Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Que faire si votre compte Instagram a été piraté ?

Avez-vous reçu un email d’Instagram vous indiquant que l’email associé à votre compte a été modifié, même si vous n’avez apporté aucun changement ?

Ces derniers jours, un nombre croissant d’utilisateurs d’Instagram ont accédé à Twitter et à Reddit avec des publications concernées exprimant leur frustration à propos de ce scénario : ils se retrouvent inopinément déconnectés de leurs comptes et ne peuvent plus se reconnecter. Dans certains cas, ces emails modifiés indiquent le nom de domaine russe (.ru).

Sur son blog, Instagram propose quelques points de repère. Si vous recevez un courrier électronique d’Instagram, cliquez sur « annuler cette modification » et modifiez votre mot de passe. (Vérifiez bien que le courrier électronique provient bien d’Instagram.com avant de procéder au changement). Suivez les règles standard pour créer un mot de résistant (suivez nos conseils) : n’utilisez pas un mot de passe que vous avez utilisé ailleurs; utiliser une combinaison de lettres, de chiffres et de signes de ponctuation; évitez d’utiliser des noms personnels ou des dates disponibles publiquement.

Instagram conseille également de révoquer l’accès à des applications tierces douteuses. Lorsque vous revenez sur votre compte, veillez à activer l’authentification à deux facteurs (Paramètres> Authentification à deux facteurs> Code de sécurité requis). Alors qu’il a été signalé que de nombreux comptes Instagram ont été piratés ne disposaient pas d’une authentification à deux facteurs, une mesure de sécurité supplémentaire pour les comptes, certains l’ont fait.

Tous les utilisateurs n’ont pas trouvé les conseils de Instagram utiles. Dans certains cas, les noms d’utilisateur et les emails associés à des comptes Instagram piratés ont été modifiés. Si tel est le cas, soumettez une demande d’aide pour la récupération de votre compte via le centre d’aide d’Instagram.

Si vous êtes l’un des plus chanceux et que votre compte n’a pas été piraté, vous n’avez pas à modifier votre mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un piratage d’Instagram bloque des centaines d’utilisateurs sur leurs comptes.

Les options de récupération sont modifiées en adresses .ru par un acteur de menace inconnu.

Instagram a été frappée par une campagne de piratage généralisée qui semble avoir touché des centaines d’utilisateurs, les empêchant de récupérer leurs comptes.

Comme signalé pour la première fois par Mashable, un nombre croissant d’utilisateurs d’Instagram se voient interdire l’accès à leurs propres comptes.

Les tentatives de connexion semblent échouer et lorsque des e-mails de réinitialisation de mot de passe et de récupération sont demandés, de nombreux utilisateurs signalent que les adresses e-mail liées à leurs comptes ont été remplacées par des domaines .ru.

Bien que l’on ne sache pas qui est à l’origine du piratage, l’utilisation des adresses e-mail .ru peut indiquer que la source provient de Russie ou d’acteurs de menaces prétendant provenir du pays.

Les noms d’utilisateur, les images de profil, les mots de passe, les adresses email et les comptes Facebook connectés sont modifiés, selon les victimes. Une connexion entre les comptes Instagram hackés est l’utilisation de caractères Disney ou Pixar lorsque de nouvelles images de profil ont été téléchargées.

Selon la publication, des centaines d’utilisateurs de la plateforme de partage d’images ont signalé des problèmes de verrouillage de compte. Au moment de la rédaction du présent document, les utilisateurs sont toujours ciblés et tweetent directement sur Instagram avec désespoir pour récupérer leurs comptes.

On ne sait pas combien de victimes ont implémenté une authentification à deux facteurs (2FA) dans leurs comptes. Les adresses email ayant été modifiées, parallèlement à d’autres informations de contact, les utilisateurs impliqués dans le piratage auront probablement du mal à récupérer leurs comptes.

Les utilisateurs de Twitter ont trouvé le processus de récupération des comptes Instagram frustrant. Certaines victimes affirment que malgré toutes les étapes nécessaires, la plate-forme doit encore aider et que les systèmes automatisés utilisés par Instagram pour la récupération de compte ne se sont pas révélés efficaces.

Un utilisateur d’Instagram a commenté sur Twitter qu’il avait attendu cinq jours et un autre a déclaré qu’il fallait deux semaines et demie pour que Instagram retourne son compte.

Il se peut que les comptes aient été exposés à des attaques en raison d’un manque de 2FA, de laxisme des mots de passe ou d’une campagne de phishing réussie.

« Nous travaillons dur pour fournir à la communauté Instagram une expérience sûre et sécurisée », a déclaré un porte-parole d’Instagram. « Lorsque nous découvrons un compte compromis, nous fermons l’accès au compte et les personnes affectées sont soumises à un processus de correction afin de pouvoir réinitialiser leur mot de passe et prendre les mesures nécessaires pour sécuriser leurs comptes. »

Lorsque les comptes de médias sociaux deviennent la cible de cyberattaques, après avoir été compromis, des messages sont souvent envoyés à des contacts contenant des liens et des scripts malveillants à propager, et des contenus frauduleux ou des spams sont souvent publiés dans des délais.

Cependant, cela ne semble pas être le cas en ce qui concerne l’incident Instagram, car aucun contenu utilisateur n’a été supprimé ou aucune nouvelle image n’est publiée.

Par conséquent, Paul Bischoff, défenseur de la vie privée chez Comparitech.com, estime que le piratage généralisé peut être dû à un botnet. S’adressant à Threat Post, Bischoff a spéculé que les comptes pourraient être destinés à une armée d’esclaves de spam.

« Même si certaines victimes reprennent le contrôle de leurs comptes, beaucoup de personnes touchées ont probablement quitté la plate-forme ou ne feront tout simplement pas face aux problèmes, ajoutant des soldats à l’armée spambot », a ajouté M. Bischoff.

Apprenez plus sur la sécurité des comptes : 6 façons d’améliorer votre vie privée et votre sécurité sur Instagram

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les pirates ont trouvé un moyen (pas si facile) de faire de l’Echo d’Amazon un virus espion.

Depuis que les haut-parleurs intelligents comme Amazon Echo ont commencé à apparaître dans le monde entier, la communauté de la sécurité les considère désormais comme une cible de choix. Mais cette menace est restée largement hypothétique : aucun malware Echo n’est apparu sur Internet et même les attaques de preuve de concept sur les appareils sont restées au mieux peu pratiques.

Dans le même genre : les objets connectés Alexa, Siri et l’assistant Google peuvent entendre des commandes que l’oreille humaine ne peut pas entendre.

Un groupe de hackers Chinois a passé des mois à développer une nouvelle technique de piratage du gadget assistant vocal d’Amazon. Ce n’est encore guère une prise de contrôle à distance complète de ces enceintes intelligentes. Mais ce serait peut-être la chose la plus proche d’une démonstration pratique de la façon dont les dispositifs pourraient être détournés en silence pour la surveillance.

Lors de la conférence sur la sécurité de DefCon dimanche, les chercheurs Wu Huiyu et Qian Wenxiang envisagent de présenter une technique qui enchaîne une série de bugs dans l’écho de deuxième génération d’Amazon pour aucune indication à l’utilisateur que le périphérique a été compromis.

Les propriétaires d’Echo ne doivent pas paniquer : les pirates informatiques ont déjà alerté Amazon sur leurs conclusions et la société a mis en place des correctifs de sécurité en juillet. Même avant, l’attaque nécessitait de sérieuses compétences matérielles, ainsi qu’un accès au réseau WiFi de l’Echo cible, un degré de difficulté qui signifie probablement qu’il ne serait pas utilisé contre le propriétaire Echo moyen. Mais l’effort apporte néanmoins un éclairage nouveau sur la manière dont une technique d’écoute Echo pourrait fonctionner contre une cible de grande valeur.

« Après plusieurs mois de recherche, nous avons réussi à briser l’Écho Amazon en utilisant de multiples vulnérabilités dans le système Amazon Echo et à réaliser l’écoute à distance », lit une description de leur travail fourni à WIRED par les pirates. des chercheurs en sécurité du géant chinois des technologies Tencent. « Lorsque l’attaque réussit, nous pouvons contrôler Amazon Echo pour l’écouter et envoyer les données vocales via le réseau à l’attaquant. »

L’attaque des chercheurs, même si elle a déjà été corrigée, montre comment les pirates peuvent rassembler une collection sournoise de trucs pour créer une technique de pénétration complexe à plusieurs étapes qui fonctionne même avec un gadget relativement sécurisé comme Echo. Ils commencent par démonter leur propre écho, en retirant sa puce flash, en y écrivant leur propre micrologiciel et en ressoudant la puce sur la carte mère de l’Echo. Cet écho modifié servira d’outil d’attaque contre d’autres échos : en utilisant une série de vulnérabilités Web sur l’interface Alexa d’Amazon.com, comprenant des scripts intersites, la redirection d’URL et des attaques de mise à niveau HTTPS. qu’ils pourraient lier leur Echo piraté avec le compte Amazon d’un utilisateur cible.

S’ils peuvent ensuite envoyer cet Echo manipulé sur le même réseau WiFi qu’un périphérique cible, les pirates peuvent tirer parti d’un composant logiciel des haut-parleurs d’Amazon, appelé Démon Audio Whole Home, que les appareils utilisent pour communiquer avec d’autres Echos sur le même réseau. Ce Demon contenait une vulnérabilité que les pirates informatiques pouvaient exploiter via leur Echo piraté pour obtenir un contrôle total sur le locuteur cible, y compris la possibilité de faire jouer à Echo le son de leur choix, ou de façon plus inquiétante, d’enregistrer et de transmettre de l’audio espion.

Cette exigence que la victime et le pirate soient sur le même réseau WiFi représente une sérieuse limitation à l’attaque. Cela signifie que, même après un piratage matériel sérieux, un attaquant Echo aurait dû connaître le mot de passe WiFi d’une cible ou obtenir un accès réseau. Mais les chercheurs affirment qu’un espion d’Echo pourrait potentiellement hacker le mot de passe WiFi, inciter une victime à installer lui-même son Echo modifié et le lier à son réseau WiFi ou l’attaque pourrait se produire dans des environnements partagés, comme les hôtels et les écoles.

Lorsque WIRED a contacté Amazon à propos de l’attaque, la société a répondu dans un communiqué que « les clients n’ont pas besoin de prendre de mesures car leurs appareils ont été automatiquement mis à jour avec des correctifs de sécurité ». Le porte-parole a également écrit que « ce problème aurait obligé un acteur malveillant à avoir un accès physique à un appareil et à pouvoir modifier le matériel de l’appareil. »

Ce dernier point, pour être clair, n’est pas aussi rassurant que cela puisse paraître. Les pirates auraient dû avoir accès au WiFi de la victime Echo, mais n’auraient besoin que d’un accès physique à leur propre Echo, qu’ils pourraient modifier pour créer leur outil d’attaque dans l’intimité de leur laboratoire.
La recherche soulève également le spectre d’attaques d’accès physique plus direct sur l’Echo de la victime, si un pirate informatique parvient à se retrouver seul avec lui dans la maison ou la chambre de la cible. Les chercheurs ont mentionné en passant qu’ils étaient capables de modifier le micrologiciel de leurs propres Echos en quelques minutes, suggérant qu’ils pourraient être capables de planter des logiciels espions sur une Echo cible tout aussi rapidement. « Après une période de pratique, nous pouvons maintenant utiliser la méthode de soudure manuelle pour retirer la puce du micrologiciel de la carte mère et extraire le micrologiciel dans les 10 minutes, puis modifier le micrologiciel dans les 5 minutes et le connecter à l’appareil board », écrivent-ils. « Le taux de réussite est proche de 100 %. Nous avons utilisé cette méthode pour créer de nombreux périphériques Amazon Echo rootés. »

Les chercheurs de Tencent ne sont pas les premiers à démontrer des techniques qui transforment Echos en outils d’espionnage. L’année dernière, le pirate britannique Mark Barnes a publié une technique qui utilise un accès physique à un Echo de première génération pour y installer des logiciels malveillants via des contacts métalliques accessibles sous sa base en caoutchouc. Des chercheurs de la firme de sécurité Checkmarx ont montré par la suite qu’ils pouvaient détourner une Amazon Echo à distance, mais seulement lorsque leur propriétaire télécharge l’extension logicielle de l’attaquant, ce qu’Amazon appelle une «compétence» sur leur appareil. Stocker et inciter les utilisateurs à le télécharger. Contrairement au travail des pirates informatiques de Tencent, aucune des techniques précédentes ne représentait une technique de piratage par écho sur le réseau ciblée.

Un hack d’Echo véritablement distant ne serait pas facile, déclare Jake Williams, un ancien membre de l’équipe d’élite du piratage informatique de la NSA, Tailored Access Operations. Il souligne que les appareils n’acceptent principalement que les communications vocales et les communications cloud via une connexion cryptée avec le serveur d’Amazon, créant ainsi une « surface d’attaque » très limitée à exploiter par les pirates. C’est pourquoi les chercheurs de Tencent utilisent plutôt les communications Echo-to-Echo d’Amazon.

Mais si les espions pouvaient compromettre un haut-parleur intelligent comme l’Echo, cela constituerait un dispositif de surveillance puissant, note Williams. Contrairement à un téléphone, par exemple, il capte le son non seulement directement à côté de l’appareil, mais n’importe où à portée de voix. «Ces haut-parleurs intelligents sont conçus pour capter tous les bruits de la pièce, les écouter et les transcrire», explique M. Williams. « En conséquence, ils produiraient des dispositifs d’écoute phénoménaux si vous pouviez les exploiter. »

Même le travail des pirates informatiques de Tencent ne prouve pas que le rêve des espions est devenu réalité. Mais vous seriez pardonné de regarder votre Echo avec précaution dans l’intervalle.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les nouveaux Mac étaient vulnérables au piratage lors de leur première connexion WiFi, révèlent des chercheurs en sécurité.

Lors de la conférence sur la sécurité de Blackhat à Las Vegas cette semaine, les chercheurs en sécurité ont découvert un bug de sécurité MacOS qui affectait les nouveaux appareils. Quand ils se connectent à un réseau WiFi pour la première fois, il est possible, même si ce n’est pas facile, d’installer un logiciel malveillant sur le système.

Lors de sa découverte, les chercheurs, Jesse Endahl, le responsable de la sécurité de la société de gestion Mac Fleetsmith et Max Bélanger, ingénieur de Dropbox, ont informé Apple de leurs découvertes. Ils ont retardé la divulgation de la vulnérabilité jusqu’à ce qu’elle ait été corrigée, ce qu’Apple a fait en juillet avec macOS 10.13.6. Les machines qui exécutent d’anciennes versions de macOS sont toujours vulnérables, mais comme ce bug n’affecte que les nouveaux périphériques, les risques d’exploitation de cette vulnérabilité devraient être minces.

Selon WIRED, cela fonctionne comme ceci : « Quand un Mac s’allume et se connecte au WiFi pour la première fois, il se connecte essentiellement avec les serveurs d’Apple pour dire : « Je suis un MacBook avec ce numéro de série. Est-ce que j’appartiens à quelqu’un ? Que dois-je faire ?’ Le système vérifie ensuite si le numéro de série est déjà inscrit dans le système d’entreprise d’Apple. Les chercheurs ont trouvé un problème lors d’une étape de ce processus, lorsque la machine est dirigée vers le Mac App Store pour télécharger des logiciels d’entreprise. Si un pirate peut s’insérer à ce stade du processus d’installation, il peut demander à la machine de télécharger des logiciels malveillants plutôt que des logiciels d’entreprise légitimes.

Le malware peut être n’importe quoi : un enregistreur de touches ou un écran de saisie, ou un logiciel qui s’infiltre dans le reste du réseau de l’entreprise. Les chercheurs pensent que ce n’est pas le genre de chose que les hackers moyens seraient intéressés à entreprendre, mais que vous pourriez voir avec une attaque parrainée par l’État. (Et compte tenu des révélations complexes sur la mesure dans laquelle la Russie semble avoir pénétré les systèmes électoraux américains, cela semble être une préoccupation légitime.)

Historiquement, les machines Windows étaient plus connues pour les problèmes de sécurité des logiciels malveillants que les périphériques Mac, mais avec la popularité croissante des Mac, en particulier sur le lieu de travail, ce n’est pas toujours le cas. L’année dernière, des recherches sur la sécurité ont révélé un grave problème de sécurité de MacOS qui permettait aux pirates de voler les mots de passe d’un utilisateur stockés dans leur trousseau, par exemple. Et le malware russe qui était utilisé pour pirater la DNC affectait également les ordinateurs Apple.

Comme toujours, les découvertes sur les vulnérabilités de sécurité comme celles-ci soulignent l’importance de maintenir les machines à jour avec les mises à jour du système.

A lire aussi : Sécuriser son WiFi pour protéger son ordinateur

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les pirates peuvent saisir pratiquement tous vos comptes en ligne et c’est la faute de votre messagerie vocale.

Qui aurait pensé que finalement, ce serait une simple boîte vocale qui serait la porte d’entrée du pirate ?

Vos comptes Google, Microsoft, Apple, WhatsApp et même Signal ont tous un talon d’Achille, le même, en fait. Et il se trouve que si vous ne faites pas attention, un pirate informatique pourrait utiliser cette faiblesse pour reprendre votre identité en ligne.

Martin Vigo un chercheur en sécurité s’adressant à un groupe enthousiaste de pirates informatiques et de chercheurs en sécurité lors de la convention annuelle DEF CON à Las Vegas. Vigo a expliqué comment il a réussi à réinitialiser les mots de passe d’un large éventail de comptes en ligne à partir d’une messagerie vocale.

Vous voyez, a-t-il expliqué à la foule, lorsque vous demandez une réinitialisation du mot de passe sur des services tels que WhatsApp, vous avez la possibilité de demander à recevoir un appel avec le code de réinitialisation. Si vous manquez l’appel téléphonique, le service automatisé laissera un message avec le code.

Mais qu’en est-il si vous n’essayiez pas de réinitialiser votre mot de passe, mais qu’il s’agit en fait d’un pirate ? Et si ce pirate avait également accès à votre messagerie vocale ?

Voici l’exemple : Vigo a écrit un script automatisé qui peut pratiquement pirater la plupart des mots de passe de la messagerie vocale sans que le propriétaire du téléphone ne le sache jamais. Avec cet accès, vous pouvez obtenir le code de réinitialisation du mot de passe d’un compte en ligne et par conséquent, le contrôle du compte lui-même.

Et non, votre authentification à deux facteurs n’empêchera pas un pirate de réinitialiser votre mot de passe.

L’une des diapositives de Vigo présente la structure de base de l’attaque :

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée.

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d’appels, OSINT, HLR)

3. Lancez le processus de réinitialisation du mot de passe en utilisant la fonction « Appelez-moi »

4. Écoutez le message enregistré contenant le code secret

5. Bingo!

Une démo enregistrée qu’il a jouée sur scène a montré une variation de cette attaque sur un compte PayPal.

« Dans trois, deux, un, boum, le voilà », a déclaré Vigo aux applaudissements du public. « Nous venons de pirater PayPal. »

Vigo a pris soin de noter qu’il avait divulgué de manière responsable les vulnérabilités aux entreprises concernées, mais qu’il avait reçu une réponse moins que satisfaisante de la part de nombreuses personnes. Il prévoit de publier une version modifiée de son code à Github lundi.

Notamment, il nous assure qu’il a modifié le code pour que les chercheurs puissent vérifier que cela fonctionne, mais aussi pour que les scripteurs ne puissent pas commencer à réinitialiser les mots de passe de gauche à droite.

Alors, maintenant que nous savons que cette menace existe, que pouvons-nous faire pour nous protéger ? Heureusement, Vigo a quelques suggestions.

Avant tout, désactivez votre messagerie vocale. Si vous ne pouvez pas le faire pour quelque raison que ce soit, utilisez le code PIN le plus long possible, également aléatoire. Ensuite, essayez de ne pas fournir votre numéro de téléphone aux services en ligne, sauf si vous devez absolument le faire pour 2FA. En général, essayez d’utiliser des applications d’authentification sur les systèmes 2FA basés sur SMS.

Mais, la plus efficace de ces options est de fermer complètement votre messagerie vocale.

A lire aussi : Pourquoi la biométrie vocale mettra fin à l’ère du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage