Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Les objets connectés Alexa, Siri et l’assistant Google peuvent entendre des commandes que l’oreille humaine ne peut pas entendre.

Cela peut vous sembler un bruit blanc, mais cette astuce peut être manipulée pour contenir les messages qu’Alexa, Siri et Google Assistant comprennent.

Des chercheurs de plusieurs universités des États-Unis et de Chine ont mis au point une méthode de piratage du bruit blanc pour hacker les assistants numériques dans l’exécution de commandes.

Appelé « audio contradictoire », l’astuce consiste à créer « une fonction de perte » basée sur CTC [connectionist temporal classification] perte qui prend une transcription désirée et un fichier audio en entrée et renvoie un nombre réel en sortie, explique U.C. Candidat au doctorat à Berkeley Nicholas Carlini.

L’enregistrement du piratage est exécuté à travers un processus appelé descente de gradient jusqu’à ce que la distorsion soit minimisée mais toujours efficace pour déclencher une réponse d’assistants numériques comme Siri, Alexa et l’Assistant Google.

Des expériences comme celles-ci font ressortir un problème qui ne fera que grandir au fur et à mesure que les assistants numériques deviendront plus omniprésents : ils peuvent être piratés de façon nouvelle et différente puisqu’ils s’appuient sur des commandes vocales.

Comme le souligne Sheng Shen de l’Université de l’Illinois à Urbana-Champaign, les commandes n’ont même pas besoin d’être audibles, elles peuvent être ultrasoniques. Shen s’est penché sur la possibilité de commandes en dehors de la gamme des ouvertures d’audition humaine, en passant des commandes en ligne et en faisant d’autres choses malveillantes sans que le propriétaire de l’appareil entende une seule chose.

Les entreprises avec des assistants numériques ou des enceintes intelligentes devraient-elles être inquiètes ?

Les assistants numériques connaissent une popularité croissante, mais ils sont encore une technologie relativement nouvelle. Je me souviens quand la reconnaissance de la parole était si pauvre que c’était comique, et maintenant seulement une dizaine d’années plus tard, les machines peuvent reconnaître la parole aussi bien, sinon mieux, que les humains.

La reconnaissance vocale de l’IA est encore à ses balbutiements, ce qui signifie que les gens trouveront des façons intéressantes de la hacker. Comme utiliser un sifflet Cap’n Crunch d’une boîte de céréales pour tromper les téléphones payants en donnant des appels gratuits, cette dernière attaque est simplement l’évolution de l’utilisation d’un système contre lui-même, et rendra les assistants numériques (comme avec les téléphones) plus sûrs. le long terme.

Ceux qui utilisent des assistants numériques devraient-ils être concernés en ce moment ? Pas nécessairement. Les exploits actuels ont une portée relativement étroite et leur utilisation répandue est peu probable à ce stade.

L’équipe de Carlini a créé des enregistrements conçus pour tromper Google Assistant, mais en réalité, ils ne réussissent que contre DeepSpeech de Mozilla. 100 % de réussite, mais seulement avec succès contre un moteur de synthèse vocale qui est peu utilisé par rapport à Google Assistant, Siri et Alexa.

Il est peu probable qu’un pirate qui se cache dans les buissons puisse pirater votre Amazon Echo en utilisant son smartphone de sitôt. Espérons que Google, Amazon et Apple feront leurs propres recherches et corrigeront les exploits de reconnaissance de la parole avant qu’ils ne deviennent monnaie courante.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Valve vous paiera pour pirater Steam.

Dans une bizarre tournure du destin, au lieu d’appeler la police à cause des pirates informatiques, de forcer le FBI à les arrêter ou d’essayer de déboucher des avocats après avoir essayé de trouver un nouveau logiciel, Valve paie des gens pour pirater Steam.

Selon HackerOne, Valve est en train de payer des hackers pour pirater Steam. L’objectif est d’améliorer les fonctionnalités de sécurité et l’ergonomie de Steam ainsi donc Valve lance un programme de primes HackerOne pour récompenser les pirates avec l’opportunité de gagner de l’argent en trouvant des problèmes de connexion, exploits, fraude potentielle ou problèmes techniques qui peuvent être hackés.

Le programme de prime a un niveau de récompenses, y compris un score CVSS basé sur les problèmes faibles, moyens, élevés et critiques qui sont pesés sur une carte de score minimum / maximum. Au minimum, vous gagnerez 0 $ pour simplement signaler un défaut de sécurité faible, mais l’avantage est que si c’est un défaut de sécurité faible jugé digne d’une attention immédiate, il peut également justifier un paiement maximal de 200 $.

Les problèmes moyens valent beaucoup plus, à partir d’un minimum de 250 $ si le CVSS se situe entre 4,0 et 6,9. À la limite supérieure des émissions moyennes, vous recevrez un maximum de 1 000 $, ce qui est assez impressionnant.

Sur le haut de gamme, les choses deviennent vraiment intéressantes. Les problèmes de sécurité qui se situent entre 7,0 et 8,9 sur l’échelle CVSS vous rapporteront un minimum de 500 $ et bien plus de 2 000 $ dans le haut de la fourchette.

Ce qui est intéressant est que la dernière entrée, les problèmes critiques classés entre un CVSS de 9,0 et 10,0 commencent à 1500 $ mais il n’y a pas de plafond sur le paiement maximum, ce qui signifie qu’il pourrait être très lucratif si quelqu’un réussissait à trouver une faille de sécurité très dangereuse.

Valve centre la chasse aux primes d’exploitation autour du client Steam et des jeux internes de Valve, tels que Half-Life, Team Fortress et Portal. Le programme de primes couvrira le client Steam, les portails de la communauté Steam, le magasin de jeux Steam, la page de logiciels de Valve, le portail Web de Counter-Strike, le portail Web DOTA 2, le site Web de Team Fortress et les différents sous-domaines.

En outre, si vous pouvez trouver des failles dans le client pour Windows, Mac et Linux, l’utilitaire de ligne de commande, SteamOS, le SDK Steamworks, le SDK mobile, les serveurs Steam dédiés ou l’aspect communauté multijoueur des jeux de Valve, porter des récompenses avec eux aussi bien.

Gardez à l’esprit que si vous rencontrez des exploits ou des bogues en dehors de la portée du programme de primes actuel, vous ne serez pas récompensé pour avoir découvert et découvert ces bogues.

Ce n’est pas parce que Valve veut que les pirates piratent et fassent ouvrir son logiciel que la société donne carte blanche aux serveurs Steam de DDOS et qu’elle ne cautionne pas le spamming, l’ingénierie sociale ou toute attaque terroriste physique contre le siège social de Valve

Toutes les primes importantes sont classées comme critiques, donc si vous pouvez trouver et rapporter n’importe quels bugs de logiciel, vous serez en mesure de faire une pièce décente pour vos efforts.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Lorsque les appareils médicaux sont piratés, la plupart du temps les hôpitaux ne le savent pas.

La menace pour les dispositifs médicaux est réelle et se produit maintenant et c’est un problème de sécurité des patients, beaucoup plus que celui de la conformité HIPAA.

Les trois derniers mois ont vu un record de rappels de dispositifs médicaux, en hausse de 126 % au premier trimestre de 2018 par rapport à l’année dernière, selon l’indice Stericycle Recall. Le plus gros coupable était le logiciel, ce qui n’est pas surprenant compte tenu de l’augmentation des appareils de haute technologie qui fonctionnent souvent sur les systèmes existants.

Alors que de nombreux systèmes de santé ont des plates-formes héritées sur certains aspects de son réseau – pensons aux IRM et aux appareils à rayons X, les dispositifs médicaux sont un outil qui peut directement mettre en danger les patients en cas de défaillance.

« La sécurité sur les appareils n’a pas seulement un impact sur HIPAA, elle affecte la sécurité des patients », a déclaré Christian Dameff, MD, un médecin de salle d’urgence à l’Université de Californie à San Diego.

« Non seulement la sécurité des patients est-elle un réel problème avec une violation d’appareil médical, mais ces piratages sont déjà en cours », a expliqué Jeff Tully, anesthésiste et pédiatre à UC Davis. « WannaCry a paralysé les systèmes hérités du National Health Service du Royaume-Uni et ils n’étaient pas la cible initiale. »

Tully et Dameff ont pris des médecins sans méfiance et les ont placés dans des simulateurs de dispositifs médicaux simulés et ont ensuite demandé s’ils pensaient qu’une pompe avait été piratée.

« Et tous ont dit non » indique Tully. « Ils ont une confiance implicite et ils n’ont pas l’infrastructure. C’est une configuration parfaite pour que [les dispositifs médicaux] soient piratés. »

Le problème est suranné, les systèmes hérités avec des mots de passe codés en dur qui peuvent être trouvés avec une simple recherche Google, a expliqué Tully. Les gens ne cherchent pas ce genre de violation.

Selon la cible, il peut être assez simple d’entrer, a expliqué Dameff. Même si un grand réseau hospitalier est moins susceptible de réussir dans cette zone avec une architecture élaborée et éprouvée, les petits fournisseurs disposant de moins de ressources risquent de ne pas être aussi chanceux.

« La pénurie de sécurité, couplée à l’architecture de ces réseaux, les dispositifs hérités, les systèmes obsolètes – et les surfaces d’attaque énormes – ce sont des dégâts que nous allons nettoyer », a déclaré Dameff.

La paire a étudié les hacks sur les stimulateurs cardiaques, les appareils d’éclairage, les pompes à insuline et similaires, et Tully a déclaré qu’ils démontrent l’impact sur les soins aux patients si un pirate était capable de pénétrer dans l’appareil. Comme les deux sont des médecins actifs, leur mission est personnelle.

« Notre objectif principal est de traduire aux personnes qui ne comprennent pas l’impact sur ceux dans le cadre de soins », a déclaré Dameff. « Ce que nous devons faire est de changer le paradigme pour créer une stratégie pour sécuriser ces appareils. »

L’espoir est de remettre en question les hypothèses et de sensibiliser les OPCC à prendre en compte ces éléments, et de voir les scénarios cliniques qui peuvent se produire lorsqu’un dispositif médical est compromis, explique Tully.

Il s’agit de « reconnaître que ça va arriver, que vais-je faire pour me préparer maintenant ? », A-t-il ajouté.

Tully et Dameff montreront des simulations réelles de l’anatomie d’un hack de dispositif médical au forum HIMSS Healthcare Security à San Francisco.

Un hacker prouve qu’il est facile de pirater l’authentification à deux facteurs.

Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer sur des liens.

Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l’introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L’authentification à deux facteurs (2FA) est considérée comme un moyen d’améliorer considérablement la sécurité, mais il s’avère que leur contournement est assez simple. Notamment les utilisateurs de Facebook qui ont été presque obligé d’utiliser cette méthode de protection anti-piratage.

Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Il a déjà démontré à quel point il est facile de saisir les détails d’un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui pirater ses identifiants de connexion et son accès au site. L’outil Evilginx que Kevin a utilisé pour l’aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.

L’attaque est simple. Il nécessite un e-mail qui semble « correct » pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé.

Si vous cliquez sur le bouton « Connexion » dans l’e-mail, l’internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C’est un autre point auquel un utilisateur suspect va s’arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.

Pendant ce processus, il est possible de pirater le nom d’utilisateur, le mot de passe et le cookie de session du compte LinkedIn. À ce stade, le nom d’utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L’accès est alors accordé.

Ce que Mitnick essaie de prouver est, même avec 2FA, l’utilisateur est le maillon faible. S’il ne prend pas le temps de vérifier où il entre ses informations sécurisées, aucune sécurité dépendant de l’utilisateur, aussi forte soit-elle, ne fonctionnera.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

La police de la ville utilise les simulateurs de Lego pour enseigner aux entreprises la cybersécurité.

La police de la ville de Londres propose de former les chefs d’entreprise et la sécurité informatique à la cybersécurité en utilisant une simulation de Lego étonnamment proche de la réalité.

Le conseil d’administration a eu des décisions difficiles à prendre. L’entreprise venait de reprendre une centrale hydro-électrique.

Les systèmes informatiques de bureau et le système de contrôle industriel SCADA étaient connectés à Internet et tous étaient potentiellement menacés par les pirates informatiques et les virus. Il y avait peu ou pas de sécurité en place (voir 46 % des organisations ne changent jamais de stratégie de cybersécurité, même après une attaque ou un piratage).

Bienvenue dans le jeu de simulation de cyber sécurité de la police de la ville de Londres. Dévoilé cette semaine dans le cadre du programme Cyber Griffin de la force pour aider les entreprises du Square Mile à améliorer leur sécurité, le jeu vise à encourager les conseils d’administration et leurs équipes informatiques à réfléchir et à se préparer aux problèmes de sécurité avant qu’ils ne surviennent.

En tant qu’administrateurs, nous avions un budget annuel de sécurité de 100 000 £ et un large éventail d’options pour le dépenser. Pare-feux, antivirus, vidéosurveillance, audits d’actifs, évaluations de menaces, mises à niveau du système d’exploitation et formation à la sécurité, nous en avions besoin, mais avec un budget limité, nous devions établir des priorités.

Tout le monde a échangé avec leurs pensées :

« Nous pourrions commencer par les bases comme l’anti-virus, puis faire une évaluation de la menace plus tard. »

« Nous avons aussi besoin de vidéosurveillance parce que nous ne savons pas qui travaille là-bas. »

« Nous avons également besoin d’un pare-feu dans le bureau, car ils sont tous sur Facebook à l’heure du déjeuner. »

« Qu’en est-il des risques de GDPR [General Data Protection Regulation] ? Si les emails de nos clients sont piratés, nous pourrions être exposés à d’énormes demandes de rançons, ce qui mettrait l’entreprise en faillite. »

Les discussions étaient à la fois provocatrices et exaspérantes. Quel que soit le choix que nous avons fait, nous étions, par défaut, en laissant une autre partie de l’entreprise vulnérable.

Ben Shreeve, auparavant à l’Université de Lancaster et qui fait maintenant partie du groupe de cybersécurité de l’Université de Bristol, a développé le jeu pour aider les chefs d’entreprise à comprendre les complexités de la cybersécurité.

La centrale électrique est fabriquée à partir de Lego et les joueurs peuvent choisir de dépenser leur budget de sécurité annuel sur une gamme d’options parfois déconcertante, représentée par des cartes à jouer de couleur.

Prendre la mauvaise décision et vous risquez d’être piraté, attaqué, condamné à une demande de rançon par les hackers et potentiellement faire faillite.

Au cours des deux dernières années, de nombreuses entreprises ont pris part au jeu et ont attiré l’attention des forces de police à l’extérieur de la ville de Londres, y compris la police métropolitaine et les forces régionales.

Charlie Morrison est sergent dans l’unité de cybercriminalité de la police de la ville de Londres. Il encourage les administrateurs à jouer au jeu avec leur équipe de sécurité informatique dans le cadre du programme Cyber Griffin.

« Il y a pas mal de batailles entre les PDG et les informaticiens », a-t-il déclaré. «Les informaticiens sont fondamentalement frustrés par le fait qu’ils ont besoin des PDG pour comprendre les problèmes. Les PDG estiment que c’est un problème fondamentalement technique. Et chacun d’eux, à travers ses propres expériences, sent que l’autre est en faute.  »

Au bout de deux heures, les membres du conseil commencent à voir leurs spécialistes en informatique sous un jour différent, dit Morrison. Ils réalisent que la sécurité est une question de conseil, mais la réputation et la mission de l’entreprise sont entre les mains du département informatique.

« Nous pensons que le jeu est un très bon moyen de faire en sorte que les décideurs de ces entreprises réfléchissent aux concepts de la cybersécurité », a-t-il déclaré. « Le jeu est vraiment bon pour vous amener à réfléchir à ces choses avant la journée. »

Il n’y a jamais eu un plus grand besoin de formation en cybersécurité. Le nombre de violations de données, orchestrées pour la plupart par des organisations parrainées par l’État, a atteint des niveaux records l’an dernier, selon une étude du National Cyber Security Center.

Les sociétés touchées comprenaient Yahoo, qui a admis que trois millions de clients avaient été touchés par une violation en 2013 et Equifax, où des informations personnellement identifiables sur 145 millions d’utilisateurs américains et 700 000 utilisateurs britanniques ont été compromises.
Fraude de PDG

Beaucoup de ces attaques ne commencent pas avec la technologie, mais avec les gens et l’erreur commise par de nombreux conseils lors de la simulation est de se concentrer trop sur les solutions technologiques. De nombreuses attaques commencent par l’envoi de courriels d’hameçonnage par des criminels, qui tentent d’inciter les membres du personnel à ouvrir des documents liés à des logiciels malveillants.

Les groupes criminels organisés et les groupes parrainés par des États-nations peuvent faire des efforts extrêmes pour rechercher une cible sur les médias sociaux afin de créer une attaque de harponnage extrêmement convaincante.

« Nous sommes tombés sur un incident où il y avait un peu de surf sur l’épaule quelqu’un dans une pièce dans un café, à l’écoute », a déclaré Morrison. « C’est quelque chose qui, à ma connaissance, est arrivé mais c’est très rare. »
Morrison a rencontré des entreprises qui ont été victimes d’une attaque de phishing sophistiquée, dans laquelle un criminel avait envoyé un courriel prétendant provenir du PDG demandant le transfert immédiat de centaines de milliers de livres vers un compte bancaire. L’escroquerie connue sous le nom de l’arnaque au faux président est étonnamment commune et il n’est pas inhabituel pour les entreprises de perdre d’énormes sommes d’argent.

Dans un autre cas, un criminel est entré dans un bureau avec un kit de nettoyage, disant qu’il était là pour nettoyer les Macs. Le jour suivant, l’entreprise a découvert que 20 ordinateurs étaient manquants.

Mais la cybercriminalité est difficile à contrôler. « Vous ne pouvez pas nécessairement arrêter votre sortie du problème à cause de la manière transnationale, multipliée par voie électronique, il fonctionne », a déclaré Morrison. « Vous avez également des difficultés à trouver des victimes en raison de la nature sous-déclarée du crime. »

Mais des initiatives comme le jeu de cyber-sécurité de la police de la ville de Londres peuvent faire une grande différence. Les principales menaces à la cybersécurité sont les suivantes : les script kiddies, qui utilisent des outils de piratage pour trouver des systèmes informatiques vulnérables; les hacktivistes, motivés politiquement; les groupes criminels organisés, qui veulent gagner de l’argent; et les États-nations.

« Si je regardais n’importe quel autre domaine de la police, je chercherais des tactiques très différentes pour essayer de les combattre », a déclaré Morrison. Mais dans la cybercriminalité, les mêmes défenses ont un impact contre tous les attaquants. « C’est une énorme opportunité », at-il ajouté.

Le programme Cyber Griffin de la police de la ville de Londres vise à aider les entreprises de la ville à mieux se préparer à répondre aux cyberattaques. Cela inclut l’envoi de formateurs spécialisés dans des entreprises pour leur parler de leurs plans de continuité d’activité. Le programme couvrira les menaces et les plans de redressement, aidera l’entreprise à voir comment elle perçoit les risques et ce qu’elle doit faire pour les réduire.

Un autre domaine où la police de la ville de Londres croit qu’elle a quelque chose à offrir est d’enseigner aux entreprises comment utiliser les techniques de prise de décision de la police lors d’une simulation de cyberattaque sous haute pression. Les entreprises qui y participent peuvent s’attendre à ce que les attaquants aient fait leurs devoirs et se soient préparés aux attaques d’ingénierie sociale qu’ils peuvent utiliser contre les dirigeants de l’entreprise.

« Cela va mettre l’accent sur le processus de prise de décision », a déclaré Morrison. « Le résultat final serait que l’entreprise a eu l’occasion de forer son plan et si elle le juge utile, d’utiliser les mécanismes de police pour prendre des décisions. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage