris par des hackers qui ont posté sur son flux des photos explicites de l’ex-petit ami du chanteur, Justin Bieber. Gomez a repris le contrôle de son compte (qui est le compte le plus suivi sur la plate-forme, avec plus de 125 millions de followers) et les photos offensantes ont été effacées, mais l’incident préfigurait des problèmes beaucoup plus répandus.

Il y a quelques jours, Instagram a annoncé avoir corrigé une vulnérabilité qui avait apparemment permis à des tiers non autorisés d’obtenir les adresses e-mail et les numéros de téléphone associés aux comptes Instagram, même si ces informations étaient censées être privées et inaccessibles à des tiers. Armés des informations piratés, les hackers ont potentiellement tenté de déclencher et d’intercepter des messages de réinitialisation de mot de passe, de phishing ou d’ingénierie sociale des utilisateurs d’Instagram, ce qui pourrait expliquer le piratage du compte de Gomez.

Avant que le bug ne soit corrigé par Instagram, un hacker ou un groupe de pirates Instagram, a apparemment piraté une quantité importante de données qu’il offre maintenant en ligne au prix de 10 $ par compte (payables en Bitcoin naturellement), en nommant la base de données Instagram pillée « Doxagram ». Le Daily Beast prétend avoir vérifié que certaines des données fournies par le ou les pirates informatiques sont authentiques.

La partie responsable de Doxagram dit qu’elle a accumulé des données de plus de six millions d’utilisateurs. Bien sûr, Instagram compte plus de 700 millions d’utilisateurs mensuels actifs, donc six millions représentent moins de 1 % de la base totale d’utilisateurs Instagram,- mais cela représente encore de nombreuses personnes potentiellement mécontentes.

Parmi les récits dont les données Instagram ont été piratées figurent ceux de Kim Kardashian, Leonardo DiCaprio, Beyoncé, Taylor Swift et même la Maison Blanche.

Doxagram a connu des pannes périodiques alors que divers fournisseurs de services prennent des mesures pour l’arrêter, mais il semble être accessible à l’heure actuelle via le réseau Tor. Plus tôt aujourd’hui, la ou les personnes derrière Doxagram ont semblé tweeter en utilisant le pseudonyme Twitter @doxagram_insta; Twitter a depuis suspendu ce compte. Ironiquement, peu de temps avant la fermeture du compte Doxagram, son opérateur a tweeté un rappel à tous ceux qui utilisent le système pour acheter des données piratées: « Merci de garder vos informations de connexion en sécurité. par quelqu’un d’autre. » Oui. Ce serait des pirates informatiques conseillant aux gens d’acheter des informations volées comment ne pas devenir des victimes de pirates informatiques.

Alors, comment pouvez-vous protéger au mieux votre compte Instagram ?

1. Utilisez l’authentification multifacteurs.
2. Utilisez un mot de passe unique et puissant. Pour obtenir des conseils sur la façon de sélectionner un mot de passe fort et facile à mémoriser, consultez mon article « Comment créer des mots de passe résistant que vous pouvez facilement vous rappeler ».
3. Gardez votre application Instagram à jour.
4. Comme Instagram l’a conseillé, « Soyez vigilant sur la sécurité de votre compte et faites preuve de prudence si vous observez toute activité suspecte comme des appels entrants, des textes ou des e-mails non reconnus. » Ne répondez pas aux courriels ou aux textes vous demandant de réinitialiser les mots de passe ou autres. Ne cliquez jamais sur les liens dans les courriels ou les messages texte pour accéder à Instagram; Au lieu de cela, accédez au réseau social via l’application ou en tapant https://instagram.com dans un navigateur Web.
5. Si vous recevez un e-mail de réinitialisation du mot de passe Instagram et que vous n’avez pas demandé la réinitialisation du mot de passe, contactez Instagram. Pour ce faire, appuyez sur le menu « … » de votre profil, sélectionnez « Signaler un problème », puis sélectionnez « Spam ou abus ».

Découvrez comment un hacker va pirater un compte Instagram ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

L’iPhone iOS 11.1 piraté

Un jour après la sortie d’iOS 11.1, les chercheurs en sécurité ont déjà hacké le système.

Les nouvelles de ces exploits sont venues du concours Mobile Pwn2Own de Trend Micro à Tokyo, où les chercheurs en sécurité ont découvert deux vulnérabilités dans Safari, le navigateur du système d’exploitation mobile.

Il a fallu quelques secondes aux chercheurs de Tencent Keen Security Lab pour exploiter deux bugs :
– Un dans le navigateur et un dans un service système qui permet à une application malveillante de persister pendant un redémarrage
– Un autre bug dans Safari a permis aux chercheurs de pirater le sandbox du navigateur et d’exécuter du code malveillant.

Les bugs ont valu aux chercheurs une récompense de 70 000 $.

Mais les détails spécifiques des exploits ne seront pas rendus publics tant qu’Apple n’aura pas corrigé les bugs ou qu’une période de divulgation d’une durée de trois mois expire.

On ne sait pas quand Apple va réparer le dernier bugs iOS 11.1.

iOS 11.1, la dernière version du système d’exploitation iPhone et iPad, a été lancée mardi, avec plusieurs nouvelles fonctionnalités, emojis et des correctifs de sécurité y compris un correctif pour la vulnérabilité du réseau sans fil KRACK. Nous avions aussi déjà parlé des failles de sécurité de OS X et iOS 8 dans un précédent article.

Le logiciel a également corrigé 19 vulnérabilités supplémentaires, a confirmé Apple.

Ce n’est pas la première fois qu’Apple reste sur ses problèmes de sécurité. En septembre, un chercheur en sécurité a découvert une vulnérabilité le jour même du lancement du nouveau système d’exploitation d’Apple, macOS High Sierra. Apple a corrigé le bug une semaine plus tard.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les réseaux WiFi non sécurisés pourraient être hackés

Les réseaux WiFi non protégés pourraient être exposés à des hacks.

La connexion au WiFi a toujours eu le potentiel de laisser les internautes ouverts aux attaques de sécurité qui pourraient compromettre la sécurité des informations sensibles. Maintenant, de nouvelles recherches indiquent que le système d’authentification utilisé dans la majorité des connexions sans fil, à la maison et au bureau, est vulnérable à une faille de sécurité qui permet aux pirates d’intercepter les données personnelles partagées entre les appareils et les réseaux.

Les pirates peuvent tirer parti de l’incapacité du réseau à discerner un utilisateur de périphérique ordinaire d’un pirate qui imite le périphérique de quelqu’un d’autre. Lors de la connexion à un réseau, le système génère une séquence de numéros de nonce aléatoire qui permet à l’utilisateur de l’appareil et au réseau de communiquer dans un « handshake » confidentiel. Cependant, les pirates informatiques peuvent réutiliser cette clé de session pour écouter les données échangées entre l’utilisateur et le réseau.

Google et Microsoft ont tous deux réagi en publiant des correctifs de mise à jour pour protéger les internautes, mais de nombreux fabricants de routeurs n’ont pas encore réagi. Bien qu’il n’y ait aucune preuve directe jusqu’à présent que la faille dans le système ait été exploitée par des pirates informatiques, cette menace de piratage de la sécurité WiFi met en évidence un problème plus sérieux dans l’utilisation d’Internet aujourd’hui.

Ces failles de sécurité sont symptomatiques d’un monde où il existe une division croissante entre les «laïcs techniques» et les codeurs informatiques. La majorité des personnes qui naviguent sur Internet et se connectent à des réseaux le font sans la moindre connaissance du fonctionnement de l’infrastructure d’échange de données.

Nous ne pouvons plus naviguer sur Internet et utiliser des appareils avec la confiance naïve et aveugle dont nous avons bénéficié dans le passé. Il est curieux que seulement maintenant, en 2017, un problème comme celui-ci est trouvé sa popularité dans les nouvelles actuelles. En réalité, le manque de sécurité dans les réseaux est présent depuis plus de deux décennies. Fini le cryptage des mots de passe WEP et WPA : ils peuvent maintenant être piratés en quelques minutes. Au lieu de cela, le chiffrement WPA2 plus sécurisé reste la norme de l’industrie.

Mais aucun réseau WiFi ne peut pas être piraté et cette découverte récente nous rappelle brutalement qu’Internet n’est pas aussi sûr que nous le croyions.

Les entreprises technologiques ont réagi rapidement, encourageant les utilisateurs à surexploiter ces menaces et pour l’instant aucune donnée n’a été interceptée de manière malveillante. Cependant, la plupart des utilisateurs d’Internet n’a aucun moyen d’obtenir une assurance complète à ce sujet; ils n’ont tout simplement pas les compétences pour le vérifier.

Dans la crainte du piratage, beaucoup considèrent le gouvernement comme une source de cyber-régulation. En effet, Theresa May a proposé un nouveau manifeste sur la sécurité sur Internet dans lequel le gouvernement tenterait d’acquérir sa souveraineté sur le web et restreindrait la présence d’espaces de communication en ligne, principalement pour cibler le terrorisme.

Cependant, ces plans ont fait l’objet d’un examen minutieux, car les boucliers du gouvernement actuel peuvent être maîtrisés par n’importe quel enfant de 10 ans avec un iPhone et un VPN en quelques secondes. De plus, cette surveillance du grand frère de l’utilisation de l’Internet met fin à la distinction entre protéger les gens et les espionner.

Les voix cyber anarchistes du début des années 2000 nous rappellent que l’insécurité et l’absence de redevabilité des réseaux représentent la nature même d’Internet. C’est une partie de la société actuelle qui reste étonnamment non modérée et incontrôlée par rapport à la presse écrite et à d’autres formes d’expression sociopolitique.

Il semble que lorsqu’il s’agit de la sécurité sur Internet, il faut mettre davantage l’accent sur la prise de précautions personnelles. Le gouvernement n’aura jamais et ne devrait jamais avoir le contrôle d’Internet d’une manière aussi autoritaire.

Nos conseils :
Sécuriser son WiFi pour protéger son ordinateur
Eviter un pirate d’hacker un réseau WiFi

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les employés se font pirater leurs mots de passe

8 vérités que vous avez à faire face avec vos employés concernant la sécurité des mots de passe.

LastPass a publié le rapport The Password Exposé, mettant en évidence les défis de l’utilisation des mots de passe sur le lieu de travail des employés d’entreprises.

Selon le rapport, l’approche standard de la sécurité par mot de passe sur le lieu de travail a échoué et les entreprises ne répondent pas assez rapidement à cette défaillance.

« Pour la plupart des gens, la crainte d’oublier un mot de passe l’emporte de loin sur le risque apparemment faible d’être piraté », a déclaré le groupe.

Selon ses données à partir de l’analyse de données anonymisées provenant de plus de 30 000 entreprises, 91 % des employés comprennent que la réutilisation des mots de passe comporte de grands risques, mais 61 % continuent néanmoins à réutiliser les mots de passe.

« Que les mots de passe soient anciens, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la principale cause des piratages. Plus de 4,2 milliards d’identifiants ont fui en 2016, les pirates peuvent facilement utiliser des mots de passe volés pour accéder à un réseau d’entreprise et hacker des données « , a déclaré le groupe.

« Un seul mot de passe réutilisé peut pirater toute une organisation. »

A lire aussi : Faut-il utiliser un gestionnaire de mot de passe ?

LastPass a déclaré que les mots de passe sont une partie essentielle du flux de travail quotidien d’un employé et il était temps de regarder au-delà des hypothèses et de faire face au fait. À cette fin, il a fourni 8 vérités sur les mots de passe employés que les entreprises doivent savoir :

1. Les mots de passe sont le problème de tous.

LastPass estime que l’entreprise moyenne de 250 employés aura environ 47 750 mots de passe utilisés dans toute l’organisation.

Cela crée 47 750 points d’entrée possibles dans les systèmes de l’entreprise et personne ne peut connaître la force de chacun.

« Les chiffres ne mentent pas et les mots de passe sont hors de contrôle », dit-il.

2. Les employés sont débordés par les mots de passe.

Selon les données de LastPass, l’employé moyen doit garder environ 191 mots de passe. Les normes de l’industrie pointent vers un nombre inférieur (27), mais le groupe a déclaré que les gens ont tendance à sous-estimer le nombre de comptes qu’ils ont en ligne.

Les marketeurs ont des mots de passe pour un grand nombre de plateformes d’analyse, les administrateurs ont donné des mots de passe pour chaque serveur qu’ils gèrent, etc.

Ceci n’inclut pas les comptes personnels de chaque employé.

3. Les mots de passe sont un problème aggravant.

Alors que les employés commencent avec environ 20 mots de passe stockés dans leurs chambres fortes, cela double dans les trois mois, a déclaré LastPass.

Cela a conduit à 61 % des personnes utilisant le même mot de passe ou similaire sur le net.

« Les employés se noient dans les mots de passe en ce moment. Et c’est un problème qui continue de s’aggraver dans le cadre de leur travail quotidien », a-t-il déclaré.

4. Les employés se connectent constamment.

En moyenne, un employé doit taper des informations d’identification pour s’authentifier sur ses sites Web et applications 154 fois par mois.

Poussant les données plus loin, LastPass a dit que l’employé moyen passe 36 minutes par mois en tapant juste des mots de passe et ce résultat n’inclut pas les processus de rétablissement qui prennent encore plus de temps.

« Les employés souffrent d’inefficacités liées aux mots de passe, qui se traduisent directement par les résultats financiers d’une entreprise. »

5. Approuvé ou non, le partage de mot de passe est commun.

En moyenne, un employé partage environ 4 articles avec d’autres, selon les données de LastPass.

Le conseil de sécurité commun consiste à garder les mots de passe confidentiels sur le lieu de travail, cependant, le partage des informations d’identification et d’autres données sensibles est également essentiel pour faire le travail demandé.

Des comptes de médias sociaux de marque gérés par le marketing aux configurations de serveurs gérées par le service informatique, les employés de tous les services doivent partager leurs mots de passe.

6. C’est une ligne floue entre les mots de passe personnels et professionnels.

Il y a de plus en plus un croisement entre les applications personnelles et professionnelles des grandes entreprises (Google, Dropbox, etc.), ce qui estompe les frontières entre usage professionnel et usage personnel.

Les employés peuvent stocker des informations commerciales dans des comptes personnels et vice versa, a déclaré LastPass.

7. L’authentification unique (SSO) n’est pas une solution à guichet unique pour les mots de passe.

Alors que de nombreuses applications d’entreprise sont prêtes pour l’authentification unique, les données de LastPass montrent que plus de 50 % des sites Web et des services les plus populaires ne sont pas compatibles avec l’authentification unique.

Soit les équipes informatiques doivent assumer le fardeau de la configuration et du déploiement de ces services, soit, plus probablement, les employés doivent gérer eux-mêmes ces informations d’identification.

En sacrifiant ce contrôle et cette visibilité, l’informatique laisse de nouveau ces points d’entrée vulnérables à une mauvaise hygiène des mots de passe et à une mauvaise utilisation des employés.

8. Pas assez d’entreprises utilisent l’authentification multi-facteurs.

Seules 26,5 % des entreprises ont activé l’authentification multi-facteurs pour protéger leurs mots de passe, même si la tendance est à la hausse.

Cependant, l’authentification multi-facteurs ne résout pas tous vos problèmes de sécurité de mot de passe, a déclaré LastPass.

À moins que l’authentification multi-facteurs soit activée pour chaque connexion utilisée dans l’organisation (y compris les 191 employés par l’employé moyen), les mots de passe restent souvent une cible de faible valeur et à haute valeur pour les intrus cherchant un moyen d’y accéder.

Selon LastPass, les entreprises doivent créer un meilleur cadre pour la visibilité et le contrôle des mots de passe. Ceci comprend :

– Mettre au hasard chaque mot de passe pour chaque compte.
– Changer des mots de passe régulièrement.
– Appliquer des autorisations basées sur des rôles aux mots de passe.
– Assurer une supervision et une responsabilisation adéquates pour les informations d’identification partagées.
– Ajout de protection avec authentification multi-facteurs dans la mesure du possible.
– Désactivation des informations d’identification des employés après leur départ ou changement de poste.

Cet article vous intéressera : Pourquoi ne faut-il pas partager ses mots de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage