Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Google affirme que les pirates hackent 250 000 comptes par semaine

Google affirme que les pirates hackent près de 250 000 comptes Internet chaque semaine.

Google explore les coins sombres du Web pour mieux sécuriser les comptes des utilisateurs.

En naviguant sur les marchés noirs cybercriminels et les forums publics, la société a trouvé des millions de noms d’utilisateur et de mots de passe hackés directement par le piratage. Il a également découvert des milliards de noms d’utilisateur et de mots de passe exposés indirectement dans des piratages de données tierces.

Vous aimerez aussi : Bientôt un compte GMail impossible à pirater ?

Pendant un an, les chercheurs de Google ont étudié les différentes façons dont les pirates hackent des informations personnelles et prennent le contrôle des comptes Google. Google a publié ses recherches, menées entre mars 2016 et mars 2017, jeudi.

En se concentrant exclusivement sur les comptes Google et en partenariat avec l’Université de Californie à Berkeley, les chercheurs ont créé un système automatisé pour analyser les sites Web publics et les forums criminels en cas de vol d’informations d’identification. Le groupe a également enquêté sur plus de 25 000 outils de piratage criminel, qu’il a reçu de sources non divulguées.

Google a dit que c’est la première étude à prendre un long terme et un regard complet sur la façon dont les criminels volent vos données et quels sont les outils les plus populaires.

« L’une des choses intéressantes que nous avons trouvées était l’ampleur de l’information sur les individus qui est disponible et accessible aux pirates de l’air », a déclaré Kurt Thomas, chercheur en sécurité chez Google, à CNN Tech.

Même si un utilisateur n’a aucune expérience dans le piratage malveillant, il ou elle pourrait trouver tous les outils dont ils ont besoin sur les forums criminels de hackers.

Les piratages de données, telles que le récent hack d’Equifax, sont les moyens les plus courants pour les pirates d’obtenir vos données. En un an, les chercheurs ont découvert 1,9 milliard de noms d’utilisateurs et de mots de passe exposés par des piratages. La société a continué à étudier cela jusqu’en septembre 2017 et a trouvé un total de 3,3 milliards de références.

Mais les hackers du numériques peuvent être beaucoup plus proactifs en piratant vos informations.
Deux méthodes populaires sont le phishing, qui se présente comme une personne ou une entité digne de confiance pour vous inciter à donner vos informations et le keylogging en enregistrant ce que vous tapez sur votre ordinateur.

Les chercheurs de Google ont identifié 788 000 victimes potentielles de keylogging et 12,4 millions de victimes potentielles de phishing. Ces types d’attaques se produisent tout le temps. Par exemple, en moyenne, les outils d’hameçonnage que Google a étudiés collectent 234 887 identifiants et mots de passe potentiellement valides et les outils d’enregistrement de frappe recueillent 14 879 informations d’identification chaque semaine.

Parce que les mots de passe ne suffisent pas souvent pour accéder aux comptes en ligne, les cybercriminels essaient aussi de collecter d’autres données. Les chercheurs ont découvert que certains pirates tentent de siphonner l’emplacement, les numéros de téléphone ou d’autres données sensibles tout en dérobant les informations d’identification. Mark Risher, directeur de la gestion des produits chez Google, a déclaré que c’était l’une des principales conclusions de l’étude.

Google peut reconnaître automatiquement lorsque vous vous connectez à partir de quelque chose d’inhabituel, si l’entreprise vous voit tenter de vous connecter à partir de la Russie lorsque vous vous connectez habituellement depuis la Californie, Google vous demandera de vérifier que c’est vous. En conséquence, Google a resserré le rayon de localisation autour de ce qu’il considère être des zones de connexion habituelles.

Google a également mis en place des couches supplémentaires de sécurité de messagerie sur son application officielle GMail. La société a déclaré que l’application des informations de recherche à ses protections de sécurité qui a empêché l’utilisation abusive de 67 millions de comptes Google.

Le mois dernier, la société a lancé une poignée d’outils permettant aux utilisateurs de se protéger, notamment un contrôle personnalisé de la sécurité du compte, de nouveaux avertissements d’hameçonnage et le programme Advanced Protection pour les utilisateurs les plus exposés de Google.

Bien que les experts aient suggéré depuis longtemps d’utiliser l’authentification multifacteurs (une couche de sécurité en plus de votre mot de passe), l’adoption publique est en retard. Selon des données récentes de Duo Security, la plupart des Américains n’implémentent pas la couche de protection supplémentaire.

Mais cela pourrait changer. Risher a déclaré que Google voit plus de gens adopter des options moins pratiques afin de se protéger. Par exemple, Google a déclaré qu’Amazon avait vendu les kits du programme de protection avancée peu après leur lancement. Le kit contient deux clés de sécurité physiques qu’une personne devrait avoir pour accéder à son compte.

Google a déclaré partager ses dernières découvertes afin que d’autres entreprises puissent également mettre en place de meilleures protections pour se prémunir contre le détournement de compte.

« Nous parlons beaucoup de la façon dont les compagnies aériennes ne sont pas en concurrence pour les accidents les plus fréquents », a déclaré Risher. « De même, nous ne pensons pas que la sécurité est quelque chose à garder pour nous ».

A lire aussi : 1,9 milliard de mot de passe GMail piratés

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Du papier pour éviter les hackers !

La meilleure défense contre les hackers est… le papier ?

Il existe un moyen infaillible de protéger vos informations en ligne. Mais vous n’allez pas aimer ça. En effet , cela implique du papier.

Dans un précédent article, nous parlions des post-it.

La plupart d’entre nous savent que nos mots de passe devraient être des mélanges aléatoires de lettres, de chiffres et de caractères et que nous ne devrions pas réutiliser les mêmes mots de passe sur plusieurs sites. En d’autres termes, nous sommes supposés mémoriser un grand nombre de mots de passe conçus pour être impossibles à mémoriser. Il n’y a aucun moyen que la plupart des gens le fassent.

Ainsi, au cours des dernières semaines, de nombreux experts en sécurité informatique ont commencé à recommander des gestionnaires de mots de passe tels que Dashlane, 1Password, Lastpass et Roboform. Il y a des avantages majeurs à ces services. Ils génèrent et mémorisent vos mots de passe pour vous. Vous utilisez un mot de passe principal pour y accéder. L’information est sauvegardée sur vos appareils et puissamment cryptée, il est donc presque impossible de pirater.

Si cela vous intéresse, cela vaut la peine d’essayer. Mais il existe une autre alternative simple, fiable et tout le monde sait déjà comment l’utiliser : le papier. Pour garder vos mots de passe en sécurité, il suffit de les écrire sur un morceau de papier et de le mettre dans un endroit sûr comme votre portefeuille.

Vous ne pouvez pas pirater le papier.

Pourquoi le papier allez-vous dire ?

Choisir une solution low-tech pour un problème de haute technologie semble contre-intuitif pour beaucoup de gens. Ne devrions-nous pas utiliser les technologies les plus puissantes pour sauvegarder nos vies en ligne ?

Mais les erreurs de sécurité se produisent lorsque les gens utilisent des systèmes qu’ils ne comprennent pas. Les gestionnaires de mots de passe sont puissants, mais leur complexité peut également entraîner des problèmes. En revanche, tout le monde comprend comment fonctionne un morceau de papier.

Si vous oubliez le mot de passe principal de votre gestionnaire de mot de passe, le reste de vos mots de passe a disparu pour toujours. Bien sûr, beaucoup de gens écrivent leur mot de passe principal quelque part sur leur ordinateur. Cela crée une opportunité pour les pirates de saisir leurs données, ou, plus généralement, un risque de dysfonctionnement de leur disque dur et ils n’auront pas de sauvegarde.

« Les erreurs de sécurité se produisent lorsque les gens utilisent des systèmes qu’ils ne comprennent pas ».

Donc, pour de nombreux utilisateurs, écrire des mots de passe sur papier est une meilleure solution.

La gestion des mots de passe sur papier est approuvée par un certain nombre d’autres experts en sécurité, y compris le célèbre chercheur en sécurité Bruce Schneier.

Le papier a ses dangers, bien sûr. Si vous êtes le genre de personne qui a tendance à perdre votre porte-monnaie ou à mettre accidentellement des choses dans la machine à laver, faire confiance à vos mots de passe sur une feuille de papier pourrait être une mauvaise idée.

Le papier peut également être pris. Si vous avez un petit ami curieux ou des adolescents qui pourraient être enclins à fouiller dans vos comptes, c’est une source de préoccupation. Si vous voyagez à l’étranger, une recherche à la frontière pourrait révéler vos mots de passe à un gouvernement étranger.

Mais pour beaucoup de gens, les menaces des étrangers en ligne sont une préoccupation beaucoup plus grande. Le papier ne peut pas être piraté. Vous ne pouvez pas être trompé en envoyant un morceau de papier à des pirates à l’autre bout du monde. Et tant que votre porte-monnaie ne passe pas à travers la laveuse ou tant que vous gardez en sécurité deux ou trois feuilles de papiers différentes, il est peu probable que des problèmes techniques effacent de façon inattendue le contenu d’un morceau de papier.

Rien de tout cela ne veut dire que les gestionnaires de mots de passe sont une mauvaise idée. Ils ne sont pas. Mais pour beaucoup de gens, stocker des mots de passe sur papier est une excellente solution.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un hacker pirate la page Facebook d’une bijouterie

Un hacker ferme la page Facebook de la bijouterie de Mumbai.

L’accusé a exigé une rançon de Rs 70,000 (950 €) et a suspendu la page Facebook quand la compagnie a refusé de payer, dit la police.

Un hacker non identifié a fermé la semaine dernière la page Facebook d’un portail en ligne qui vend des bijoux après que le cabinet ait refusé de payer l’argent qu’il avait prétendument demandé. La police a déclaré, le 1er novembre, qu’une personne non identifiée a appelé le bureau de Matchless Jewellery for Less LLP, basé à Kandivali East et prétendait être un officier de la cyber-police.

La police a ajouté que l’appelant avait menacé de pirater la page Facebook de la marque de l’entreprise, JLF-Jewellery for Less, à travers laquelle elle vend des bijoux d’imitation, à moins que ne soit payé Rs 70,000. La page de l’entreprise compte 1,1 million de followers.

Un officier du poste de police de Kurar a déclaré que lorsque l’entreprise a refusé de payer, l’accusé a piraté la page Facebook et appelé l’entreprise pour l’informer de ses actions.

Kumar Varandani, propriétaire de la marque, a déclaré que le pirate avait saisi le mot de passe de l’administrateur de la page et l’avait utilisé pour la suspendre. « Nous avons informé la cyber-cellule de la police de Mumbai le même jour et enregistré un cas avec le poste de police local le lendemain », a déclaré Varandani. Udaykumar Rajeshirke, inspecteur principal du poste de police de Kurar, a indiqué qu’une enquête est en cours pour identifier le pirate informatique.

A lire aussi : Pourquoi hacker un compte Facebook ou Twitter ?

Le poste de police de Kurar a mis en garde à vue un individu pour avoir commis une extorsion en vertu du code pénal Indien et pour avoir causé des dommages à un système informatique, en vertu de la Loi sur la technologie de l’information.

Varandani a déclaré qu’il s’était plaint à Facebook le jour de l’incident. « C’est une énorme perte pour nous. La page Facebook est l’un de nos centres d’affaires et est en attente jusqu’à ce que Facebook mène son enquête interne. Nous faisons face à des pertes entre 40 000 et 50 000 roupies par jour », a-t-il déclaré.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Quand un système de connexion fournit de faux mots de passe aux pirates

Une équipe de chercheurs a développé un système qui rend beaucoup plus difficile pour les pirates de hacker des mots de passe utilisables à partir d’une base de données divulguée, ce qui pourrait aider à atténuer les dommages causés par un piratage de données.

Le système est décrit dans un document de recherche qui a été soumis pour examen à la Conférence annuelle sur les applications de sécurité informatique de 2015, qui se tiendra à Los Angeles en décembre.

Appelé ErsatzPasswords, le système vise à rejeter les pirates informatiques qui utilisent des méthodes pour « cracker » les mots de passe, a déclaré Mohammed H. Almeshekah, un étudiant au doctorat à l’Université Purdue en Indiana.
Les hackers « seront toujours en mesure de cracker ce fichier, mais les mots de passe qu’ils vont récupérer sont de faux mots de passe ou des mots de passe leurres », a déclaré Almeshekah.

Les mots de passe sont généralement cryptés lorsqu’ils sont stockés par des organisations. Les mots de passe sont cryptés à l’aide d’un algorithme et cette sortie, appelée hash, est stockée.

Les hachages sont considérés comme plus sûrs à stocker que les mots de passe en texte brut. Il est difficile, mais pas impossible, de trouver un mot de passe en texte brut à partir d’un hachage.

Pour ce faire, les pirates utilisent des techniques de force brute, ce qui implique de créer des listes de mots qui pourraient être des mots de passe possibles et de calculer leur hachage pour voir si une correspondance est trouvée. C’est un travail qui demande beaucoup de temps et de calcul.

Pour réduire ce temps, les hackers utilisent des programmes tels que John the Ripper, qui peut s’appuyer sur de grandes listes de mots de passe provenant de différentes violations de données dont les hachages ont déjà été calculés. Ces listes s’allongent de jour en jour et comme de nombreux utilisateurs ne choisissent pas de mots de passe compliqués, cela accélère le travail des pirates informatiques.

Lorsqu’un nouveau mot de passe est créé pour un service sur un système Linux, une valeur aléatoire appelée « salt » est ajoutée avant d’être cryptée et le hash est stocké.

ErsatzPasswords ajoute une nouvelle étape. Avant qu’un mot de passe ne soit chiffré, il est exécuté par une fonction dépendante du matériel, telle que celle générée par un module de sécurité matérielle, a déclaré Almeshekah.

Cette étape ajoute une caractéristique à un mot de passe qui rend impossible de le restaurer à son texte brut précis sans accès au module, a-t-il dit.

ErsatzPasswords exerce un peu de contrôle sur le sel qui est ajouté au mot de passe afin que ce qui sort du module de sécurité du matériel ressemble à un mot de passe, même s’il est faux, a déclaré Almeshekah.

Le résultat est que si un pirate commence à obtenir des correspondances sur une liste de hachages, tous les mots de passe ne fonctionneront pas. Le hacker ne le sait pas nécessairement jusqu’à ce qu’il ou elle les a essayés pour accéder à un service.

Les services Web sont généralement conçus pour couper les gens après un certain nombre de suppositions erronées, bien que ErsatzPasswords puisse être configuré pour alerter un administrateur lorsqu’un faux mot de passe est entré. Il peut également être configuré pour créer automatiquement un faux compte quand un faux mot de passe est entré, permettant à un administrateur de voir ce que la personne essaie de pirater, a déclaré Almeshekah.

La beauté est sur le côté serveur car un seul fichier de mot de passe doit être stocké. « Même si nous voulons vérifier le vrai mot de passe, nous n’avons pas besoin d’un fichier différent », a déclaré Almeshekah.

Almeshekah a indiqué que les chercheurs ont utilisé un module de sécurité matérielle assez bon marché de Yubico appelé YubiHSM qui coûte environ 500 dollars américains. Pour un grand nombre d’utilisateurs, un type de module de sécurité matériel plus avancé serait nécessaire pour de meilleures performances, ce qui pourrait coûter 10,00 $ et plus, a-t-il ajouté.

Mais configurer ErsatzPasswords du côté serveur est assez facile, dit-il, et le code est disponible sur GitHub. C’est gratuit et est publié sous une licence Open Source Apache.

Ces conseils vous aideront : Comment protéger son mot de passe des hackers ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Pirater un compte Instagram : 6 millions de fois

6 millions de comptes Instagram piratés : comment se protéger ?

La semaine dernière, le compte Instagram de Selena Gomez a été repris par des hackers qui ont posté sur son flux des photos explicites de l’ex-petit ami du chanteur, Justin Bieber. Gomez a repris le contrôle de son compte (qui est le compte le plus suivi sur la plate-forme, avec plus de 125 millions de followers) et les photos offensantes ont été effacées, mais l’incident préfigurait des problèmes beaucoup plus répandus.

Il y a quelques jours, Instagram a annoncé avoir corrigé une vulnérabilité qui avait apparemment permis à des tiers non autorisés d’obtenir les adresses e-mail et les numéros de téléphone associés aux comptes Instagram, même si ces informations étaient censées être privées et inaccessibles à des tiers. Armés des informations piratés, les hackers ont potentiellement tenté de déclencher et d’intercepter des messages de réinitialisation de mot de passe, de phishing ou d’ingénierie sociale des utilisateurs d’Instagram, ce qui pourrait expliquer le piratage du compte de Gomez.

Avant que le bug ne soit corrigé par Instagram, un hacker ou un groupe de pirates Instagram, a apparemment piraté une quantité importante de données qu’il offre maintenant en ligne au prix de 10 $ par compte (payables en Bitcoin naturellement), en nommant la base de données Instagram pillée « Doxagram ». Le Daily Beast prétend avoir vérifié que certaines des données fournies par le ou les pirates informatiques sont authentiques.

La partie responsable de Doxagram dit qu’elle a accumulé des données de plus de six millions d’utilisateurs. Bien sûr, Instagram compte plus de 700 millions d’utilisateurs mensuels actifs, donc six millions représentent moins de 1 % de la base totale d’utilisateurs Instagram,- mais cela représente encore de nombreuses personnes potentiellement mécontentes.

Parmi les récits dont les données Instagram ont été piratées figurent ceux de Kim Kardashian, Leonardo DiCaprio, Beyoncé, Taylor Swift et même la Maison Blanche.

Doxagram a connu des pannes périodiques alors que divers fournisseurs de services prennent des mesures pour l’arrêter, mais il semble être accessible à l’heure actuelle via le réseau Tor. Plus tôt aujourd’hui, la ou les personnes derrière Doxagram ont semblé tweeter en utilisant le pseudonyme Twitter @doxagram_insta; Twitter a depuis suspendu ce compte. Ironiquement, peu de temps avant la fermeture du compte Doxagram, son opérateur a tweeté un rappel à tous ceux qui utilisent le système pour acheter des données piratées: « Merci de garder vos informations de connexion en sécurité. par quelqu’un d’autre. » Oui. Ce serait des pirates informatiques conseillant aux gens d’acheter des informations volées comment ne pas devenir des victimes de pirates informatiques.

Alors, comment pouvez-vous protéger au mieux votre compte Instagram ?

1. Utilisez l’authentification multifacteurs.
2. Utilisez un mot de passe unique et puissant. Pour obtenir des conseils sur la façon de sélectionner un mot de passe fort et facile à mémoriser, consultez mon article « Comment créer des mots de passe résistant que vous pouvez facilement vous rappeler ».
3. Gardez votre application Instagram à jour.
4. Comme Instagram l’a conseillé, « Soyez vigilant sur la sécurité de votre compte et faites preuve de prudence si vous observez toute activité suspecte comme des appels entrants, des textes ou des e-mails non reconnus. » Ne répondez pas aux courriels ou aux textes vous demandant de réinitialiser les mots de passe ou autres. Ne cliquez jamais sur les liens dans les courriels ou les messages texte pour accéder à Instagram; Au lieu de cela, accédez au réseau social via l’application ou en tapant https://instagram.com dans un navigateur Web.
5. Si vous recevez un e-mail de réinitialisation du mot de passe Instagram et que vous n’avez pas demandé la réinitialisation du mot de passe, contactez Instagram. Pour ce faire, appuyez sur le menu « … » de votre profil, sélectionnez « Signaler un problème », puis sélectionnez « Spam ou abus ».

Découvrez comment un hacker va pirater un compte Instagram ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage