Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Les pirates peuvent saisir pratiquement tous vos comptes en ligne et c’est la faute de votre messagerie vocale.

Qui aurait pensé que finalement, ce serait une simple boîte vocale qui serait la porte d’entrée du pirate ?

Vos comptes Google, Microsoft, Apple, WhatsApp et même Signal ont tous un talon d’Achille, le même, en fait. Et il se trouve que si vous ne faites pas attention, un pirate informatique pourrait utiliser cette faiblesse pour reprendre votre identité en ligne.

Martin Vigo un chercheur en sécurité s’adressant à un groupe enthousiaste de pirates informatiques et de chercheurs en sécurité lors de la convention annuelle DEF CON à Las Vegas. Vigo a expliqué comment il a réussi à réinitialiser les mots de passe d’un large éventail de comptes en ligne à partir d’une messagerie vocale.

Vous voyez, a-t-il expliqué à la foule, lorsque vous demandez une réinitialisation du mot de passe sur des services tels que WhatsApp, vous avez la possibilité de demander à recevoir un appel avec le code de réinitialisation. Si vous manquez l’appel téléphonique, le service automatisé laissera un message avec le code.

Mais qu’en est-il si vous n’essayiez pas de réinitialiser votre mot de passe, mais qu’il s’agit en fait d’un pirate ? Et si ce pirate avait également accès à votre messagerie vocale ?

Voici l’exemple : Vigo a écrit un script automatisé qui peut pratiquement pirater la plupart des mots de passe de la messagerie vocale sans que le propriétaire du téléphone ne le sache jamais. Avec cet accès, vous pouvez obtenir le code de réinitialisation du mot de passe d’un compte en ligne et par conséquent, le contrôle du compte lui-même.

Et non, votre authentification à deux facteurs n’empêchera pas un pirate de réinitialiser votre mot de passe.

L’une des diapositives de Vigo présente la structure de base de l’attaque :

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée.

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d’appels, OSINT, HLR)

3. Lancez le processus de réinitialisation du mot de passe en utilisant la fonction « Appelez-moi »

4. Écoutez le message enregistré contenant le code secret

5. Bingo!

Une démo enregistrée qu’il a jouée sur scène a montré une variation de cette attaque sur un compte PayPal.

« Dans trois, deux, un, boum, le voilà », a déclaré Vigo aux applaudissements du public. « Nous venons de pirater PayPal. »

Vigo a pris soin de noter qu’il avait divulgué de manière responsable les vulnérabilités aux entreprises concernées, mais qu’il avait reçu une réponse moins que satisfaisante de la part de nombreuses personnes. Il prévoit de publier une version modifiée de son code à Github lundi.

Notamment, il nous assure qu’il a modifié le code pour que les chercheurs puissent vérifier que cela fonctionne, mais aussi pour que les scripteurs ne puissent pas commencer à réinitialiser les mots de passe de gauche à droite.

Alors, maintenant que nous savons que cette menace existe, que pouvons-nous faire pour nous protéger ? Heureusement, Vigo a quelques suggestions.

Avant tout, désactivez votre messagerie vocale. Si vous ne pouvez pas le faire pour quelque raison que ce soit, utilisez le code PIN le plus long possible, également aléatoire. Ensuite, essayez de ne pas fournir votre numéro de téléphone aux services en ligne, sauf si vous devez absolument le faire pour 2FA. En général, essayez d’utiliser des applications d’authentification sur les systèmes 2FA basés sur SMS.

Mais, la plus efficace de ces options est de fermer complètement votre messagerie vocale.

A lire aussi : Pourquoi la biométrie vocale mettra fin à l’ère du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un geste de la main pourrait être votre prochain mot de passe.

Selon les chercheurs, le système de sécurité doit être suffisamment robuste pour reconnaître des vitesses et des formes légèrement différentes tout en détectant des tentatives frauduleuses.

Un nouveau système peut regarder le doigt d’une personne en effectuant un mouvement dans l’air comme une signature ou en dessinant une forme pour authentifier son identité. Le framework, appelé FMCode, utilise des algorithmes alimentés par un capteur ou une caméra portable et peut identifier correctement les utilisateurs entre 94,3 % et 96,7 % du temps sur deux appareils de gestes différents après avoir seulement vu le mot de passe plusieurs fois, selon les chercheurs.

La méthode, décrite dans un nouvel article des informaticiens Duo Lu et Dijiang Huang de l’Université d’Arizona, évoque certaines des questions délicates concernant la confidentialité des données biométriques telles que la reconnaissance faciale. Il résout également le problème de la mémorisation de longues chaînes de caractères nécessaires à la plupart des connexions sécurisées. Les interactions gestuelles peuvent être utiles lorsqu’un clavier est impraticable, comme l’utilisation d’un casque VR ou dans une situation où la minimisation du contact avec l’environnement est nécessaire pour la propreté, comme une salle d’opération.

Dans le document, qui a été publié sur le serveur de préimpression d’Arxiv.org ce mois-ci, les chercheurs définissent certains des obstacles à surmonter pour développer le FMCode. À la différence des mots de passe, les mouvements des doigts dans les airs ne seront pas exactement les mêmes à chaque fois. Un système doit donc être suffisamment robuste pour reconnaître des formes et des vitesses légèrement différentes tout en détectant des tentatives frauduleuses. Le système doit être capable de le faire avec seulement quelques exemples, car la plupart des utilisateurs ne seraient pas disposés à écrire leur code d’accès des centaines ou des milliers de fois.

Pour résoudre ces problèmes, les chercheurs se sont tournés vers l’apprentissage automatique. L’équipe a conçu des classificateurs capables de repérer les parodies tout en tolérant des variations mineures de l’utilisateur réel, et a construit un réseau neuronal convolutionnel (CNN) pour indexer les signaux de mouvement des doigts avec des méthodes d’augmentation des données.

Un simple geste avec le doigt.

Le FMCode est assez sûr contre la plupart des tentatives de devinettes et de la mystification, ou lorsqu’un attaquant connaît le geste, disent les chercheurs. Mais aucun système n’est infaillible. FMCode peut être trompé si le système n’est pas configuré pour vérifier l’utilisateur avec un ID de compte. Les chercheurs ont également indiqué qu’ils envisageaient de travailler sur des attaques futures, où le code secret des gestes d’une personne est enregistré puis rejoué plus tard pour tenter de tromper le système.

Reste à savoir si de nombreuses personnes seront intéressées par le contrôle gestuel, du moins à tout moment. L’intérêt et le développement de la technologie ont pris de l’ampleur au fil des ans, avec des films comme Minority Report et Iron Man qui ont attiré l’attention sur les interactions futuristes. Nintendo a sorti un gant filaire qui pourrait contrôler certains aspects du jeu à des ventes médiocres en 1989 à Leap Motion, qui a été publié à de bonnes critiques lors de son lancement en 2013 mais n’est toujours pas populaire. Des entreprises comme Sony tentent de créer des interfaces gestuelles, tandis que Facebook, Microsoft, Magic Leap et d’autres parient que nous aurons besoin d’un contrôle gestuel dans leurs environnements VR et AR.

Les chercheurs ont interrogé les participants à l’étude sur leurs réflexions sur l’utilisation de FMCode par rapport à d’autres méthodes de connexion, telles que les mots de passe traditionnels et la reconnaissance faciale sur les appareils mobiles. Bien que FMCode ait obtenu de très bons résultats en matière de sécurité, les utilisateurs ont trouvé qu’il était généralement moins facile à utiliser et pire pour la vitesse. Bien sûr, avec un matériel amélioré et un avenir avec plus de failles de sécurité, ces problèmes pourraient disparaître avec une vague de main.

A lire aussi : L’introduction de la biométrie entraînera-t-elle la fin du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google ne veut pas que vous ayez à penser à la cybersécurité.

Votre sécurité en ligne ne devrait pas être votre problème, cela devrait être le problème des géants de la technologie.

Parisa Tabriz, surnommée «Google Princess Security» et directrice de l’ingénierie de la société, a prononcé le discours liminaire lors de la conférence Black Hat sur la cybersécurité, mercredi à Las Vegas, où elle a discuté de l’état de la cybersécurité.

Au fur et à mesure que les cyberattaques surviennent dans notre vie quotidienne, les pirates informatiques ciblant les courriels, les cartes de crédit et la politique, il y a de quoi s’inquiéter de la sécurité. Mais la sécurité devrait être au point où les géants de la technologie peuvent protéger tout le monde en ligne pendant qu’ils naviguent sur le Web en toute sécurité, a déclaré M. Tabriz dans une interview mardi.

Son but ultime pour Google est de faire en sorte que la sécurité soit une seconde nature, ce n’est pas quelque chose que vous devez activement penser à réaliser. Et c’est aux architectes d’Internet de les corriger, a noté Tabriz.

Ces changements ont eu lieu chez Google ces quatre dernières années, mais vous ne les avez peut-être pas remarqués. Selon M. Tabriz, l’approche de Google a consisté à introduire progressivement de nouvelles fonctionnalités de sécurité afin de faciliter la tâche des utilisateurs sans les confondre.

Ce qu’elle veut faire, c’est éviter de créer une «fatigue d’alerte», c’est-à-dire quand une personne devient indifférente aux avertissements parce qu’elle est apparue si souvent. Au cours des quatre dernières années au cours de cet effort, Google a constaté que les gens devenaient trop confus s’ils apportaient ces modifications rapidement.

Vous avez peut-être remarqué certains de ces changements au cours des deux derniers mois.

Pendant un certain temps sur Chrome, le navigateur afficherait un verrou vert avec « Secure » écrit à côté pour montrer aux gens qu’ils étaient sur une page sûre. Tabriz a déclaré que Google a décidé de s’en débarrasser car il souhaitait que la sécurité devienne une hypothèse par défaut, et que le fait de taper sur une étiquette le ferait ressortir davantage.

C’est pourquoi en juillet, Chrome a commencé à afficher « Not Secure » dans le navigateur si vous visitiez un site Web qui n’offrait pas de protection HTTPS.

Mais Google ne peut pas faire grand-chose seul. Pour que l’Internet atteigne l’objectif de Tabriz, elle a déclaré que tous les géants de la technologie devaient intervenir.

« Il n’est pas correct que seuls Facebook et Google utilisent HTTPS », a déclaré M. Tabriz. « Même s’il ne s’agit que d’un blog individuel, vous voulez toujours avoir l’assurance que les personnes qui lisent votre blog obtiennent réellement le contenu réel et que votre FAI ne les altère pas. »

A lire aussi : Google va maintenant alerter les administrateurs G Suite lorsque les comptes sont ciblés par des pirates soutenus par le gouvernement.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Whatsapp a une vulnérabilité terrifiante qui pourrait être utilisée pour ruiner votre vie.

Les pirates informatiques de WhatsApp pourraient utiliser une «vulnérabilité» effrayante pour pénétrer dans les comptes des personnes et envoyer de faux messages.

Cela pourrait être dévastateur, car les attaquants pourraient détruire les relations ou la carrière des gens en envoyant de faux textes.

La vulnérabilité a été découverte par une équipe de chercheurs en sécurité de Check Point Research.

L’équipe affirme avoir alerté WhatsApp mais a également fourni une explication de la manière dont il est possible de piéger une conversation de groupe avec de faux messages.

Ils disent qu’un pirate suffisamment motivé peut :

– Modifier le texte de la réponse de quelqu’un d’autre à une discussion de groupe, en mettant essentiellement des mots dans sa bouche.

– Utilisez la fonction de «devis» dans une conversation de groupe pour modifier l’identité de l’expéditeur, afin que celle-ci apparaisse comme provenant d’une personne qui ne fait même pas partie du groupe. Ce faisant, il serait possible d’incriminer une personne ou de conclure une transaction frauduleuse, par exemple.

– Envoyer un message privé à un autre participant du groupe qui est déguisé en message public pour tous. Ainsi, lorsque la personne ciblée répond, elle est visible par tous les participants.

L’exploitation consiste à pirater les algorithmes WhatsApp qui chiffrent les messages afin que seuls l’expéditeur et le destinataire puissent les voir.

Disposant toutes les informations dans un document technique, l’équipe a expliqué : «En décryptant la communication WhatsApp, nous avons pu voir tous les paramètres réellement envoyés entre la version mobile de WhatsApp et la version Web. Cela nous a permis de les manipuler et de commencer à chercher des problèmes de sécurité.

L’équipe de recherche de Check Point affirme qu’elle a «notifié WhatsApp des failles» et que la société les a «reconnues», mais que cela fait partie du cadre de conception de l’application.

Nous avons contacté indépendamment WhatsApp pour les interroger sur ce prétendu piratage et mettrons à jour cette histoire lorsque nous recevrons une réponse.

A lire aussi : Comment savoir si votre compte WhatsApp a été piraté et quels sont les conseils préventifs ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

L’authentification à deux facteurs SMS n’est pas parfaite, mais vous devriez quand même l’utiliser.

Dans une quête de sécurité parfaite, le parfait est l’ennemi du bien. Les gens critiquent l’authentification à deux facteurs par SMS à la suite du piratage de Reddit mais l’utilisation de deux facteurs basés sur SMS est encore bien meilleure que l’absence d’authentification à deux facteurs.

Plus de 90 % des utilisateurs de GMail n’utilisent pas l’authentification à deux facteurs.

Les professionnels de la sécurité qui disent que la vérification des SMS n’est pas suffisante vont trop loin. Selon une présentation de l’ingénieur Google Grzegorz Milka à USENIX Enigma 2018, plus de 90 % des utilisateurs de GMail n’utilisent aucune authentification à deux facteurs. La première chose que la plupart des gens peuvent faire pour se protéger en ligne authentification à deux facteurs pour leurs comptes importants.

Pensez-y comme ça. Disons que vous voulez mettre une serrure sur votre porte d’entrée pour protéger votre maison. Les professionnels de la sécurité contestent le fait que le meilleur type de serrure disponible est bien meilleur que les serrures moins chères. Bien sûr, c’est logique. Mais si cette serrure plus chère ne vous est pas disponible, ne pas avoir une serrure moins chère encore mieux que de ne pas avoir de serrure du tout ?

Oui, l’authentification à deux facteurs basée sur l’application est meilleure que l’authentification par SMS. Mais, si le SMS est tout ce qu’un service offre, c’est toujours mieux que de ne pas l’utiliser du tout.

Les deux facteurs basés sur les SMS présentent certaines faiblesses, mais cela ne leur convient pas. Un attaquant devra passer du temps à contourner votre vérification SMS. Et la plupart des cibles ne valent probablement pas autant d’efforts.

Pourquoi avez-vous besoin d’une authentification à deux facteurs ?

Une authentification à deux facteurs est appelée car elle nécessite deux choses pour accéder à votre compte : quelque chose que vous connaissez (votre mot de passe) et quelque chose que vous possédez (un code de sécurité supplémentaire provenant de votre appareil mobile ou une clé physique).

Lorsque vous activez l’authentification à deux facteurs basée sur SMS, le service envoie à votre numéro de téléphone portable un message texte contenant un code unique chaque fois que vous vous connectez à partir d’un nouvel appareil. Ainsi, même si quelqu’un a votre nom d’utilisateur et votre mot de passe pour ce compte, il ne pourra pas se connecter à votre compte sans accéder à vos messages texte.

Il existe également d’autres types de méthodes à deux facteurs, notamment des applications sur votre téléphone qui génèrent des codes de sécurité temporaires et des clés de sécurité physiques à brancher sur votre ordinateur.

N’importe quel type d’authentification à deux facteurs offre une protection énorme pour les comptes importants tels que votre messagerie électronique, vos réseaux sociaux et vos comptes bancaires. Cela est particulièrement vrai si vous réutilisez des mots de passe. Beaucoup de gens réutilisent les mots de passe sur plusieurs sites Web et lorsque la base de données de mots de passe d’un site Web fuit, ce mot de passe peut être utilisé pour se connecter à leurs comptes de messagerie.

Cela ne signifie pas que vous devez réutiliser les mots de passe. Vous ne devez pas réutiliser les mots de passe. Vous devez utiliser un bon gestionnaire de mots de passe pour suivre les mots de passe forts et uniques.

Pourquoi les gens disent que l’authentification SMS est mauvaise ?

L’authentification à deux facteurs basée sur SMS n’est pas considérée comme idéale, car quelqu’un pourrait hacker votre numéro de téléphone ou intercepter vos messages texte. Par exemple :

– Un attaquant pourrait vous usurper et déplacer votre numéro de téléphone sur un nouveau téléphone dans une arnaque de portage de numéro de téléphone. C’est l’attaque la plus probable.

– Un attaquant pourrait intercepter des messages SMS destinés à vous. Par exemple, ils pourraient usurper une tour de téléphonie cellulaire près de chez vous ou un gouvernement pourrait utiliser son accès au réseau cellulaire pour transmettre des messages.

C’est pourquoi les experts recommandent d’utiliser une autre méthode à deux facteurs, celle qui ne peut pas être aussi facilement abusée par les gouvernements et n’est pas vulnérable si votre opérateur de téléphonie cellulaire donne votre numéro de téléphone à quelqu’un d’autre. Si vous obtenez le code d’une application sur votre téléphone ou une clé de sécurité physique que vous connectez, votre système à deux facteurs n’est pas vulnérable aux problèmes du réseau téléphonique. L’attaquant aurait besoin de votre téléphone déverrouillé ou de la clé de sécurité physique que vous devez vous connecter.

Bien sûr, dans un monde parfait, le SMS n’est pas la solution idéale. Nous avons expliqué pourquoi les experts en sécurité n’apprécient pas l’authentification en deux étapes par SMS. Mais, même lorsque nous avons présenté ce cas, nous avons essayé de clarifier une chose : l’authentification à deux facteurs basée sur SMS est bien meilleure que rien.

Certaines personnes ont besoin de plus de sécurité que les SMS.

L’utilisateur moyen suffit avec l’authentification par SMS pour le moment. L’authentification basée sur SMS fait que les attaquants éprouvent beaucoup de difficultés à accéder à votre compte et vous ne devriez probablement pas en avoir la peine quand il existe d’autres cibles plus simples et plus faciles à utiliser. La plupart des gens n’utilisent même pas l’authentification SMS et le Web serait un endroit beaucoup plus sécurisé si tout le monde le faisait.
La personne moyenne va bien avec l’authentification par SMS pour le moment. L’authentification basée sur SMS fait que les attaquants éprouvent beaucoup de difficultés à accéder à votre compte et vous ne devriez probablement pas en avoir la peine quand il existe d’autres cibles plus simples et plus faciles à utiliser. La plupart des gens n’utilisent même pas l’authentification SMS et le Web serait un endroit beaucoup plus sécurisé si tout le monde le faisait.

Les personnes susceptibles d’être ciblées par des attaquants sophistiqués devraient éviter l’authentification par SMS. Par exemple, si vous êtes un politicien, un journaliste, une célébrité ou un chef d’entreprise, vous pourriez être ciblé. Si vous êtes une personne ayant accès à des données d’entreprise sensibles, à un administrateur système ayant un accès approfondi à des systèmes sensibles ou à une personne ayant beaucoup d’argent en banque, SMS peut être trop risqué.

Mais si vous êtes la personne moyenne avec un compte GMail ou Facebook et que personne n’a de raison de passer du temps à accéder à vos comptes, l’authentification SMS est correcte et vous devez absolument l’activer plutôt que de ne rien utiliser du tout.

Voici une autre vérité malheureuse que tout le monde semble ignorer : même si vous évitez l’authentification à deux facteurs par SMS pour un compte, SMS est probablement disponible en tant que méthode de secours. Par exemple, même si vous générez des codes avec une application pour vous connecter à votre compte Google, vous pouvez récupérer votre compte à l’aide de votre numéro de téléphone. Ceci afin de vous protéger si vous perdez l’accès à votre téléphone ou à votre jeton à deux facteurs.

En d’autres termes, de nombreux services, voire la plupart, vous permettent d’accéder à votre compte avec votre numéro de téléphone, même si vous utilisez la plupart du temps un code généré par l’application ou une clé de sécurité physique. Vous êtes seulement aussi sûr que le maillon le plus faible du système. Essayez de vérifier les autres façons de vous connecter si vous ne possédez pas votre méthode habituelle.

C’est pourquoi, pour verrouiller un compte Google, vous n’avez pas seulement besoin d’éviter l’authentification en deux étapes par SMS. Vous devez également vous inscrire au programme de protection avancée de Google, à savoir Google pour les « journalistes, activistes, chefs d’entreprise et équipes de campagne politique ». Ce programme gratuit nécessite l’utilisation d’une clé de sécurité physique pour se connecter. informations pour récupérer votre compte.

Veuillez svp utilisez la protection par SMS si vous n’utilisez pas 2FA pour le moment.

Nous ne voulons pas vous donner un faux sentiment de sécurité : si vous êtes susceptible d’être la cible de gouvernements étrangers, d’espions d’entreprises ou de criminels organisés, vous devez absolument éviter l’authentification à deux facteurs par SMS et verrouiller votre comptes avec quelque chose de plus sécurisé.

Mais si vous êtes la personne moyenne qui n’a pas encore activé l’authentification à deux facteurs, ne soyez pas découragé : deux facteurs basés sur SMS vous rendront beaucoup plus sûr qu’aucun facteur à deux facteurs. C’est une base de référence importante pour la sécurité.

Tout le monde devrait utiliser la vérification par SMS à moins d’utiliser quelque chose de mieux.

A lire aussi : 6 conseils pratiques pour protéger vos données personnelles contre le piratage.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage