Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Marre des mots de passe ? Voici comment Blockchain peut aider et améliorer la cybersécurité.

La révolution de blockchain est composée de hackers « white hate » se bagarrant ensemble et la promesse de plus avoir de mot de passe.

Les institutions financières, les agences de crédit, les grandes entreprises et les petites entreprises font régulièrement l’objet de nouvelles concernant les failles de sécurité.

En raison de ces piratages, le consommateur moyen doit prendre des mesures pour protéger ses informations individuelles.

C’est là que les technologies blockchain sont utiles, car elles perturbent le domaine de la cybersécurité en termes de meilleure protection de l’utilisateur individuel. La sécurité et la transparence font partie de la promesse globale du bloc.

Avant de partager des informations personnelles ou de se connecter à un site Web favori, un utilisateur doit décider de ce qui doit être partagé. Grâce aux blockchains, la cybersécurité est meilleure que jamais. Les entreprises se concentrent sur la sécurité de vos informations, en se concentrant sur l’accès, la détection des cyber-attaques, la protection des appareils connectés et l’élimination des mots de passe.

C’est vrai ! Plus de mots de passe !

Dans le but de vous débarrasser de ces mots de passe gênants dans votre vie quotidienne et vos relations d’affaires, REMME.io fournit une solution sécurisée et complète pour l’authentification de l’identité : cette solution a le potentiel de révolutionner complètement notre vie en ligne grâce à un certificat SSL / TLS individuel plutôt que de forcer les utilisateurs à se connecter manuellement.

REMME le fait en utilisant, comme base, Hyperledger Sawtooth, qui est basé sur une infrastructure à clé publique (PKI) et des applications de gestion d’accès supplémentaires pour les informations de l’utilisateur.

En termes plus simples, Hyperledger Sawtooth reflète le fait que les mots de passe traditionnels ne sont pas aussi sécurisés, car ils sont susceptibles d’être piratés ou d’être oubliés par les utilisateurs ou de perdre leur accès. Au lieu de mots de passe, REMME fournit une authentification entièrement sécurisée, sous la forme de SSL stockée dans la blockchain, de sorte qu’il n’y a pas de serveur d’authentification ou de base de données qui pourrait être piraté ou manipulé. En supprimant le besoin de mots de passe, la solution de REMME supprime le problème qui leur est associé.

Aussi, Gladius propose une nouvelle approche pour lutter contre les attaques par déni de service distribué (DDoS). Ces attaques se produisent lorsque les pirates prennent le contrôle des appareils et les dirigent vers un serveur particulier.

Pensez au trafic « zombie » (ainsi nommé en raison de la pointe de trafic inutile de ces dernières années provenant du trafic avec ce surnom de Google). Le trafic zombie submergera la bande passante du serveur victime et pourrait entraîner des interruptions de service sévères et endommager la productivité et la réputation d’une entreprise.

Au quatrième trimestre de 2017 seulement, comme l’indique cet article de la liste sécurisée, des attaques DDoS ont eu lieu dans 84 pays, la plus longue durée étant de 146 heures. Ces attaques peuvent être terriblement coûteuses : le coût moyen pour les entreprises était de 2,3 millions de dollars en 2017, estime l’article.

A découvrir aussi : Quels seront les mots de passe de demain ?

Certes, il y a beaucoup en jeu, mais Gladius a une solution. Son approche consiste à utiliser blockchain pour construire un réseau d’utilisateurs qui peuvent partager la bande passante et les ressources pour aider les autres à combattre les attaques DDoS et accélérer le temps de chargement des sites Web en déployant un vaste réseau de dispositifs de mise en cache (CDN).

En cas d’attaque, les victimes peuvent alors utiliser la bande passante de leurs pairs pour absorber le flot de circulation et prévenir les temps d’arrêt. et, en utilisant cette solution, les utilisateurs, en temps de calme, peuvent aider à mettre en cache des contenus et à servir des sites Web.

En retour, les utilisateurs qui donnent de la bande passante à des membres en difficulté peuvent être récompensés par des jetons cryptographiques. C’est une manière nouvelle et passionnante de gérer la menace DDoS et de créer un nouveau modèle incitatif pour le partage des ressources.

Les hackers du chapeau blanc unissent leurs forces

Au fur et à mesure que la cybercriminalité augmente, l’industrie de la cybersécurité se développe. C’est maintenant un champ immense et tentaculaire, plein de nouvelles entreprises et d’innovation. Il y a beaucoup de gens ayant les compétences pour mener leurs propres cyber-attaques, qui ont choisi de se battre pour le bon côté et d’aider à vaincre les pirates informatiques.

Hacken veut exploiter toute cette puissance et utiliser blockchain pour construire une communauté de cybersécurité qui se soucie de l’éthique. Les membres de cette communauté pourront partager leurs ressources et leur expertise en échange de jetons Hacken.

Par exemple, les entreprises seront en mesure de partager des informations sur leurs vulnérabilités, tandis que les hackers chapeau blanc trouver des moyens de les résoudre. Ces informations seraient ensuite stockées publiquement sur la chaîne de blocs pour référence future.

Ce type de configuration peut non seulement aider à lutter contre la criminalité, mais aussi encourager les investissements dans les start-ups de la cybersécurité et aider à soutenir cette industrie croissante et de valeur, pour le bénéfice de tous.

L’avenir de la cybersécurité en 2018

Les technologies Blockchain en 2018 peuvent perturber la façon dont nous naviguons dans la cybersécurité en protégeant vos informations, en détectant les cyberattaques avant qu’elles ne surviennent, en éliminant complètement les mots de passe et en regroupant les pirates informatiques pour faire le bien.

Il ne fait aucun doute que la blockchain peut avoir un impact profond sur la cybersécurité puisqu’elle est à la base une base de données sécurisée et cryptée. Et cette base de données est immuable, transparente et surtout résiliente.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les hackers de la Corée du Nord utilisent de faux comptes Facebook pour diriger les utilisateurs vers des logiciels malveillants dans Google Play.

Les négociations à venir entre la Corée du Nord et les États-Unis pourraient être un signe de son ouverture, mais le royaume des ermites ne veut pas laisser son peuple être autonome pour l’instant.

Sun Team, un groupe de pirate que l’on croit loyal au royaume des ermites, utilise des profils Facebook sud-coréens piratés et des malwares Android dans Google Play pour repérer les identifiants de connexion.

La combinaison de faux profils Facebook utilisés pour diffuser des liens vers des applications malveillantes sur Google Play est un raffinement des techniques d’attaque mobiles découvertes précédemment pour espionner les utilisateurs.

En janvier, les médias sud-coréens ont rapporté que des hackers utilisant l’application de messagerie KakaoTalk et de faux comptes Facebook pour envoyer des liens aux raccourcis URL goo.gl de Google, ont amené les victimes à télécharger des applications infectés pour des journalistes nord-coréens.

Les deux applications incluent un cheval de Troie qui a téléchargé des données et reçu des commandes de comptes sur Dropbox et Yandex, selon le cabinet de sécurité McAfee.

Les analystes de McAfee effectuant des recherches sur les rapports ont découvert un dossier dans les comptes Dropbox et Yandex nommé « Sun Team Folder », ce qui les a amenés à appeler le groupe « Sun Team ».

Selon McAfee, le même groupe a désormais intégré le support de Google Play pour les «applications inédites» afin d’inciter les victimes à installer des applications malveillantes capables de siphonner les photos, les contacts et les SMS d’un utilisateur.

Les attaquants utilisent encore de faux comptes Facebook pour diffuser des liens, mais au lieu de diriger les victimes vers un site Web aléatoire, les victimes sont dirigées vers une partie officielle de Google Play.

La technique exploite une fonctionnalité conçue pour aider les développeurs Android à lancer des applications bêta sur Google Play afin que les utilisateurs avertis puissent fournir des retours rapides.

Bien que utile pour les vrais développeurs, il a également aidé l’équipe Sun à utiliser la réputation de Google pour tromper les cibles dans l’installation de logiciels malveillants.

Les applications inédites sur Google Play comprennent AppLockFree et Fast AppLock, deux applications de sécurité et une autre application liée à la santé appelée « Food Ingredients Info ». Google a supprimé les applications après avoir été averti par McAfee.

Alors que chacune des trois applications ne disposait que de 100 téléchargements, tous les utilisateurs sud-coréens qui ont installé les applications malveillantes auraient automatiquement envoyé des demandes d’installation à leurs contacts, ce qui pourrait donner à l’attaquant un aperçu de leurs connexions.

L’utilisation astucieuse de la fonction bêta de Google Play est alarmante, mais les chercheurs de McAfee préviennent que les plus gros profils Facebook sud-coréens piratés présentent une plus grande menace pour de futures attaques.

« La chose la plus préoccupante à propos de cette opération Sun Team est qu’ils utilisent des photos téléchargées sur les services de réseaux sociaux et les identités des Sud-Coréens pour créer de faux comptes. Nous avons trouvé des preuves que certaines personnes ont eu leur identité volée. Ils utilisent les textos et les services d’appel pour générer des numéros de téléphone virtuels afin qu’ils puissent s’inscrire aux services en ligne sud-coréens », a déclaré McAfee.

Découvrez pourquoi Google a rassemblé tous les comptes en un seul ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Protégez vos connexions avec de meilleures protections pour les mots de passe.

Les mots de passe sont quelque chose que presque tout le monde utilise quotidiennement. Qu’il s’agisse de se connecter à des ordinateurs, à des comptes de messagerie, à des comptes de réseaux sociaux ou à des comptes bancaires, les mots de passe garantissent la sécurité de nos vies personnelles en ligne. Avez-vous pris en compte le nombre de comptes en ligne auxquels vous accédez ? En passant par les impôts jusqu’aux cartes de fidélité, vous pourriez facilement avoir besoin d’une centaine ou plus de mots de passe différents et forts.

La plus part des personnes utilisent un mot de passe simple et le réutilisent pour plusieurs comptes. Les cybercriminels parient sur cette pratique lorsqu’ils utilisent différentes méthodes pour accéder aux mots de passe.

A lire aussi : Quelles sont les solutions gratuites pour générer un mot de passe ?

Dans une attaque par force brute, les pirates utilisent un logiciel automatisé qui tente d’interminables combinaisons de lettres, de chiffres et de caractères spéciaux. Une attaque par dictionnaire personnalisée repose sur une base de données remplie de mots, de noms et d’expressions courantes tels que « ilovemykids », « mot de passe » ou « admin123 » pour deviner les connexions les plus utilisées.

Un mot de passe valide qui est hacké dans un piratage de données est une autre façon pour les pirates d’accéder à vos comptes. Il existe des dizaines de sites Web clandestins qui achètent et vendent des noms d’utilisateur et des mots de passe piratés. Les connexions pour les comptes chez Airbnb, CreditKarma et Uber coûtent 15 $ chacune. Les noms d’utilisateur et les mots de passe valides pour les comptes actifs à Navy Federal Credit Union peuvent être achetés pour 60 $ pièce.

Une fois qu’un identifiant de connexion valide est acheté ou piraté, les hackers le comparent régulièrement à des comptes liés à des institutions financières telles que PayPal. S’ils piratent votre compte et que vous réutilisez ce mot de passe pour vos comptes bancaires, vous risquez de perdre beaucoup d’argent. Pire encore, si vous utilisiez ce même mot de passe pour d’autres comptes, les pirates pourraient prendre le contrôle de vos courriels, des réseaux sociaux et d’autres comptes financiers ou pire, ils pourraient voler votre identité.

Il ne suffit pas d’utiliser un mot de passe unique pour chaque site auquel vous accédez, il devrait aussi être fort. Idéalement, les mots de passe devraient être complexes et longs, d’au moins 12 à 15 caractères. Un générateur de mot de passe aléatoire peut en créer de complexes comme ceci : ySSwCxPK. À seulement huit caractères, cela serait craqué dans environ trois heures si un attaquant utilisait un outil automatisé pour essayer 10 000 combinaisons par seconde. En doublant la longueur du mot de passe à 16 caractères (GpDjwmXaLeNHbhfG), il faudrait plus de 100 ans pour déchiffrer le mot de passe à 10 000 tentatives par seconde.

Vous pouvez vérifier la sécurité de votre mot de passe, puis vous engager à utiliser un générateur de mot de passe aléatoire pour chacun de vos comptes. Augmenter le nombre de caractères dans un mot de passe et utiliser des caractères aléatoires plutôt que des mots devinables améliore la sécurité en rendant les attaques en force brute plus difficiles. Après des heures ou des jours d’attaques par force brute, les hackers se déplacent généralement vers des cibles plus faciles.

Certaines personnes utilisent des phrases de mot de passe très long comme l’ouverture à l’adresse de Gettysburg ou un autre passage mémorable. Alors que tout ce qui est de 16 caractères ou plus est hautement sécurisé, il n’est pas facile de le répéter pour les nombreux comptes auxquels on accède et cela conduit inévitablement à l’écriture des connexions. Tant que votre mot de passe est toujours caché, une liste maîtresse fonctionne jusqu’à ce que vous deviez quitter la maison ou partager l’accès à une connexion avec un collègue. Voyager n’importe où avec une liste principale des mots de passe à votre vie en ligne n’est jamais une bonne idée.

L’utilisation de mots de passe uniques et complexes peut limiter les dégâts qu’une seule connexion volée pourrait avoir sur votre sécurité en ligne. L’utilisation de l’authentification à deux facteurs (2FA) pour les comptes en ligne ajoute une autre couche de sécurité. Les utilisateurs doivent saisir la seconde information pour s’identifier lors de la connexion, le plus souvent un code de chiffres qui change à chaque fois. Toutes les entreprises ne proposent pas cela, mais si votre compte l’a, activez-le. L’authentification à deux facteurs rend beaucoup plus difficile la piratage de votre compte avec un mot de passe volé, car le pirate informatique aurait besoin du code d’accès textuel ou envoyé par e-mail pour se connecter à votre compte. Pour une liste des sites Web prenant en charge 2FA, consultez twofactorauth.org.

Même si vous avez des mots de passe forts et que vous ne les réutilisez pas pour plusieurs comptes, vos informations pourraient être piraté.
Une alternative à la création et à la mémorisation de mots de passe complexes, longs et complexes pour chaque site important avec lequel vous traitez est d’externaliser ce problème à un gestionnaire de mots de passe. Un gestionnaire de mots de passe est une application logicielle qui stocke et gère les mots de passe pour les comptes en ligne, en les enregistrant dans un format crypté avec un accès sécurisé aux mots de passe via un mot de passe unique. Un bon gestionnaire de mots de passe aura également un algorithme fort et sécurisé qui génère des mots de passe complexes et aléatoires pour vous. La combinaison de ces deux éléments est la mesure la plus simple que vous pouvez prendre pour améliorer la force et la sécurité de votre mot de passe.

N’oubliez pas de créer un seul mot de passe principal unique et complexe et de ne jamais réutiliser ce mot de passe pour autre chose. Mémorisez un seul mot de passe et vous aurez toujours accès à toutes vos informations de connexion.

Plus important encore, personne d’autre n’aura accès.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les objets connectés Alexa, Siri et l’assistant Google peuvent entendre des commandes que l’oreille humaine ne peut pas entendre.

Cela peut vous sembler un bruit blanc, mais cette astuce peut être manipulée pour contenir les messages qu’Alexa, Siri et Google Assistant comprennent.

Des chercheurs de plusieurs universités des États-Unis et de Chine ont mis au point une méthode de piratage du bruit blanc pour hacker les assistants numériques dans l’exécution de commandes.

Appelé « audio contradictoire », l’astuce consiste à créer « une fonction de perte » basée sur CTC [connectionist temporal classification] perte qui prend une transcription désirée et un fichier audio en entrée et renvoie un nombre réel en sortie, explique U.C. Candidat au doctorat à Berkeley Nicholas Carlini.

L’enregistrement du piratage est exécuté à travers un processus appelé descente de gradient jusqu’à ce que la distorsion soit minimisée mais toujours efficace pour déclencher une réponse d’assistants numériques comme Siri, Alexa et l’Assistant Google.

Des expériences comme celles-ci font ressortir un problème qui ne fera que grandir au fur et à mesure que les assistants numériques deviendront plus omniprésents : ils peuvent être piratés de façon nouvelle et différente puisqu’ils s’appuient sur des commandes vocales.

Comme le souligne Sheng Shen de l’Université de l’Illinois à Urbana-Champaign, les commandes n’ont même pas besoin d’être audibles, elles peuvent être ultrasoniques. Shen s’est penché sur la possibilité de commandes en dehors de la gamme des ouvertures d’audition humaine, en passant des commandes en ligne et en faisant d’autres choses malveillantes sans que le propriétaire de l’appareil entende une seule chose.

Les entreprises avec des assistants numériques ou des enceintes intelligentes devraient-elles être inquiètes ?

Les assistants numériques connaissent une popularité croissante, mais ils sont encore une technologie relativement nouvelle. Je me souviens quand la reconnaissance de la parole était si pauvre que c’était comique, et maintenant seulement une dizaine d’années plus tard, les machines peuvent reconnaître la parole aussi bien, sinon mieux, que les humains.

La reconnaissance vocale de l’IA est encore à ses balbutiements, ce qui signifie que les gens trouveront des façons intéressantes de la hacker. Comme utiliser un sifflet Cap’n Crunch d’une boîte de céréales pour tromper les téléphones payants en donnant des appels gratuits, cette dernière attaque est simplement l’évolution de l’utilisation d’un système contre lui-même, et rendra les assistants numériques (comme avec les téléphones) plus sûrs. le long terme.

Ceux qui utilisent des assistants numériques devraient-ils être concernés en ce moment ? Pas nécessairement. Les exploits actuels ont une portée relativement étroite et leur utilisation répandue est peu probable à ce stade.

L’équipe de Carlini a créé des enregistrements conçus pour tromper Google Assistant, mais en réalité, ils ne réussissent que contre DeepSpeech de Mozilla. 100 % de réussite, mais seulement avec succès contre un moteur de synthèse vocale qui est peu utilisé par rapport à Google Assistant, Siri et Alexa.

Il est peu probable qu’un pirate qui se cache dans les buissons puisse pirater votre Amazon Echo en utilisant son smartphone de sitôt. Espérons que Google, Amazon et Apple feront leurs propres recherches et corrigeront les exploits de reconnaissance de la parole avant qu’ils ne deviennent monnaie courante.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Valve vous paiera pour pirater Steam.

Dans une bizarre tournure du destin, au lieu d’appeler la police à cause des pirates informatiques, de forcer le FBI à les arrêter ou d’essayer de déboucher des avocats après avoir essayé de trouver un nouveau logiciel, Valve paie des gens pour pirater Steam.

Selon HackerOne, Valve est en train de payer des hackers pour pirater Steam. L’objectif est d’améliorer les fonctionnalités de sécurité et l’ergonomie de Steam ainsi donc Valve lance un programme de primes HackerOne pour récompenser les pirates avec l’opportunité de gagner de l’argent en trouvant des problèmes de connexion, exploits, fraude potentielle ou problèmes techniques qui peuvent être hackés.

Le programme de prime a un niveau de récompenses, y compris un score CVSS basé sur les problèmes faibles, moyens, élevés et critiques qui sont pesés sur une carte de score minimum / maximum. Au minimum, vous gagnerez 0 $ pour simplement signaler un défaut de sécurité faible, mais l’avantage est que si c’est un défaut de sécurité faible jugé digne d’une attention immédiate, il peut également justifier un paiement maximal de 200 $.

Les problèmes moyens valent beaucoup plus, à partir d’un minimum de 250 $ si le CVSS se situe entre 4,0 et 6,9. À la limite supérieure des émissions moyennes, vous recevrez un maximum de 1 000 $, ce qui est assez impressionnant.

Sur le haut de gamme, les choses deviennent vraiment intéressantes. Les problèmes de sécurité qui se situent entre 7,0 et 8,9 sur l’échelle CVSS vous rapporteront un minimum de 500 $ et bien plus de 2 000 $ dans le haut de la fourchette.

Ce qui est intéressant est que la dernière entrée, les problèmes critiques classés entre un CVSS de 9,0 et 10,0 commencent à 1500 $ mais il n’y a pas de plafond sur le paiement maximum, ce qui signifie qu’il pourrait être très lucratif si quelqu’un réussissait à trouver une faille de sécurité très dangereuse.

Valve centre la chasse aux primes d’exploitation autour du client Steam et des jeux internes de Valve, tels que Half-Life, Team Fortress et Portal. Le programme de primes couvrira le client Steam, les portails de la communauté Steam, le magasin de jeux Steam, la page de logiciels de Valve, le portail Web de Counter-Strike, le portail Web DOTA 2, le site Web de Team Fortress et les différents sous-domaines.

En outre, si vous pouvez trouver des failles dans le client pour Windows, Mac et Linux, l’utilitaire de ligne de commande, SteamOS, le SDK Steamworks, le SDK mobile, les serveurs Steam dédiés ou l’aspect communauté multijoueur des jeux de Valve, porter des récompenses avec eux aussi bien.

Gardez à l’esprit que si vous rencontrez des exploits ou des bogues en dehors de la portée du programme de primes actuel, vous ne serez pas récompensé pour avoir découvert et découvert ces bogues.

Ce n’est pas parce que Valve veut que les pirates piratent et fassent ouvrir son logiciel que la société donne carte blanche aux serveurs Steam de DDOS et qu’elle ne cautionne pas le spamming, l’ingénierie sociale ou toute attaque terroriste physique contre le siège social de Valve

Toutes les primes importantes sont classées comme critiques, donc si vous pouvez trouver et rapporter n’importe quels bugs de logiciel, vous serez en mesure de faire une pièce décente pour vos efforts.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage