Archives pour la catégorie actualité

Quand un système de connexion fournit de faux mots de passe aux pirates

Une équipe de chercheurs a développé un système qui rend beaucoup plus difficile pour les pirates de hacker des mots de passe utilisables à partir d’une base de données divulguée, ce qui pourrait aider à atténuer les dommages causés par un piratage de données.

Le système est décrit dans un document de recherche qui a été soumis pour examen à la Conférence annuelle sur les applications de sécurité informatique de 2015, qui se tiendra à Los Angeles en décembre.

Appelé ErsatzPasswords, le système vise à rejeter les pirates informatiques qui utilisent des méthodes pour « cracker » les mots de passe, a déclaré Mohammed H. Almeshekah, un étudiant au doctorat à l’Université Purdue en Indiana.
Les hackers « seront toujours en mesure de cracker ce fichier, mais les mots de passe qu’ils vont récupérer sont de faux mots de passe ou des mots de passe leurres », a déclaré Almeshekah.

Les mots de passe sont généralement cryptés lorsqu’ils sont stockés par des organisations. Les mots de passe sont cryptés à l’aide d’un algorithme et cette sortie, appelée hash, est stockée.

Les hachages sont considérés comme plus sûrs à stocker que les mots de passe en texte brut. Il est difficile, mais pas impossible, de trouver un mot de passe en texte brut à partir d’un hachage.

Pour ce faire, les pirates utilisent des techniques de force brute, ce qui implique de créer des listes de mots qui pourraient être des mots de passe possibles et de calculer leur hachage pour voir si une correspondance est trouvée. C’est un travail qui demande beaucoup de temps et de calcul.

Pour réduire ce temps, les hackers utilisent des programmes tels que John the Ripper, qui peut s’appuyer sur de grandes listes de mots de passe provenant de différentes violations de données dont les hachages ont déjà été calculés. Ces listes s’allongent de jour en jour et comme de nombreux utilisateurs ne choisissent pas de mots de passe compliqués, cela accélère le travail des pirates informatiques.

Lorsqu’un nouveau mot de passe est créé pour un service sur un système Linux, une valeur aléatoire appelée « salt » est ajoutée avant d’être cryptée et le hash est stocké.

ErsatzPasswords ajoute une nouvelle étape. Avant qu’un mot de passe ne soit chiffré, il est exécuté par une fonction dépendante du matériel, telle que celle générée par un module de sécurité matérielle, a déclaré Almeshekah.

Cette étape ajoute une caractéristique à un mot de passe qui rend impossible de le restaurer à son texte brut précis sans accès au module, a-t-il dit.

ErsatzPasswords exerce un peu de contrôle sur le sel qui est ajouté au mot de passe afin que ce qui sort du module de sécurité du matériel ressemble à un mot de passe, même s’il est faux, a déclaré Almeshekah.

Le résultat est que si un pirate commence à obtenir des correspondances sur une liste de hachages, tous les mots de passe ne fonctionneront pas. Le hacker ne le sait pas nécessairement jusqu’à ce qu’il ou elle les a essayés pour accéder à un service.

Les services Web sont généralement conçus pour couper les gens après un certain nombre de suppositions erronées, bien que ErsatzPasswords puisse être configuré pour alerter un administrateur lorsqu’un faux mot de passe est entré. Il peut également être configuré pour créer automatiquement un faux compte quand un faux mot de passe est entré, permettant à un administrateur de voir ce que la personne essaie de pirater, a déclaré Almeshekah.

La beauté est sur le côté serveur car un seul fichier de mot de passe doit être stocké. « Même si nous voulons vérifier le vrai mot de passe, nous n’avons pas besoin d’un fichier différent », a déclaré Almeshekah.

Almeshekah a indiqué que les chercheurs ont utilisé un module de sécurité matérielle assez bon marché de Yubico appelé YubiHSM qui coûte environ 500 dollars américains. Pour un grand nombre d’utilisateurs, un type de module de sécurité matériel plus avancé serait nécessaire pour de meilleures performances, ce qui pourrait coûter 10,00 $ et plus, a-t-il ajouté.

Mais configurer ErsatzPasswords du côté serveur est assez facile, dit-il, et le code est disponible sur GitHub. C’est gratuit et est publié sous une licence Open Source Apache.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Pirater un compte Instagram : 6 millions de fois

6 millions de comptes Instagram piratés : comment se protéger ?

La semaine dernière, le compte Instagram de Selena Gomez a été repris par des hackers qui ont posté sur son flux des photos explicites de l’ex-petit ami du chanteur, Justin Bieber. Gomez a repris le contrôle de son compte (qui est le compte le plus suivi sur la plate-forme, avec plus de 125 millions de followers) et les photos offensantes ont été effacées, mais l’incident préfigurait des problèmes beaucoup plus répandus.

Il y a quelques jours, Instagram a annoncé avoir corrigé une vulnérabilité qui avait apparemment permis à des tiers non autorisés d’obtenir les adresses e-mail et les numéros de téléphone associés aux comptes Instagram, même si ces informations étaient censées être privées et inaccessibles à des tiers. Armés des informations piratés, les hackers ont potentiellement tenté de déclencher et d’intercepter des messages de réinitialisation de mot de passe, de phishing ou d’ingénierie sociale des utilisateurs d’Instagram, ce qui pourrait expliquer le piratage du compte de Gomez.

Avant que le bug ne soit corrigé par Instagram, un hacker ou un groupe de pirates Instagram, a apparemment piraté une quantité importante de données qu’il offre maintenant en ligne au prix de 10 $ par compte (payables en Bitcoin naturellement), en nommant la base de données Instagram pillée « Doxagram ». Le Daily Beast prétend avoir vérifié que certaines des données fournies par le ou les pirates informatiques sont authentiques.

La partie responsable de Doxagram dit qu’elle a accumulé des données de plus de six millions d’utilisateurs. Bien sûr, Instagram compte plus de 700 millions d’utilisateurs mensuels actifs, donc six millions représentent moins de 1 % de la base totale d’utilisateurs Instagram,- mais cela représente encore de nombreuses personnes potentiellement mécontentes.

Parmi les récits dont les données Instagram ont été piratées figurent ceux de Kim Kardashian, Leonardo DiCaprio, Beyoncé, Taylor Swift et même la Maison Blanche.

Doxagram a connu des pannes périodiques alors que divers fournisseurs de services prennent des mesures pour l’arrêter, mais il semble être accessible à l’heure actuelle via le réseau Tor. Plus tôt aujourd’hui, la ou les personnes derrière Doxagram ont semblé tweeter en utilisant le pseudonyme Twitter @doxagram_insta; Twitter a depuis suspendu ce compte. Ironiquement, peu de temps avant la fermeture du compte Doxagram, son opérateur a tweeté un rappel à tous ceux qui utilisent le système pour acheter des données piratées: « Merci de garder vos informations de connexion en sécurité. par quelqu’un d’autre. » Oui. Ce serait des pirates informatiques conseillant aux gens d’acheter des informations volées comment ne pas devenir des victimes de pirates informatiques.

Alors, comment pouvez-vous protéger au mieux votre compte Instagram ?

1. Utilisez l’authentification multifacteurs.
2. Utilisez un mot de passe unique et puissant. Pour obtenir des conseils sur la façon de sélectionner un mot de passe fort et facile à mémoriser, consultez mon article « Comment créer des mots de passe résistant que vous pouvez facilement vous rappeler ».
3. Gardez votre application Instagram à jour.
4. Comme Instagram l’a conseillé, « Soyez vigilant sur la sécurité de votre compte et faites preuve de prudence si vous observez toute activité suspecte comme des appels entrants, des textes ou des e-mails non reconnus. » Ne répondez pas aux courriels ou aux textes vous demandant de réinitialiser les mots de passe ou autres. Ne cliquez jamais sur les liens dans les courriels ou les messages texte pour accéder à Instagram; Au lieu de cela, accédez au réseau social via l’application ou en tapant https://instagram.com dans un navigateur Web.
5. Si vous recevez un e-mail de réinitialisation du mot de passe Instagram et que vous n’avez pas demandé la réinitialisation du mot de passe, contactez Instagram. Pour ce faire, appuyez sur le menu « … » de votre profil, sélectionnez « Signaler un problème », puis sélectionnez « Spam ou abus ».

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

L’iPhone iOS 11.1 piraté

Un jour après la sortie d’iOS 11.1, les chercheurs en sécurité ont déjà hacké le système.

Les nouvelles de ces exploits sont venues du concours Mobile Pwn2Own de Trend Micro à Tokyo, où les chercheurs en sécurité ont découvert deux vulnérabilités dans Safari, le navigateur du système d’exploitation mobile.

Il a fallu quelques secondes aux chercheurs de Tencent Keen Security Lab pour exploiter deux bugs :
– Un dans le navigateur et un dans un service système qui permet à une application malveillante de persister pendant un redémarrage
– Un autre bug dans Safari a permis aux chercheurs de pirater le sandbox du navigateur et d’exécuter du code malveillant.

Les bugs ont valu aux chercheurs une récompense de 70 000 $.

Mais les détails spécifiques des exploits ne seront pas rendus publics tant qu’Apple n’aura pas corrigé les bugs ou qu’une période de divulgation d’une durée de trois mois expire.

On ne sait pas quand Apple va réparer le dernier bugs iOS 11.1.

iOS 11.1, la dernière version du système d’exploitation iPhone et iPad, a été lancée mardi, avec plusieurs nouvelles fonctionnalités, emojis et des correctifs de sécurité y compris un correctif pour la vulnérabilité du réseau sans fil KRACK.

Le logiciel a également corrigé 19 vulnérabilités supplémentaires, a confirmé Apple.

Ce n’est pas la première fois qu’Apple reste sur ses problèmes de sécurité. En septembre, un chercheur en sécurité a découvert une vulnérabilité le jour même du lancement du nouveau système d’exploitation d’Apple, macOS High Sierra. Apple a corrigé le bug une semaine plus tard.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les réseaux WiFi non sécurisé pourraient être hackés

Les réseaux WiFi non protégés pourraient être exposés à des hacks.

La connexion au WiFi a toujours eu le potentiel de laisser les internautes ouverts aux attaques de sécurité qui pourraient compromettre la sécurité des informations sensibles. Maintenant, de nouvelles recherches indiquent que le système d’authentification utilisé dans la majorité des connexions sans fil, à la maison et au bureau, est vulnérable à une faille de sécurité qui permet aux pirates d’intercepter les données personnelles partagées entre les appareils et les réseaux.

Les pirates peuvent tirer parti de l’incapacité du réseau à discerner un utilisateur de périphérique ordinaire d’un pirate qui imite le périphérique de quelqu’un d’autre. Lors de la connexion à un réseau, le système génère une séquence de numéros de nonce aléatoire qui permet à l’utilisateur de l’appareil et au réseau de communiquer dans un « handshake » confidentiel. Cependant, les pirates informatiques peuvent réutiliser cette clé de session pour écouter les données échangées entre l’utilisateur et le réseau.

Google et Microsoft ont tous deux réagi en publiant des correctifs de mise à jour pour protéger les internautes, mais de nombreux fabricants de routeurs n’ont pas encore réagi. Bien qu’il n’y ait aucune preuve directe jusqu’à présent que la faille dans le système ait été exploitée par des pirates informatiques, cette menace de piratage de la sécurité WiFi met en évidence un problème plus sérieux dans l’utilisation d’Internet aujourd’hui.

Ces failles de sécurité sont symptomatiques d’un monde où il existe une division croissante entre les «laïcs techniques» et les codeurs informatiques. La majorité des personnes qui naviguent sur Internet et se connectent à des réseaux le font sans la moindre connaissance du fonctionnement de l’infrastructure d’échange de données.

Nous ne pouvons plus naviguer sur Internet et utiliser des appareils avec la confiance naïve et aveugle dont nous avons bénéficié dans le passé. Il est curieux que seulement maintenant, en 2017, un problème comme celui-ci est trouvé sa popularité dans les nouvelles actuelles. En réalité, le manque de sécurité dans les réseaux est présent depuis plus de deux décennies. Fini le cryptage des mots de passe WEP et WPA : ils peuvent maintenant être piratés en quelques minutes. Au lieu de cela, le chiffrement WPA2 plus sécurisé reste la norme de l’industrie.

Mais aucun réseau WiFi ne peut pas être piraté et cette découverte récente nous rappelle brutalement qu’Internet n’est pas aussi sûr que nous le croyions.

Les entreprises technologiques ont réagi rapidement, encourageant les utilisateurs à surexploiter ces menaces et pour l’instant aucune donnée n’a été interceptée de manière malveillante. Cependant, la plupart des utilisateurs d’Internet n’a aucun moyen d’obtenir une assurance complète à ce sujet; ils n’ont tout simplement pas les compétences pour le vérifier.

Dans la crainte du piratage, beaucoup considèrent le gouvernement comme une source de cyber-régulation. En effet, Theresa May a proposé un nouveau manifeste sur la sécurité sur Internet dans lequel le gouvernement tenterait d’acquérir sa souveraineté sur le web et restreindrait la présence d’espaces de communication en ligne, principalement pour cibler le terrorisme.

Cependant, ces plans ont fait l’objet d’un examen minutieux, car les boucliers du gouvernement actuel peuvent être maîtrisés par n’importe quel enfant de 10 ans avec un iPhone et un VPN en quelques secondes. De plus, cette surveillance du grand frère de l’utilisation de l’Internet met fin à la distinction entre protéger les gens et les espionner.

Les voix cyber anarchistes du début des années 2000 nous rappellent que l’insécurité et l’absence de redevabilité des réseaux représentent la nature même d’Internet. C’est une partie de la société actuelle qui reste étonnamment non modérée et incontrôlée par rapport à la presse écrite et à d’autres formes d’expression sociopolitique.

Il semble que lorsqu’il s’agit de la sécurité sur Internet, il faut mettre davantage l’accent sur la prise de précautions personnelles. Le gouvernement n’aura jamais et ne devrait jamais avoir le contrôle d’Internet d’une manière aussi autoritaire.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les employés se font pirater leurs mots de passe

8 vérités que vous avez à faire face avec vos employés concernant la sécurité des mots de passe.

LastPass a publié le rapport The Password Exposé, mettant en évidence les défis de l’utilisation des mots de passe sur le lieu de travail des employés d’entreprises.

Selon le rapport, l’approche standard de la sécurité par mot de passe sur le lieu de travail a échoué et les entreprises ne répondent pas assez rapidement à cette défaillance.

« Pour la plupart des gens, la crainte d’oublier un mot de passe l’emporte de loin sur le risque apparemment faible d’être piraté », a déclaré le groupe.

Selon ses données à partir de l’analyse de données anonymisées provenant de plus de 30 000 entreprises, 91 % des employés comprennent que la réutilisation des mots de passe comporte de grands risques, mais 61 % continuent néanmoins à réutiliser les mots de passe.

« Que les mots de passe soient anciens, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la principale cause des piratages. Plus de 4,2 milliards d’identifiants ont fui en 2016, les pirates peuvent facilement utiliser des mots de passe volés pour accéder à un réseau d’entreprise et hacker des données « , a déclaré le groupe.

« Un seul mot de passe réutilisé peut pirater toute une organisation. »

LastPass a déclaré que les mots de passe sont une partie essentielle du flux de travail quotidien d’un employé et il était temps de regarder au-delà des hypothèses et de faire face au fait. À cette fin, il a fourni 8 vérités sur les mots de passe employés que les entreprises doivent savoir :

1. Les mots de passe sont le problème de tous.

LastPass estime que l’entreprise moyenne de 250 employés aura environ 47 750 mots de passe utilisés dans toute l’organisation.

Cela crée 47 750 points d’entrée possibles dans les systèmes de l’entreprise et personne ne peut connaître la force de chacun.

« Les chiffres ne mentent pas et les mots de passe sont hors de contrôle », dit-il.

2. Les employés sont débordés par les mots de passe.

Selon les données de LastPass, l’employé moyen doit garder environ 191 mots de passe. Les normes de l’industrie pointent vers un nombre inférieur (27), mais le groupe a déclaré que les gens ont tendance à sous-estimer le nombre de comptes qu’ils ont en ligne.

Les marketeurs ont des mots de passe pour un grand nombre de plateformes d’analyse, les administrateurs ont donné des mots de passe pour chaque serveur qu’ils gèrent, etc.

Ceci n’inclut pas les comptes personnels de chaque employé.

3. Les mots de passe sont un problème aggravant.

Alors que les employés commencent avec environ 20 mots de passe stockés dans leurs chambres fortes, cela double dans les trois mois, a déclaré LastPass.

Cela a conduit à 61 % des personnes utilisant le même mot de passe ou similaire sur le net.

« Les employés se noient dans les mots de passe en ce moment. Et c’est un problème qui continue de s’aggraver dans le cadre de leur travail quotidien », a-t-il déclaré.

4. Les employés se connectent constamment.

En moyenne, un employé doit taper des informations d’identification pour s’authentifier sur ses sites Web et applications 154 fois par mois.

Poussant les données plus loin, LastPass a dit que l’employé moyen passe 36 minutes par mois en tapant juste des mots de passe et ce résultat n’inclut pas les processus de rétablissement qui prennent encore plus de temps.

« Les employés souffrent d’inefficacités liées aux mots de passe, qui se traduisent directement par les résultats financiers d’une entreprise. »

5. Approuvé ou non, le partage de mot de passe est commun.

En moyenne, un employé partage environ 4 articles avec d’autres, selon les données de LastPass.

Le conseil de sécurité commun consiste à garder les mots de passe confidentiels sur le lieu de travail, cependant, le partage des informations d’identification et d’autres données sensibles est également essentiel pour faire le travail demandé.

Des comptes de médias sociaux de marque gérés par le marketing aux configurations de serveurs gérées par le service informatique, les employés de tous les services doivent partager leurs mots de passe.

6. C’est une ligne floue entre les mots de passe personnels et professionnels.

Il y a de plus en plus un croisement entre les applications personnelles et professionnelles des grandes entreprises (Google, Dropbox, etc.), ce qui estompe les frontières entre usage professionnel et usage personnel.

Les employés peuvent stocker des informations commerciales dans des comptes personnels et vice versa, a déclaré LastPass.

7. L’authentification unique (SSO) n’est pas une solution à guichet unique pour les mots de passe.

Alors que de nombreuses applications d’entreprise sont prêtes pour l’authentification unique, les données de LastPass montrent que plus de 50 % des sites Web et des services les plus populaires ne sont pas compatibles avec l’authentification unique.

Soit les équipes informatiques doivent assumer le fardeau de la configuration et du déploiement de ces services, soit, plus probablement, les employés doivent gérer eux-mêmes ces informations d’identification.

En sacrifiant ce contrôle et cette visibilité, l’informatique laisse de nouveau ces points d’entrée vulnérables à une mauvaise hygiène des mots de passe et à une mauvaise utilisation des employés.

8. Pas assez d’entreprises utilisent l’authentification multi-facteurs.

Seules 26,5 % des entreprises ont activé l’authentification multi-facteurs pour protéger leurs mots de passe, même si la tendance est à la hausse.

Cependant, l’authentification multi-facteurs ne résout pas tous vos problèmes de sécurité de mot de passe, a déclaré LastPass.

À moins que l’authentification multi-facteurs soit activée pour chaque connexion utilisée dans l’organisation (y compris les 191 employés par l’employé moyen), les mots de passe restent souvent une cible de faible valeur et à haute valeur pour les intrus cherchant un moyen d’y accéder.

Selon LastPass, les entreprises doivent créer un meilleur cadre pour la visibilité et le contrôle des mots de passe. Ceci comprend :

– Mettre au hasard chaque mot de passe pour chaque compte.
– Changer des mots de passe régulièrement.
– Appliquer des autorisations basées sur des rôles aux mots de passe.
– Assurer une supervision et une responsabilisation adéquates pour les informations d’identification partagées.
– Ajout de protection avec authentification multi-facteurs dans la mesure du possible.
– Désactivation des informations d’identification des employés après leur départ ou changement de poste.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage