Archives pour la catégorie actualité

Le mode USB restreint dans iOS 11.4 rendra l’iPhone beaucoup plus difficile à pirater.

Malgré les meilleurs efforts d’Apple pour sécuriser iOS, les sociétés de sécurité et de recherche ont toujours réussi à trouver des moyens de contourner les nombreuses mesures de sécurité avancées qu’Apple incorpore à iOS. Plus tôt cette année, par exemple, une entreprise appelée Cellebrite a prétendu avoir une solution capable de débloquer n’importe quel iPhone exécutant n’importe quelle variante d’iOS, y compris un iPhone X fonctionnant sous iOS 11.

Plus récemment, vous vous souvenez peut-être avoir vu notre article sur la machine à pirater iPhone baptisée GrayKey capable d’accéder à des iPhones verrouillés sécurisés par un code d’accès. À peine une surprise, la machine qui se vendrait 15 000 $ s’est avérée très populaire auprès des organismes d’application de la loi de tout le pays.

À la lumière de tout cela, la version bêta la plus récente de iOS 11.4 dispose d’un mode restreint USB, ce qui rendra plus difficile pour les sociétés de sécurité d’accéder et de récolter des données à partir d’appareils iOS verrouillés. Selon un rapport d’Elcomsoft, si un appareil exécutant le dernier iOS d’Apple est parti plus de 7 jours sans être déverrouillé, le port Lightning ne peut être utilisé que pour la recharge, ce qui veut dire que le transfert de données ne sera pas possible.

En d’autres termes, l’application de cette règle aura au plus 7 jours à partir du moment où l’appareil a été déverrouillé pour effectuer l’extraction en utilisant des techniques médico-légales connues, qu’il s’agisse d’acquisition logique ou de récupération de code via GreyKey ou d’autres services. Même les 7 jours ne sont pas donnés, car la date et l’heure exactes du dernier déverrouillage de l’appareil peuvent ne pas être connues.

Apparemment, iOS stocke des informations sur la date et l’heure du dernier déverrouillage de l’appareil ou une connexion de données à un port USB. Après les sept jours écoulés, le port Lightning sera désactivé. Une fois que cela se produit, vous ne pourrez plus coupler l’appareil à un ordinateur ou à un accessoire USB, ni utiliser un enregistrement de verrouillage existant, sans déverrouiller l’appareil avec un code d’accès. La seule chose que vous pourrez faire est de charger.

Bien que ce développement risque d’entraver les méthodes de déverrouillage actuelles, l’histoire a montré que le jeu du chat et de la souris entre Apple et les pirates informatiques sur la sécurité iOS est sans fin.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

AVERTISSEMENT Google Chrome : Cette extension malveillante peut pirater votre compte Facebook.

Les utilisateurs de Google Chrome ont été mis en alerte et avertis des extensions malveillantes qui pourraient pirater l’un de leurs sites Web favoris.

Les fans de Google Chrome sont avertis qu’une extension malveillante est diffusée sur Facebook.

Les experts en sécurité de Trend Micro alertent les utilisateurs de Google Chrome à propos du malware FacexWorm.

Ce logiciel malveillant est chargé sur une extension Google Chrome et les utilisateurs sont trompés en le téléchargeant.

Le malware a été identifié pour la première fois en août 2017 et a fait une réapparition en avril 2018, a rapporté Hackread.

Le malware se propage à travers des liens Facebook Messenger douteux qui dirigent les utilisateurs vers une fausse page YouTube.

Les victimes sont ensuite invitées à télécharger une prétendue extension Google Chrome appelée Koblo.

Ceci est censé être une extension de codec nécessaire pour regarder la vidéo présumée être montré à un utilisateur.

Il rassure les fans de Chrome que « l’installation ne prend que cinq secondes », mais une fois installés les codes malveillants seront déversés sur l’ordinateur de la victime.

Le logiciel malveillant ouvre ensuite le site Web de Facebook et effectue une série de requêtes afin d’obtenir la liste d’amis de l’utilisateur concerné.

Les faux liens vidéo YouTube seront ensuite envoyés aux contacts en ligne ou en attente, ce qui déclenchera à nouveau la propagation de l’escroquerie.

Le logiciel malveillant est également capable de pirater des informations d’identification d’utilisateur pour d’autres sites, tels que Google et des pages de crypto-monnaie comme Coinhive et MyMonero.

Cela signifie que les victimes risquent également de voir leurs portefeuilles cryptomonnaie vidés.

Dans un article de Trend Micro, Joseph C Chen a écrit: «Notre équipe Cyber Safety Solutions a identifié une extension Chrome nommée FacexWorm, qui utilise un ensemble de techniques pour cibler les plates-formes de négociation cryptocompressées accessibles sur un navigateur affecté et se propager via Facebook Messenger. »

Il a ajouté : « Notre analyse révèle que les capacités de FacexWorm ont été remplacées. Il conserve la routine de la liste et l’envoi de liens socialement conçus pour les amis d’un compte Facebook affecté, tout comme Digmine. »

« Mais maintenant, il peut également pirater les comptes et les informations d’identification des sites Web de FacexWorm d’intérêt. Il redirige également les victimes potentielles vers des escroqueries cryptographiques, injecte des codes miniers malveillants sur la page Web, redirige vers le lien de parrainage de l’attaquant pour les programmes de parrainage de cryptomonnaie et pirate les transactions dans les plateformes de trading et les portefeuilles Web. »

Trend Micro a déclaré avoir divulgué les conclusions de son enquête sur la cybersécurité à Facebook.

En conseillant aux utilisateurs de rester en sécurité, ils ont ajouté : « Bien que l’attaquant continue d’essayer de télécharger de nouvelles extensions FacexWorm sur le Chrome Web Store, nous avons constaté qu’elles sont également ponctuellement retirées du magasin.

« Nous avons également remarqué que Facebook Messenger peut détecter les liens malveillants, socialement conçus et bloque le comportement de propagation du compte concerné.  »

Compte tenu des routines et de la technique de propagation de FacexWorm, ces actions contribuent à atténuer davantage son impact.

« Les utilisateurs doivent également adopter de bonnes habitudes de sécurité pour éviter de tomber sur des menaces similaires : Réfléchissez avant de partager, soyez plus prudent contre les messages non sollicités ou suspects et autorisez des paramètres de confidentialité plus stricts pour vos comptes de médias sociaux. »

Alors que Facebook lui-même a déclaré : « Nous maintenons un certain nombre de systèmes automatisés pour aider à empêcher les liens et les fichiers nuisibles d’apparaître sur Facebook et dans Messenger. Si nous soupçonnons que votre ordinateur est infecté par un logiciel malveillant, nous vous fournirons une analyse antivirus gratuite de nos partenaires de confiance. Nous partageons des conseils sur la façon de rester en sécurité et des liens vers ces scanners sur facebook.com/help. »

Google Chrome est le navigateur Internet le plus populaire au monde, une couronne qu’il ne semble pas perdre de sitôt.

Les dernières statistiques de NetMarketShare pour les quatre premiers mois de 2018 donnent au navigateur du géant des moteurs de recherche une énorme part de marché de 61,62 %.

Son challenger le plus proche est Microsoft Internet Explorer avec une part de marché de 12,04 %, suivi de Firefox avec 10,62 %.

Alors que le nouveau navigateur Edge de Microsoft, qui est le choix par défaut sur Windows 10, accuse un retard de 4,50 %.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Facebook a une porte dérobée sur votre compte et vous ne saurez jamais s’il est utilisé.

Quel que soit le mot de passe que vous avez défini pour votre compte Facebook, sachez qu’il existe une entité qui peut y accéder à votre insu à chaque fois que cela est justifié.

Ce n’est pas le gouvernement, bien qu’ils puissent aussi être intéressés par ce « hack » particulier. C’est Facebook lui même. C’est vrai, Facebook détient le pouvoir de se connecter aux comptes de l’un de ses plus de 2,2 milliards d’utilisateurs, un fait qu’il a gardé secret jusqu’à présent.

Selon le Wall Street Journal, seul un « petit groupe » d’employés de Facebook est autorisé à accéder à un profil à l’insu du propriétaire. Mais si vous êtes un employé de Facebook, une alerte doublée en interne «l’alerte Sauron» vous indiquera que quelqu’un s’est connecté à votre compte.

Les mêmes protections n’existent pas pour l’utilisateur habituel de Facebook, ce qui prouve encore une fois que Facebook a une double position standard sur la vie privée des utilisateurs.

Facebook a une raison de ne pas divulguer cette capacité. Cependant, ce n’est pas suffisant compte tenu de ce que nous avons appris sur Facebook au cours des dernières semaines. Voici ce qu’un porte-parole de Facebook avait à dire sur le sujet :

En réfléchissant à la façon dont nous pourrions faire quelque chose de semblable pour tout le monde, il y a un certain nombre de considérations importantes qui entrent en jeu. Par exemple, comment éviter d’attirer de mauvaises personnes ou d’entraver notre travail pour prévenir les abus ou autres situations sensibles.

Il est très probable que le grand public n’aurait pas découvert la porte dérobée de Facebook sans un employé de Facebook qui aurait abusé de ces privilèges pour s’informer sur les informations personnelles des utilisateurs. Le chef de la sécurité de Facebook a déclaré au Journal que les employés qui abusent de ces contrôles seront renvoyés.

Apparemment, les actions des personnes qui détiennent la clé universelle de tous les comptes Facebook sont étroitement surveillés par leurs superviseurs et ils doivent fournir des raisons légitimes pour accéder au compte de quelqu’un d’autre. Cependant, ils sont capables d’obtenir des informations extrêmement sensibles, du genre que vous ne partagez pas avec d’autres :

Le privilège permet à ce personnel d’afficher des informations que les utilisateurs considèrent généralement comme privées, telles que des photos et des posts qu’ils n’ont partagés qu’avec des amis ou des messages privés non cryptés, a déclaré l’un des interlocuteurs.

Et il s’avère que plusieurs employés ont été licenciés pour avoir accédé de manière incorrecte aux données de l’utilisateur.

L’alerte Sauron avertit les employés de Facebook par e-mail ou remarque à l’intérieur d’un compte Facebook que des collègues privilégiés ont accédé à leur compte. La fonctionnalité a été utilisée pendant des années, apparemment et elle est principalement utilisée pour tester les fonctionnalités et traiter les bugs.

On ne sait pas comment Facebook peut se connecter au compte de quelqu’un ou exactement quelles sont les raisons valables pour ces piratages. En plus des problèmes de confidentialité, devrions-nous aussi nous inquiéter que les pirates informatiques trouvent un moyen d’accéder aux comptes d’utilisateurs maintenant qu’ils savent que cette porte dérobée existe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Twitter indique que les mots de passe en clair ont été affichés par un bug.

Twitter a admis que les mots de passe des utilisateurs ont été brièvement stockés en clair et peuvent avoir été exposés aux outils internes de l’entreprise.

« Lorsque vous définissez un mot de passe pour votre compte Twitter, nous utilisons une technologie qui le masque afin que personne ne puisse le voir. Nous avons récemment identifié un bug qui stockait des mots de passe démasqués dans un journal interne », indique Twitter dans un communiqué.

Twitter n’a pas indiqué combien de comptes ont été touchés, mais Reuters rapporte en citant une source, que le nombre d’utilisateurs affectés était «important» et que les mots de passe étaient exposés pendant «plusieurs mois».

On ne sait pas exactement pourquoi les mots de passe des utilisateurs ont été stockés en clair avant d’être hachés. Twitter a indiqué qu’il stocke les mots de passe des utilisateurs avec bcrypt, un algorithme de hachage par mot de passe plus fort, mais un bug signifiait que les mots de passe étaient « écrits dans un journal interne avant d’achever le processus de hachage. »

La compagnie a dit qu’elle a corrigé le bug et qu’une enquête « ne montre aucune indication de piratage ou d’abus » par quiconque.

Un porte-parole de Twitter a réitéré que le bug «ne concerne que nos systèmes internes», mais il n’a pas commenté davantage.

Une source familière avec l’enquête en cours a déclaré que le journal interne où les mots de passe en clair ont été accidentellement consignés a été trouvé dans un endroit caché et on pense que la probabilité que quelqu’un le trouve était faible.

« Comme ce n’est pas un piratage et que notre enquête ne montre aucun signe d’abus, nous ne forçons pas la réinitialisation du mot de passe mais nous présentons l’information pour que les gens puissent prendre une décision éclairée », a déclaré le porte-parole. « Nous croyons que c’est la bonne solution. »

La société comptait 330 millions d’utilisateurs au quatrième trimestre de ses bénéfices en février.

Twitter est la deuxième entreprise à admettre un bug lié au mot de passe cette semaine.

GitHub a déclaré mardi qu’il a également exposé les mots de passe en clair de certains utilisateurs après qu’ils aient été écrits dans un système de journalisation interne.

On ne sait pas si les deux incidents sont liés et aucun porte-parole de Twitter ne fera d’autre commentaire.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le recyclage est un must, mais pourquoi réutiliser votre mot de passe ?

World Password Day, célébré le premier jeudi de chaque mois de mai, est un rappel opportun du fait que nos mots de passe sont la clé d’une mine de renseignements personnels à notre sujet.

Il serait bon d’imaginer que si les différents prétendants à « l’inventeur du mot de passe » savaient à quel point sa variété informatique finirait par se poser des siècles plus tard, ils ne s’en seraient jamais souciés. Ou peut-être que l’inventeur, peut-être un Gileadite ou un soldat romain, ne se souciait pas du compromis entre la sécurité et la commodité qui nous affligerait à l’ère d’Internet. De toute façon, l’héritage du mot d’ordre militaire est là pour rester.

À l’écart, la routine fonctionne comme ceci : vous vous inscrivez avec votre nom d’utilisateur et mot de passe que vous seul connaissez. Pour vous reconnecter, il vous suffit de rappeler et d’entrer vos identifiants de connexion. Bien sûr, vous saviez que la sécurité est importante, alors vous avez pris quelques précautions : vous avez configuré le compte avec un mot de passe facile à mémoriser.

Et c’est là que réside le problème. « Facile à retenir » correspond le plus souvent à court et simple, ainsi que facile à deviner. Cela est particulièrement vrai pour un logiciel de cracking de mot de passe faisant le business des personnes qui a l’intention de se faufiler brutalement dans votre compte. Un tel logiciel peut ouvrir la mine de trésors tout aussi magiquement que l’expression « Sésame ouvre toi ! ».

D’un autre côté, un mot de passe qui est long, complexe et aléatoire est plus difficile à déchiffrer, mais aussi plus difficile à retenir. Et là réside le problème. Devoir se rappeler de nombreux mots de passe impossibles à deviner et se souvenir du service en ligne auquel chacun appartient est trop difficile, sauf si vous avez la mémoire d’un éléphant.

En effet, les mots de passe peuvent aider à la fois en termes de sécurité et de commodité (ce dernier étant simplement un proxy pour la mémorabilité). Cependant, est-il raisonnable de s’attendre à ce que chaque utilisateur se souvienne d’une phrase secrète ou d’un mot de passe distinct pour chaque compte en ligne ?

La plus part des utilisateurs lésinent sur leur sécurité en utilisant un mot de passe simple jusqu’à ce que leurs comptes soient piratés et que leurs identités en ligne soient volées ou pire, leur identité et leur argent soient volés. Après tout, c’est la nature humaine de ne pas tenir compte du risque avant que la catastrophe ne se produise.

En effet, il semble que vous ne pouvez pas tout avoir, c’est-à-dire de nombreux comptes en ligne, chacun d’entre eux ayant un mot de passe simple ou un mot de passe extrêmement fort, unique et mémorable. Il n’est pas étonnant que notre patience s’use et que nous prenions des raccourcis mentaux. Entrez une autre stratégie d’adaptation qui graisse les roues de piratage, la réutilisation du mot de passe.

Tout en étant antithétique à la sécurité de l’utilisateur, vous pouvez parier votre dernier euro que le recyclage de mot de passe est invariablement là-haut avec toutes les autres infractions les plus fréquentes et malavisées commises par les utilisateurs dans le domaine de l’authentification. Les mots de passe créés avec une autre stratégie souvent utilisée, qui consiste à modifier légèrement le mot de passe pour chaque compte (« réutilisation partielle »), ont tendance à être prévisibles et donc tout aussi faciles à déchiffrer.

Pourquoi la réutilisation de mot de passe est-elle si risquée ?

Le voisinage qu’est Internet peut être plutôt moins que le voisin à bien des égards, doublement quand les piratages de données sont une réalité de notre âge. Les piratages exposent souvent des informations de connexion qui, si vous les utilisez pour accéder à plusieurs comptes, peuvent être exploitées avec succès pour des attaques connues sous le nom de bourrage des informations d’identification. Cela devient particulièrement troublant lorsqu’un attaquant utilise des informations d’identification volées ou divulguées qui appartiennent à un compte pour entrer dans un autre compte, souvent de valeur plus élevée. Grâce aux vidages fréquents des mots de passe, les combinaisons utilisateur / mot de passe sont faciles à trouver et souvent à peu de frais.

Si un piratage survient et que les informations d’identification ne sont pas stockées avec des fonctions avancées de hachage salé (pensez par exemple à un piratage contre Adobe en 2013), un mot de passe résistant ou même une phrase secrète peut ne pas suffire à contrecarrer une prise de contrôle attaque si vous utilisez ce mot de passe pour accéder à plusieurs services en ligne.
Prise en compte d’un autre facteur

De nombreuses tentatives de reprise de compte peuvent être annulées avec l’authentification à deux facteurs (2FA). Un facteur d’authentification supplémentaire fournit une couche supplémentaire de défense au-delà du simple mot de passe / mot de passe / phrase secrète et, en quelque sorte, corrige certaines des faiblesses humaines inhérentes qui sont couramment exposées par nos mauvais choix de mot de passe.

Bien entendu, il existe d’autres formes d’authentification qui peuvent alléger le poids de nos épaules (et de notre cerveau), que ce soit la biométrie (reconnaissance d’empreintes digitales ou d’iris) ou des algorithmes pour mesurer les caractéristiques comportementales (par exemple, rythme de frappe). Leur disponibilité et par extension, leur adoption sont loin d’être très répandues.

Y a-t-il un autre moyen, alors ?

Eh bien, oui, même si cela va à l’encontre des nombreux conseils dispensés par les agents de sécurité. En 2014, Microsoft Research a publié un article qui suggérait une approche différente. En considérant les différents comptes en ligne comme un continuum, le document affirme qu’un certain degré de réutilisation des mots de passe est inévitable, mais qu’il devrait être réservé aux services à faible risque et à faible valeur. Autrement dit, le raisonnement est que tous les comptes ne sont pas nés égaux et devraient, par conséquent, être divisés en groupes selon la valeur. David Harley, Senior Research Fellow d’ESET, a insisté sur cette approche, tout en faisant allusion à ses pièges potentiels, dans cet article perspicace.

Sur une note différente, les chances sont que vous n’éliminerez pas vos comptes en ligne jusqu’au nombre que vous pouvez facilement gérer avec des mots de passe uniques ou forts ou des mots de passe. Vous ne serez probablement pas prêt à vous engager sérieusement dans la mnémotechnique ou à prétendre à un concours de mémoire.

Dans cet esprit, la meilleure chose à faire est, sans doute, de mettre tous vos mots de passe (forts et uniques, bien sûr) dans une sorte de coffre-fort numérique. Ce coffre-fort est un logiciel de gestion de mot de passe dédié qui, idéalement, crypte et stocke tous vos mots de passe localement et hors ligne.

En effet, les gestionnaires de mots de passe sont à la mode dans la sécurité des mots de passe et, intuitivement, il est difficile de nier leurs mérites. En outre, des recherches récentes ont montré que les gestionnaires de mots de passe bénéficient à la fois de la force du mot de passe et de l’unicité, bien que cette stratégie ne fonctionne apparemment que si les mots de passe sont générés par le logiciel.

De toute façon, en supposant que vous faites confiance à la mise en œuvre de votre gestionnaire de mot de passe et vous ne l’utiliseriez pas si vous n’avez pas, non ? Alors sa sécurité est largement déterminée par la robustesse de votre mot de passe principal. C’est doublement pertinent si vous considérez que vous mettez effectivement tous vos oeufs, y compris certains faits d’or, dans un seul panier. Ce panier pourrait, en fait, devenir un point d’échec unique.

Pour être sûr, les mots de passe sont défectueux. Sauf que, dans notre ère Internet, il n’y a pas d’autre méthode omniprésente d’authentification des utilisateurs. Ayant prévu leur disparition imminente en 2004, les mots de passe pourraient bien avoir retardé leur accueil. Cependant, il semble qu’il faudra encore un certain temps avant qu’ils ne suivent le chemin des dinosaures.

Tout compte fait, certaines choses dans la sécurité informatique sont hors du contrôle d’un utilisateur régulier, mais pourquoi ne pas aller et réparer ceux qui sont ? D’une certaine manière, les pratiques de mot de passe persistant de nombreuses autres personnes vous donnent une chance d’être en avance sur le peloton.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage