Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

L’introduction de la biométrie entraînera-t-elle la fin du mot de passe ?

La technologie biométrique, telle que la reconnaissance faciale et la lecture d’empreintes digitales, n’est plus réservée aux générations futures ou aux agences gouvernementales les plus secrètes.

La vérité est que les gens utilisent de plus en plus la biométrie pour authentifier l’identité. Le fait que la biométrie soit devenue si populaire sur les appareils de tous les jours, tels que les smartphones, soulève la question suivante : quand la biométrie remplacera-t-elle définitivement les mots de passe ?

Il ne fait aucun doute que se souvenir des mots de passe peut être un problème pour la plupart des gens et avec autant de comptes différents, il est difficile de savoir quel mot de passe s’aligne avec quel compte de réseaux sociaux ou d’application bancaire. Alors, pourquoi les gens utilisent-ils encore des mots de passe ? La biométrie peut-elle devenir la procédure d’authentification standard ? Et si nous sommes coincés avec des mots de passe, comment les gens peuvent-ils mieux les faire fonctionner ?

Pourquoi les entreprises utilisent-elles encore des mots de passe ?

Depuis le début de l’informatique en réseau, les gens se sont fiés à l’utilisation de mots de passe pour l’authentification. En faisant cela, une culture de «Si ce n’est pas cassé, ne le répare pas» est devenue ancrée dans la base de la cyber-sécurité. Il est facile pour les entreprises de se rabattre sur le répertoire par défaut des employés dans lequel chaque membre de l’entreprise reçoit un mot de passe pour accéder à une application ou un système spécifique. Par conséquent, la majorité des systèmes utilisés aujourd’hui s’appuient sur l’authentification par mot de passe, car c’est la solution la plus simple et la plus souvent utilisée.

De nombreuses organisations comptent encore sur l’authentification par mot de passe en raison des systèmes informatiques plus anciens mais toujours nécessaires. Pour qu’une organisation passe de systèmes d’authentification par mot de passe à des systèmes d’authentification biométriques, elle sera obligée d’entreprendre un projet coûteux qui peut nécessiter de longs cycles de déploiement et d’intégration. Cela arrive souvent aux cadres supérieurs comme un effort pour réparer quelque chose qui n’est pas cassé.

La biométrie deviendra-t-elle la nouvelle norme ?

Même si les mots de passe sont encore largement utilisés, de nombreux experts en sécurité demandent que la biométrie devienne la nouvelle norme. Des sociétés comme Apple et Samsung intègrent la biométrie dans les smartphones depuis des années. Cependant, cela deviendra-t-il une nouvelle norme ? Oui, mais seulement après que les mots de passe traditionnels aient suffisamment échoué pour que l’effet négatif des piratages force les entreprises à implémenter des formes d’authentification plus fortes.

Lors de l’examen des normes, l’authentification multifacteur semble plus susceptible de devenir une nouvelle norme industrielle alors que la biométrie devient un acteur clé de l’authentification multifacteur. Plus d’organisations implémentent la nécessité de compléter le facteur unique de quelque chose de connu (le mot de passe) avec un second facteur de quelque chose possédé ou une information personnelle supplémentaire et plus récemment un autre facteur pourrait être quelque chose de biologiquement unique, comme la biométrie.

Comment puis-je éviter les risques de piratage ?

Qu’il s’agisse de mot de passe ou de biométrie, des technologies d’authentification existent pour sécuriser l’accès aux systèmes et aux données. Comme les mots de passe continuent d’être piratés lors d’attaques d’ingénierie sociale, il est impératif de trouver des moyens de mieux les utiliser. Une façon d’augmenter la sécurité, tout en ne compromettant pas les faiblesses des mots de passe, consiste à mettre en place une authentification multi-facteurs. De nombreuses options sont disponibles pour un deuxième ou un troisième facteur d’authentification et il est important de s’assurer qu’il correspond à la culture d’une organisation pour garantir aux utilisateurs un accès transparent à leur travail sans perturber leur flux de travail.

Une autre façon d’accroître la sécurité et de réduire les risques d’infraction consiste à réduire le nombre de mots de passe utilisés par les employés, tout en les faisant changer fréquemment de mot de passe. Une grande partie du problème avec les mots de passe piratés est qu’ils sont faciles à découvrir. Cela peut être le résultat de mauvaises pratiques telles que ne jamais changer un mot de passe ou le résultat de l’ingénierie sociale pour les deviner. Cependant, un seul mot de passe difficile à deviner, souvent modifié et applicable partout dans l’entreprise, est une solution idéale aux faiblesses traditionnelles des mots de passe. La connexion unique et la consolidation de répertoire sont des technologies simples et courantes qui peuvent atteindre cet objectif.

Alors que les mots de passe sont là pour rester à court terme, la biométrie aura un rôle important à jouer dans la façon dont les normes d’authentification changeront au cours des prochaines années. Bien que les entreprises continuent de s’appuyer sur les mots de passe, il est important qu’elles prennent des mesures pour s’assurer que les piratages de mot de passe ne leur arrivent pas.

L’authentification multi-facteurs et la gestion intelligente des mots de passe sont cruciales tant que la biométrie ne peut pas être utilisée pour sécuriser les données de toutes les organisations aujourd’hui.

Vous aimerez aussi : Mots de passe : 4 possibilités biométriques et comment ils peuvent être hackés.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Des millions de moniteurs pour bébés et des caméras de sécurité faciles à pirater.

Nous avons vraiment besoin d’arrêter d’acheter des caméras de sécurité bon marché.

Vous vous souvenez peut-être qu’il y a quelques semaines dans cet article, la mère de Caroline du Sud, Jamie Summitt, qui avait découvert ce qu’elle croyait être un pirate informatique qui l’espionnait, elle et son bébé, en utilisant son babyphone sans fil FREDI à 34 $.

Dans un nouveau rapport, la société de sécurité de l’information SEC Consult détaille une vulnérabilité que le snoop pourrait avoir exploitée. Si SEC Consult a raison, de nombreux autres moniteurs de bébé, caméras de sécurité et webcams fabriqués par le même pourraient être vulnérables aux piratages.

Pour vous protéger, vous devez toujours changer le mot de passe de l’un de ces appareils, dès qu’il est sorti de la boîte. S’il n’y a pas de mot de passe ou si vous ne pouvez pas changer le mot de passe, jetez-le et achetez quelque chose de mieux.

Le babyphone FREDI de Summitt, comme de nombreux produits de surveillance grand public peu coûteux, utilise un système de contrôle à distance basé sur le cloud (connu sous le nom de « fonctionnalité de nuage P2P ») pour transmettre des données entre un appareil et son utilisateur.

Les autres marques incluent HiKam, Sricam, HKVStar et Digoo, selon une étude présentée en novembre par Security Research Labs en Allemagne.

SEC Consult indique que le fabricant actuel est une compagnie appelée Shenzen Gwelltimes Technology Co. Ltd. et que toutes les caméras demandent aux acheteurs d’utiliser l’application smartphone Yoosee (pour Android et iOS) pour accéder aux flux de caméra. Security Research Labs a été en mesure de recueillir des preuves de près d’un million de dispositifs vulnérables en ligne, probablement seulement une fraction du nombre réel.

Essentiellement, toutes les données collectées par l’une de ces caméras sont stockées sur le serveur cloud du fabricant et transitent de la caméra au serveur, puis redescendent vers le smartphone de l’utilisateur. Cela signifie qu’un escroc n’a pas besoin d’être branché sur votre réseau privé pour vous espionner. Si quelqu’un peut intercepter votre connexion, n’importe où dans le monde, il peut accéder à toutes les données de votre caméra.

Comment l’attaquant intercepte-t-il votre connexion ?

La plupart des modèles en question ont des numéros d’identification spécifiques à l’appareil, mais partagent un mot de passe par défaut commun qui n’est pas du tout sécurisé. L’idée est que les propriétaires puissent connecter leur appareil à l’application sur leur téléphone en entrant leur identifiant et mot de passe.

Vous pouvez probablement voir où cela se passe : Si les personnages suspects ont le mot de passe de l’appareil partagé, ils peuvent essayer différentes combinaisons d’ID d’appareil jusqu’à ce qu’ils aient connecté l’appareil photo d’un étranger inconnu à leur téléphone.

Mais ce n’est pas tout. Les appareils Gwelltimes ont également des ID séquentiels, donc une fois qu’un pirate trouve le numéro d’identification d’un appareil sur Internet, il est beaucoup plus facile de trouver l’ID de l’appareil suivant.

Alors que faire ?

Si vous possédez un appareil comme celui-ci et si vous utilisez l’application YooSee, alors vous devriez toujours changer son mot de passe par défaut pour quelque chose de plus robuste. Cela dit, cela peut ne pas toujours suffire : Summitt a déclaré à ABC News qu’elle avait changé le mot de passe de son moniteur lorsqu’elle l’avait reçu pour la première fois et que certains dispositifs avaient des protections faibles qui permettaient aux pirates de contourner les mots de passe.

Cet article peut également vous intéresser :
Les appareils domestiques intelligents sont faciles à pirater. Voici comment vous protéger.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Apple bloque le piratage que les fédéraux et la police utilisent pour hacker les iPhones.

Un client utilise le nouveau logiciel de reconnaissance faciale sur l’Apple iPhone X, le nouveau modèle de smartphone Apple à l’Apple Store Saint-Germain le 3 novembre 2017 à Paris.

Apple a confirmé mercredi que la prochaine version de son système d’exploitation iPhone et iPad va fermer une faille de sécurité que les forces de l’ordre ont utilisé pour pénétrer dans des dispositifs autrement sécurisés qui appartiennent à des suspects criminels et des cibles d’opérations de sécurité dans le monde entier.

Le changement de logiciel met en évidence la relation parfois tendue d’Apple avec les forces de l’ordre aux États-Unis et ailleurs. L’entreprise a de plus en plus souvent conçu ses ordinateurs et ses appareils mobiles pour qu’ils ne soient pas déchiffrés, même par Apple.

Après le massacre de 14 personnes par un couple à San Bernardino, en 2015, le FBI a demandé à Apple de l’aider à créer une version personnalisée de son logiciel iOS qui permettrait au FBI de contourner les protections contre tous les codes possibles appelés « force brute » jusqu’à ce que la bonne ait déverrouillé l’appareil. Après qu’Apple a refusé, le FBI a obtenu une ordonnance du tribunal qu’Apple a résisté jusqu’à ce que le FBI abandonne ses efforts, annonçant qu’il avait trouvé une autre façon de percer le téléphone.

Apple a déclaré mercredi dans un communiqué sur les nouvelles protections : « Nous avons le plus grand respect pour l’application de la loi et nous ne concevons pas nos améliorations de la sécurité pour frustrer leurs efforts pour faire leur travail. »

Le cabinet, qui a indiqué qu’il était en communication constante avec les agences et le personnel chargés de l’application de la loi, a déclaré qu’il avait reçu 14 098 demandes de renseignements du gouvernement américain en 2017 pour plus de 62 460 appareils. Apple a également indiqué avoir reçu environ 29 000 demandes de sécurité nationale du gouvernement américain en 2017, émises par la Foreign Intelligence Surveillance Act (FISA) et empêchant généralement une entreprise ou une autre partie de divulguer des détails, même au client dont les données est affectée.

Le logiciel tweak d’Apple fait partie d’iOS 11.4, une petite mise à jour du système d’exploitation actuel qui fonctionne sur les iPads et les iPhones. Apple ajoutera le mode restreint USB, une option qui désactive le port USB pour tout type de transfert de données ou d’interactions si un périphérique n’a pas été déverrouillé dans l’heure précédente.

Toute personne tentant de pénétrer dans le téléphone aurait besoin de le brancher très rapidement dans un dispositif de bris de matériel. Dans la plupart des cas, les forces de l’ordre seraient incapables de réagir assez rapidement.

La nouvelle option ajoutée par Apple est appelée USB Restricted Mode, qu’Apple active par défaut. (Les utilisateurs peuvent le désactiver s’ils le souhaitent.) Le port peut toujours être utilisé pour charger l’appareil.

Dans sa déclaration, Apple a déclaré: « Nous renforçons constamment les protections de sécurité dans tous les produits Apple pour aider les clients à se défendre contre les pirates informatiques, les voleurs d’identité et les intrusions dans leurs données personnelles. »

Apple dit qu’une fois qu’il a appris des vulnérabilités impliquant son USB, il a examiné son code qui gère les interactions de données en utilisant cette norme, et une sécurité améliorée dans un certain nombre de domaines. Toutefois, compte tenu de la gravité de la menace, l’entreprise a décidé d’offrir ce qui est effectivement un interrupteur pour l’USB.

Google a pris plus de mesures au fil du temps pour son système d’exploitation Android. Il a récemment mis à jour ses téléphones Pixel 2 pour éviter de créer des mises à jour de micrologiciel personnalisées pouvant être installées sur un téléphone sans le mot de passe de l’appareil.

Les sites de nouvelles de technologie ont précédemment rapporté au sujet de la dernière fonctionnalité d’anti-piratage d’Apple, qui est apparue dans des versions de test du système d’exploitation. Mais Apple n’a pas confirmé qu’il apparaîtrait dans une version générale jusqu’à aujourd’hui. On peut déjà savoir quelles fonctionnalités ils vont mettre en oeuvre pour bloquer le piratage des iPhones.

Lors d’une itération précédente, la fonctionnalité bloquait les périphériques USB connectés aux ports Lightning iPad et iPhone après sept jours au lieu d’une heure dans la prochaine version.

Alors que les détails de l’exploit dans le logiciel d’Apple sont inconnus, il semble permettre à un périphérique matériel de parcourir une série infinie de codes d’accès relativement rapidement sans déclencher des fonctionnalités qui empêchent les entrées successives rapides de codes incorrects. iOS offre également une option qui efface un appareil après 10 tentatives incorrectes, mais cet exploit contourne également cela.

Deux compagnies, Cellebrite et GrayShift, offriraient des services de craquage et du matériel à ce qu’ils décrivent comme des représentants qualifiés de la police, de l’armée et d’autres gouvernements. Cependant, étant donné que ces failles reposent sur un exploit, et non sur une fonction permise par Apple à des fins d’application de la loi ou à d’autres fins, il pourrait également être utilisé à des fins criminelles. L’exploit peut exister sur des centaines de millions d’appareils mobiles Apple actifs.

On croit généralement que le FBI s’est tourné vers Cellebrite pour l’aider à pénétrer dans les appareils Apple. La technique employée était inconnue.

Mais plus récemment, nous avions fait un article sur une autre société, GrayShift, qui a annoncé la capacité de pirater l’iPhone.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le chercheur ont piraté un cadenat à empreintes digitales intelligent en quelques secondes.

Le cadenas « intelligent » Tapplock, qui a reçu de nombreuses critiques dithyrambiques de la part de sites d’information technologiques et de YouTubers, peut être forcé de s’ouvrir en moins de deux secondes avec un smartphone.

La découverte a été faite par Andrew Tierney, chercheur de Pen Test Partners, qui a décidé de tester la sécurité du logiciel utilisé par le produit après avoir vu un YouTuber ouvrir un Tapplock verrouillé en dévissant simplement son dos et quelques vis internes.

Rompre dans le cadenas « intelligent ».

Tapplock One est un cadenas qui peut être ouvert en plaçant votre doigt sur le capteur d’empreintes digitales, via Bluetooth via une application de téléphone ou en appuyant sur le bouton d’alimentation sur certain modèle.

Tierney a découvert que la communication entre le verrou et l’application n’est pas cryptée et que l’application enverrait la même chaîne de données via Bluetooth Low Energy (BLE) à la serrure à chaque connexion, ce qui signifie qu’elle est vulnérable aux attaques.

« L’application vous permet de partager le cadenat avec quelqu’un d’autre, révoquant les autorisations à une date ultérieure. J’ai partagé le verrou avec un autre utilisateur et scanné les données BLE. Ils étaient identiques aux données de déverrouillage normales. Même si vous révoquez des autorisations, vous avez déjà donné à l’autre utilisateur toutes les informations dont il a besoin pour s’authentifier avec le verrou », a-t-il également découvert.

Enfin, il a découvert que la seule chose que le pirate doit savoir pour le faire est l’adresse MAC BLE qui est diffusée par le verrou, car la clé de déverrouillage est basée sur elle. Cela lui a permis de créer un script qui chercherait des Tapplocks (via Bluetooth) et les débloquerait.

Partage de la découverte avec le fabricant.

Tierney a été choqué par la faible sécurité du produit et a contacté le fabricant pour voir s’ils étaient au courant de ces défauts. Ils ont dit qu’ils étaient au courant du bug, mais n’ont rien fait pour informer les clients actuels et futurs acheteurs à leur sujet.

Il a décidé de leur donner sept jours pour trouver des solutions et apparemment, ils ont demandé aux utilisateurs de mettre à jour leur application et de mettre à jour le micrologiciel du cadenas.

Mais ce qui contrarie Tierney, c’est qu’ils n’ont pas réussi à expliquer le risque que ces défauts comportent.

« L’avis n’indique pas clairement que n’importe qui peut ouvrir un verrou, ni qu’un verrou de remplacement temporaire doit être utilisé jusqu’à ce que la mise à jour du micrologiciel soit appliquée. C’était agréable d’être crédité pour le travail, bien que nous préférerions que Tapplock ait contacté de manière proactive tous les clients avec un plan clair d’explication, d’atténuation et de remédiation », a-t-il noté.

En fin de compte, c’est un peu démoralisant que le constructeur n’ait pas pensé à mettre en place une meilleure sécurité dès le départ et n’ait pas cherché à corriger les failles si elles étaient, comme on dit, au courant.

Il semble que, du moins pour l’instant, nous devions compter sur des chercheurs en sécurité qui se démèneraient pour sonder les différentes offres et partager les failles avec le public afin de forcer la main des fabricants.

Ce n’est pas la première fois qu’un objet connecté est piraté, nous en avions déjà parlé, il est possible de pirater une voiture sans clé.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Cortana vous permet de changer les mots de passe sur les PC verrouillés.

Microsoft a corrigé une vulnérabilité dans l’assistant intelligent Cortana qui aurait permis à un pirate ayant accès à un ordinateur verrouillé d’utiliser l’assistant intelligent et d’accéder aux données sur le périphérique, exécuter du code malveillant ou même changer le mot de passe du PC pour accéder à l’intégralité du périphérique.

Nous avions déjà parlé de cette faille importante de sécurité dans cet article : Les pirates peuvent utiliser Cortana pour pirater un PC Windows verrouillé.

Le problème a été découvert par Cedric Cochin, Architecte de la sécurité cybernétique et Senior Principle Engineer chez McAfee. Cochin a rapporté en privé les problèmes qu’il a découverts à Microsoft en avril.

La vulnérabilité est CVE-2018-8140, que Microsoft a classée comme une élévation de privilège et corrigée hier lors des mises à jour de sécurité mensuelles Patch Tuesday de la société.

Cochin dit que le problème était présent en raison de différentes bizarreries dans la façon dont Cortana permet aux utilisateurs d’interagir avec le système d’exploitation Windows 10 sous-jacent, tandis que dans un état verrouillé.

Les chercheurs ont découvert plusieurs caractéristiques qui pourraient être combinées en une attaque plus large :

≗ Les utilisateurs peuvent commencer à taper après avoir dit « Hey Cortana » et émettre une commande vocale. Cela amène une fenêtre de recherche spéciale avec diverses fonctionnalités et capacités.

≗ Les utilisateurs peuvent taper du texte dans cette fenêtre contextuelle, qui recherche l’index de l’application de l’ordinateur portable et son système de fichiers. En tapant certains mots, comme « pas » (comme dans le mot de passe), cette recherche peut faire apparaître des fichiers contenant cette chaîne dans leurs chemins de fichier ou dans le fichier lui-même. Passer la souris sur l’un de ces résultats de recherche peut révéler l’emplacement du fichier sur le disque, ou le contenu du fichier lui-même (gros problème si le détail divulgué est un mot de passe).

≗ Les utilisateurs peuvent accéder au menu contextuel après avoir utilisé la même astuce pour commencer à taper après avoir déclenché Cortana. Ces menus incluent diverses options sensibles, telles que «Ouvrir l’emplacement du fichier», «Copier le chemin d’accès complet», «Exécuter en tant qu’administrateur» ou, plus dangereux, «Exécuter avec PowerShell».

≗ En utilisant la même astuce pour commencer à taper après l’émission d’une commande vocale Cortana, les attaquants peuvent exécuter des fichiers ou exécuter des commandes PowerShell.

Combinant tous ces problèmes en une attaque, Cochin indique qu’un pirate ayant accès à un ordinateur verrouillé peut effectuer le hack suivant :
≗ Le pirate connecte une clé USB contenant un script PowerShell illicite. Windows alertera l’utilisateur de ce nouveau disque en affichant la lettre du lecteur USB comme une petite notification dans la partie inférieure inférieure de l’écran. Cela permet au pirate de connaître le chemin exact du fichier de son script malveillant.
≗ Le hackeur émet une commande vocale Cortana mais commence à taper sur le clavier pour interrompre l’exécution de la commande vocale. Cela ouvre une fenêtre de recherche spéciale Cortana.
≗ Il exécute une commande PowerShell avec des arguments CLI pour exécuter le script PowerShell malveillant trouvé sur le lecteur USB.
≗ Le script PowerShell malveillant s’exécute, bien que l’ordinateur soit verrouillé. Le hacker peut utiliser PowerShell pour réinitialiser le mot de passe, désactiver le logiciel de sécurité, exécuter des commandes chaînées ou tout ce qu’il veut.

Il est conseillé aux utilisateurs de mettre à jour la dernière version de Windows ou de désactiver Cortana sur l’écran de verrouillage.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage