Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Une chose dont votre routeur a besoin maintenant pour garder les pirates et les voleurs en dehors.

Les pirates aiment les réseaux WiFi domestiques non sécurisés.

Les hackers sont souvent à l’affût de réseaux WiFi mal configurés qui peuvent être utilisés pour des activités néfastes telles que le vol d’informations, le piratage.

Il ne s’agit pas seulement de la perte potentielle de bande passante, de ralentissements ou d’attaques de botnet. La sécurisation de votre réseau WiFi peut également vous protéger des connexions indésirables qui peuvent être utilisées sur votre réseau pour des activités illégales.

C’est la raison pour laquelle il est crucial que vous ayez des mesures de sécurité WiFi en place.

Norme de sécurité de nouvelle génération.

On en avait parlé dans cet article La protection WiFi WPA3 est là et il est plus difficile de la pirater.
Le protocole de sécurité WiFi le plus largement utilisé actuellement est le cryptage WiFi Protected Access 2 (WPA2). Cependant, cette norme a plus de dix ans et est déjà vulnérable à de sérieuses vulnérabilités de sécurité comme l’attaque KRACK de l’année dernière.

Inutile de dire que WPA2 a déjà dépassé son accueil et son remplacement est attendu depuis longtemps. Les bonnes nouvelles sont que son successeur meilleur et plus dur a commencé à se déployer.

Si vous achetez un nouveau routeur, assurez-vous d’attendre un peu et d’en trouver un qui prend en charge la toute dernière norme de sécurité appelée WPA3. Ces modèles seront bientôt disponibles alors restez connecté !

Pourquoi avez-vous besoin de WPA3 ?

La WiFi Alliance, organisme à but non lucratif qui définit et promeut les normes de la technologie WiFi, a officiellement lancé son processus de certification des produits qui prennent en charge WPA3. Cela signifie que nous allons bientôt voir des routeurs et des objets connectés prenant en charge ce nouveau protocole de sécurité WiFi.

S’appuyant sur les avantages de sécurité de WPA2, WPA3 éliminera non seulement les anciennes failles KRACK, mais réduira également le potentiel de faiblesses causées par de mauvaises configurations et des mots de passe faibles.

Meilleure protection des données et des mots de passe.

Dans le cadre de ses améliorations de sécurité, WPA3 utilise un système appelé Authentification simultanée des égalités (SAE).

Contrairement à la clé pré-partagée de WPA2, ce système d’authentification nécessite une interaction constante et bloque les demandes après plusieurs tentatives infructueuses.

À son tour, cela protégera votre mot de passe WiFi contre une variété d’attaques, y compris les tentatives de devinettes de mot de passe par force brute.

Le système d’authentification de WPA3 est beaucoup plus puissant que WPA2 et il protégera votre réseau même si vous décidez d’utiliser un mot de passe WiFi faible.

En outre, il protégera les réseaux gérés avec un système d’authentification plus centralisé.

Forward secrecy.

WPA3 utilise également une nouvelle fonctionnalité appelée « forward secrecy » pour protéger vos données avec un cryptage individualisé. Cela empêchera les pirates informatiques de déchiffrer vos anciennes données, même si elles parviennent à déchiffrer votre mot de passe WiFi.

Le cryptage individualisé constitue également un important facteur de protection de la vie privée dans les réseaux ouverts et publics lorsqu’il est activé, empêchant ainsi chaque utilisateur connecté de lire les données de l’autre.

Meilleure norme de chiffrement.

Le cryptage dans WPA3 sera également renforcé avec une suite de sécurité 192 bits. Ceci se conforme aux mises à niveau de cryptage exigées par le gouvernement des États-Unis pour les industries.

C’est l’un des plus hauts niveaux de cryptage utilisé par les militaires, le gouvernement et les grandes entreprises.

Sécurité simplifiée pour les objets connectés.

Une autre nouvelle fonctionnalité est WiFi Certified Easy Connect. Cela simplifiera le processus de connexion et de configuration de la sécurité des gadgets sur les réseaux sans écrans (tels que les appareils Internet-of-Things) tout simplement en scannant un code QR.

Comment se préparer à WPA3 ?

Étant donné que WPA3 est une toute nouvelle norme et qu’elle est destinée à remplacer WPA2, vous devrez peut-être acheter de nouveaux équipements «certifiés WPA3» pour en profiter.

Bien que certaines améliorations de sécurité puissent être apportées aux périphériques WPA2 (en particulier ceux qui traitent de la faille KRACK), la norme WPA3 complète sera uniquement disponible sur les nouveaux équipements.

Cependant, le déploiement de WPA3 ne signifie pas que vos appareils connectés WPA2 cesseront bientôt de fonctionner. Les routeurs WPA3 seront rétrocompatibles avec WPA2.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google a commencé à vendre des clés de sécurité USB ‘Titan’ à 20$ après avoir constaté qu’aucun de ses employés n’ai été piraté.

Google va commencer à vendre ses propres clés de sécurité USB dans le but d’empêcher le piratage des comptes des clients.

Cet article est la suite de ce que nous vous avions expliqué la semaine dernière : Pour arrêter le phishing, Google a donné des clés de sécurité à tous ses employés.

La clé de sécurité Titan, disponible en versions USB et Bluetooth, sera disponible dans les boutiques en ligne de Google dans les prochains mois, selon Google.

Il viendra en bundle avec les deux versions USB et Bluetooth pour 50 $, 20 $ – 25 $ individuellement.
« Nous sommes très sûrs de la qualité de la sécurité », a déclaré Christian Brand, responsable produit Google pour l’identité et la sécurité.

Le Titan devrait fonctionner sur n’importe quel appareil avec un port USB ou une connexion Bluetooth.

En 2017, le géant de la technologie a commencé à donner des clés de sécurité physiques à l’ensemble des 85 000 employés, selon KrebsOnSecurity.

Les clés de sécurité sont des périphériques USB bon marché coûtant souvent moins de 20 dollars, ce qui oblige l’utilisateur à se connecter à un site Web en utilisant quelque chose qu’il connaît (le mot de passe) et quelque chose qu’il possède (par exemple un appareil mobile ou une clé USB).

Et depuis lors, aucun employé n’a signalé de prises de contrôle confirmées de comptes liés, selon Google.

Les chercheurs disent que la protection de votre compte avec un mot de passe n’est souvent pas suffisante et que cela a forcé les entreprises technologiques a développer de nouvelles méthodes, nécessitant souvent un téléphone portable ou une clé matérielle, comme le système de clé de sécurité utilisé par Google.

Un porte-parole de Google a déclaré que les clés de sécurité constituent désormais la base de tous les accès à Google.

« Nous n’avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en place de clés de sécurité chez Google », a déclaré le porte-parole.

‘Les utilisateurs peuvent être invités à s’authentifier en utilisant leur clé de sécurité pour de nombreuses applications / raisons différentes. Tout dépend de la sensibilité de l’application et le risque de l’utilisateur à ce moment-là.

Comment utiliser le système de protection avancée de Google ?

Les fonctions de protection avancées incluent une option permettant d’exiger qu’une clé de sécurité USB physique se connecte à un ordinateur de bureau avant chaque connexion afin de vérifier l’identité d’un utilisateur.

Les connexions mobiles nécessitent un périphérique sans fil Bluetooth.

Deux clés de sécurité sont nécessaires pour vous inscrire afin que vous ayez une clé de sauvegarde au cas où vous perdriez votre clé principale.

Selon Google, une clé sans fil pouvant se connecter à la fois à votre ordinateur et à vos appareils mobiles devrait être votre clé principale.

Les utilisateurs de protection avancée verront leurs données bloquées par des applications tierces n’appartenant pas à Google, telles que le client de messagerie Apple iOS ou Microsoft Outlook.

Le programme comprend également un processus de récupération de compte plus laborieux et détaillé pour empêcher l’accès frauduleux des pirates informatiques qui essaient d’y accéder en prétendant qu’ils ont été mis en lock-out.

Google a créé une page Web pour guider les utilisateurs dans la mise en place d’une protection avancée, notamment l’achat de clés de sécurité USB et Bluetooth sur Amazon.

L’idée, connue sous le nom d’authentification à deux facteurs, signifie que même si les pirates connaissent votre mot de passe, ils ne peuvent toujours pas se connecter à votre compte, sauf s’ils piratent ou possèdent ce second facteur, habituellement votre téléphone ou votre clé USB.

Les formes les plus courantes de 2FA exigent que l’utilisateur ajoute un mot de passe avec un code unique envoyé à son appareil mobile via un message texte ou une application.

La clé de sécurité utilisée par Google utilise une forme d’authentification multifactorielle appelée Universal 2nd Factor (U2F), qui permet à l’utilisateur de terminer le processus de connexion simplement en insérant le périphérique USB et en appuyant sur un bouton de l’appareil.

Les sites tels que Dropbox, Facebook, Github et les services de Google prennent en charge les nouveaux appareils, et d’autres sont ajoutés chaque jour.

Actuellement, U2F est supporté par Chrome, Firefox et Opera.

Microsoft indique qu’il s’attend à déployer des mises à jour de son navigateur Edge Edge pour soutenir U2F plus tard cette année.

Apple n’a pas encore dit quand ou si elle supportera la norme dans son navigateur Safari.

Pour les non-employés, Alphabet’s Google offre un «programme de protection avancée» pour renforcer la sécurité des e-mails de certains utilisateurs tels que les responsables gouvernementaux, les militants politiques et les journalistes qui risquent davantage d’être ciblés par des pirates sophistiqués.

Les utilisateurs de Google auront la possibilité d’activer les paramètres de sécurité visant à protéger les données Gmail, Google Drive et YouTube contre les attaques de phishing.

Les fonctions de protection avancées incluent une option permettant d’exiger qu’une clé de sécurité USB physique se connecte à un ordinateur de bureau avant chaque connexion afin de vérifier l’identité d’un utilisateur.

Les connexions mobiles nécessitent un périphérique sans fil Bluetooth.

Les utilisateurs de protection avancée verront leurs données bloquées par des applications tierces n’appartenant pas à Google, telles que le client de messagerie Apple iOS ou Microsoft Outlook.

Le programme comprend également un processus de récupération de compte plus laborieux et détaillé pour empêcher l’accès frauduleux des pirates informatiques qui essaient d’y accéder en prétendant qu’ils ont été mis en lock-out.

Bien que Google ait précédemment pris en charge l’utilisation de clés de sécurité pour l’authentification à deux facteurs, les utilisateurs de protection avancée n’auront aucune méthode de connexion de sauvegarde disponible s’ils perdent leurs clés autres que le processus de récupération de compte complet.

Google a créé une page Web, g.co/advancedprotection, pour guider les utilisateurs dans la configuration d’une protection avancée, y compris l’endroit où acheter des clés de sécurité USB et Bluetooth sur Amazon.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le nouvel outil de connexion sécurisé de Google pour les entreprises vérifiera les indices contextuels.

Utiliser des informations telles que l’emplacement et l’heure de la journée.

Google lance une nouvelle forme de connexion sécurisée pour les clients professionnels qui appellent un accès contextuel. Au lieu de compter uniquement sur les utilisateurs pour configurer correctement l’authentification à deux facteurs et gérer les mots de passe sécurisés, un accès contextuel permettra aux administrateurs système des entreprises G Suite de mettre en place un ensemble de paramètres qui empêchent les tiers malveillants d’accéder aux systèmes sécurisés.

Ces paramètres, comme son nom l’indique, peuvent désormais être basés sur le contexte d’un utilisateur : d’où ils se connectent, l’adresse IP de la machine qu’ils utilisent, l’heure de la journée et d’autres facteurs. La nouvelle a été annoncée ce matin le deuxième jour de la conférence Cloud Next de l’entreprise à San Francisco.

« Les gens veulent de plus en plus l’accès à leurs applications sur les appareils qui ont le plus de sens pour leur fonctionnement », écrit Jennifer Lin, directrice de la gestion des produits chez Google Cloud, dans un article publié aujourd’hui. « Cependant, les solutions de gestion d’accès traditionnelles mettent souvent la sécurité en contradiction avec la flexibilité en imposant des contrôles uniformes, à taille unique, qui limitent les utilisateurs. »

Google répond principalement à deux tendances ici. La première est que les hacks sont toujours plus sophistiqués, avec de nouvelles solutions de contournement comme le piratage SIM pour contourner l’authentification à deux facteurs basée sur SMS et les formes avancées d’hameçonnage qui piratent les détails de connexion. L’autre est que, avec l’accès au cloud et au mobile vers des systèmes distants, le travail moderne est de plus en plus répandu à travers le monde, les employés accédant aux logiciels sur un nombre illimité d’appareils dans des environnements différents.

Pour améliorer la sécurité, il est logique que Google veuille donner aux administrateurs système un peu plus de contrôle sur les conditions dans lesquelles un utilisateur peut accéder à un système sécurisé contenant des données sensibles. À l’heure actuelle, l’accès contextuel est réservé à certains clients G Suite qui utilisent les contrôles de service VPC de l’entreprise. L’accès pour les clients utilisant IAM (Cloud Identity and Access Management), IAP (Cloud Identity-Aware Proxy) et Cloud Identity sera bientôt disponible.

A lire aussi : pourquoi Google a rassemblé tous les comptes en un seul ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

John McAfee paiera 100 000 $ si vous parvenez à pirater le portefeuille de crypto-monnaie Bitfi.

John McAfee offrira 100 000 $ à quiconque pourrait pirater sa dernière entreprise, le portefeuille Bitfi.

« Mon Bitfi Wallet est vraiment le premier appareil non piratable au monde », a déclaré le fondateur excentrique du logiciel antivirus McAfee dans un article sur Twitter et a offert la prime à toute personne pouvant prouver le contraire.

Le portefeuille Bitfi est un périphérique matériel permettant de stocker votre crypto-monnaie (tel que Bitcoin) d’une manière qui signifie qu’il ne peut pas être volé par des pirates informatiques. Lorsque vous devez payer par crypto-monnaie, vous utilisez le portefeuille Bitfi pour effectuer le paiement.

Comment réclamer cette prime ?

Si vous êtes un hacker qui veut tenter de pirater McAfee, alors vous devez suivre ces règles pour réclamer l’argent :

– Si vous souhaitez participer au programme de primes, vous devrez acheter un portefeuille Bitfi préchargé avec des pièces de monnaie pour seulement 50 $ de plus.
– Si vous réussissez à extraire les pièces et vider le portefeuille, cela sera considéré comme un hack réussi.
– Vous pouvez ensuite garder les pièces et Bitfi vous versera un paiement de 100 000 $

C’est certainement un signe de la confiance de McAfee dans le produit pour qu’il soit prêt à mettre en place ce genre de pari, même si beaucoup de gens le prendront comme un coup de publicité.

Quoi qu’il en soit, il sera certainement intéressant de voir à quel point ce portefeuille est «impossible à pirater».

A lire également : John McAfee, pionnier de la cybersécurité, dit que son compte Twitter a été piraté.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Mettez à jour vos iPhones et Androids maintenant si vous ne voulez pas que votre Bluetooth soit piraté.

Il existe une vulnérabilité potentiellement grave affectant les connexions Bluetooth qui pourrait conduire à des fuites de données privées provenant de smartphones Apple, Google et Intel. Les correctifs sont mis à disposition, donc les utilisateurs concernés devraient mettre à jour leurs appareils dès qu’ils le peuvent. Des millions, sinon des centaines de millions ou des milliards, d’appareils sont probablement affectés.

Les appareils contenant du Bluetooth provenant de divers fournisseurs, notamment Apple, Intel, Broadcom et Qualcomm, sont tous concernés. C’est selon un avertissement de l’équipe d’intervention d’urgence informatique des États-Unis, à court de l’Institut de génie logiciel Carnegie Mellon. Il décrit une vulnérabilité qui résulte d’une vérification manquante des clés au cours du processus de chiffrement des données envoyées via les connexions Bluetooth. Plus précisément, il s’agissait d’une validation manquante contenue dans la méthode de chiffrement utilisée dans Bluetooth, une norme connue sous le nom de «Diffie-Hellman Key Exchange».

En fin de compte, le bug signifie qu’un pirate qui se trouve dans la portée Bluetooth d’un périphérique affecté pourrait obtenir les clés nécessaires pour révéler «avec une forte probabilité» ce qui est censé être des données chiffrées », a déclaré le CERT américain. Le hacker pourrait alors intercepter et déchiffrer tous les messages envoyés via Bluetooth. Cela inclut toutes les données que l’application ou le périphérique envoie via Bluetooth. Cela pourrait être quelque chose d’aussi inoffensif que les notifications, bien que dans le pire des cas pourrait inclure des codes de sécurité tels que ceux utilisés dans l’authentification à deux facteurs, a averti l’expert en sécurité Bluetooth Mike Ryan.

Il y a beaucoup de technologies affectées. Comme Lior Neumann, l’un des deux chercheurs israéliens qui ont trouvé le bug, a expliqué à Forbes dans un email : « Autant que nous connaissons tous les Android avant le patch publié en Juin et chaque périphérique avec puce sans fil d’Intel, Qualcomm ou Broadcom est vulnérable.  »

Où sont les correctifs ?

Apple a publié des correctifs en mai avec la sortie d’iOS 11.4 et dans les versions MacOS supportées en juin. Pour ceux qui n’ont pas mis à jour, Neumann a averti : « Chaque périphérique iPhone avec une puce Broadcom ou Qualcomm est intrinsèquement vulnérable », a-t-il ajouté, incluant les derniers modèles iPhone 8 et X.

Google n’a pas fait de commentaire, bien que le projet Android Open Source (AOSP) a publié un patch, selon Neumann. Deux vendeurs Android, Huawei et LG, affirment avoir corrigé la vulnérabilité. Cependant, Forbes n’a pas trouvé de preuves de correctifs provenant d’autres grands fabricants Android, comme Samsung et HTC.

Broadcom a déclaré : « Nous avons apporté des correctifs pertinents à nos clients OEM, qui peuvent les publier dans leurs mises à jour logicielles pour les utilisateurs finaux. » Intel, quant à lui, a déclaré qu’il « développait et validait les mises à jour logicielles Bluetooth. Intel recommande aux clients de déployer les mises à jour disponibles dès que possible. » Qualcomm précise qu’il avait aussi envoyé des patchs.

Le Bluetooth SIG, une organisation qui développe la norme Bluetooth, a publié une mise à jour qui devrait aider les fabricants à se diriger vers un patch. Cela garantit que les vérifications de ces clés cruciales sont effectuées correctement. Malgré ce correctif, le Bluetooth SIG cherchait à minimiser la gravité de la vulnérabilité, notant qu’un attaquant devait se trouver à portée de deux périphériques vulnérables, l’un n’étant pas suffisant pour espionner les données échangées entre eux.

Mais Neumann a déclaré à Forbes que les attaques « devraient être relativement simples à mener à bien ». Les détails techniques complets sur les attaques étaient dans un livre blanc de l’Institut technologique de Technion Israël, a ajouté Neumann.

Cela peut prendre un certain temps avant que les patchs Broadcom, AOSP ou Bluetooth SIG ne sortent de la myriade de modèles Android sur le marché, a prévenu le professeur Alan Woodward, expert en sécurité de l’Université de Surrey.

« Il s’agit de savoir combien de temps il faut pour mettre les mises à jour là pour les vendeurs », a déclaré Woodward. « C’est un bon exemple de la raison pour laquelle le simple fait de se conformer à une spécification n’est pas toujours la preuve que quelque chose est sécurisé. »

Bien que Microsoft n’ait pas été inclus dans la liste des sociétés concernées, Neumann a déclaré que Windows était vulnérable aux anciennes attaques Bluetooth. Il a noté que Windows ne prenait pas en charge la version Bluetooth 4.2 et était vulnérable à une attaque d’écoute clandestine sur Bluetooth 4.0.

Ryan a dit que Neumann avait raison. Mais Ryan a noté que les anciennes et les nouvelles attaques ne peuvent se produire que lorsque les appareils se couplent pour la première fois. « Pensez à quand vous obtenez un nouveau casque Bluetooth : Vous le jumelez et votre téléphone se souvient à jamais du casque. Si l’attaquant n’est pas là lors de la première association, il ne peut déchiffrer aucune donnée. »

Microsoft, cependant, a déclaré que Windows 10 avait été mis à jour pour inclure le support de Bluetooth 4.2. Mais un porte-parole n’a pas mentionné d’autres versions plus anciennes de Windows.

A lire également : La protection des smartphones est plus importante de nos jours.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage