Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Sécurité offensive : Piratage et rupture pour sécuriser Internet.

Pour la plupart des gens en dehors des industries de l’informatique et de la cybersécurité, les mots « hacker » et « hacking » ont des connotations horribles. Beaucoup envisagent un criminel dépourvu de toute morale, dont le seul but est de chaparder, d’espionner ou de diffamer ses victimes.

Une grande partie de cette interprétation est fausse. D’une part, tous les hackers ne sont pas des criminels et tous les hackers ne sont pas des hommes. La peur et l’incompréhension autour du piratage ont créé des obstacles qui peuvent être difficiles à surmonter. Ces obstacles deviennent problématiques lorsqu’ils sont utilisés pour créer des lois qui régissent les comportements des utilisateurs, en particulier lorsqu’il s’agit de sécurité offensive.

La sécurité offensive est un terme chargé. D’un côté, il s’agit du piratage et Justin Else, chef d’équipe de l’AETR (Trusted Emulation and Thrace Research) de TrustedSec, a déclaré que ce n’était pas vraiment l’avenir, en particulier pour la sécurité des entreprises. Certes, il existe des zones grises où les organismes gouvernementaux travaillent en collaboration avec le secteur privé pour faire bon usage du piratage. Par exemple, disons qu’il y a une attaque de botnet : le FBI pourrait contracter avec une compagnie telle que Microsoft pour prendre le botnet et le fermer.

Au-delà de ces circonstances extrêmes, le piratage peut entraîner des conséquences potentiellement désastreuses et involontaires. Le point de départ est subjectif, ce que le Dr Ben Buchanan décrit en détail dans son livre « Le dilemme de la cybersécurité : piratage, confiance et peur entre les nations ».

Même les agences gouvernementales ne sont pas d’accord sur les limites du piratage offensif, comme en témoigne la question de savoir si les Etats-Unis devraient envisager des réponses offensives dans le cyberespace face à la guerre de l’information en Russie.

« Si vous attaquez qui vous avez attaqué, cela pourrait être mal orienté parce qu’il est si facile de prétendre être quelqu’un d’autre. Vous pourriez cibler la mauvaise organisation », a déclaré Elze. Compte tenu des ressources nécessaires pour effectuer la reconnaissance, il semble plus prudent que les entreprises se concentrent sur l’autre aspect de la sécurité offensive.

Rompre avec de bonnes intentions

L’approche de briser et de tester les produits que vous possédez et contrôlez n’est pas nouvelle, mais grâce aux plateformes de bugs, elle est de plus en plus acceptée dans l’industrie. Pourtant, les professeurs de programmes de cybersécurité au niveau collégial sont hésitants quant à l’enseignement de techniques de piratage offensives. Personne ne veut avoir la responsabilité d’avoir appris aux jeunes comment utiliser les outils de piratage, seulement pour les faire partir et enfreindre la loi.

Au lieu de cela, beaucoup enseignent comment les hackers pensent et travaillent, ce qui implique de bricoler avec des produits. Mais, souvent, lorsque des pirates informatiques enfreignent un produit, ils deviennent la cible de l’équipe juridique de l’entreprise. Dans certains cas, ils enfreignent la loi.

La législation en Géorgie a ramené le piratage éthique sur le devant de la scène, ce qui est une bonne chose tant que les législateurs sont ouverts à la technologie. À l’heure actuelle, le projet de loi rendra la vie d’un hacker éthique plutôt difficile, ce qui n’aide guère l’industrie à aller de l’avant.

Certains chercheurs ont même été arrêtés pour avoir signalé des vulnérabilités. Dans d’autres cas, l’équipe juridique de l’entreprise menace le chercheur. « Un chercheur en sécurité ne veut pas être dans cette situation », a déclaré Elze. « S’il y avait un cadre légal, quelque chose de défini pour une divulgation responsable sans répercussions, ce serait un pas dans la bonne direction. »

Les hackers vont bricoler avec des produits. Les bons vont le signaler parce qu’ils veulent aider. Permettre une divulgation responsable des vulnérabilités sans conséquence est un gagnant-gagnant pour les organisations et les pirates informatiques.

Le fournisseur obtient des recherches gratuites malgré le fait que cela pourrait être une violation de leur accord d’utilisateur acceptable, qui devrait également être modifié pour permettre à ceux qui ont de bonnes intentions de vérifier les systèmes pour les failles. Changer le point de vue pour penser à l’intention peut permettre plus de protections pour les chercheurs.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les serrures de porte d’hôtel du monde entier sont vulnérables au piratage.

En réponse aux informations selon lesquelles des chercheurs de F-Secure ont découvert une faille dans les clés d’hôtels numériques qui pourrait être utilisée pour déverrouiller n’importe quelle porte dans les chambres d’hôtel dans le monde, Laurie Mercer, Ingénieur Solutions chez HackerOne, a commenté ci-dessous.

Laurie Mercer, Ingénieur Solutions chez HackerOne :

« Les dispositifs tels que les serrures électroniques et les lecteurs RFID sont pilotés par des logiciels. Il est facile d’introduire des vulnérabilités dans un logiciel. Il est beaucoup plus difficile de corriger les bugs une fois les périphériques installés.

Nous devons accepter que les bugs de sécurité logiciel sont inévitables et nous assurer que les méthodes de découverte, de correction et de déploiement des correctifs de sécurité sont bien définies et bien rodées. Les organisations devraient se demander comment trouver des vulnérabilités rapidement et économiquement ? Comment développer, tester et déployer des correctifs de sécurité en toute sécurité sur des périphériques distants ? Comment pouvons-nous répéter ce processus pour minimiser le temps entre la découverte et la correction d’une faille de sécurité ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google introduit de nouvelles fonctionnalités de sécurité dans GMail pour se protéger contre les attaques de phishing.

Après avoir revu en totalité le design de son service client de messagerie, Google déploiera bientôt plusieurs mises à jour de nouvelles fonctionnalités de sécurité pour GMail et d’autres applications G Suit.

Les fonctions de sécurité sont uniquement des authentifications en deux étapes qui visent à protéger les utilisateurs contre les attaques de phishing, en particulier par emails. Alors que Google a commencé à réviser la conception de son service, il a commencé à apparaître pour certains utilisateurs de GMail, la fonctionnalité de sécurité sera finalement déployée.

Google a publié sur son blog, à partir du 07 mai 2018, tous les clients G Suite, « qui se connectent actuellement avec SAML (Security Assertion Markup Language) sur le site Web du fournisseur », seront redirigés vers un nouvel écran sur accounts.google.com pour confirmer leur identité.

Google explique que la nouvelle couche de sécurité a pour but d’empêcher les pirates potentiels d’inciter un utilisateur à cliquer sur un lien, qui peut éventuellement les signer en mode silencieux dans un compte Google contrôlé par un attaquant.

De plus, la vérification en deux étapes ne s’applique pas à chaque connexion. Google précise dans son communiquer que la fonction de sécurité sera active uniquement pour une seule vérification par compte et par appareil. Une fois qu’un utilisateur a validé un appareil particulier, il ne lui sera jamais demandé de passer par un contrôle de sécurité supplémentaire. La nouvelle fonctionnalité de sécurité est uniquement disponible pour les utilisateurs de GMail utilisant un navigateur Chrome.

Pour les inconnus, les attaques par hameçonnage sont une pratique frauduleuse consistant à envoyer des courriels à des utilisateurs ciblés qui feignent d’être des sociétés réputées ou une personne. Une fois que ces poseurs gagnent la confiance d’une victime, ils persuadent l’utilisateur de révéler des informations personnelles, telles que des mots de passe et des numéros de cartes de crédit.

Cependant, les utilisateurs étant un peu réticents à partager leurs informations ces derniers temps, les pirates ont également affûté leurs techniques de phishing. L’hameçonnage est maintenant principalement effectué via des liens, qui sont envoyés aux utilisateurs, avec des descriptions trompeuses. Lorsque vous cliquez dessus, ces liens vous permettent de partager des détails ou d’en extraire une grande partie de vos données enregistrées.

Même pour GMail sur iOS, l’application de messagerie invite désormais une notification si elle pense qu’un lien partagé avec les utilisateurs est suspect.

A lire aussi : Comment éviter un pirate de compte GMail ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Longue peine de prison pour un homme qui a piraté un système informatique de prison pour libérer un ami.

Un juge a condamné un homme du Michigan à 87 mois de prison, soit 7 ans et 3 mois, pour avoir piraté le système informatique d’une prison de comté et modifié les dossiers des prisonniers pour tenter de faire libérer un détenu plus tôt.

L’homme, Konrads Voits, 27 ans, d’Ypsilanti, aura également trois ans de liberté surveillée et devra payer 235 488 $ en restitution au comté de Washtenaw, le coût de l’enquête et de l’adresse du piratage.

Le piratage a été effectué de plusieurs façons. Au départ, il s’est lancé dans une campagne de hameçonnage. Il a envoyé des emails aux employés de la prison du comté, les attirant sur le domaine « ewashtenavv.org », une copie du site officiel du comté de « ewashtenaw.org ».

La campagne par email a échoué, mais Voits a réussi lorsqu’il a appelé des employés de la prison de comté, se faisant passer pour des membres du personnel informatique de la prison et incitant les travailleurs à installer une fausse mise à jour pour l’application.

En réalité, le fichier de mise à jour comportait des logiciels malveillants, que Voits utilisait pour accéder au système informatique de la prison. Voits a admis avoir utilisé le logiciel malveillant pour collecter et pirater des mots de passe, des noms d’utilisateur, des emails et d’autres informations personnelles de plus de 1600 employés du comté.

Son intrusion a été détectée lorsqu’il a accédé à XJail, l’application de gestion des détenus du comté et modifié l’entrée d’au moins un prisonnier dans le but de le faire libérer plus tôt.

Les documents de la cour ne vont pas dans les détails techniques, mais ils disent que l’intrusion de Voits a été détectée tout de suite, que l’entrée a été corrigée et que le FBI a été appelé pour aider à traquer l’intrus.

Les autorités ont arrêté Voits l’été dernier et il a plaidé coupable en décembre 2017.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google et Microsoft demandent au gouverneur de la Géorgie d’opposer son veto au projet de loi « hack back ».

Google et Microsoft demandent au gouverneur de la Géorgie, Nathan Deal, d’opposer son veto à un projet de loi controversé qui criminaliserait « l’accès non autorisé à un ordinateur » et permettrait aux entreprises de mener des opérations de piratage offensives.

L’Assemblée générale de la Géorgie a adopté le projet de loi fin mars et l’a envoyé à Deal, qui a 40 jours pour le signer. La législation a été accueillie avec des cris de la part de la communauté des chercheurs en sécurité. Les critiques disent que cela aurait un effet dissuasif sur la recherche légitime sur la cybersécurité, dans laquelle les pirates éthiques trouvent et signalent des vulnérabilités dans les réseaux des organisations.

Mais dans une lettre datée du 16 avril, des représentants de Microsoft et de Google se concentrent sur l’une des dispositions du projet de loi exemptant les « mesures de défense active conçues pour empêcher ou détecter l’accès non autorisé aux ordinateurs ». « Hack back » si le piratage est réputé être dans l’intérêt de la cybersécurité.

« À première vue, cette disposition autorise largement le piratage d’autres réseaux et systèmes sous le couvert indéfini de la cybersécurité », indique la lettre.

Les géants de la technologie affirment que cette exemption va bien au-delà du simple fait de donner aux organisations l’autorité de se défendre contre une attaque extérieure. Ils disent que le projet de loi pourrait donner aux entreprises la liberté de mener des opérations offensives à des fins concurrentielles.

« Avant que la Géorgie approuve l’autorité de » défense « en » défense « ou même l’anticipation d’une attaque potentielle sans critères statutaires, elle devrait avoir une compréhension beaucoup plus approfondie des ramifications d’une telle politique », écrivent les compagnies. « Des dispositions comme celle-ci pourraient facilement mener à des abus et être utilisées à des fins anticoncurrentielles et non protectrices ».

D’autres défenseurs de la sécurité ont écrit à Deal pour lui demander d’opposer son veto au projet de loi parce qu’ils disaient qu’une autre exception – accéder à un ordinateur ou à un réseau pour une activité commerciale légitime – était trop vague et menaçait d’inculpation pour un accès non autorisé.

Dans leur lettre, Google et Microsoft ne répondent pas à ces préoccupations, soulignant plutôt le problème du « hack back ».

« Nous croyons que le projet de loi 315 du Sénat fera de la Géorgie un laboratoire pour les pratiques offensives de cybersécurité qui peuvent avoir des conséquences imprévues et qui n’ont pas été autorisées dans d’autres juridictions », indique la lettre.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage