Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Quels sont les moyens d’éviter que votre téléphone soit piraté ?

Le piratage consiste à trouver une faiblesse dans les logiciels ou les réseaux de quelqu’un dans le but d’exploiter quelque chose ou d’accéder à des données et à des informations sécurisées. Par exemple, les pirates informatiques utilisent une variété de mots de passe pour que les algorithmes de cracking puissent accéder à un système informatique.

Qu’est-ce-qu’un pirate informatique?

Un pirate informatique est un individu ou un groupe d’individus qui cherche et profite des faiblesses des systèmes et des réseaux informatiques pour en obtenir un accès illégal. Les pirates informatiques sont hautement qualifiés en programmation informatique et ont une connaissance du système de sécurité de ces dispositifs.

Comment empêcher votre téléphone d’être piraté ?

De nos jours, lorsque nous dépendons beaucoup des ordinateurs et des téléphones mobiles, il est presque impossible de rester sans eux. Mais les pratiques de piratage grandissantes effraient aussi les gens ordinaires. Avec les récents rapports sur les attaques de logiciels malveillants et le piratage de données importantes, tout le monde veut protéger son téléphone des pirates informatiques. C’est pourquoi, chaque année, des études et des expériences sont faites pour empêcher les utilisateurs de se faire attaquer par les pirates informatiques. Il existe plusieurs moyens de sécuriser vos données, mais vous ne pouvez pas les éviter.

Mais faire quelque chose vaut mieux que de ne rien faire pour empêcher le piratage. Il y a tellement de grandes organisations qui ont des problèmes à cause des pirates informatiques. Il est difficile de retracer ces pirates professionnels qui laissent une trace derrière eux. Par conséquent, il est préférable que nous nous évitions nous-mêmes, car la plupart des affaires de cybercriminalité sont difficiles à résoudre.

Voici quelques idées que vous pouvez choisir pour protéger vos téléphones contre les pirates et les applications d’espionnage Android.

Mettre à jour votre système d’exploitation.

La première étape consiste à mettre à jour régulièrement vos téléphones. Dès qu’une mise à jour est prête à être téléchargée et installée sur vos téléphones, faites-le ! Les téléphones non mis à jour deviennent vulnérables au piratage. Vous pouvez toujours vérifier les paramètres de votre téléphone pour les nouvelles mises à jour. Vous devez mettre à jour vos applications.

Installer le logiciel.

Vous devez toujours télécharger et installer une protection de téléphone fiable et fiable. Il est important d’avoir une application de sécurité logicielle sur vos téléphones pour la protéger des pirates informatiques et des virus. Les pirates informatiques envoient généralement des virus et des virus contenant des virus, ce qui vous permet de protéger vos téléphones de telles attaques.

Mot de passe protéger.

Pour améliorer la sécurité de votre téléphone, il est important de verrouiller soigneusement votre appareil avec un mot de passe. Gardez un mot de passe qui offre une bonne force. Vous pouvez choisir un modèle de verrouillage, un code PIN personnalisé ou un mot de passe alphabétique numérique pour votre téléphone. Choisissez un mot de passe intelligent dont vous vous souviendrez facilement, mais que les pirates devineront. Vous pouvez également régler l’heure à laquelle votre téléphone sera verrouillé, automatiquement s’il n’est pas utilisé.

Des applications dignes de confiance.

App Store et Play Store d’Apple. Tout d’abord, vous devez visiter pour consulter le site. Après cela, vous pouvez télécharger et installer une nouvelle application.

Désactiver les connexions.

Il est très important que vous désactiviez Bluetooth, GPS et Wi-Fi lorsque vous ne l’utilisez pas, car ils permettent aux pirates informatiques de localiser facilement votre appareil grâce à un balayage rapide. Les pirates peuvent facilement entrer dans votre téléphone grâce à ces fonctionnalités. C’est pourquoi; vous pouvez choisir de garder vos fonctionnalités de connectivité désactivées jusqu’à ce qu’elles soient activées manuellement.

WiFi non sécurisé.

En règle générale, les connexions WiFi non sécurisées sont ouvertes au public. Par conséquent, utilisez toujours une connexion sécurisée pour vos téléphones mobiles. Vous pouvez installer un VPN ou un réseau privé virtuel pour diriger le trafic via des connexions mobiles cryptées. N’accédez pas à vos services bancaires en ligne sur une connexion réseau non sécurisée.

Méthodes de déblocage.

Ne vous enthousiasmez pas pour les fonctionnalités de reconnaissance d’empreintes digitales et de visage. Les pirates peuvent tout simplement copier vos empreintes digitales. Évitez donc d’utiliser de simples méthodes de déverrouillage téléphonique. Choisissez plutôt des options compliquées pour une meilleure sécurité. Il est suggéré à votre code PIN de mot de passe alphanumérique de verrouiller vos téléphones. Votre mot de passe ne doit pas ressembler à votre nom ou à votre numéro de téléphone. Ce devrait être quelque chose de difficile à deviner.

Sauvegarde de données.

Vous pouvez également effectuer une sauvegarde de votre téléphone mobile sur votre disque dur ou sur le stockage Google. Après cela, vous pouvez nettoyer régulièrement les données du téléphone. Donc, si vous piratez votre téléphone portable, ce sera un fichier vierge pour lui et il ne pourra pas vous voler vos données importantes.

Faites du nettoyage.

Vous devez nettoyer votre mémoire régulièrement, tous les mois. Vous êtes censé supprimer les données et les applications indésirables de votre téléphone. Cela rend votre téléphone plus rapide et plus sûr.

A lire également : Qu’est-ce que le détournement de carte SIM et comment vous en protéger ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Mot de passe Instagram piraté ? Voici comment récupérer votre compte.

Vous avez peut-être 100 abonnés ou peut-être 100 000, mais ce sentiment de désespoir lorsque vous réalisez que votre compte a été piraté est universel. Les piratages Instagram se présentent sous différentes formes : certains publient du nouveau contenu pour vos abonnés, d’autres changent d’adresse électronique, de mot de passe et de nom d’utilisateur pour vous bloquer complètement.

Si vous vous trouvez victime d’un piratage sur Instagram (comme celui qui transforme votre adresse électronique en une adresse russe), voici ce que vous pouvez faire pour récupérer votre compte.

Si vous avez été piraté, mais que vous pouvez toujours vous connecter.

Si une autre personne publie du contenu sur votre compte, mais que vous pouvez toujours vous connecter, vous pouvez procéder de différentes manières pour vous assurer que vous êtes le seul à pouvoir y accéder. La première étape consiste à changer votre mot de passe, soit dans les paramètres, soit en vous envoyant un courrier électronique pour réinitialiser votre identifiant.

Après avoir modifié votre mot de passe, vérifiez l’accès des tiers pour vous assurer que le pirate black hat (quelqu’un qui pirate pour un profit personnel ou quelque chose de néfaste) n’affiche pas depuis une autre source. En vous connectant avec vos informations Instagram à partir d’applications tierces, vous pouvez ajouter automatiquement vos photos Instagram à votre site Web, mais selon l’application tierce, il peut s’agir d’un lieu propice aux vulnérabilités. Connectez-vous à votre compte sur un ordinateur via un navigateur Internet. sur votre page de profil, appuyez sur l’icône des paramètres (celle qui ressemble à un engrenage), puis sur «applications autorisées». Sur la page suivante, cliquez sur «révoquer l’accès» aux applications que vous ne reconnaissez pas. Ou bien, révoquez tous les accès et répétez le processus d’autorisation pour les applications que vous utilisez réellement.

Si vous avez été piraté mais que vous ne pouvez pas vous connecter.

De nombreux hackers changeront votre mot de passe afin que vous ayez de la difficulté à accéder à votre compte. Sur la page de connexion, appuyez sur l’option «obtenir de l’aide pour la connexion» pour accéder à la page de réinitialisation du mot de passe. Vous pouvez utiliser l’adresse email ou le nom d’utilisateur d’origine à cet endroit.

Le processus varie légèrement en fonction de l’appareil que vous utilisez. Sous Android, vous devez appuyer sur l’icône en forme de flèche en haut à droite après avoir entré votre nom d’utilisateur ou votre e-mail. Sur iOS, la flèche n’existe pas et vous passez directement à l’étape suivante. Tapez sur «Besoin d’aide supplémentaire» et l’application vous guidera tout au long du processus pour récupérer votre compte en utilisant l’adresse e-mail ou le nom d’utilisateur pour récupérer le compte.

Que faites-vous si les pirates ont changé votre adresse e-mail ?

Les pirates les plus néfastes ne changeront pas simplement votre mot de passe, ils changeront tout, y compris votre nom d’utilisateur et l’adresse e-mail associée à votre compte. Et si vous n’avez pas accès au courrier électronique lié à votre compte, vous ne pouvez pas suivre l’une des étapes ci-dessus. (vous le pouvez, mais vous n’envoyez qu’un email de réinitialisation de mot de passe à l’adresse e-mail que le pirate informatique a jointe à votre compte)

Re-accéder à un compte complètement piraté n’est cependant pas impossible. La première étape consiste à voir si vous avez un email dans le compte de messagerie qui était initialement lié à votre Instagram. Lorsque vous ou un pirate informatique soumettez une demande de modification par courrier électronique, vous recevez un courrier électronique d’Instagram. Dans cet e-mail se trouve un lien sur lequel cliquer si vous n’avez pas demandé de modification à votre e-mail. Vérifiez votre courrier indésirable et les courriels récemment supprimés si vous ne le trouvez pas.

Si vous avez le courrier électronique, ce lien est le moyen le plus simple de retrouver l’accès à votre compte. Certains lecteurs, cependant, signalent des piratages qui ont également eu accès à un courrier électronique et ont supprimé ce message d’Instagram

Alors que se passe-t-il si vous n’avez pas cet email et que le pirate informatique a changé toutes vos informations ?

Instagram a deux options supplémentaires avec la page d’aide à la connexion. Premièrement, si vous avez lié votre compte Instagram à Facebook, vous pouvez utiliser Facebook pour modifier votre courrier électronique Instagram. Si vous avez lié votre page Facebook à votre compte Instagram, vous pouvez réinitialiser votre mot de passe avec Facebook. Sur Android, appuyez sur «obtenir de l’aide pour vous connecter» sur la page de connexion. Sélectionnez l’option «Connexion avec Facebook» et utilisez vos identifiants Facebook pour vous connecter à votre compte. Sur un iOS déjà connecté à l’application Facebook, cliquez sur le lien avec l’icône Facebook qui indique «continuer en tant que» avec votre nom d’utilisateur Facebook. Une fois dedans, vous pouvez aller à la page des paramètres pour ajuster votre email et votre mot de passe.

Instagram vous enverra également par SMS un lien pour revenir à votre compte, une option pour Android et iOS qui ne fonctionne que pour les utilisateurs qui ont ajouté un numéro de téléphone au compte. Sur la page de connexion, appuyez sur «obtenir de l’aide pour vous connecter», puis sélectionnez l’option de téléphone et entrez le numéro de téléphone de votre compte Instagram.

Comment garder votre Instagram à l’abri des intrusions.

Re-accéder à votre compte peut être un cauchemar, en particulier lorsque le pirate informatique modifie les données normalement utilisées pour récupérer le compte. Donc, une fois que vous êtes revenu sur votre compte ou avant que vous ne soyez victime d’un piratage informatique, que pouvez-vous faire pour protéger votre compte Instagram ?

Commencez par activer l’authentification à deux facteurs. Bien que non infaillible à 100 %, cette fonctionnalité est facile à configurer et peut avoir un effet dissuasif important sur les piratages. Sur votre page de profil Instagram, accédez au menu des paramètres (l’icône qui ressemble à un engrenage sur l’application, vous pouvez la trouver après avoir appuyé sur l’icône du menu avec trois lignes). Dans le menu des paramètres, sélectionnez l’authentification à deux facteurs dans les options de confidentialité et de sécurité. Activez la fonction pour recevoir un code de confirmation lorsque vous essayez de vous connecter à l’aide d’un nouvel appareil. Si vous ne l’avez pas encore fait, vous devrez ajouter un numéro de téléphone à votre compte, mais l’ajout d’un numéro de téléphone est également un autre moyen de récupérer un compte piraté.

Les pirates peuvent également accéder facilement à votre compte Instagram s’ils accèdent à votre compte de messagerie. Assurez-vous donc que votre compte Instagram et votre adresse e-mail ont des mots de passe forts (ce n’est pas la même chose). Modifiez souvent vos mots de passe et n’autorisez que les applications tierces dont vous avez absolument besoin et auxquelles vous faites confiance.

A lire également : Instagram annonce de nouveaux outils pour renforcer la sécurité des comptes.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

GhostDNS semble être lié au tristement célèbre malware DNSChanger.

Des chercheurs en informatique ont récemment découvert un nouveau logiciel malveillant qui a piraté environ 100 000 routeurs domestiques et modifié leurs paramètres DNS. Cependant, le GhostDNS qui a été reconnu coupable de cette campagne de programmes malveillants semble très similaire à un autre virus appelé DNS Changer. Comme son prédécesseur, ce virus dangereux est utilisé pour rassembler des informations sensibles telles que les informations de connexion des utilisateurs qui visitaient des sites Web bancaires.

GhostDNS botnet présente encore plus de similitudes que le malware susmentionné. Les deux virus reposent sur le principe de fonctionnement qui consiste à modifier les paramètres du serveur DNS pour aider les cybercriminels à voler les informations personnelles des victimes via des serveurs malveillants.

Pour le moment, les utilisateurs dont les routeurs ont un mot de passe faible ou aucun mot de passe devraient être particulièrement inquiets, car GhostDNS s’adresse à ces routeurs pour le moment. Le botnet recherche l’adresse IP et accède aux paramètres du routeur. Une fois cette activité effectuée, l’adresse DNS du routeur est modifiée et transformée en celle utilisée par les criminels.

GhostDNS botnet utilise quatre modules pour son fonctionnement.

Le botnet GhostDNS utilise quatre modules pour exécuter des actions malveillantes :

DNS Changer : Celui-ci est le module principal utilisé par le malware GhostDNS. Il permet au malware de collecter des informations sensibles en piratant les routeurs des utilisateurs.
Web Admi : Ce module contient très peu d’informations sur son objectif opérationnel. Cependant, il est connu que cette technique permet aux pirates d’accéder au panneau d’administration.
DNS non autorisé : Un tel module permet aux pirates de déterminer les noms de domaine à partir du serveur contrôlé par l’escroc. Ce module semble être très efficace pour déterminer divers détails de compte bancaire.
Phishing Web : Une fois que le contenu ciblé est résolu, ce module crée la fausse variante du site Web qui a été piratée.

87,8 % des routeurs infectés appartiennent à des Brésiliens.

Les chercheurs ont découvert que les Brésiliens étaient la cible principale de cette campagne de programmes malveillants.

87,8% des appareils infectés sont situés dans ce pays.

Actuellement, la campagne se concentre principalement sur le Brésil. Nous avons dénombré plus de 100 000 adresses IP de routeurs infectés (87,8 % au Brésil), plus de 70 routeurs / micrologiciels impliqués et plus de 50 noms de domaine, comme certaines grandes banques au Brésil, voire Netflix. Citibank.br a été détourné pour voler les identifiants de connexion au site Web correspondants.

Ne soyez pas victime de telles campagnes de programmes malveillants.

Si vous souhaitez éviter ces attaques de programmes malveillants et protéger votre appareil et vos informations personnelles, vous devez prendre certaines mesures de précaution. Tout d’abord, assurez-vous que votre routeur reçoit toutes les mises à jour recommandées proposées par son développeur. Vous pouvez toujours consulter la page du routeur officiel pour voir quelles mises à jour sont disponibles.

Plus important encore, définissez un mot de passe très fort pour l’accès Web. Il est conseillé de créer un mot de passe qui implique non seulement de simples lettres. Mieux utiliser les majuscules et les minuscules, inclure également des chiffres et même des signes. Plus votre mot de passe sera compliqué, plus le risque de piratage sera faible. De plus, ne mettez pas des mots qui vous concernent et qui sont faciles à deviner, par exemple votre nom et votre date de naissance.

Une autre possibilité pour augmenter la sécurité de votre routeur consiste à désactiver la fonction d’administration à distance. Si vous le faites, personne ne pourra accéder aux paramètres de votre routeur et les modifier sans votre permission. Restez en sécurité !

Les Russes ciblent les routeurs domestiques. Voici comment vous protéger.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les 10 meilleurs conseils pour éviter de se faire pirater WordPress.

Trois sites Web WordPress sur quatre sont vulnérables aux attaques.

Si votre site est piraté, cela ne vous coûtera pas seulement de restaurer le système à un niveau sûr, mais cela endommagera également votre réputation et affectera votre classement dans les moteurs de recherche.

Toutefois, si vous suivez certaines pratiques recommandées, vous pouvez renforcer la sécurité et protéger le site Web contre les attaques malveillantes. Voici quelques conseils pour résoudre les problèmes de sécurité WordPress.

Conseil N°1 : authentification à deux facteurs

Une méthode efficace pour protéger votre site Web WordPress contre les attaques par force brute consiste à sécuriser la connexion de votre site. En mettant en place une authentification à deux facteurs, vous pouvez avoir une couche de sécurité supplémentaire lors de la connexion.

Outre un nom d’utilisateur et un mot de passe, vous devez entrer un code d’accès unique envoyé par SMS à votre téléphone pour vous connecter au site. Plusieurs plugins, tels que l’authentification à deux facteurs Duo et Google Authenticator, sont disponibles pour implémenter cette fonctionnalité de manière efficace.

Conseil N°2 : utiliser un mot de passe fort

Un moyen efficace de traiter les problèmes de sécurité WordPress consiste à disposer d’un mot de passe fort composé d’un minimum de 10 caractères. Il doit s’agir d’une combinaison de minuscules, de majuscules et de chiffres et de caractères spéciaux.

Les mots de passe doivent être difficiles à deviner et doivent être changés souvent. Conservez de préférence des mots de passe différents pour différents sites Web. On peut utiliser des outils tels que «Générateur de mots de passe puissants» pour générer des mots de passe difficiles à déchiffrer.

Conseil N°3 : Limiter les tentatives de connexion

Les pirates utilisent des tactiques comme essayer de se connecter encore et encore au site Web jusqu’à ce qu’ils déchiffrent le mot de passe. Si vous limitez le nombre de fois qu’une personne peut tenter de se connecter au cours d’une période donnée, vous pouvez enregistrer le site Web WordPress contre les attaques brutales.

Il existe des plugins dotés d’un mécanisme de verrouillage pour limiter le nombre de tentatives de connexion. Ils bloquent les adresses IP des utilisateurs qui dépassent le seuil des tentatives de connexion infructueuses.

Conseil N° 4 : Choisissez un bon hébergeur pour votre site

Vous pouvez utiliser les dernières attaques en matière de sécurité, mais vos efforts seront vains si la sécurité de votre hôte est vulnérable aux attaques. Choisissez un bon fournisseur d’hébergement spécialisé dans WordPress et incluant un pare-feu WP, le scan de Malware, PHP à jour et MySQL pour garantir un hébergement sécurisé.

Conseil N° 5 : Sauvegardes planifiées

Dans le cadre d’une stratégie efficace de sécurité et de gestion de crise, il est nécessaire de disposer d’un plan de sauvegarde planifié. En cas de problème, vous pouvez compter sur la solution de sauvegarde pour restaurer la version antérieure aux dommages et vous remettre sur les rails dans les meilleurs délais. Des plugins tels que Vaultpress, Backup Buddy, aident à effectuer des sauvegardes régulières et fournissent des options de restauration.

Conseil N°6 : Changer le nom d’utilisateur admin

Ne conservez pas «admin» comme nom d’utilisateur car c’est la chaîne la plus utilisée. Les pirates utilisent d’abord ce nom d’utilisateur pour tenter de pénétrer sur le site. Si vous avez déjà un site Web WordPress avec un nom d’utilisateur en tant qu’administrateur, vous devrez créer un nouvel utilisateur et lui donner des privilèges administratifs.

Attribuez vos publications au nouvel utilisateur admin. Supprimez ensuite l’ancien compte d’administrateur de WordPress. Alternativement, vous pouvez changer le nom d’utilisateur admin en utilisant un plugin.

Conseil N°7 : Gardez l’environnement WordPress à jour

Chaque fois qu’un problème de sécurité survient, WordPress publie une version mise à jour pour corriger la faille de sécurité. Assurez-vous de mettre à jour votre installation WordPress chaque fois qu’une nouvelle version est publiée. L’exécution d’une ancienne version de WordPress le rend vulnérable.

Étant donné que les pirates obtiennent des informations sur les failles de sécurité de l’ancienne version, ils peuvent facilement cibler et attaquer votre site Web s’il fonctionne toujours sur une version antérieure. Utilisez les mises à jour automatiques et maintenez votre site Web régulièrement.

Conseil N°8 : Mettre à jour des plugins et des thèmes

Les plugins et les thèmes sont comme des portes ouvertes à vos informations personnelles. Comme ils sont sujets aux attaques, ils doivent être correctement sécurisés. Gardez-les à jour exactement comme vous le faites avec l’environnement WordPress.

Vous pouvez facilement identifier les plug-ins nécessitant une mise à jour dans le tableau de bord de l’administrateur. Configurez les mises à jour automatiques chaque fois que possible pour que tout reste à jour.

Conseil N°9 : Supprimer les plugins non utilisés

Les plugins inactifs sur un site Web WordPress sont sujets aux menaces. Parce qu’on a tendance à ignorer les mises à jour sur ces plugins. C’est pourquoi il est judicieux de supprimer les plug-ins que vous n’utilisez pas et de réduire les vulnérabilités. Notez que simplement désactiver le plugin ne suffit pas. Vous devez les supprimer pour vous assurer qu’ils ne deviennent pas les points d’entrée des pirates.

Conseil N°10 : Surveillez les fichiers WordPress

Les plug-ins de sécurité tels que Wordfence vous aident à surveiller et à suivre les modifications apportées aux fichiers WP. Avec des fonctionnalités d’analyse de sécurité et de détection et de prévention des intrusions, ces plug-ins constituent une solution de sécurité complète.

Celles-ci ne sont que quelques-unes des stratégies que l’on peut adapter pour résoudre les problèmes de sécurité de WordPress. La protection de l’environnement WordPress est un processus continu. Il faut être conscient des nouvelles menaces ainsi que des nouvelles astuces et outils pour y faire face régulièrement.

Article sur les mots de passe : Pourquoi tant de personnes ont comme mot de passe « Dragon ».

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le piratage de Facebook expose une défaillance sur Internet.

Facebook a été largement accusé du piratage de données historique qui a permis aux pirates informatiques non seulement d’acquérir les comptes d’au moins 50 millions d’utilisateurs, mais aussi d’accéder à des sites Web tiers auxquels les utilisateurs sont connectés avec Facebook. Mais ce qui rend la situation encore pire, c’est que la résolution du problème est, à bien des égards, hors de portée de Facebook.

Selon un récent rapport de l’Université de l’Illinois à Chicago, certains des sites les plus populaires du Web n’ont pas mis en place des mesures de sécurité de base qui auraient limité les retombées du piratage sur Facebook. S’ils avaient pris plus de précautions avec leur implémentation de la fonction d’authentification unique de Facebook qui vous permet d’utiliser votre compte Facebook pour accéder à d’autres sites et services plutôt que de créer un mot de passe unique pour chaque site. Au lieu de cela, les pirates pourraient avoir accédé à tout, des messages privés sur Tinder aux informations de leur passeport sur Expedia, sans laisser de trace. Encore plus stupéfiant : vous pourriez être en danger même si vous n’avez jamais utilisé Facebook pour vous connecter à un site tiers.

La clée maitresse

Dans un article publié en août, l’informaticien Jason Polakis et ses collègues ont analysé les nombreuses façons dont les pirates pouvaient abuser de l’outil d’authentification unique de Facebook. Facebook n’est pas le seul à proposer cette fonctionnalité, Google en a sa propre version, de même que de nombreux autres «fournisseurs d’identités». Mais ce que dit Facebook, Polakis, est le plus répandu.

Il existe des raisons valables pour que les sites et services tiers permettent aux utilisateurs de se connecter à Facebook. Pour les débutants, c’est facile et cela évite aux utilisateurs de créer un autre mot de passe. Et, en théorie du moins, cela rend la connexion plus sécurisée. «La possibilité de mettre en place une infrastructure sécurisée, de gérer les entrées des utilisateurs, de disposer de connexions chiffrées et d’utiliser des mécanismes de sécurité à jour est très difficile», explique M. Polakis. «Ainsi, au lieu de compter sur des milliers de sites Web plus petits, vous comptez sur un site offrant de meilleures pratiques de sécurité.»

Bien sûr, ces avantages s’accompagnent de risques évidents. Si quelqu’un compromet l’authentification unique, celle de Google ou de quiconque sur Facebook, l’impact possible est largement dispersé. Les chercheurs ont tenté de déterminer l’étendue des dommages potentiels d’un compte volé. Quelles données un attaquant pourrait-il alors récupérer ? Comment les utilisateurs sauraient-ils qu’ils ont été piratés ? Et que pourraient faire les victimes ? À l’époque, les résultats étaient déconcertants. Maintenant, ils semblent étrangement prescient.

Vendredi, Facebook a annoncé que les pirates informatiques avaient tiré parti de trois bugs distincts pour collecter 50 millions de code d’accès d’utilisateurs, équivalents aux clés numériques d’un compte Facebook. Avec ces codes, les pirates peuvent prendre le contrôle total des comptes Facebook des utilisateurs, mais grâce à la connexion unique, ils peuvent également accéder à tout autre site Web auquel ces 50 millions d’utilisateurs se connectent avec Facebook. C’est similaire, mais pas identique, au scénario étudié par Polakis et ses collègues. Dans ce cas, les chercheurs ont pu détourner les cookies sur le périphérique d’un utilisateur donné en utilisant une faille désormais corrigée dans l’application Facebook iOS. Mais, selon Polakis, une fois qu’un attaquant a le contrôle du compte Facebook de quelqu’un, son accès à des tiers serait en grande partie identique.

Après que Facebook a découvert le piratage, elle a réinitialisé les codes d’accès pour les 50 millions d’utilisateurs affectés et 40 millions d’autres utilisateurs concernés. « Nous menons toujours l’enquête pour voir si ces attaquants ont eu accès à ces applications tierces », a déclaré la porte-parole de Facebook, Katy Dormer.

Protections limitées

Il existe des moyens que les sociétés tierces peuvent et doivent protéger leurs utilisateurs en cas de piratage de Single Sign-On. Le problème, explique Polakis, c’est que peu d’entre eux le font.

Par exemple, les sites Web qui utilisent Single Sign-On peuvent soit vous connecter automatiquement si vous êtes déjà connecté à Facebook ailleurs dans votre navigateur, soit vous demander de saisir votre mot de passe Facebook à chaque connexion. Plus sûr, car les pirates auraient besoin de plus que le code d’accès de l’utilisateur pour accéder à des sites tiers. Ils ont également besoin de mots de passe.

Mais dans une vérification manuelle de 95 des sites Web et mobiles les plus populaires qui offrent l’authentification unique de Facebook, d’Uber et Airbnb au New York Times et au Washington Post, les chercheurs ont constaté que seulement deux personnes devaient entrer leur mot de passe Facebook à chaque fois qu’ils se sont connectés, Polakis le décrit comme un cas classique d’entreprises choisissant la convivialité plutôt que la sécurité. «Si tous les sites Web avaient activé cette option, dans ce cas, les attaquants ne pourraient pas accéder à des tiers, car ils n’auraient pas votre mot de passe Facebook», indique-t-il.

Les sites tiers peuvent également permettre aux utilisateurs d’afficher l’activité sur leurs comptes. Facebook, par exemple, a recommandé que les utilisateurs considèrent les «sessions actives» comme un moyen de détecter tout accès non autorisé. Mais tous les sites Web ne proposent pas une telle piste numérique. Ils ne fournissent pas non plus tous les moyens d’éliminer les sessions actives. En fait, sur les 95 sites étudiés par Polakis et ses co-auteurs, seuls 10 offrent un moyen de purger les sessions. Cela non seulement rend les pirates difficiles à détecter, mais cela peut rendre presque impossible leur suppression.

Polakis et son équipe ont également analysé un sous-ensemble des sites pour voir ce qui se passe lorsque vous modifiez l’adresse e-mail ou le mot de passe de l’utilisateur sur ces sites tiers. Ils ont constaté que sur 29 sites, 15 autorisent les pirates à modifier l’email d’un compte sans saisir de mot de passe; parmi ceux-ci, six permettent de définir le mot de passe sans entrer l’ancien mot de passe. Les autres requièrent que l’attaquant effectue une réinitialisation formelle du mot de passe. Mais si l’attaquant a déjà réinitialisé l’adresse de messagerie sur ce site, il ne fait que router le courrier électronique de réinitialisation du mot de passe vers lui-même.

Dormer de Facebook dit que la société conseille les développeurs sur les «meilleures pratiques» et «prépare actuellement des recommandations supplémentaires pour tous les développeurs répondant à cet incident et protégeant les utilisateurs».

Mais le résultat le plus stupéfiant du document est peut-être que les gens n’ont pas nécessairement besoin de se connecter à des sites tiers avec Facebook pour être exposés. Disons, par exemple, que vous vous êtes connecté à un site Web avec la même adresse électronique associée à votre compte Facebook. Si un attaquant tente de se connecter à ce même site Web en utilisant l’authentification unique de Facebook, les chercheurs ont découvert que certains sites, y compris l’application de fitness Strava, associeraient les deux comptes.

« Si vous avez un compte Facebook, même si vous ne l’avez jamais utilisé pour vous connecter à un autre site Web, un attaquant pourrait toujours utiliser le jeton Facebook et accéder au compte d’un utilisateur sur des sites Web tiers », explique Polakis.

Surcharge de données

Alors, quelles sont les données que les chercheurs pourraient collecter en pénétrant ces sites tiers ? Dans des expériences contrôlées, Polakis et ses collègues ont pu suivre les déplacements d’une victime en temps réel sur Uber. Dans un cas, ils ont renversé le pilote du dispositif de l’attaquant une fois le voyage terminé. Sur Tinder, ils pouvaient lire les messages privés des utilisateurs, même si les messages apparaissaient comme non lus sur le compte concerné. Sur Expedia, ils ont piraté des numéros de passeport et des informations TSA.

Tout cela, rien qu’une expérience avec un nombre limité de comptes piratés et de sites tiers. Selon M. Polakis, l’attaque de Facebook «est d’une ampleur démesurée» et touche des dizaines de millions d’utilisateurs sur des milliers de sites.

WIRED a contacté plusieurs développeurs pour obtenir des commentaires, y compris Strava, Tinder, Expedia et Airbnb. Uber, pour sa part, a déclaré avoir révoqué les codes pour les comptes qui, selon elle, pourraient être menacés. Selon le porte-parole Melanie Ensign, cela signifie que toute personne qui s’est connectée à Uber avec un nouvel appareil, bien qu’il ne soit pas clair dans quel délai. « Bien que nous n’ayons pas vu de preuves de cet exploit sur notre plateforme, nos équipes et systèmes de sécurité sont constamment à la recherche de problèmes potentiels et avertiront les utilisateurs lorsque nous détectons des activités suspectes sur leur compte », explique Ensign.

Pour l’instant, Facebook cherche à savoir si la réinitialisation du code d’accès est suffisante pour empêcher les attaquants d’accéder à ces tiers à l’avenir. (Polakis dit que sur la base de ses recherches, ce n’est pas le cas.) L’ampleur des dommages déjà causés au cours des 14 mois pendant lesquels la vulnérabilité était active est encore inconnue. Facebook ne partage pas encore ses recommandations spécifiques pour les développeurs, mais Polakis a une suggestion : Single Sign-Off. Cela donnerait aux utilisateurs un moyen de révoquer instantanément l’accès à tous les sites Web connectés à leurs comptes Facebook et d’invalider les sessions d’un attaquant.

Facebook mérite certainement une attention particulière. Il a fait son chemin dans tous les coins d’Internet pendant plus d’une décennie, souvent sans tenir compte des conséquences de son omniprésence. Mais ce qui est également clair, c’est que pour aider les gens à passer plus de temps à parcourir leurs sites et leurs applications, d’autres géants du Web ont également laissé tomber leurs utilisateurs. Et maintenant, tout le monde va payer le prix.

Dans le même sujet : Comment se protéger du piratage de Facebook ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage