Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Les pirates ont trouvé un moyen (pas si facile) de faire de l’Echo d’Amazon un virus espion.

Depuis que les haut-parleurs intelligents comme Amazon Echo ont commencé à apparaître dans le monde entier, la communauté de la sécurité les considère désormais comme une cible de choix. Mais cette menace est restée largement hypothétique : aucun malware Echo n’est apparu sur Internet et même les attaques de preuve de concept sur les appareils sont restées au mieux peu pratiques.

Dans le même genre : les objets connectés Alexa, Siri et l’assistant Google peuvent entendre des commandes que l’oreille humaine ne peut pas entendre.

Un groupe de hackers Chinois a passé des mois à développer une nouvelle technique de piratage du gadget assistant vocal d’Amazon. Ce n’est encore guère une prise de contrôle à distance complète de ces enceintes intelligentes. Mais ce serait peut-être la chose la plus proche d’une démonstration pratique de la façon dont les dispositifs pourraient être détournés en silence pour la surveillance.

Lors de la conférence sur la sécurité de DefCon dimanche, les chercheurs Wu Huiyu et Qian Wenxiang envisagent de présenter une technique qui enchaîne une série de bugs dans l’écho de deuxième génération d’Amazon pour aucune indication à l’utilisateur que le périphérique a été compromis.

Les propriétaires d’Echo ne doivent pas paniquer : les pirates informatiques ont déjà alerté Amazon sur leurs conclusions et la société a mis en place des correctifs de sécurité en juillet. Même avant, l’attaque nécessitait de sérieuses compétences matérielles, ainsi qu’un accès au réseau WiFi de l’Echo cible, un degré de difficulté qui signifie probablement qu’il ne serait pas utilisé contre le propriétaire Echo moyen. Mais l’effort apporte néanmoins un éclairage nouveau sur la manière dont une technique d’écoute Echo pourrait fonctionner contre une cible de grande valeur.

« Après plusieurs mois de recherche, nous avons réussi à briser l’Écho Amazon en utilisant de multiples vulnérabilités dans le système Amazon Echo et à réaliser l’écoute à distance », lit une description de leur travail fourni à WIRED par les pirates. des chercheurs en sécurité du géant chinois des technologies Tencent. « Lorsque l’attaque réussit, nous pouvons contrôler Amazon Echo pour l’écouter et envoyer les données vocales via le réseau à l’attaquant. »

L’attaque des chercheurs, même si elle a déjà été corrigée, montre comment les pirates peuvent rassembler une collection sournoise de trucs pour créer une technique de pénétration complexe à plusieurs étapes qui fonctionne même avec un gadget relativement sécurisé comme Echo. Ils commencent par démonter leur propre écho, en retirant sa puce flash, en y écrivant leur propre micrologiciel et en ressoudant la puce sur la carte mère de l’Echo. Cet écho modifié servira d’outil d’attaque contre d’autres échos : en utilisant une série de vulnérabilités Web sur l’interface Alexa d’Amazon.com, comprenant des scripts intersites, la redirection d’URL et des attaques de mise à niveau HTTPS. qu’ils pourraient lier leur Echo piraté avec le compte Amazon d’un utilisateur cible.

S’ils peuvent ensuite envoyer cet Echo manipulé sur le même réseau WiFi qu’un périphérique cible, les pirates peuvent tirer parti d’un composant logiciel des haut-parleurs d’Amazon, appelé Démon Audio Whole Home, que les appareils utilisent pour communiquer avec d’autres Echos sur le même réseau. Ce Demon contenait une vulnérabilité que les pirates informatiques pouvaient exploiter via leur Echo piraté pour obtenir un contrôle total sur le locuteur cible, y compris la possibilité de faire jouer à Echo le son de leur choix, ou de façon plus inquiétante, d’enregistrer et de transmettre de l’audio espion.

Cette exigence que la victime et le pirate soient sur le même réseau WiFi représente une sérieuse limitation à l’attaque. Cela signifie que, même après un piratage matériel sérieux, un attaquant Echo aurait dû connaître le mot de passe WiFi d’une cible ou obtenir un accès réseau. Mais les chercheurs affirment qu’un espion d’Echo pourrait potentiellement hacker le mot de passe WiFi, inciter une victime à installer lui-même son Echo modifié et le lier à son réseau WiFi ou l’attaque pourrait se produire dans des environnements partagés, comme les hôtels et les écoles.

Lorsque WIRED a contacté Amazon à propos de l’attaque, la société a répondu dans un communiqué que « les clients n’ont pas besoin de prendre de mesures car leurs appareils ont été automatiquement mis à jour avec des correctifs de sécurité ». Le porte-parole a également écrit que « ce problème aurait obligé un acteur malveillant à avoir un accès physique à un appareil et à pouvoir modifier le matériel de l’appareil. »

Ce dernier point, pour être clair, n’est pas aussi rassurant que cela puisse paraître. Les pirates auraient dû avoir accès au WiFi de la victime Echo, mais n’auraient besoin que d’un accès physique à leur propre Echo, qu’ils pourraient modifier pour créer leur outil d’attaque dans l’intimité de leur laboratoire.
La recherche soulève également le spectre d’attaques d’accès physique plus direct sur l’Echo de la victime, si un pirate informatique parvient à se retrouver seul avec lui dans la maison ou la chambre de la cible. Les chercheurs ont mentionné en passant qu’ils étaient capables de modifier le micrologiciel de leurs propres Echos en quelques minutes, suggérant qu’ils pourraient être capables de planter des logiciels espions sur une Echo cible tout aussi rapidement. « Après une période de pratique, nous pouvons maintenant utiliser la méthode de soudure manuelle pour retirer la puce du micrologiciel de la carte mère et extraire le micrologiciel dans les 10 minutes, puis modifier le micrologiciel dans les 5 minutes et le connecter à l’appareil board », écrivent-ils. « Le taux de réussite est proche de 100 %. Nous avons utilisé cette méthode pour créer de nombreux périphériques Amazon Echo rootés. »

Les chercheurs de Tencent ne sont pas les premiers à démontrer des techniques qui transforment Echos en outils d’espionnage. L’année dernière, le pirate britannique Mark Barnes a publié une technique qui utilise un accès physique à un Echo de première génération pour y installer des logiciels malveillants via des contacts métalliques accessibles sous sa base en caoutchouc. Des chercheurs de la firme de sécurité Checkmarx ont montré par la suite qu’ils pouvaient détourner une Amazon Echo à distance, mais seulement lorsque leur propriétaire télécharge l’extension logicielle de l’attaquant, ce qu’Amazon appelle une «compétence» sur leur appareil. Stocker et inciter les utilisateurs à le télécharger. Contrairement au travail des pirates informatiques de Tencent, aucune des techniques précédentes ne représentait une technique de piratage par écho sur le réseau ciblée.

Un hack d’Echo véritablement distant ne serait pas facile, déclare Jake Williams, un ancien membre de l’équipe d’élite du piratage informatique de la NSA, Tailored Access Operations. Il souligne que les appareils n’acceptent principalement que les communications vocales et les communications cloud via une connexion cryptée avec le serveur d’Amazon, créant ainsi une « surface d’attaque » très limitée à exploiter par les pirates. C’est pourquoi les chercheurs de Tencent utilisent plutôt les communications Echo-to-Echo d’Amazon.

Mais si les espions pouvaient compromettre un haut-parleur intelligent comme l’Echo, cela constituerait un dispositif de surveillance puissant, note Williams. Contrairement à un téléphone, par exemple, il capte le son non seulement directement à côté de l’appareil, mais n’importe où à portée de voix. «Ces haut-parleurs intelligents sont conçus pour capter tous les bruits de la pièce, les écouter et les transcrire», explique M. Williams. « En conséquence, ils produiraient des dispositifs d’écoute phénoménaux si vous pouviez les exploiter. »

Même le travail des pirates informatiques de Tencent ne prouve pas que le rêve des espions est devenu réalité. Mais vous seriez pardonné de regarder votre Echo avec précaution dans l’intervalle.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les nouveaux Mac étaient vulnérables au piratage lors de leur première connexion WiFi, révèlent des chercheurs en sécurité.

Lors de la conférence sur la sécurité de Blackhat à Las Vegas cette semaine, les chercheurs en sécurité ont découvert un bug de sécurité MacOS qui affectait les nouveaux appareils. Quand ils se connectent à un réseau WiFi pour la première fois, il est possible, même si ce n’est pas facile, d’installer un logiciel malveillant sur le système.

Lors de sa découverte, les chercheurs, Jesse Endahl, le responsable de la sécurité de la société de gestion Mac Fleetsmith et Max Bélanger, ingénieur de Dropbox, ont informé Apple de leurs découvertes. Ils ont retardé la divulgation de la vulnérabilité jusqu’à ce qu’elle ait été corrigée, ce qu’Apple a fait en juillet avec macOS 10.13.6. Les machines qui exécutent d’anciennes versions de macOS sont toujours vulnérables, mais comme ce bug n’affecte que les nouveaux périphériques, les risques d’exploitation de cette vulnérabilité devraient être minces.

Selon WIRED, cela fonctionne comme ceci : « Quand un Mac s’allume et se connecte au WiFi pour la première fois, il se connecte essentiellement avec les serveurs d’Apple pour dire : « Je suis un MacBook avec ce numéro de série. Est-ce que j’appartiens à quelqu’un ? Que dois-je faire ?’ Le système vérifie ensuite si le numéro de série est déjà inscrit dans le système d’entreprise d’Apple. Les chercheurs ont trouvé un problème lors d’une étape de ce processus, lorsque la machine est dirigée vers le Mac App Store pour télécharger des logiciels d’entreprise. Si un pirate peut s’insérer à ce stade du processus d’installation, il peut demander à la machine de télécharger des logiciels malveillants plutôt que des logiciels d’entreprise légitimes.

Le malware peut être n’importe quoi : un enregistreur de touches ou un écran de saisie, ou un logiciel qui s’infiltre dans le reste du réseau de l’entreprise. Les chercheurs pensent que ce n’est pas le genre de chose que les hackers moyens seraient intéressés à entreprendre, mais que vous pourriez voir avec une attaque parrainée par l’État. (Et compte tenu des révélations complexes sur la mesure dans laquelle la Russie semble avoir pénétré les systèmes électoraux américains, cela semble être une préoccupation légitime.)

Historiquement, les machines Windows étaient plus connues pour les problèmes de sécurité des logiciels malveillants que les périphériques Mac, mais avec la popularité croissante des Mac, en particulier sur le lieu de travail, ce n’est pas toujours le cas. L’année dernière, des recherches sur la sécurité ont révélé un grave problème de sécurité de MacOS qui permettait aux pirates de voler les mots de passe d’un utilisateur stockés dans leur trousseau, par exemple. Et le malware russe qui était utilisé pour pirater la DNC affectait également les ordinateurs Apple.

Comme toujours, les découvertes sur les vulnérabilités de sécurité comme celles-ci soulignent l’importance de maintenir les machines à jour avec les mises à jour du système.

A lire aussi : Sécuriser son WiFi pour protéger son ordinateur

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les pirates peuvent saisir pratiquement tous vos comptes en ligne et c’est la faute de votre messagerie vocale.

Qui aurait pensé que finalement, ce serait une simple boîte vocale qui serait la porte d’entrée du pirate ?

Vos comptes Google, Microsoft, Apple, WhatsApp et même Signal ont tous un talon d’Achille, le même, en fait. Et il se trouve que si vous ne faites pas attention, un pirate informatique pourrait utiliser cette faiblesse pour reprendre votre identité en ligne.

Martin Vigo un chercheur en sécurité s’adressant à un groupe enthousiaste de pirates informatiques et de chercheurs en sécurité lors de la convention annuelle DEF CON à Las Vegas. Vigo a expliqué comment il a réussi à réinitialiser les mots de passe d’un large éventail de comptes en ligne à partir d’une messagerie vocale.

Vous voyez, a-t-il expliqué à la foule, lorsque vous demandez une réinitialisation du mot de passe sur des services tels que WhatsApp, vous avez la possibilité de demander à recevoir un appel avec le code de réinitialisation. Si vous manquez l’appel téléphonique, le service automatisé laissera un message avec le code.

Mais qu’en est-il si vous n’essayiez pas de réinitialiser votre mot de passe, mais qu’il s’agit en fait d’un pirate ? Et si ce pirate avait également accès à votre messagerie vocale ?

Voici l’exemple : Vigo a écrit un script automatisé qui peut pratiquement pirater la plupart des mots de passe de la messagerie vocale sans que le propriétaire du téléphone ne le sache jamais. Avec cet accès, vous pouvez obtenir le code de réinitialisation du mot de passe d’un compte en ligne et par conséquent, le contrôle du compte lui-même.

Et non, votre authentification à deux facteurs n’empêchera pas un pirate de réinitialiser votre mot de passe.

L’une des diapositives de Vigo présente la structure de base de l’attaque :

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée.

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d’appels, OSINT, HLR)

3. Lancez le processus de réinitialisation du mot de passe en utilisant la fonction « Appelez-moi »

4. Écoutez le message enregistré contenant le code secret

5. Bingo!

Une démo enregistrée qu’il a jouée sur scène a montré une variation de cette attaque sur un compte PayPal.

« Dans trois, deux, un, boum, le voilà », a déclaré Vigo aux applaudissements du public. « Nous venons de pirater PayPal. »

Vigo a pris soin de noter qu’il avait divulgué de manière responsable les vulnérabilités aux entreprises concernées, mais qu’il avait reçu une réponse moins que satisfaisante de la part de nombreuses personnes. Il prévoit de publier une version modifiée de son code à Github lundi.

Notamment, il nous assure qu’il a modifié le code pour que les chercheurs puissent vérifier que cela fonctionne, mais aussi pour que les scripteurs ne puissent pas commencer à réinitialiser les mots de passe de gauche à droite.

Alors, maintenant que nous savons que cette menace existe, que pouvons-nous faire pour nous protéger ? Heureusement, Vigo a quelques suggestions.

Avant tout, désactivez votre messagerie vocale. Si vous ne pouvez pas le faire pour quelque raison que ce soit, utilisez le code PIN le plus long possible, également aléatoire. Ensuite, essayez de ne pas fournir votre numéro de téléphone aux services en ligne, sauf si vous devez absolument le faire pour 2FA. En général, essayez d’utiliser des applications d’authentification sur les systèmes 2FA basés sur SMS.

Mais, la plus efficace de ces options est de fermer complètement votre messagerie vocale.

A lire aussi : Pourquoi la biométrie vocale mettra fin à l’ère du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un geste de la main pourrait être votre prochain mot de passe.

Selon les chercheurs, le système de sécurité doit être suffisamment robuste pour reconnaître des vitesses et des formes légèrement différentes tout en détectant des tentatives frauduleuses.

Un nouveau système peut regarder le doigt d’une personne en effectuant un mouvement dans l’air comme une signature ou en dessinant une forme pour authentifier son identité. Le framework, appelé FMCode, utilise des algorithmes alimentés par un capteur ou une caméra portable et peut identifier correctement les utilisateurs entre 94,3 % et 96,7 % du temps sur deux appareils de gestes différents après avoir seulement vu le mot de passe plusieurs fois, selon les chercheurs.

La méthode, décrite dans un nouvel article des informaticiens Duo Lu et Dijiang Huang de l’Université d’Arizona, évoque certaines des questions délicates concernant la confidentialité des données biométriques telles que la reconnaissance faciale. Il résout également le problème de la mémorisation de longues chaînes de caractères nécessaires à la plupart des connexions sécurisées. Les interactions gestuelles peuvent être utiles lorsqu’un clavier est impraticable, comme l’utilisation d’un casque VR ou dans une situation où la minimisation du contact avec l’environnement est nécessaire pour la propreté, comme une salle d’opération.

Dans le document, qui a été publié sur le serveur de préimpression d’Arxiv.org ce mois-ci, les chercheurs définissent certains des obstacles à surmonter pour développer le FMCode. À la différence des mots de passe, les mouvements des doigts dans les airs ne seront pas exactement les mêmes à chaque fois. Un système doit donc être suffisamment robuste pour reconnaître des formes et des vitesses légèrement différentes tout en détectant des tentatives frauduleuses. Le système doit être capable de le faire avec seulement quelques exemples, car la plupart des utilisateurs ne seraient pas disposés à écrire leur code d’accès des centaines ou des milliers de fois.

Pour résoudre ces problèmes, les chercheurs se sont tournés vers l’apprentissage automatique. L’équipe a conçu des classificateurs capables de repérer les parodies tout en tolérant des variations mineures de l’utilisateur réel, et a construit un réseau neuronal convolutionnel (CNN) pour indexer les signaux de mouvement des doigts avec des méthodes d’augmentation des données.

Un simple geste avec le doigt.

Le FMCode est assez sûr contre la plupart des tentatives de devinettes et de la mystification, ou lorsqu’un attaquant connaît le geste, disent les chercheurs. Mais aucun système n’est infaillible. FMCode peut être trompé si le système n’est pas configuré pour vérifier l’utilisateur avec un ID de compte. Les chercheurs ont également indiqué qu’ils envisageaient de travailler sur des attaques futures, où le code secret des gestes d’une personne est enregistré puis rejoué plus tard pour tenter de tromper le système.

Reste à savoir si de nombreuses personnes seront intéressées par le contrôle gestuel, du moins à tout moment. L’intérêt et le développement de la technologie ont pris de l’ampleur au fil des ans, avec des films comme Minority Report et Iron Man qui ont attiré l’attention sur les interactions futuristes. Nintendo a sorti un gant filaire qui pourrait contrôler certains aspects du jeu à des ventes médiocres en 1989 à Leap Motion, qui a été publié à de bonnes critiques lors de son lancement en 2013 mais n’est toujours pas populaire. Des entreprises comme Sony tentent de créer des interfaces gestuelles, tandis que Facebook, Microsoft, Magic Leap et d’autres parient que nous aurons besoin d’un contrôle gestuel dans leurs environnements VR et AR.

Les chercheurs ont interrogé les participants à l’étude sur leurs réflexions sur l’utilisation de FMCode par rapport à d’autres méthodes de connexion, telles que les mots de passe traditionnels et la reconnaissance faciale sur les appareils mobiles. Bien que FMCode ait obtenu de très bons résultats en matière de sécurité, les utilisateurs ont trouvé qu’il était généralement moins facile à utiliser et pire pour la vitesse. Bien sûr, avec un matériel amélioré et un avenir avec plus de failles de sécurité, ces problèmes pourraient disparaître avec une vague de main.

A lire aussi : L’introduction de la biométrie entraînera-t-elle la fin du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google ne veut pas que vous ayez à penser à la cybersécurité.

Votre sécurité en ligne ne devrait pas être votre problème, cela devrait être le problème des géants de la technologie.

Parisa Tabriz, surnommée «Google Princess Security» et directrice de l’ingénierie de la société, a prononcé le discours liminaire lors de la conférence Black Hat sur la cybersécurité, mercredi à Las Vegas, où elle a discuté de l’état de la cybersécurité.

Au fur et à mesure que les cyberattaques surviennent dans notre vie quotidienne, les pirates informatiques ciblant les courriels, les cartes de crédit et la politique, il y a de quoi s’inquiéter de la sécurité. Mais la sécurité devrait être au point où les géants de la technologie peuvent protéger tout le monde en ligne pendant qu’ils naviguent sur le Web en toute sécurité, a déclaré M. Tabriz dans une interview mardi.

Son but ultime pour Google est de faire en sorte que la sécurité soit une seconde nature, ce n’est pas quelque chose que vous devez activement penser à réaliser. Et c’est aux architectes d’Internet de les corriger, a noté Tabriz.

Ces changements ont eu lieu chez Google ces quatre dernières années, mais vous ne les avez peut-être pas remarqués. Selon M. Tabriz, l’approche de Google a consisté à introduire progressivement de nouvelles fonctionnalités de sécurité afin de faciliter la tâche des utilisateurs sans les confondre.

Ce qu’elle veut faire, c’est éviter de créer une «fatigue d’alerte», c’est-à-dire quand une personne devient indifférente aux avertissements parce qu’elle est apparue si souvent. Au cours des quatre dernières années au cours de cet effort, Google a constaté que les gens devenaient trop confus s’ils apportaient ces modifications rapidement.

Vous avez peut-être remarqué certains de ces changements au cours des deux derniers mois.

Pendant un certain temps sur Chrome, le navigateur afficherait un verrou vert avec « Secure » écrit à côté pour montrer aux gens qu’ils étaient sur une page sûre. Tabriz a déclaré que Google a décidé de s’en débarrasser car il souhaitait que la sécurité devienne une hypothèse par défaut, et que le fait de taper sur une étiquette le ferait ressortir davantage.

C’est pourquoi en juillet, Chrome a commencé à afficher « Not Secure » dans le navigateur si vous visitiez un site Web qui n’offrait pas de protection HTTPS.

Mais Google ne peut pas faire grand-chose seul. Pour que l’Internet atteigne l’objectif de Tabriz, elle a déclaré que tous les géants de la technologie devaient intervenir.

« Il n’est pas correct que seuls Facebook et Google utilisent HTTPS », a déclaré M. Tabriz. « Même s’il ne s’agit que d’un blog individuel, vous voulez toujours avoir l’assurance que les personnes qui lisent votre blog obtiennent réellement le contenu réel et que votre FAI ne les altère pas. »

A lire aussi : Google va maintenant alerter les administrateurs G Suite lorsque les comptes sont ciblés par des pirates soutenus par le gouvernement.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage