Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Google renforce la confidentialité de son assistant vocal

La semaine dernière le géant américain a décidé de mener un ensemble de politiques visant à renforcer la confidentialité au niveau de l’usage de son assistant vocal.

Cette mesure vient suivre toutes les plaintes auxquelles Google a été confrontée depuis un certain moment.

Cet article va aussi vous intéresser : Les assistants vocaux de Google et Amazon sont vulnérables aux attaques

Google assistant avait été accusé par plusieurs utilisateurs d’écouter les conversations de ces derniers et même les enregistrer au profit d’un usage méconnu. Alors Google décida de changer les règles régissant la confidentialité de ses utilisateurs : « Il est clair que nous n’avons pas atteint nos normes élevées en vous permettant de comprendre facilement comment vos données sont utilisées, et nous nous en excusons. » Essayait d’expliquer le lundi dernier, le chef de produit senior de l’équipe chargée Google Assistant, Nino Tasca, dans un billet de blog.

Un message assez fort pour le chef d’un produit qui depuis un moment est pointé du doigt à cause de ses nombreuses failles de sécurité. « Récemment, nous avons entendu des préoccupations au sujet de notre processus par lequel les experts en langues peuvent écouter et transcrire les données audio de Google Assistant pour aider à améliorer la technologie de la parole dans différentes langues. » ajoute-il.

Avant de s’intéresser aux modifications les règles de confidentialité de l’assistant vocal de Google rappelons d’abord que, Google à travers son assistant vocal collectait une certaine quantité de données enregistrées lors des échanges et des conversations de ses utilisateurs et avait expliqué que ces données étaient traitées par des agents humains dans le but d’améliorer le rendu et bien sur la capacité de compréhension du service vocal, en étudiant la langue et les accents.

Selon Google ces données étaient de 0,2 % de tous les enregistrements capturées par son système vocal. Suite aux heurts créés par ces actions de Google et aux actions des autorités européenne, le géant américain a décidé de stopper ces collectes de données, et de lancer un audit de son système dans son ensemble.

« Lorsque nous avons pris connaissance de ces préoccupations, nous avons immédiatement interrompu ce processus de transcription humaine à l’échelle mondiale pour enquêter et procéder à un examen complet de nos systèmes et contrôles. », a déclaré Nino Tasca. De la Google a promis de ne plus enregistrer par défaut les conversations. En effet il sera proposé une option à l’utilisateur qui choisira si ses conversations devront être enregistrées pour améliorer la capacité réaction de son assistant vocal ou non. si l’utilisateur accepte que ses conversations soient enregistrées pour améliorer le rendu de son assistant, il devra passer par le paramètre Voix et activité audio (VAA) : « Opter pour VAA aide l’assistant à mieux reconnaître votre voix au fil du temps, et aide également à améliorer l’assistant pour tout le monde en nous permettant d’utiliser de petits échantillons d’audio pour comprendre plus de langues et d’accents. » déclare le responsable de Google Assistant.

Une fois ces paramètres validés selon ce dernier, l’assistant vocal pourra de temps en temps écouter les enregistrements pour aider l’assistance vocale : « Nous mettons à jour nos paramètres pour souligner que lorsque vous activez VAA, les réviseurs humains peuvent écouter vos extraits audio pour aider à améliorer la technologie vocale. ». Cependant l’innovation à ce niveau va s’expliquer par le fait que l’assistant vocal se chargera de supprimer automatiquement certaines données qui aurait été enregistrées par mégarde : « L’assistant supprime immédiatement toutes les données audio lorsqu’il se rend compte qu’elles ont été activées involontairement, par exemple, par un bruit qui ressemble à celui de ‘Hey Google’, nous comprenons qu’il est important de bien faire les choses, et nous continuerons de nous concentrer sur ce domaine, notamment en mettant en œuvre des mesures supplémentaires pour nous aider à mieux identifier les activations involontaires et à les exclure du processus d’examen humain. » et pour couronner le tout, la durée de vie des données enregistrées sera limitée à quelques mois « Nous supprimerons bientôt automatiquement la grande majorité des données audio associées à votre compte qui ont plus de quelques mois. »

Les innovations apportées par Google sont intéressantes dans le sens que l’on sent une volonté de la part du géant américain de combler peu à peu ses lacunes en matière de confidentialité. Cependant un point n’a pas été soulevé par la firme de Redmond. En effet de l’accès aux enregistrements des utilisateurs ? Ne serait-il pas judicieux de leur permettre d’avoir accès à leurs données s’ils désireraient.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Les assistants vocaux de Google et Amazon sont vulnérables aux attaques

Dans le courant de la semaine dernière, des chercheurs en sécurité informatique ont découvert une faille de sécurité qui permettait de pirater Alexa et Google home, les assistants vocaux des deux géants du numérique Amazon et Google. Grâce à cette faille il serait possible pour tous pirates informatiques, d’enregistrer les conversations des utilisateurs de ses assistants.

Google et Amazon ont été informés par les spécialistes de la cybersécurité de la structure SRLabs. C’est eux qui ont découvert les vulnérabilités qui touchaient les assistants vocaux intelligents. ils ont ensuite informé le grand public du danger qui le menaçait.

Cet article va aussi vous intéresser : Protection de la vie privée : Microsoft écoute les utilisateurs de sa Xbox

Comment cela a pu être possible ? C’est assez simple. Ils se sont servis de malware qui permet de rallonger le temps d’écoute et d’enregistrer les conversations grâce à des haut-parleurs. Les haut-parleurs des assistants bien sûr. À la suite des tests les chercheurs ont même réussi à récupérer les mots de passe du compte Google des utilisateurs des tests. « Dans leurs recherches, ces experts ont voulu démontrer l’importance que représentent ces logiciels tiers pour les assistants vocaux. De même, cette faille montre combien il est essentiel de supprimer ceux qui ne sont plus utilisés. » Expliquait le porte-parole de SRLabs.

Pour le moment rien ne prouve que cette technique de piratage a déjà été utilisé. Aucune victime ne s’est déclarée et jusqu’à présent rien de ce côté n’a été signalé.

Cependant, dans une vidéo qui a été présenté par les chercheurs de SRLabs, on pouvait voir c’est même chercheur demander à un assistant Google home de produire des nombres aléatoires. Avant de le réaliser l’assistant a continué à écouter les conversations, et cela a été pareil avec l’assistant Alexa. Et on s’est rendu compte que les assistants continuent à enregistrer en silence même après l’ordre donné.

En utilisant les mêmes méthodes, il serait possible de récupérer les enregistrements au détriment des utilisateurs des assistants vocaux. « D’autres vidéos montrent comment les ingénieurs ont manipulé les deux assistants pour donner des identifiants ou de faux messages d’erreur.» Selon le journal en ligne ZDNet. « Les fournisseurs d’assistants vocaux comme Google et Amazon ne se soucient pas souvent des mises à jour des applications, ce qui laisse la porte ouverte aux pirates à procéder de cette manière. » Continue t’il.

Les 2 constructeurs de ses assistants vocaux dont Google et Amazon ont affirmé avoir entamé des actions pour remédier à ce problème. Du côté d’Amazon des correctifs aurait été apportés pour combler le problème. Du côté de Google, on affirme avoir déjà supprimé les actions initiées par les chercheurs qui ont réussi à enduire en erreur le système de l’assistant Google home. Leurs chercheurs seraient mêmes actuellement, en train de faire une analyse approfondie des logiciels tiers utilisés par l’assistant vocal maison.

Mais tout ceci nous interpelle car ce n’est pas la première fois que des failles de sécurité sont découvertes sur Alexa et Google home. Une énième faille découverte et rien ne prouve que ce sera la dernière. si à chaque fois des mesures de sécurité supplémentaires sont apportées à ces outils de plus en plus utilisés par le grand public, il faudrait encore renforcer les mode de fabrication ainsi que de programmation pour être en mesure d’appréhender le plus tôt possible les problèmes qui pourraient survenir plus tard.

Car les chercheurs ont réussi à prouver qu’il était possible d’ajouter encore des codes dans des applications utilisées dans les enceintes connectées de ses assistants vocaux ce qui pourrait permettre de faire une sorte de phishing vocal, d’espionner les conversations ainsi que de les enregistrer et ce à l’insu des utilisateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Faille de sécurité sur Adobe Creative Cloud, des données d’utilisateurs exposés

Adobe Creative Cloud, le système regroupant l’ensemble des logiciels et services édités par la société Adobe inc, entreprise spécialisée dans la conception de programme graphique dont les plus célèbres Acrobat, Photoshop, Illustrator, InDesign, et Flash.

Les abonnés peuvent accéder à l’ensemble des applications proposées par la structure via Adobe Creative Cloud, pour développer des activités de conception graphique, de développement web, de montage vidéo, de photographies et même de service cloud et d’application mobile. La société compte en tout, environ 15 millions d’abonnés.

Cet article va aussi vous intéresser : Les tendances et les prévisions du marché les applications de protection du Cloud 2019 – 2024

Cependant depuis la semaine dernière il n’empêche que l’on a pu voir les données de ses utilisateurs qui étaient enregistrées dans sa base de données, fuitées et exposées en ligne via une base de données Elasticsearch non sécurisée. Apparemment le système souffrait d’une faille de sécurité qui a profité à des personnes mal intentionnées. C’est en tout 7,5 millions d’utilisateurs des services d’Adobe qui ont été exposés sur le web à travers une base de données de type ElasticSearch.

Les informations qui ont été exposées étaient composées de données d’identification des abonnés telles que les adresses mails, la date de création des comptes, l’état de l’abonnement, les identifiants des membres, le pays d’origine, le statut de paiement et la période de la dernière connexion. Heureusement aucun mot de passe ni des données financières n’ont été divulguées.

On sait que les problèmes de sécurité relatifs aux bases de données elasticSearch ne sont pas véritablement nouveaux. En début d’années, plus de 100 millions d’opérations ont été divulgués concernant un groupe de casinos en ligne, des données qui étaient relatives aux informations personnelles des clients de ces casinos. Et ce sur une base de données très vulnérable ElasticSearch, sans mot de passe de sécurité.

Même phénomène dans le mois de juillet, suite à l’exposition d’environ 90 millions des données divulguées en Chine à cause d’un problème de sécurité sur un serveur accessible au grand public sans aucune protection. Plusieurs entreprises ont vu les données de leurs clients être mise en ligne sans qu’elles ne puissent rien y faire. Des informations sensibles ont aussi fuitées durant cette affaire.

Si Adobe a eu la chance de ne pas avoir des données sensibles de ses clients divulguées au grand public, il n’empêche que les informations qui circulent sont de nature à mettre en danger en quelque sorte leurs abonnés. « Les informations exposées dans cette fuite pourraient être utilisées contre les utilisateurs d’Adobe Creative Cloud dans des courriels et des attaques de types hameçonnage ciblés. Les fraudeurs peuvent se faire passer pour Adobe ou une société partenaire fiable et inciter les utilisateurs à fournir des informations supplémentaires », a expliqué Comparitech une équipe composée de chercheurs, rédacteurs, éditeurs, et de développeurs.

De son côté sans trop faire de commentaire, la société éditrice de solutions graphiques a tout simplement déclaré que la faute pour être imputé à une mauvaise configuration de nouveau prototype. « Vers la fin de la semaine dernière, Adobe a pris conscience d’une vulnérabilité sur l’un de nos prototypes d’environnements. Nous avons rapidement résolu le problème de l’environnement mal configuré, corrigeant ainsi la vulnérabilité », déclarait Adobe.

Pour l’heure, les coupables m’ont pas encore été identifiés. Aucune d’enquête officielle n’a été diligentée, même si cela n’est pas à en douter. Cependant on se demande bien quelle pourrait être les conséquences de cette fuite de données sur les affaires de l’entreprise.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Peut-on faire confiance au système de sécurité biométrique des smartphones ?

Depuis maintenant quelques mois, les smartphones les plus en vogue ont commencé à montrer des faille de sécurité au niveau du système de sécurité biométrique.

Que ce soit avec l’iPhone jusqu’au Samsung en passant par le pixel de Google, pouvant présenter un problème crucial quant à l’utilisation des systèmes de reconnaissance faciale ou encore d’empreintes digitales.

Cet article va aussi vous intéresser : Faille de sécurité dans le lecteur d’empreintes digitales de Samsung S10

Si l’objectif de ce système est d’empêcher n’importe qui d’avoir accès au contenu de son smartphone, il faut avouer que cela n’est pas vraiment une réussite pour le moment.

Depuis un certain moment, la sécurité biométrique s’est étendue au détriment des mots de passe. Il est pratiquement impossible de trouver aujourd’hui sur un nouveau modèle de smartphone qui n’embarque pas un système de reconnaissance faciale ou encore un lecteur d’empreinte digitale. Ce sont des moyens de sécurisation biométrique qui peuvent aussi permettre de protéger des applications aux références bancaires, où aussi aider dans la sécurisation des paiements en ligne via le Play store ou encore l’App store de Apple. Toutefois si la sécurité semble avoir augmenté par rapport à l’ancien système de mot de passe, notons cependant qu’un ensemble d’incident, ont eu lieu il n’y a pas trop longtemps, nous pousse à mettre en doute la fiabilité de ces méthodes.

Pour commencer prenons le cas de Samsung, récemment il a été découvert que le lecteur d’empreintes digitales, embarqué dans plusieurs séries de téléphones de cette marque, présentait quelques défaillances techniques. En effet il est possible de tromper le lecteur d’empreintes digitales avec d’autres empreintes qui ne sont pas dans la base de données avec l’usage d’une simple protection silicone. En effet une anglaise a signalé un problème à ce niveau.

Après avoir utilisé une protection de l’écran en silicone, le lecteur d’empreinte est devenu totalement vulnérable car même les empreintes n’étant pas enregistré on peut déverrouiller son téléphone. Si les utilisateurs de Samsung coréens on pu avoir un correctif de sécurité depuis le 23 octobre, les autres utilisateurs à travers le monde entier attendent toujours le patch. Et de ce côté il n’est pas la première fois que cela arrive. En effet car en 2017 on se rappelle qu’une seule photo était suffisante pour tromper le lecteur pour reconnaissance faciale du Galaxy S8.

Du côté de Google on en vient avec les nouvelles sorties de la marque américaine les pixel 4.les nouveaux smartphones du géant américain qui a été fortement inspiré de FACE ID de iPhone. Sa sophistication permet de faire une reconnaissance faciale même la nuit. Et pire que ça, cette reconnaissance faciale est possible même avec les yeux fermés. C’est là que se trouve la faille des pixels 4 de Google. Le problème c’est qu’avec cette possibilité de déverrouiller son téléphone avec les yeux fermés, il est possible qu’une personne se fasse dérober le contenu de son smartphone pendant son sommeil ou en étant inconscient par exemple. Même si Google a promis aussi un correctif à l’exemple de Samsung, il n’empêche que ces failles demeurent et interpellent le plus grand nombre.

Le bug révélé du côté d’Apple est relatif à son système de protection biométrique aussi. À titre d’exemple il a été observé un gamin, qui réussi à déverrouiller le iPad 11 pro de ses parents qui était protégé par la reconnaissance faciale du système FACE ID. et après plusieurs tests le même appareil a refusé plusieurs fois de se verrouiller et même après avoir actionner la touche de veille. même si officiellement Apple dit ne pas avoir entendu parler de ce problème il est réel.

Quel que soit le degré de perfectionnement de ce système de sécurité, l’aspect prudence doit toujours s’imposer. La sécurité biométrique n’est pas infaillible. Et même si elle était censé être le fameux remplaçant des mots de passe, il faut avouer que beaucoup d’efforts reste encore à réaliser.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



La mort de Microsoft Windows 7 est proche

En janvier 2020 c’est-à-dire à peu près dans 3 mois, Windows 7 va arrêter d’être une priorité pour la firme Américaine qui l’a conçu.

En effet Microsoft a annoncé qu’il arrêtera tout assistance technique à son système d’exploitation partir de cette date. En d’autres termes la société américaine ne fournira plus de correctif de sécurité ni de mise à jour en cas de découverte d’une faille de sécurité. C’est pour cette raison que certains disent que c’est la date butoir de la mort de Windows 7 car à partir de cet instant ce système deviendra un système à risque.

Cet article va aussi vous intéresser : Microsoft met en place une nouvelle stratégie pour la sécurité des firmwares

Au vu de cela, la firme américaine conseille aux utilisateurs de Windows 7 de migrer vers Windows 10. La nouvelle date fixée pour l’interruption des supports techniques à Windows 7 est le 14 janvier 2020. Windows 10 attends ses nouveaux utilisateurs, lui qui compte déjà environ 900 millions à travers le monde entier.

Il faut noter que Windows 7 continuera à fonctionner cependant il y aura un arrêt de tout « support étendu » Windows 7 service pack 1. Donc plus de mise à jour, plus de patch de sécurité en cas de faille. Au-delà de la date butoir qu’il serait risqué de toujours utiliser ce système. Toutefois les versions pro et entreprise de Windows 7 pourront recevoir des mises à jour sur une durée de 3 ans, en privilégiant un support payant.

Par ailleurs de façon pratique, rien n’empêchera Microsoft même après la date d’effectuer quelques mises à jour si la volonté leur venait. On sait que ce genre de cas de figure est arrivé avec Windows XP, il y’a déjà quelques années. On se rappelle qu’en 2017, à cause de la vague d’attaque informatique via le logiciel Wannacry, Microsoft avait mis à jour tous ces systèmes même les plus anciens auxquels il avait promis de ne plus apporter d’assistance technique. La société américaine en juillet en 2019 avait récidivé avec une nouvelle mise à jour pour Windows XP pour combler une faille de sécurité à l’occasion du « patch tuesday ». On rappelle alors que depuis 2014 Microsoft avait annoncé ne plus pouvoir apporter d’assistance à Windows XP.

Pour Windows 7 c’est une autre histoire. Depuis le 13 janvier 2015 il était prévu que Microsoft stoppe toute assistance de « support standard » à Windows 7, c’est-à-dire tout apport pouvant permettre d’améliorer les fonctionnalités du système d’exploitation, et on a remarqué que depuis un bon moment aucune nouvelle fonctionnalité avait été ajouté à Windows 7.

De plus, ce qui pourrait faire plaisir aux chevronnés utilisateurs de Windows 7, c’est que les éditeurs de programmes informatiques tel que les navigateurs où les antivirus de leur côté continueront à assister techniquement leurs logiciels, support qui est censé s’étendre sur 2 à 3 ans même après l’arrêt de celui de la maison mère. En conclusion l’OS ne va pas arrêter de tourner du jour au lendemain.

Mais du côté des pilotes, il est clair que les utilisateurs auront beaucoup de problèmes quant à leur installation. Ce qui nous pousse à dire que mieux vaut être prudent et migré pour plus de sécurité de vos données. Pour faciliter la migration des utilisateurs de Windows 7 à Windows 10, Microsoft a promis qu’elle se fera de façon gratuite à condition bien sûr que ses utilisateurs possèdent déjà une licence valable pour l’ancien OS.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage