Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Un bug WhatsApp a permis aux pirates d’hacker votre compte avec juste un appel vidéo.

Un chercheur en sécurité chez Project Zero chez Google a découvert un bug étrange dans WhatsApp qui permettait aux pirates de prendre le contrôle de l’app si ils connaissaient simplement votre numéro de téléphone. Tout ce qu’ils avaient à faire était de vous passer un appel vidéo et de vous amener à y répondre. Bien que le bug WhatsApp n’ait été révélé que mardi, la chercheuse Google, Natalie Silvanovich, l’avait découvert et signalé à la société propriétaire de Facebook en août.

Comment le bug WhatsApp vous a rendu vulnérable aux attaques ?

Le bug WhatsApp a été corrigé dans les versions iOS et Android de l’application. Natalie Silvanovich a expliqué sur Chromium comment perdre le contrôle de son compte en prenant un appel vidéo WhatsApp d’un mauvais utilisateur. Natalie a décrit ce problème comme un «bug de corruption de mémoire dans l’implémentation de la vidéoconférence non WebRTC de WhatsApp». Il provoque le blocage de l’appareil quelques secondes après la prise de l’appel vidéo.

Elle n’a révélé le bug WhatsApp au public qu’après que l’entreprise l’ait corrigé via une mise à jour logicielle. Silvanovich a écrit dans un rapport de bug qu’une corruption de tas pouvait se produire lorsque l’application WhatsApp «recevait un paquet RTP mal formé». Le bug affecte uniquement les versions Android et iOS de WhatsApp, car elles utilisent le protocole RTP (Real-time Transport Protocol) pour les appels vidéo. Le site Web WhatsApp n’est pas affecté car il repose sur WebRTC pour les appels vidéo.

Le chercheur de Google a également partagé un code de validation technique et des instructions pour reproduire l’attaque de piratage. Le bug WhatsApp a été corrigé sur les appareils Android le 28 septembre et pour les appareils iOS le 3 octobre via une mise à jour. La société de messagerie a déclaré dans un communiqué qu’elle « se préoccupe profondément de la sécurité de nos utilisateurs ». Elle collabore avec des chercheurs en sécurité du monde entier pour garantir que le service « reste sûr et fiable ».

WhatsApp a déclaré qu’il n’avait trouvé aucune preuve de piratage exploitant ce bug pour attaquer d’autres utilisateurs. Il encourageait les utilisateurs à mettre à jour leur application vers la dernière version afin de corriger le dit bug WhatsApp. Avec plus d’un milliard d’utilisateurs actifs, WhatsApp est une plate-forme lucrative permettant aux pirates informatiques de mener des attaques.

WhatsApp offre des appels vidéo depuis longtemps. Il a introduit la vidéoconférence de groupe avec jusqu’à quatre personnes il y a quelques mois. L’appel vidéo de groupe fonctionne même avec des connexions réseau lentes, ce qui est important car la plupart des utilisateurs de WhatsApp se trouvent dans des pays émergents tels que l’Inde et le Brésil, où la connectivité Internet n’est pas très puissante. La vidéo de groupe et les appels vocaux sont cryptés de bout en bout.

Les pirates utilisent également le truc de la messagerie vocale pour contrôler votre WhatsApp.

Plus tôt ce mois-ci, l’agence de cyber-sécurité Israélienne a envoyé une alerte de sécurité nationale sur une nouvelle méthode de piratage de WhatsApp. Cela implique de tirer parti des boîtes de réception vocales mal sécurisées. La technique a été découverte par un développeur Israélien il y a environ un an, mais les pirates l’ont largement utilisée ces derniers mois.

L’agence de cybersécurité a noté que la plupart des utilisateurs de messagerie vocale ne modifiaient souvent pas le mot de passe de leur compte, ce qui signifie que leur mot de passe restait 1234 ou 0000. Un attaquant pourrait utiliser le système de messagerie vocale pour pirater votre compte WhatsApp. Le pirate informatique entrerait le numéro de téléphone de la victime qu’il tente de cibler lors de l’installation du nouveau compte WhatsApp sur son propre téléphone.

Étant donné que WhatsApp enverra le mot de passe à utilisation unique au numéro de téléphone de l’utilisateur légitime (auquel le pirate informatique n’a pas accès), l’attaquant entrerait un mauvais OTP. Après plusieurs tentatives incorrectes d’OTP, le service de messagerie vous indiquera la possibilité d’utiliser la vérification vocale. WhatsApp fera un appel vocal à l’utilisateur légitime pour lui indiquer le code de vérification. Si cet utilisateur n’a pas répondu à l’appel, l’OTP se retrouvera dans sa messagerie vocale. Le pirate informatique pourrait accéder à sa messagerie vocale pour accéder au code de vérification, puis pirater son compte WhatsApp.

Facebook est au centre de nombreux problèmes de sécurité depuis l’année dernière. Juste au moment où le scandale de Cambridge Analytica était la plus grande utilisation abusive des données de Facebook, la société a récemment révélé que des données privées de plus de 50 millions d’utilisateurs avaient été divulguées.

A lire également : Les hackers utilisent la messagerie vocale pour pirater des comptes WhatsApp.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Attention aux faux piratages Facebook qui incite les gens à penser que leur compte a été piraté.

Au cours du week-end, vous avez peut-être vu une vague d’amis paniqués dans vos flux de nouvelles Facebook, publiant des avertissements : leurs comptes Facebook ont été piratés; n’acceptez pas les demandes d’amis qui semblent provenir d’eux. Ou peut-être avez-vous reçu un message privé vous avertissant que votre compte avait été aussi piraté.

L’avertissement se répand sous la forme d’un message envoyé par un ami. Le message affirme que l’expéditeur a reçu une demande suspecte de votre part et que la bonne façon de remédier à cette nouvelle inquiétante est de envoyé à vous avec tous vos amis.

Voici le message :

« Bonjour… J’ai en fait reçu une autre demande d’ami de votre part que j’ai ignorée, alors vous voudrez peut-être consulter votre compte. Tenez votre doigt sur le message jusqu’à ce que le bouton Transmettre apparaisse … puis appuyez sur Transférer et toutes les personnes que vous souhaitez renvoyer aussi… Je devais les faire individuellement. VEUILLEZ NE PAS ACCEPTER UNE NOUVELLE DEMANDE D’AJOUT DE MOI À CE MOMENT. »

Devriez-vous être inquiet ? Eh bien, nous avons de bonnes et de mauvaises nouvelles. La bonne nouvelle est la suivante : il y a des chances que vous n’ayez pas été piraté si vous avez reçu ce message, que vous ne soyez pas usurpé sur Facebook et qu’aucune demande frauduleuse d’un ami n’ait été envoyée.

Un porte-parole de Facebook a déclaré dans un communiqué envoyé par courrier électronique que la société avait «entendu dire que certaines personnes voyaient des messages à propos de comptes usurpés sur Facebook», des messages qu’ils assimilaient à une chaîne de lettres ou à un courrier électronique. Bien que l’usurpation de compte soit une réalité, le volume de messages diffusés sur Facebook ne reflète pas une hausse importante du nombre de comptes usurpés sur le service.

Si vous recevez l’un de ces messages, vous pouvez faire plusieurs choses : tout d’abord, vérifiez sur le compte de votre ami et assurez-vous qu’il ne s’agit pas d’une usurpation de son compte réel (si vous recherchez son nom et trouvez deux comptes complètement identiques, un très bon signe que l’on a usurpé son compte). Et si une usurpation de votre ami vous a envoyé un message, signalez ce compte à Facebook, les comptes usurpés violent les normes communautaires de Facebook.

Mais, sur la base d’un échantillon de vos amis et collègues, la plupart des personnes qui envoient et reçoivent ces messages sont vraisemblablement de vraies personnes qui utilisent leur compte réel. Le canular se propage sous le vent des bonnes intentions. Dans ce cas, ignorez simplement le message.

Cependant, ce qui est étrange, c’est que les gens partagent (peut-être distraitement) un message contenant les mots «En fait, j’ai reçu une autre demande d’un ami de votre part», même quand ils n’ont reçu aucune demande frauduleuse de cette sorte.

Les messages alarmants et urgents ont le pouvoir de devenir viraux sur Facebook, qu’ils soient vrais ou non. Les messages sont essentiellement la prochaine génération de lettres en chaîne, censées fournir des informations importantes et des conséquences désastreuses si elles ne sont pas partagées par le destinataire. Plus tôt cette année, un canular prétendant que Facebook était sur le point de limiter votre flux de nouvelles à 26 amis est devenu viral grâce à des utilisateurs bien intentionnés qui ont copié et collé les « nouvelles » perturbantes dans leurs propres flux. Et il y a le canular immortel du droit d’auteur. Vous connaissez celui-ci : le paragraphe de texte à consonance légale que les gens publient dans leurs flux Facebook dans une tentative malavisée d’empêcher Facebook de reprendre le droit d’auteur sur tout ce qu’ils publient.

Ces messages tendent à devenir viraux en exploitant les véritables craintes concernant le pouvoir de Facebook. Le canular du droit d’auteur est, en partie, un souvenir de ce que nous publions sur les médias sociaux et de ce que ces entreprises font avec ces informations. Le canular des 26 amis est intervenu lorsque Facebook a annoncé d’importants changements dans la façon dont il sélectionnait les publications à afficher dans votre fil d’actualité, ce qui a provoqué beaucoup de spéculation et d’inquiétude quant à la façon dont les algorithmes de la société choisissent ce que vous voyez.

De même, le canular « vous avez été piraté » s’est propagé à la suite de vraies nouvelles concernant la sécurité de Facebook : des dizaines de millions de comptes ont été hacké par un piratage massif. Les utilisateurs affectés par ce piratage Facebook ont été forcés de se déconnecter de leurs comptes par mesure de sécurité. Facebook a également placé un message en haut du flux de nouvelles expliquant ce qui est arrivé aux 50 millions d’utilisateurs dont les informations ont été piraté. Ce message était réel.

A lire également : Comment hacker un compte Facebook ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Google ferme Google+ après qu’un bug de l’API qui affiché les mots de passe plus de 500 000 utilisateurs.

Google a annoncé la fermeture du réseau social Google+ après que les ingénieurs de la société eurent découvert un bug d’API qui aurait pu révéler des données de profil privées pour plus de 500 000 utilisateurs de Google+.

Le bug se trouvait dans l’API Google+ People.

La société a déclaré que le bug se situait dans l’API Google+ People. Par défaut, les utilisateurs de Google+ peuvent accorder l’accès à leurs données de profil à des applications tierces. Comme avec Facebook et Twitter, les utilisateurs de Google+ peuvent également autoriser une application tierce à accéder aux informations de profil public des amis d’un utilisateur.

Dans un article de blog, Ben Smith, associé Google et vice-président de l’ingénierie chez Google, a déclaré que le bug permettait aux applications tierces d’accéder également aux données des utilisateurs marquées comme privées et pas seulement aux données publiques que les applications auraient normalement été autorisées à utiliser. voir.

Selon la documentation de l’API de profil Google+, les champs de profil peuvent stocker un trésor de détails utilisateur sensibles, tels que nom, adresse e-mail, profession, sexe, âge, surnom, date de naissance, pour n’en nommer que quelques-uns.

Le bug a été corrigé en mars 2018.

Google a déclaré avoir découvert et immédiatement corrigé le bug de l’API en mars 2018.
« Nous pensons que cela s’est produit après le lancement, suite à l’interaction de l’API avec un changement ultérieur de code Google+ », a déclaré Smith. La société a déclaré n’avoir trouvé « aucune preuve qu’un développeur soit au courant de ce bug ou de l’utilisation abusive de l’API, ni aucune preuve de l’utilisation abusive des données du profil ».

Google a indiqué qu’il ne pouvait pas déterminer quels utilisateurs étaient concernés par ce bug, car l’API avait été conçue pour conserver les journaux pendant seulement deux semaines et n’avait pas accès aux données historiques plus longtemps.

« Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant la correction du bug et, à partir de cette analyse, les profils de plus de 500 000 comptes Google+ ont potentiellement été affectés », a déclaré Smith. « Notre analyse a montré que jusqu’à 438 applications ont pu utiliser cette API. »

Le bug a peut-être eu une fuite de données utilisateur depuis 2015.

Un article du Wall Street Journal publié au même moment dans le blog de Google affirmait que le bug de l’API était bien pire et qu’il risquait de laisser filtrer des données d’utilisateurs depuis 2015. date limite. Selon le même rapport, Google aurait couvert l’incident au lieu de le rendre public, craignant « un intérêt réglementaire immédiat ».

Google rejoint désormais Twitter et Facebook pour révéler une violation de la confidentialité au cours des trois dernières semaines. Des poursuites ont été engagées contre Facebook après l’annonce de son infraction de sécurité et des enquêtes sont en cours dans l’UE.

Quant à Google+, le géant de la recherche ne le manquera pas beaucoup car le site n’a jamais été lancé par les utilisateurs finaux. Google a déclaré que 90% de toutes les sessions Google+ ne duraient pas plus de cinq secondes, confirmant ainsi les rumeurs selon lesquelles le site serait davantage une ville fantôme que Twitter et Facebook.

Google+ prendra sa retraite en août 2019

Smith a déclaré que Google+ cesserait ses activités au cours des dix prochains mois, période au cours de laquelle les utilisateurs pourront télécharger ou migrer leurs données, et que le site serait définitivement supprimé en août 2019.

Dans le cadre de son article de blog sur la divulgation des piratages, Google a également annoncé de nouvelles fonctionnalités de confidentialité pour les comptes Google et les données des utilisateurs.

A lire également : 6 façons de pirater un compte GMail facilement.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les hackers utilisent la messagerie vocale pour pirater des comptes WhatsApp.

Une autre attaque de piratage de compte en ligne a émergé, ciblant cette fois WhatsApp.

L’agence Israélienne chargée de la cybersécurité a averti ses citoyens de l’attaque, qui peut souvent être menée sans aucune connaissance ni interaction de leur part. L’attaquant n’a besoin que du numéro de téléphone de la victime.

D’abord documenté par des chercheurs en sécurité l’année dernière, la faille de sécurité frappe maintenant le grand public. La semaine dernière, l’Autorité nationale israélienne de cybersécurité avait émis une alerte pour avertir que les utilisateurs de WhatsApp pourraient perdre le contrôle de leurs comptes.

Le hack met à profit la tendance des utilisateurs à ne pas modifier les informations d’accès par défaut sur les numéros de messagerie vocale des téléphones portables. L’attaquant demande à enregistrer le numéro de téléphone de la victime dans l’application WhatsApp sur son propre téléphone. Par défaut, WhatsApp envoie un code de vérification à six chiffres dans un message texte SMS au numéro de téléphone de la victime, pour vérifier que la personne à l’origine de la demande en est le propriétaire.

Idéalement, la victime verrait le message, l’avertissant que quelque chose se passait. Le pirate l’évite en lançant l’attaque à un moment où la victime ne veut pas répondre à son téléphone, par exemple au milieu de la nuit ou en vol. De nombreux utilisateurs peuvent même avoir leur téléphone réglé sur «Ne pas déranger» pendant cette période.

L’attaquant n’a pas accès au téléphone de la victime et ne peut donc pas voir le code lui permettant de le saisir. WhatsApp propose alors d’appeler le numéro de la victime avec un message téléphonique automatisé lisant le code. Comme la victime n’accepte pas d’appels, le message automatisé est laissé sous forme de messagerie vocale.

L’attaquant exploite ensuite une faille de sécurité sur de nombreux réseaux d’opérateurs, qui fournissent des numéros de téléphone génériques que les utilisateurs peuvent appeler pour accéder à la messagerie vocale. La seule information d’identification requise pour entendre la messagerie vocale est un code PIN à quatre chiffres. De nombreux opérateurs le définissent par défaut à un nom simple, tel que 0000 ou 1234. Ces mots de passe par défaut sont facilement découverts en ligne.

Lorsque l’attaquant utilise le code PIN par défaut pour accéder à la messagerie vocale de la victime, il peut entendre le code, puis l’entrer sur son propre appareil, en transférant le numéro de téléphone de la victime à son propre compte WhatsApp.

Pour sceller l’accord, l’attaquant peut ensuite activer la vérification en deux étapes, qui est une fonctionnalité optionnelle proposée par WhatsApp depuis 2017. Pour ce faire, l’utilisateur doit définir un code confidentiel personnalisé, qu’il doit ensuite ressaisir s’il souhaite revérifier. leur numéro de téléphone. Activer cette fonction empêche la victime de reprendre le contrôle de son propre numéro de téléphone.

Le chercheur en sécurité Martin Vigo a exploré et développé les attaques par messages téléphoniques automatisés lors d’une conférence à DEF CON en août intitulée « Compromettre les comptes en ligne en détruisant les systèmes de messagerie vocale ». Il est allé au-delà des simples codes confidentiels de messagerie vocale par défaut, en utilisant un script Python qui oblige les comptes de messagerie vocale forcés à l’aide de l’API de téléphonie basée sur le cloud Twilio.

Au cours de l’entretien, il a appelé plusieurs services en ligne qui, selon lui, étaient vulnérables à de telles attaques. PayPal, Netflix, Instagram et LinkedIn prennent en charge la réinitialisation du mot de passe par appel téléphonique automatisé, a-t-il déclaré, ajoutant qu’Apple, Google, Microsoft et Yahoo prennent en charge l’utilisation de la messagerie vocale automatisée pour l’authentification à deux facteurs (2FA).

Dans un article de blog décrivant la conversation, il a déploré le fait que nous utilisions encore des technologies vieilles de 30 ans pour sécuriser des systèmes sensibles.

Comment pouvez-vous protéger votre WhatsApp et d’autres comptes des pirates de l’air ?

Si vous devez utiliser un service qui repose sur des messages vocaux automatisés, définissez un code PIN fort pour votre boîte de réception de messagerie vocale.

Enfin, activez la vérification en deux étapes sur votre compte WhatsApp en ouvrant WhatsApp et en sélectionnant Paramètres> Compte> Vérification en deux étapes>

A lire également :Comment pirater un compte WhatsApp ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les mots de passe faciles à pirater tels que «1234» et «mot de passe» seront illégaux en Californie à partir de 2020.

À partir de 2020, les mots de passe par défaut non sécurisés seront interdits en Californie, ce qui signifie que vous devrez bientôt changer de nombreux nouveaux mots de passe.

Le projet de loi sur la confidentialité des informations des appareils connectés a été adopté en Californie et l’un des ajouts à la loi est l’obligation de fournir à tous les appareils technologiques un mot de passe aléatoire par défaut. Les entreprises ne seront plus en mesure de paramétrer chaque appareil avec la norme de longue date admin / password avant de compter sur les utilisateurs pour le changer en quelque chose qu’un jardinier ne peut pas deviner.

Vous l’avez peut-être déjà vu dans le cas de certains routeurs et d’autres appareils électroniques domestiques équipés de panneaux d’administration, mais jusqu’à présent, cela n’a jamais été requis.

La loi ne s’appliquera pas aux appareils vendus avant 2020 et si vous voulez changer l’identifiant de votre routeur en admin / mot de passe après l’avoir acheté, vous n’avez pas à vous soucier du paiement des mauvaises amendes proposées sur la facture.

Cette évolution résulte de plusieurs années de piratage de données à caractère personnel, obtenues en grande partie grâce à l’accès à des comptes dotés de mots de passe trop simplistes, tels que «hot-dog» et «banane». En fait, une étude a révélé en 2014 que 47 % des adultes Américains avaient vu leurs informations personnelles révélées par des événements tels que le piratage de la cible qui avait compromis plus de 70 millions de clients.

A lire également : 4 raisons pour lesquelles les mots de passe Twitter sont si faciles à pirater.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage