Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Pour arrêter le phishing, Google a donné des clés de sécurité à tous ses employés.

L’investissement de Google dans l’attribution de clés de sécurité USB à tous ses employés a porté ses fruits. Les employés n’ont déclaré aucun piratage de comptes n’avait eu lieu depuis 2017, date à laquelle la nouvelle politique a été introduite.

Nous en avions déjà parlé dans cet article : Avec le support des clés physiques, Twitter rend le piratage de comptes beaucoup plus difficile.

Comment Google empêche-t-il ses employés de se faire pirater leur compte Google ? En utilisant du matériel, n’importe qui peut acheter des clés de sécurité USB.

En 2017, l’entreprise a commencé à distribuer des clés de sécurité physiques aux 85 000 employés. Et depuis lors, aucun employé n’a signalé de prises de contrôle de comptes, a indiqué Google lundi.

Les nouvelles, qui ont été rapportées pour la première fois par le journaliste de sécurité Brian Krebs, montrent comment une clé de sécurité physique peut empêcher le piratage de vos comptes en ligne. Il suffit souvent de protéger votre compte avec un mot de passe. Les pirates peuvent parfois les deviner ou ils peuvent utiliser un email d’hameçonnage pour vous inciter à les communiquer.

Cependant, une clé de sécurité offre un niveau de protection qui peut empêcher les meilleurs pirates d’infiltrer vos comptes. Cela fonctionne comme ceci : tout ordinateur qui tente de se connecter aura besoin à la fois du mot de passe et de la clé physique.

Les experts en sécurité appellent cette configuration l’authentification à deux facteurs, dans laquelle vous avez besoin à la fois du mot de passe et d’une autre information pour accéder au compte. Les plus grands services Internet, tels que Google, Facebook et Twitter, offrent déjà cette solution de sécurité et vous pouvez l’utiliser gratuitement.

La seule différence est que cette authentification à deux facteurs est généralement utilisée avec un mot de passe et un code spécial généré sur votre smartphone. Essayer de pirater quelqu’un avec cette configuration de sécurité n’est pas facile, mais cela peut encore être fait.

Imaginez un pirate qui a votre numéro de téléphone. Il pourrait essayer de vous tromper en communiquant les codes spéciaux uniques générés sur votre smartphone. D’autres hackers ont réussi à hacker l’authentification à deux facteurs en espionnant un réseau cellulaire et en interceptant les messages SMS chargés avec les codes spéciaux.

Une clé de sécurité physique résout ce problème en introduisant du matériel réel dans l’équation. Le mot de passe et les codes spéciaux sont tous numériques, ce qui les rend faciles à envoyer et à reproduire. Une clé de sécurité USB, d’un autre côté, ne l’est pas. Pour pénétrer dans votre compte, un pirate doit non seulement connaître votre mot de passe, mais personnellement, il doit vous voler votre clé de sécurité. Cela explique probablement pourquoi les employés de Google ont été si difficiles à hameçonner.

Si vous êtes sur le point d’acheter une clé de sécurité, le fabricant le plus populaire d’entre eux est Yubico, qui les offre à partir de 20 $. Les modèles les plus chers peuvent être utilisés pour se connecter avec un smartphone ou un port USB.

Tous les sites ne prennent pas en charge les clés de sécurité USB, mais les plus grands services, tels que Google, Facebook, Dropbox et plus récemment Twitter le font. L’ensemble de l’industrie de la technologie travaille également à déployer de nouvelles normes de connexion qui aideront à rendre le support des clés universellement accepté.

Si vous avez un budget limité, l’authentification à deux facteurs est toujours recommandée. Mais c’est une bonne idée de générer les codes spéciaux que vous recevrez via une application d’authentification, au lieu de générer des messages SMS.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Que font les pirates avec vos mots de passe ?

Internet fourmille littéralement de hackers qui recherchent sans cesse des cibles. Les serveurs de bases de données vulnérables sont essentiellement l’un de leurs objets préférés sur lequel lancer leurs attaques diaboliques, car ils contiennent des tonnes d’informations et de données que ces pirates peuvent utiliser. La plupart d’entre eux recherchent des informations personnelles telles que les informations de carte de crédit, les noms et adresses et bien sûr les mots de passe.

Au fil du temps, les fraudeurs ont piraté d’énormes bases de données et ont occasionnellement récupéré littéralement des millions de fichiers, d’enregistrements et / ou d’autres informations personnelles à la fois. Selon le rapport le plus récent de Shape Security, les pirates utilisent ces mots de passe pour lancer une cyberattaque appelée «bourrage des informations d’identification».

Le bourrage des justificatifs est lorsque les hackers remplissent une base de données avec autant de mots de passe et de noms d’utilisateur qu’ils peuvent trouver et les nourrir dans un outil de hackers automatisé qui bloque sur un site Web spécifique. Plus ils accumulent d’informations d’identification, plus leurs chances d’en trouver un qui déverrouillera votre compte seront meilleures.

Ces types d’attaques sont en réalité beaucoup plus communs que beaucoup de gens le réalisent. Shape Security affirme qu’un énorme 90 % des tentatives de connexion au site Web de vente au détail ne sont pas de véritables cyber acheteurs essayant de se connecter à leurs propres comptes; ils sont en fait des attaques de bourrage d’informations d’identification en cours.

Les sites Web des compagnies aériennes sont les deuxièmes types de sites les plus ciblés et 60 % de leurs tentatives de connexion sont des attaques par bourrage de titres. Les sites bancaires en ligne occupent la troisième place avec 58 % et la quatrième place avec 44 % sont des sites d’hôtels.

Ces pirates tentent d’hacker ces comptes pour faire des achats frauduleux ou avoir accès aux données de carte de crédit et / ou à d’autres informations de paiement.

Shape Security indique que, dans environ 3 % des cas, le bourrage des informations d’identification peut effectivement réussir. Cela équivaut à 30 000 succès pour chaque million de tentatives.

C’est pourquoi vous devez créer des mots de passe sophistiqués et ne jamais utiliser le même mot de passe pour plus d’un site. Lisez nos conseils pour créer un mot de passe sécurisé.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

La base de données de fans de Liverpool FC a été piraté.

Une récente attaque de hack a affecté le célèbre club de football Liverpool FC, une partie de leur base de données de fans a été piraté affectant 150 détenteurs de billets de saison. La direction du club a confirmé qu’il y avait une faille de sécurité sur l’un des comptes e-mail des administrateurs du club, ce qui a permis aux pirates d’accéder aux informations personnelles d’autres personnes, y compris les adresses personnelles et les coordonnées bancaires.

Quels détails ont été exposés ?

Un fan a déclaré à Liverpool Echo qu’il avait reçu un email avec ses données personnelles telles que son nom, son adresse électronique, sa date de naissance, son numéro de membre et son adresse de facturation, mais les coordonnées bancaires n’étaient pas mentionnées.

De nombreux fans ont exprimé leur déception face à la sécurité du club, d’autant plus qu’ils ont été piratés plus tôt dans l’été et ne semblent pas prendre de mesures sérieuses pour y mettre un terme.

Il est actuellement difficile de savoir quel type d’information a été divulgué, mais les comptes ne contenaient pas d’informations financières, ce qui laisse espérer que les pirates continueront à vendre le reste de l’information en ligne car il y a une demande pour ces informations à des fins de marketing.

Qu’elle a été la réaction du club ?

Après avoir été informé de l’incident, le club a informé tous les membres piratés et leur a même fourni une vérification de crédit expérimentale de 12 mois pour les aider.

Selon le porte-parole du club, les mesures de sécurité ont été renforcées et il a été garanti qu’aucun autre piratage ne peut être effectué sur d’autres supporters.

Ils ont ajouté que l’affaire était en train d’être examinée et qu’une enquête était en cours pour appréhender les pirates qui ont fait cela. Il semblerait, d’après la réponse des utilisateurs, qu’ils ne semblent pas être entièrement d’accord avec cela.

Ce hack ne devrait pas être pris à la légère. Ces hacks ne font pas de mal mais peuvent aussi avoir un impact sur la popularité du sport.

Cet article vous intéressera aussi : Les 25 mots de passe les plus populaires de 2017

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Comment rendre votre petite entreprise peu attrayante pour les cyberattaques.

Les cybercriminels perçoivent les petites entreprises comme des cibles lucratives.

Découvrez pourquoi et quels conseils en cybersécurité proposent de réduire vos risques en matière de sécurité numérique.

Certains fondateurs de petites entreprises supposent que la taille de leur entreprise en fait une cible peu probable pour les cyber-pirates. C’était peut-être vrai dans le passé, mais ce n’est plus le cas.

« Depuis 2011, le piratage de PME a augmenté, mais cela représente moins d’un cinquième de toutes les attaques », écrit Joseph Steinberg, expert en cybersécurité dans son article sur les petites entreprises. Les attaques vous ciblent. « Aujourd’hui, cependant, ce chiffre se situe à un niveau proche de 50 % et la tendance à cibler les petites entreprises va probablement continuer, les petites entreprises étant devenues, aux yeux de nombreux pirates, des cibles plus attrayantes que les grandes entreprises. »

Steinberg explique les raisons suivantes :

– Les fondateurs de petites entreprises paient une rançon : les petites entreprises ont un budget serré, ont besoin des données de leur entreprise pour rester solvables et la plupart trouvent que payer la rançon est le meilleur moyen de sortir d’une situation malheureuse.
– Les petites entreprises ont des données précieuses : les cybercriminels constatent que même les plus petites entreprises stockent suffisamment d’informations sensibles, financières et personnelles pour que le piratage en vaille la peine.
– Les petites entreprises fournissent l’accès des pirates à d’autres entreprises : Les petites entreprises fournissent et reçoivent des services d’autres entreprises, grandes et petites.
– Les petites entreprises manquent souvent de cyberdéfenses adéquates : il est peu probable que les cyberdéfenses d’une petite entreprise soient du même calibre qu’une entreprise de taille moyenne. En plus de manquer de sophistication, les petites entreprises ont rarement des employés à temps plein qui sont responsables de la cybersécurité. Steinberg ajoute: « Certains qui ne prendraient jamais le risque d’essayer d’attaquer Amazon.com pourraient avoir peu ou pas de scrupules à tenter de pirater un point de vente au détail. »

Il y a au moins deux autres facteurs qui agissent contre les petites entreprises :

– Les gentils doivent protéger toutes les faiblesses alors que les méchants n’ont qu’à trouver une solution.
«Les méchants en savent généralement plus sur l’équipement d’une cible et sur la façon d’y pénétrer que ne le savent les dirigeants», suggère l’auteur et expert en cybersécurité Greg Scott.

L’inégalité des risques entre les grandes et les petites entreprises est quelque chose que Matt D’Angelo aimerait éliminer. Pour commencer, D’Angelo suggère d’effectuer une évaluation complète des risques numériques.

D’Angelo décrit un exemple où la gestion des petites entreprises peut échouer. « Souvent, les cyberattaques les plus courantes proviennent d’employés mécontents ou d’erreurs commises par des travailleurs au sein de l’organisation », explique-t-il. « Alors que les tendances de la criminalité à l’échelle de l’industrie comme le phishing, les rançongiciels et les attaques DDoS devraient être prises en compte, n’oubliez pas les menaces au sein de votre propre entreprise. »

D’Angelo et Rey reconnaissent qu’il est impossible de trouver toutes les vulnérabilités. D’Angelo suggère que c’est là que les consultants en cybersécurité et les sociétés tierces d’évaluation des risques peuvent être utiles. «Une fois que le personnel de l’entreprise a examiné les menaces et déterminé les vulnérabilités existantes, un consultant en cybersécurité peut ensuite aider à quantifier les risques et mettre en œuvre des stratégies pour protéger l’entreprise», écrit D’Angelo. « Lorsque vous recherchez des entreprises ou des personnes avec lesquelles travailler, Rey a déclaré qu’il était important de considérer l’expérience et de travailler avec une entreprise qui comprend l’aspect commercial de la cybersécurité. »

D’autres conseils en sécurité pour votre entreprise à lire ici : Les employés se font pirater leurs mots de passe

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Des milliers de mots de passe Mega.co.nz ont été piraté !

Les adresses électroniques, les mots de passe et les listes de noms de fichiers ont été hacké.

Des milliers de références pour les comptes associés au service de stockage de fichiers basé en Nouvelle-Zélande Mega.co.nz ont été piraté et publiées en ligne.

Le fichier texte contient plus de 15 500 noms d’utilisateur, mots de passe et noms de fichiers, indiquant que chaque compte a été piraté et que les noms de fichiers ont été effacés.

Patrick Wardle, directeur de la recherche et co-fondateur de Digita Security, a trouvé le fichier texte en juin après qu’il ait été téléchargé sur le site d’analyse de malware VirusTotal quelques mois auparavant par un utilisateur prétendument au Vietnam.

Nous avons vérifié que les données appartenaient à Mega, le site de partage de fichiers appartenant à l’entrepreneur Kim Dotcom en contactant plusieurs utilisateurs, qui ont confirmé que l’adresse e-mail, le mot de passe et certains des fichiers que nous leur avons montrés étaient utilisés sur Mega.

Les listes remontent aux débuts du service cloud en 2013 et aussi récemment qu’en janvier.

Nous avons envoyé les données à Troy Hunt, qui gère le site de notification de piratage de données Have I Been Pwned pour analyse. Son analyse a mis en évidence le bourrage d’informations d’identification où les noms d’utilisateur et les mots de passe ont été piraté sur d’autres sites plutôt qu’un piratage directe des systèmes de Mega. Il a affirmé que 98 % des adresses e-mail dans le fichier avaient déjà été précédemment recueillie dans sa base de données suite à un piratage.

Quelque 87 % des comptes du fichier Mega ont été trouvés dans une collection massive de 2 844 piratages de données qu’il a téléchargées sur le service en février, a déclaré M. Hunt.

Parmi ceux que nous avons contactés, cinq ont dit qu’ils avaient utilisé le même mot de passe sur différents sites.

La liste est « seulement 0,0001 pour cent de nos 115 millions d’utilisateurs enregistrés. »

On ne sait pas qui a compilé la liste ou comment les données ont été piraté. Bien que le site prétend offrir un cryptage de bout en bout pour que même l’entreprise ne puisse pas voir ce qui est téléchargé, le site n’autorise pas l’authentification à deux facteurs, ce qui facilite grandement l’accès aux comptes lorsque le compte d’un utilisateur mot de passe se fait piraté. Un hacker aurait seulement besoin d’utiliser les informations d’identification pour se connecter à chaque compte afin de confirmer qu’ils fonctionnent et pour supprimer les noms de fichiers.

Il est prévu que la société introduise l’authentification à deux facteurs.
Mega conserve un enregistrement de l’adresse IP de chaque utilisateur qui se connecte à un compte. Trois utilisateurs ont déclaré avoir vu des connexions suspectes accéder à leur compte depuis des pays d’Europe de l’Est, de Russie et d’Amérique du Sud au cours des derniers mois depuis le téléchargement du fichier de références.

Ce n’est pas la première fois que Mega fait face à des problèmes de sécurité. En 2016, les pirates ont prétendu obtenir des documents internes Mega.

A lire aussi : Quelque 3,3 millions de mots de passe de Néerlandais sur les moteurs de recherche en ligne.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage