Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Instagram annonce de nouveaux outils pour renforcer la sécurité des comptes.

Instagram a annoncé aujourd’hui de nouveaux outils pour aider ses utilisateurs à ne pas se faire pirater leur compte Instagram.

Suite à notre article sur le piratage d’Instagram qui soulève des questions sur sa sécurité 2FA, le cofondateur et directeur de la technologie, Mike Krieger, a détaillé quelques modifications apportées pour lutter contre les faux comptes et renforcer la sécurité grâce à une vérification en deux étapes.

Premièrement, les comptes ayant un large public auront désormais plus d’informations sur ceux qui les visitent. Une nouvelle option « À propos de ce compte » sera ajoutée au menu, permettant aux utilisateurs de voir quand le compte a été créé, où il se trouve, les modifications apportées au nom d’utilisateur au cours de l’année écoulée et les annonces que le compte peut exécuter. En outre, il sera possible de voir d’autres comptes qui ont les mêmes suiveurs. Les comptes concernés par ce changement seront informés le mois prochain du type d’informations qui seront rendues publiques.

Sur le sujet des comptes notables, Instagram facilite la demande de vérification pour ces utilisateurs. La vérification de votre compte certifie que celle-ci est gérée par une personne légitime et maintenant tout le monde pourra postuler à ce processus à condition qu’il réponde à certaines exigences qui n’ont pas été spécifiées. Naturellement, toutes les personnes qui présentent une demande ne seront pas acceptées et Instagram nécessitera une identification réelle pour vérifier également un compte. Cela devrait faciliter la détection des faux comptes qui tentent d’emprunter l’image d’utilisateurs populaires.

Enfin, en mettant davantage l’accent sur les utilisateurs généraux, Instagram ajoute le support pour les applications tierces pour une authentification en deux étapes. L’utilisation de SMS pour ce processus peut engendrer ses propres problèmes de sécurité. Il est donc intéressant de voir que le réseau social adopte d’autres processus de vérification. L’application Instagram détecte automatiquement toutes les applications de vérification que vous avez peut-être installées et lui envoie un code ou vous emmène sur l’App Store pour en installer une si vous ne l’avez pas déjà fait. Cette fonctionnalité a déjà commencé à être disponible et devrait être disponible pour tout le monde bientôt.

Il y a quelques semaines, de nombreux utilisateurs d’Instagram ont vu leurs comptes piratés par des inconnus, ce qui les a laissés hors service. Espérons que ces mesures facilitent la lutte contre les attaques futures sur les comptes Instagram.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

La réponse à une meilleure sécurité réside-t-elle dans des expériences sans mot de passe ?

Une authentification véritablement sans mot de passe permettant aux utilisateurs de contrôler les informations personnelles est essentielle pour éviter le vol d’identité et les piratages de données.

Les mots de passe sont une méthode d’authentification fiable et familière depuis des années. Leur commodité les rend également faciles à pirater. Environ 20 % des utilisateurs choisiront leur année de naissance si on leur demande de créer un code PIN à quatre chiffres et les habitudes similaires abondent avec les mots de passe. À notre désavantage, nous sommes devenus tellement dépendants des mots de passe que, même lorsque des piratages de données se produisent presque quotidiennement et qu’on nous dit de changer nos mots de passe, près de la moitié des consommateurs n’en tiennent pas compte.

Les mots de passe n’ont pas réussi à suivre le rythme de croissance des services en ligne sur lesquels nous comptons. En termes simples, ils n’offrent pas le type de protection nécessaire aux fraudeurs actuels, qui exploitent de plus en plus leurs faiblesses en matière de sécurité et de convivialité des mots de passe.

Où sont les mots de passe qui manquent ?

Cela se résume en grande partie aux habitudes des utilisateurs en matière de mots de passe. Le consommateur moyen est lié à environ 90 comptes en ligne nécessitant un mot de passe, ce qui rend pratiquement impossible la mémorisation de chaque mot de passe. En effet, les utilisateurs recycleront le même mot de passe sur plusieurs applications, conformément à la stratégie d’un service (limite de caractères, par exemple). Ils utiliseront également le même courrier électronique sur de nombreux services. C’est ce que l’on appelle la réutilisation des informations d’identification.

Environ 81 % des piratages de données majeures sont causées par des mots de passe hackés ou faibles. Les pirates informatiques obtiennent illégalement des informations d’identification par le biais du phishing ou d’un piratage antérieure qu’ils conserveront pour eux-mêmes ou qu’ils mettront à disposition pour la revente sur le Dark Web. Les hackeurs achètent des bibliothèques de mots de passe et lancent des attaques automatisées de réutilisation des identifiants, en faisant correspondre les mots de passe obtenus avec les bibliothèques de l’application ou des applications non associées. Par exemple, si le compte de détail préféré de Jane a été piraté et qu’elle utilise le même identifiant de connexion dans sa banque, le compte bancaire de Jane est désormais en péril, même si la banque elle-même n’a pas été piratée et qu’elle est bien sécurisée.

Les attaques de ce type donnent un taux de réussite de 2 %. Cela peut sembler un petit pourcentage, mais ce montant équivaut à plus de 46 millions de comptes piratés avec succès. Avec des millions de références en vrac grâce aux piratages de données massives et aux centaines d’applications valables offertes par les entreprises (généralement dans les services financiers), l’environnement de cybersécurité actuel ne fera qu’empirer.

Une autre cause courante, mais encore méconnue, est que les entreprises à la fois piratées et à court terme s’appuient souvent sur des magasins d’informations d’identification centralisés pour les clients, les clients et les données internes. S’appuyant sur une base de données unique et centralisée, les utilisateurs ne peuvent plus accéder aux informations d’identification des utilisateurs de grandes quantités de mots de passe deviennent facilement disponibles pour les pirates et les criminels doivent les acheter. Pour cette raison, les bases de données centrales, à savoir les banques de mots de passe, sont la cible favorite des pirates. Il en va de même pour les numéros de carte bancaire tels que les données de carte de crédit et de débit. Selon Experian, les informations sur les cartes de crédit qui sont plus populaires que les cartes de débit sur le Dark Web peuvent se vendre entre 5 et 110 dollars, selon les informations qui y sont liées (c.-à-d. CVV, informations bancaires, numéro de sécurité sociale, etc.).

Du point de vue de la convivialité, les expériences sans mot de passe sont excellentes. Du point de vue de la sécurité, cependant, il ne s’agit que de fonctionnalités pratiques superposées aux systèmes vulnérables, y compris ceux basés sur USB. Dans la plupart des cas, la biométrie sur l’appareil déverrouille simplement l’appareil, insère un mot de passe et actionne une clé de stockage. Les systèmes internes de l’entreprise, tels que l’authentification unique (SSO), masquent également l’existence d’un magasin d’informations d’identification centralisé.

Les expériences sans mot de passe suffiront-elles à sécuriser nos données ?

Pour mettre en œuvre de véritables expériences sans mot de passe avec une meilleure sécurité globale, les entreprises doivent se tourner vers une authentification décentralisée. La décentralisation élimine entièrement le mot de passe et permet à une entreprise ou à un fournisseur de services de communiquer avec les utilisateurs via l’infrastructure à clé publique (PKI). L’infrastructure à clé publique est un ensemble de rôles, de matériel et de logiciels, de règles et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et le chiffrement à clé publique. Dans notre monde connecté, les PKI créent des signatures numériques pour créer des identifiants uniques pour les personnes et les appareils, qui peuvent être authentifiés avec précision à grande échelle.

L’application d’un fournisseur de services, par exemple, peut prendre en charge la biométrie décentralisée ou les numéros d’identification personnels, qui sont détenus et portés uniquement par l’utilisateur. Qu’il se connecte, vérifie son identité ou autorise une transaction, le système communique avec le fournisseur de services en envoyant un jeton plutôt que le modèle biométrique de l’utilisateur (sous quelque forme que ce soit, chiffré ou non) ou son code PIN réseaux. Les utilisateurs disposeront de tout ce dont ils ont besoin sur leurs smartphones et autres appareils pour effectuer des transactions, sans intermédiaire au milieu, pour redonner le contrôle à leur place. Cela élimine également le magasin d’informations d’identification de masse sur le business end.

Pour éviter l’usurpation d’identité et réduire le risque de piratage massive des informations d’identification, il est temps que les consommateurs et les entreprises repensent la manière dont nous authentifions actuellement les utilisateurs. L’utilisation et le stockage traditionnels des mots de passe ne suffisent plus à conserver nos informations personnelles, personnelles. Les connexions sans mot de passe sont un bon début, mais pour prospérer dans un monde où nos informations sont constamment menacées, les entreprises doivent mettre en œuvre des expériences sans mot de passe qui conservent les informations d’identification personnelles. Sinon, nous pouvons nous attendre à voir davantage de piratages.

A lire aussi : Un geste de la main pourrait être votre prochain mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

WhatsApp stocke discrètement vos messages privés dans une archive non chiffrée où les pirates pourraient les lire.

Vos messages WhatsApp privés contiennent un trésor d’informations sensibles.

Donc, vous êtes probablement très heureux que chaque texte que vous envoyez à des amis soit crypté afin que seuls l’expéditeur et le destinataire puissent les lire.

Mais il s’avère que Whatsapp stocke discrètement des messages dans des archives où ils peuvent être lus par toute personne ayant accès au compte d’un utilisateur.

L’application de messagerie conserve une archive de tout ce que les propriétaires d’Android envoient sur le système de stockage cloud Google Drive.

Mais il a admis que ceux-ci ne sont pas protégés par un cryptage «de bout en bout», ce qui pourrait signifier qu’ils sont plus faciles à pirater.

«Les médias et les messages que vous sauvegardez ne sont pas protégés par le chiffrement de bout en bout de WhatsApp sur Google Drive», écrit Whatsapp sur son site Web.

Cette déclaration a fait craindre que les pirates, les flics ou même les peurs du gouvernement puissent accéder à des données privées s’ils avaient accès au compte Google Drive de quelqu’un.

« Du point de vue de la protection de la vie privée, les sauvegardes en ligne ne sont pas efficaces, quel que soit le dépositaire », a déclaré Karan Saini, chercheur indépendant en sécurité.

«Bien que Google crypte les fichiers côté serveur, ils contrôlent également les clés de ceux-ci – qui peuvent être fournies aux autorités répressives sur la base d’un mandat».

Vous pouvez désactiver la fonctionnalité d’archivage en accédant aux options, en sélectionnant «chats» puis «sauvegarde de chats».

Toutes les données de sauvegarde sont automatiquement supprimées après 12 mois.

«Les sauvegardes WhatsApp qui n’ont pas été mises à jour depuis plus d’un an seront automatiquement supprimées du stockage Google Drive», a écrit l’application de messagerie.

Vous pouvez être rassuré d’apprendre qu’il est assez facile de protéger votre compte Google Drive.

Jeremy Miles, spécialiste des données chez Google, a déclaré qu’il était presque impossible de pirater un profil Google Cloud s’il définissait un bon mot de passe et activait l’authentification à deux facteurs.

A lire aussi : Est-ce que votre compte WhatsApp a été piraté ? Voici comment sauvegarder votre compte.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Un nom de domaine peut être utilisé frauduleusement contre vous.

Pourquoi les noms de domaine abandonnés sont-ils dangereux ? Ils sont faciles à utiliser pour les pirates, qui peuvent les utiliser pour accéder à des données sensibles sur les emails ou les clients.

Le courrier électronique détient les clés du royaume. Tous vos mots de passe sont réinitialisés par courrier électronique et l’abandon d’un ancien nom de domaine permet aux pirates de réenregistrer l’ancien domaine et de récupérer vos fichiers.

Le problème est particulièrement grave pour les cabinets d’avocats où les partenariats se forment, se dissolvent et fusionnent souvent, souligne le chercheur en sécurité Gabor Szathmari. Une fusion ou une acquisition implique généralement soit une nouvelle image de marque pour la nouvelle entreprise, avec un nouveau nom de domaine correspondant, soit l’entreprise acquise abandonnant son ancienne marque et son nom de domaine. Laisser ces anciens domaines expirer est dangereux.

« Aux États-Unis, 2017 a été une année record pour les fusions de cabinets d’avocats de premier plan avec 102 fusions ou acquisitions au cours de l’année », écrit Szathmari.

Pour tester à quel point le problème est grave, Szathmari a réenregistré d’anciens noms de domaine pour plusieurs cabinets d’avocats qui avaient fusionné, créé un serveur de messagerie et sans rien pirater, il a reçu un flux régulier d’informations confidentielles, y compris la correspondance bancaire, des factures d’autres cabinets d’avocats, des documents juridiques sensibles de clients et mises à jour de LinkedIn. (Szathmari travaille à retourner les noms de domaine affectés à leurs propriétaires d’origine.)

Utiliser des noms de domaine abandonnés pour commettre une fraude.

La même technique, dit-il, pourrait facilement être utilisée pour commettre une fraude. « En réinstallant une boutique en ligne qui fonctionnait auparavant sur un nom de domaine abandonné », écrit-il dans un courrier électronique adressé à CSO, « les acteurs mal intentionnés peuvent télécharger les pages Web originales à partir d’archive.org boutique en ligne. »

« Si l’ancienne boutique en ligne avait un système CRM ou MailChimp exécutant des campagnes marketing », ajoute-t-il, « les criminels pourraient accéder à la liste des anciens clients en reprenant ces comptes avec un mot de passe par courrier électronique et un code pour les encourager à soumettre des commandes qui ne seraient jamais livrées. »

Les noms de domaine expirants sont publiés quotidiennement par les registres de noms de domaine sous la forme de listes de dépôt de noms de domaine. Il n’est pas nécessaire pour un cerveau criminel de télécharger ces listes quotidiennement et de les recouper avec les informations sur les fusions et acquisitions dans les publications commerciales pertinentes ou simplement de réenregistrer tout nom de domaine qui les intéresse.

Szathmari a également pu utiliser les noms de domaine réenregistrés pour accéder à des mots de passe tiers en piratage de droits en utilisant HaveIBeenPwned.com et SpyCloud.com. Les deux services nécessitent une vérification du nom de domaine, une défense facilement contournée une fois que vous êtes propriétaire du domaine en question. Comme la réutilisation des mots de passe reste monnaie courante, Szathmari écrit qu’il aurait facilement pu utiliser ces mots de passe tiers pour compromettre les employés concernés, y compris leur vie professionnelle et personnelle.

Combien de temps devriez-vous conserver ces anciens domaines ?

Mieux vaut prévenir que guérir. Les noms de domaine ne sont pas chers et conserver les anciens domaines en votre possession est la police d’assurance de la cybersécurité la moins chère que vous puissiez acheter.

Szathmari recommande de mettre en place un service de messagerie électronique attrayant qui redirige tout le courrier entrant vers un administrateur de confiance, une personne capable de consulter les anciens et actuels membres du personnel et de réinitialiser les mots de passe pour les services en ligne.

A lire aussi : Les attaques cybernétiques ciblées, le spear-phishing

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les superordinateurs peuvent-ils améliorer la cybersécurité ? Pas pour l’instant !

Les superordinateurs évoluent à un rythme effarant, mais, aussi puissants soient-ils, ils ne sont pas pratiques pour résoudre les problèmes de sécurité.

En juin, un nouveau gagnant a été couronné dans la compétition pour être le supercalculateur le plus rapide du monde, les États-Unis reprenant la couronne chinoise.

Le superordinateur du sommet d’Oak Ridge National Lab peut traiter plus de 122 pétaflops, soit 122 000 milliards d’opérations en virgule flottante par seconde. La Chine Sunway TaihuLight, qui a occupé la première place depuis cinq ans, peut faire 93.

En dépit d’être plus rapide, Summit possède un cinquième de cœurs de moins que le système chinois et utilise la moitié de la puissance, signe de la rapidité avec laquelle les superordinateurs évoluent de nos jours. Le supercalculateur utilisé dans le projet du génome humain dans les années 1990 était moins puissant que l’un des smartphones actuels.

Mais il faut de l’argent pour rester en tête. Le sommet a coûté 200 millions de dollars à ORNL.

En raison de la dépense, les superordinateurs sont généralement utilisés pour les calculs les plus intensifs, tels que la prévision des changements climatiques ou la modélisation de la circulation d’air autour des nouveaux avions.

Bruce Beam a eu une expérience personnelle avec les superordinateurs, alors qu’il était directeur informatique de la marine Américaine.

« Nous avons modélisé des choses que vous ne pouviez pas faire, comme modéliser les effets des armes nucléaires », a déclaré Beam, qui est actuellement directeur de la sécurité et des infrastructures du Consortium international de certification de la sécurité des systèmes informatiques. « C’est très peu pratique de faire cela dans le monde réel. »

Les superordinateurs peuvent également avoir une application dans le domaine de la cybersécurité, mais, selon les experts, l’époque où cette réalité est bien réelle est bien avancée.

Par exemple, IBM utilise un supercalculateur pour analyser les données sur les menaces, a déclaré Bean, mais le projet en est encore à ses débuts.

« Je ne pense pas que tout soit opérationnel », a-t-il déclaré.

Les serveurs de produits peuvent être regroupés pour effectuer des tâches similaires, mais beaucoup moins cher et plus efficacement, a-t-il déclaré. « Vous n’êtes pas tout à fait un supercalculateur, mais c’est suffisant pour la plupart des utilisations de la chasse aux menaces et de la cybersécurité. »

Et comme les serveurs de base deviennent plus rapides, ils pourront relever des défis de plus en plus importants.

« Je ne sais pas si nous arriverions à utiliser un superordinateur pour la cybersécurité », a-t-il déclaré. « Quand j’étais dans la marine, nous avions certains des superordinateurs les plus rapides au monde, et je n’avais jamais vu aucun d’entre eux utilisé pour une application de cybersécurité. »

Il est plus logique d’utiliser des serveurs de base à moindre coût dans des déploiements distribués plutôt qu’un seul superordinateur centralisé, a convenu Jeff Williams, directeur technique et cofondateur de Contrast Security. « Je préférerais plutôt que les capteurs effectuent une analyse locale et établissent des rapports hiérarchiques. »

Il est possible de collecter toutes les données de tous les nouveaux capteurs dans les systèmes d’exploitation, les conteneurs, les environnements en nuage et la couche application, de sorte que vous ayez besoin d’un superordinateur pour tout voir, at-il déclaré. « Mais c’est une erreur de fou – vous finissez par analyser une tonne de déchets. »

Cependant, un événement dans un endroit peut être innocent par lui-même, mais lorsqu’il est combiné avec d’autres événements dans d’autres endroits et d’autres systèmes, il peut s’agir d’un événement significatif.

Un des avantages des superordinateurs par rapport aux approches traditionnelles est qu’un superordinateur peut examiner un grand volume de données en une seule fois.

« Il peut trouver les relations nuancées entre les systèmes, entre les utilisateurs, entre les géolocalisations, qui pourraient indiquer un avertissement précoce d’une violation potentielle », a déclaré Anthony Di Bello, directeur principal de la sécurité, des découvertes et des analyses chez OpenText.

Une entreprise mondiale avec 200 000 machines pourrait traiter des pétaoctets de données chaque jour, a-t-il déclaré. « Je cherche une aiguille dans une botte de foin de besoins. J’ai besoin d’informatique plus rapide. »

Mais nous n’y sommes pas encore, a-t-il ajouté.

« Cette technologie doit encore être mise en œuvre de manière à bénéficier de la superinformatique », a-t-il déclaré. « Mais ça va dans cette direction. »

Il pourrait se passer au moins deux ou trois ans avant que nous ne commencions à voir des utilisations réelles des superordinateurs pour la cybersécurité, a-t-il déclaré. « Les géants de la grande technologie se concentrent davantage sur d’autres cas d’utilisation à ce stade. »

A lire aussi : Le cyber piratage fait peur et notre besoin en protection est en recherche constante.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage