Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

1,9 milliard de mot de passe GMail piratés

Il y a 1,9 milliard de mots de passe et de noms d’utilisateurs piratés disponibles sur le marché noir et jusqu’à 25 % d’entre eux continueront à fonctionner sur un compte Google.

– Des milliards de noms d’utilisateurs et de mots de passe piratés sont disponibles sur les forums du marché noir.
– En utilisant des données internes de Google, les chercheurs ont trouvé entre 7 % et 25 % de ces mots de passe piratés sur un compte Google ou GMail.
– Les utilisateurs GMail, Yahoo et Hotmail représentent 50 % des victimes de mots de passe hackés dans l’étude même si les mots de passe ont été piratés à partir de différents services tels que MySpace ou LinkedIn.

Il y a des centaines de millions de noms d’utilisateur et de mots de passe échangés sur les marchés noirs qui peuvent être utilisés pour accéder aux comptes Google, écrire Google et chercheurs Berkeley dans un nouveau document majeur.

L’étude, publiée le week-end, utilise les «données propriétaires» internes de Google, soigneusement contrôlées, pour voir si les mots de passe GMail piratés et autres comptes échangés sur des forums hackers et le web sombre fonctionnent réellement sur des comptes réels.

Il se trouve, écrivent les chercheurs, que jusqu’à 25 % des mots de passe exposés provenant des piratages de données échangées sur les forums du marché noir pourraient être utilisés pour prendre le contrôle d’un compte Google.

Il y a plus de 1,9 milliard de noms d’utilisateurs et de mots de passe sur les forums du marché noir, écrivent les chercheurs.

Fondamentalement, cela signifie que beaucoup de gens ont utilisé le même mot de passe pour leur compte MySpace et leur compte Google, puis lorsque la base de données de MySpace a été piratée, les pirates pouvaient simplement essayer tous les mots de passe piratés sur Google.

MySpace n’est pas le seul grand site qui a vu sa base de données de noms d’utilisateurs et de données de mot de passe associées enfreintes.

Ce problème de réutilisation des mots de passe a donné lieu à certains des «hacks» les plus médiatisés de ces dernières années. Par exemple, le PDG de Facebook Mark Zuckerberg a utilisé le même mot de passe «dadada» pour ses comptes Twitter et Pinterest, qui ont été brièvement repris en 2016 par des pirates informatiques se faisant appeler l’équipe OurMine.

OurMine, qui aurait utilisé des mots de passe piratés, a également ciblé le PDG de Google, Sundar Pichai, l’acteur Channing Tatum et le directeur technique d’Amazon Werner Vogels.

Les chercheurs ont également examiné les éléments spécifiques des logiciels malveillants utilisés pour le phishing et pour enregistrer secrètement ce qu’un utilisateur tape.

Les outils d’hameçonnage sont utilisés pour inclure des liens dans de faux courriels affichant des sites Web qui ressemblent à Yahoo ou à Hotmail, de sorte qu’un utilisateur non averti tape simplement ses mots de passe dans le site sommaire. Il y a 12,4 millions de victimes potentielles de ces kits, écrivent les chercheurs.

Il existe également des milliers de « keyloggers » différents, qui s’exécutent sur l’ordinateur d’une victime et transmettent des informations à un attaquant, selon le rapport. Ces keyloggers ont des noms comme « HawkEye » ou « Cyborg Logger ».

Il s’avère, bien qu’il y ait beaucoup de développeurs qui vendent et distribuent ce type de malware, il n’y a pas eu de mises à jour sur la façon dont la technologie de base fonctionne depuis des années.

« Comparé aux capacités des keyloggers et des kits d’hameçonnage datant du milieu des années 2000, nous observons un manque marqué de pression sur les développeurs de blackhat pour qu’ils développent leurs technologies de base », écrivent les chercheurs.

« Les kits d’hameçonnage rapportés il y a près d’une dizaine d’années s’appuient toujours sur le même squelette PHP et sur la même approche pour signaler les informations d’identification volées ».
Les chercheurs disent qu’il existe quelques étapes faciles entreprises comme Google et les utilisateurs peuvent prendre pour se protéger.

Les chercheurs recommandent l’authentification à deux facteurs, ce qui signifie que lors de la connexion, un utilisateur aurait besoin d’une clé de sécurité spéciale ou de taper un code envoyé par un message texte pour accéder à un compte.

Les chercheurs recommandent également d’utiliser un gestionnaire de mot de passe, qui crée un nouveau mot de passe aléatoire pour chaque site, donc si un site est piraté, alors les pirates n’ont pas accès à vos autres comptes, surtout votre email.

Une autre chose facile à faire est de ne pas utiliser un mot de passe GMail non sécurisé, en particulier l’un des mots de passe les plus couramment utilisés comme « 123456 » ou « abc123 », surtout si vous êtes un Américain quatre fois plus inquiet que tué.

« Pour tous les utilisateurs de Google dans notre ensemble de données, nous re-sécurisé tous les comptes via une réinitialisation forcée mot de passe dans le cas où leurs pouvoirs réels ont été exposés », ont noté les chercheurs.

Des entreprises comme Google devraient envisager d’encourager leurs utilisateurs à suivre ces pratiques aussi, écrivent les chercheurs. L’ensemble du rapport est disponible auprès de Google.

Lisez nos méthodes pour changer son mot de passe sur Gmail.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Face ID d’Apple déjà piraté !

L’identification de visage Face ID est-elle sécurisée ? Les chercheurs piratent la technologie de reconnaissance faciale en utilisant un masque imprimé en 3D !

Une équipe de chercheurs Vietnamiens affirment avoir réussi à pirater le système d’identification Face ID d’Apple sur un iPhone X en utilisant un masque composite 3D. Les chercheurs ont également souligné que la technologie Face ID n’est pas assez mature pour garantir la sécurité des smartphones. Il n’a fallu qu’un jour pour pirater le nouveau système d’exploitation d’Apple.

Lors de l’événement de lancement de l’iPhone X, le principal vice-président d’Apple, Phil Schiller, avait affirmé que Face ID pouvait faire la différence entre le vrai visage humain et le masque, grâce à son intelligence artificielle.

En utilisant une imprimante 3D, l’équipe de la société de sécurité vietnamienne Bkav a créé un masque qui leur a coûté 150 $. « Le nez a été fait par un artiste fait à la main. Nous utilisons l’impression 2D pour d’autres parties (similaire à la façon dont nous avons trompé la reconnaissance de visage il y a neuf ans). La peau a également été fabriquée à la main pour tromper l’intelligence artificielle d’Apple « , a déclaré Bkav dans un article de blog.
« Le masque est conçu en combinant l’impression 3D avec du maquillage et des images 2D, en plus de traitements spéciaux sur les joues et autour du visage, où il y a de grandes zones de peau, pour tromper l’intelligence artificielle de Face ID ».

Les experts de la sécurité Bkav qui ont également posté une vidéo sur la façon dont ils ont fait cela, ont déclaré que Face ID peut être trompé par un masque, ce qui signifie que ce n’est pas une mesure de sécurité efficace. En 2008, Bkav a été la première entreprise au monde à démontrer que la reconnaissance faciale n’était pas une mesure de sécurité efficace pour les ordinateurs portables lorsque Toshiba, Lenovo et Asus utilisaient cette technologie pour leurs produits.

« Beaucoup de gens dans le monde ont essayé différents types de masques mais tous ont échoué. C’est parce que nous comprenons comment Face ID fonctionne et comment le contourner « , ont déclaré les entreprises sur la page FAQ.

« À l’avenir, nous pourrions utiliser des smartphones avec des capacités de numérisation 3D (comme Sony XZ1) ou mettre en place une pièce avec un scanner 3D, quelques secondes suffisent pour la numérisation », ajoute-t-il. Face ID projette plus de 30 000 points IR invisibles et affirme ne déverrouiller que l’iPhone X lorsque les clients le regardent et est conçu pour empêcher l’usurpation par des photos ou des masques.

La technologie Face ID d’Apple utilise un système de caméra TrueDepth composé d’un projecteur à points, d’une caméra infrarouge et d’un illuminateur d’inondation. Elle est alimentée par A11 Bionic pour cartographier et reconnaître précisément un visage. Selon la firme, le mécanisme de reconnaissance n’est pas aussi strict qu’on le pense et Apple semble trop s’appuyer sur l’IA de Face ID.

« Nous avons juste besoin d’un demi-visage pour créer le masque. C’était encore plus simple que nous-mêmes l’avions pensé « , a déclaré Bkav.
Selon l’entreprise, si elle est exploitée, Face ID peut créer des problèmes.
«Les cibles potentielles ne doivent pas être des utilisateurs réguliers, mais les milliardaires, les dirigeants de grandes entreprises, les leaders de la nation et les agents comme le FBI doivent comprendre le problème de l’identification de visage.
« Les concurrents des unités de sécurité, les concurrents commerciaux des sociétés et même les pays pourraient bénéficier de notre validation de principe », a noté M. Bkav.
En ce qui concerne la sécurité biométrique, l’empreinte digitale est la meilleure, a déclaré l’entreprise qui a découvert la première faille critique dans Google Chrome quelques jours après son lancement en 2008.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Yahoo piraté, comment protéger vos mots de passe ?

Comment protéger vos mots de passe Yahoo ?

Yahoo a annoncé hier que Yahoo mail a été victime d’un piratage et à ce moment même, il a été confirmé qu’un certain nombre de comptes e-mail utilisateurs Yahoo ont été hacké. Vous pouvez être concerné. Il n’est pas sûr du nombre d’utilisateurs qui ont été piraté. Yahoo n’a pas l’habitude de fournir beaucoup d’informations mais il serait prudent pour tous les utilisateurs de messagerie Yahoo de prendre des précautions.

Entre les déclarations vagues sur le code malveillant et les théories en tout genre, Yahoo a réinitialisé les informations d’identification des utilisateurs affectés par e-mail et SMS si votre mobile a été enregistré.

Alors que les détails sont rares en ce moment cela confirme la tendance de mauvaises nouvelles de sécurité et de résilience pour Yahoo qui a connu une multitude de problèmes en 2013. La société a précisé dans sa déclaration qu’une base de données tierce avec des informations partagées était la source et qu’il n’y avait aucune preuve que les noms d’utilisateur et les mots de passe ont été pris directement dans leurs systèmes. La question de savoir si le tiers était celui auquel il fournissait des données ou s’il s’agissait d’un tiers au hasard avec des informations d’identification partagées n’est pas particulièrement claire. Il n’y a pas suffisamment de détails pour jeter le blâme en ce moment, mais il serait certainement prudent de prendre des mesures pour vous assurer.

Plus généralement, ces dernières années ont vu une augmentation significative piratages de mots de passe (ou de leurs représentations hachées ou cryptées) des services en ligne, les cybercriminels ayant dépassé l’information financière comme seule forme de profit. Alors que nous attendons tous avec impatience avec plus de détails sur le piratage qui serait maintenant un très bon moment pour mettre à jour votre mot de passe. Beaucoup de fournisseurs sont très en retard sur la sécurité des mots de passe, mais au moins, vous pouvez prendre des mesures pour minimiser les risques. Voici quelques conseils sur la façon de le faire :

1. Évitez d’utiliser le même mot de passe sur plusieurs sites et services. De cette façon, si les informations d’identification de Yahoo sont piratés, les pirates informatiques ne pourront pas accéder à votre compte Twitter, vos services bancaires en ligne, vos comptes professionnels ou autres. Je sais que cela présente un défi de mémoire pour certains utilisateurs.

2. Choisissez un mot de passe qui n’est pas facile à deviner. Les mots avec une racine de dictionnaire suivie de chiffres sont des choix très courants et des modèles prévisibles que les cybercriminels peuvent utiliser pour déchiffrer votre mot de passe très rapidement. Les mots de passe doivent être longs, basés sur une phrase et impliquer un équilibre entre différents types de caractères : des chiffres, des lettres, des capitales et idéalement, quelques symboles.

3. Votre mot de passe est facile à pirater ! Configurez les mécanismes de changement / réinitialisation de mot de passe correctement et pas de manière évidente. Formulaires de réinitialisation de mot de passe sur de nombreux services posés des questions comme « Où êtes-vous allé à l’école ? » ou « En quelle année êtes-vous né ? ». Ces questions sont faciles à répondre et peuvent généralement être extraites des pages de réseaux sociaux ou d’Internet. Pourquoi les pirates devineraient-ils votre mot de passe s’ils peuvent simplement dire à un système où vous êtes allé à l’école et quel âge vous avez ? Au lieu de cela, je suggère de mentir sur Internet. Venez avec un schéma de réponses à ces questions que vous n’oublierez pas (ou stockez en toute sécurité) ou mieux, si le service le permet, spécifiez vos propres questions difficiles.

4. Plus grand = meilleur ! Lorsque les mots de passe Yahoo sont piratés aux fournisseurs, ils sont généralement sous une forme hachée ou cryptée, un peu comme ceci ‘5f4dcc3b5aa765d61d8327deb882cf99’. Ceci est une représentation de mot de passe hachée et en utilisant des techniques intelligentes et les attaquants de la puissance de calcul peuvent inverser le mot de passe d’origine et se connecter à votre compte. Quand ils piratent ces hachages c’est seulement une question de temps et d’effort jusqu’à ce qu’ils révèlent l’origine. Les mots de passe courts peuvent être devinés de la seconde à quelques minutes ou heures (cela dépend de l’implémentation), où des mots de passe très longs peuvent prendre des années de travail (et les cybercriminels vont probablement s’en prendre à quelqu’un d’autre). Par conséquent, faire votre mot de passe de 60 caractères rendrait la vie beaucoup plus difficile pour les cybercriminels s’ils parviennent à entrer dans un service comme Yahoo. Bien sûr, tout cela suppose que le fournisseur ne stocke pas simplement votre mot de passe en texte clair auquel cas vous serez très content du conseil numéro 1 !

5. Utilisez un gestionnaire de mot de passe. Les gestionnaires de mots de passe génèrent des mots de passe uniques et forts pour chacun de vos services, puis les stockent dans une base de données chiffrée que vous pouvez déverrouiller avec un bon mot de passe principal. C’est un compromis raisonnable pour ceux qui n’ont pas une mémoire mais ne veulent pas tomber dans l’écueil de répéter des mots de passe similaires sur plusieurs sites.

6. Inscrivez-vous à un service de surveillance de piratage. Il existe maintenant une variété de services sur Internet qui surveillent les listes visibles de noms d’utilisateur / mots de passe hackés. Bien sûr, tous les piratages ne sont pas visibles, c’est donc loin d’être une liste complète. Cela dit, si votre nom d’utilisateur apparaît, il vous enverra une notification par e-mail et vous indiquera qu’il est temps de changer.

Malgré de nombreuses propositions de mécanismes d’authentification pour remplacer le mot de passe, il reste la forme d’authentification omniprésente la moins chère et la plus facile à déployer. Nous devrions donc tous prendre des mesures pour nous assurer que nous les utilisons correctement. Un bon gestionnaire de mots de passe vous permet de générer des mots de passe sécurisés pour chacun de vos sites et d’éviter la duplication. Heureusement, vous n’avez pas besoin de taper ces mots de passe longs, les outils le font pour vous. Voici un exemple de conception de mot de passe pour un nouveau mot de passe :
Vous pouvez spécifier la longueur du mot de passe (certains fournisseurs n’autorisent pas une longueur illimitée, mais vous limitent arbitrairement à 16 caractères, par exemple l’échange 365, Grumble Grumble.) Et la composition des symboles et des nombres. Vous pouvez même le rendre prononçable pour une situation où vous pourriez avoir à lire le mot de passe (bien que je ne le recommande pas pour des raisons évidentes). Chaque fois que vous cliquez sur le bouton, vous obtenez un nouveau mot de passe sécurisé que le gestionnaire de mots de passe associe automatiquement au site en question pour que vous puissiez vous connecter automatiquement chaque fois en vous rappelant un seul mot de passe sécurisé que vous spécifiez. Tous les gestionnaires de mots de passe ne sont pas créés égaux, donc cela vaut la peine de magasiner un peu avant de vous engager, mais ces outils peuvent améliorer la sécurité du mot de passe des utilisateurs médiocres à vraiment plutôt bien dans un après-midi. Enfin, il est important que vous gardiez une sauvegarde de la base de données cryptée par mot de passe (perdre tous vos mots de passe au même endroit serait pénible) et vous voudrez peut-être y réfléchir à deux fois avant d’y mettre toute votre vie. Alors pourquoi ne pas faire quelque chose de bien dès le départ en créant votre mot de passe et partager ces conseils avec vos amis, votre famille et vos collègues.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Pirater un compte GMail en phishing ou keylogger ?

Quoi de plus dangereux : un piratage de données, un keylogger sur votre PC ou une attaque par phishing ?

Tous les trois peuvent laisser les pirates découvrir vos informations et vos mots de passe. Mais selon Google, les attaques de phishing sont bien au-delà de la menace la plus sérieuse lorsqu’il s’agit de piratage de compte GMail.

Les résultats ont été obtenus dans le cadre d’une étude d’un an menée par Google et des chercheurs de l’Université de Californie à Berkeley, qui ont examiné les causes profondes des prises de contrôle de comptes. Ce n’est pas la faute de Google qui tente par tous les moyens de lutter contre le phishing.

L’étude a analysé un ensemble de données d’informations de comptes d’utilisateurs piratés échangées sur les marchés noirs et prises à partir d’outils de piratage qui peuvent enregistrer des frappes au clavier ou générer des courriels d’hameçonnage.

Les données de l’échantillon lui-même étaient massives. Il comprenait 1,9 milliard de noms d’utilisateur et de mots de passe volés exposés par des violations de données passées à MySpace, LinkedIn, Dropbox et d’autres services en ligne tiers.

En outre, 12 millions d’informations d’identification piratées ont été extraites d’attaques de phishing, et 788 000 autres ont été obtenues à partir de keyloggers.

L’étude a ensuite plongé dans les données de l’échantillon, à la recherche des utilisateurs de Google concernés et si l’une des informations de mot de passe volées fonctionnait encore.

Malheureusement, la réponse était oui. Pour les victimes des attaques de phishing, 25 % des mots de passe sont restés valides.

Seuls 12 % des mots de passe étaient valides pour les victimes de keylogging et 7 % pour les victimes de piratages de données.

Ce n’est pas une surprise complète. Les attaques par hameçonnage sont spécifiquement conçues pour inciter les utilisateurs à abandonner leurs informations de connexion et autres informations sensibles. Ils le font, généralement en se faisant passer pour un e-mail d’un service légitime qui vous demandera votre mot de passe. Les hackers peuvent les déployer à travers des «kits d’hameçonnage» qui peuvent être trouvés sur le marché noir numérique et automatiser le processus d’attaque.

L’étude de Google a également essayé de quantifier les risques avec chaque forme d’exposition de mot de passe.

« Nous constatons qu’une fois que les informations d’identification valides d’un utilisateur sont exposées à un kit d’hameçonnage, la probabilité qu’elles soient compromises est supérieure à 400 fois plus qu’un utilisateur aléatoire », indique l’étude.

Pour les victimes de keyloggers, les chances de détournement ne sont que quarante fois plus. Pour les victimes de piratages de données GMail, il est encore 10 fois plus faible.

Néanmoins, les piratages de données peuvent toujours être un sérieux problème, ce que l’étude a souligné.

Comment les piratages de données peuvent affecter votre compte Google.

Les données de l’échantillon comprenaient 1,9 milliard d’informations d’identification piratées provenant des données tierces, dont aucune ne provenait d’un quelconque Google Hack.

Mais parce que les gens aiment réutiliser les mots de passe entre différents comptes en ligne, les piratages de données tierces ont encore affecté certains utilisateurs de Google.

En analysant les données d’exemple, la société a trouvé 51 millions de comptes Google dont les informations de mot de passe étaient exposées dans les piratages en raison de la réutilisation du mot de passe. C’est un nombre énorme et il va montrer pourquoi vous devriez enregistrer d’importants comptes en ligne avec des mots de passe uniques, difficiles à pirater.

D’autre part, les attaques provenant des kits d’hameçonnage peuvent être conçues pour extraire des informations plus détaillées de leurs victimes, y compris des données de géolocalisation, le périphérique de connexion et même des questions de récupération de compte.

« Nos résultats indiquent que si les fuites d’informations d’identification peuvent exposer le plus grand nombre de mots de passe, les kits d’hameçonnage et les keyloggers offrent plus de flexibilité pour s’adapter aux nouvelles protections de compte », indique l’étude.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Marissa Mayer s’excuse pour le piratage massif des comptes Yahoo!

Marissa Mayer s’excuse pour les hacks de Yahoo et elle blâme les Russes.

La taille du hack en 2013 sur Yahoo était incroyable. Après avoir d’abord annoncé qu’un milliard d’utilisateurs avaient été touchés, l’entreprise a admis plus tard que chacun de ses 3 milliards de comptes Yahoo avait été piraté, ce qui en faisait l’un des plus grands échecs technologiques de la dernière décennie. Quatre ans après l’incident, l’ancienne directrice générale Marissa Mayer s’est excusée et a déclaré que les détails sont encore un mystère.

Parlant devant le Comité du commerce du Sénat après avoir été assigné le mois dernier, elle avait précédemment refusé plusieurs demandes de témoignage. Mayer a déclaré: « Comme vous le savez, Yahoo a été victime d’attaques criminelles, parrainées par l’Etat, qui ont entraîné le vol de certains informations de l’utilisateur. En tant que PDG, ces piratages ont eu lieu pendant mon mandat et je tiens à m’excuser sincèrement auprès de chacun de nos utilisateurs. »

« Malheureusement, alors que toutes nos mesures ont permis à Yahoo de se défendre avec succès contre les attaques de hackers privés et sponsorisés par l’Etat, les agents russes ont envahi nos systèmes et volé les données de nos utilisateurs. »

Mayer a démissionné de son poste de PDG de Yahoo juste après l’acquisition de la société par Verizon en juin. Le mois dernier, il a été révélé que chaque compte Yahoo a été affecté par le piratage de 2013. Verizon a dit qu’il a appris la nouvelle information après l’achat et l’a révélé en une semaine.

En mars, le ministère de la Justice a inculpé deux agents des services de renseignement Russes, ainsi que deux autres, en lien avec une cyberattaque de 2014 sur Yahoo qui a piratés 500 millions de ses comptes. Mayer a dit qu’elle ne sait pas si les agents russes étaient aussi derrière le piratage de 2013.

Exactement comment les attaques ont été menées est encore inconnue. « A ce jour, nous n’avons pas été en mesure d’identifier l’intrusion qui a conduit à ce vol », a déclaré Mayer. « Nous ne comprenons pas exactement comment l’acte a été perpétré. Cela a certainement conduit à certains des domaines où nous avions des lacunes d’information. » Yahoo n’était pas informé par les piratages des comptes avant que les agences américaines ne les avertissent en novembre 2016.

Notre secret pour un meilleur mot de passe et moins de piratage : faites que cela soit long, utilisez de la variété et parfois mentez.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage