Archives pour la catégorie Piratage

Nous traitons ici tous les sujets d’actualité lié au piratage. Vous serez informé des dernières nouvelles sur la sécurité informatique et nous donnerons à chaque fois une solution ou un conseil pour se protéger.

Les pirates peuvent saisir pratiquement tous vos comptes en ligne et c’est la faute de votre messagerie vocale.

Qui aurait pensé que finalement, ce serait une simple boîte vocale qui serait la porte d’entrée du pirate ?

Vos comptes Google, Microsoft, Apple, WhatsApp et même Signal ont tous un talon d’Achille, le même, en fait. Et il se trouve que si vous ne faites pas attention, un pirate informatique pourrait utiliser cette faiblesse pour reprendre votre identité en ligne.

Martin Vigo un chercheur en sécurité s’adressant à un groupe enthousiaste de pirates informatiques et de chercheurs en sécurité lors de la convention annuelle DEF CON à Las Vegas. Vigo a expliqué comment il a réussi à réinitialiser les mots de passe d’un large éventail de comptes en ligne à partir d’une messagerie vocale.

Vous voyez, a-t-il expliqué à la foule, lorsque vous demandez une réinitialisation du mot de passe sur des services tels que WhatsApp, vous avez la possibilité de demander à recevoir un appel avec le code de réinitialisation. Si vous manquez l’appel téléphonique, le service automatisé laissera un message avec le code.

Mais qu’en est-il si vous n’essayiez pas de réinitialiser votre mot de passe, mais qu’il s’agit en fait d’un pirate ? Et si ce pirate avait également accès à votre messagerie vocale ?

Voici l’exemple : Vigo a écrit un script automatisé qui peut pratiquement pirater la plupart des mots de passe de la messagerie vocale sans que le propriétaire du téléphone ne le sache jamais. Avec cet accès, vous pouvez obtenir le code de réinitialisation du mot de passe d’un compte en ligne et par conséquent, le contrôle du compte lui-même.

Et non, votre authentification à deux facteurs n’empêchera pas un pirate de réinitialiser votre mot de passe.

L’une des diapositives de Vigo présente la structure de base de l’attaque :

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée.

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d’appels, OSINT, HLR)

3. Lancez le processus de réinitialisation du mot de passe en utilisant la fonction « Appelez-moi »

4. Écoutez le message enregistré contenant le code secret

5. Bingo!

Une démo enregistrée qu’il a jouée sur scène a montré une variation de cette attaque sur un compte PayPal.

« Dans trois, deux, un, boum, le voilà », a déclaré Vigo aux applaudissements du public. « Nous venons de pirater PayPal. »

Vigo a pris soin de noter qu’il avait divulgué de manière responsable les vulnérabilités aux entreprises concernées, mais qu’il avait reçu une réponse moins que satisfaisante de la part de nombreuses personnes. Il prévoit de publier une version modifiée de son code à Github lundi.

Notamment, il nous assure qu’il a modifié le code pour que les chercheurs puissent vérifier que cela fonctionne, mais aussi pour que les scripteurs ne puissent pas commencer à réinitialiser les mots de passe de gauche à droite.

Alors, maintenant que nous savons que cette menace existe, que pouvons-nous faire pour nous protéger ? Heureusement, Vigo a quelques suggestions.

Avant tout, désactivez votre messagerie vocale. Si vous ne pouvez pas le faire pour quelque raison que ce soit, utilisez le code PIN le plus long possible, également aléatoire. Ensuite, essayez de ne pas fournir votre numéro de téléphone aux services en ligne, sauf si vous devez absolument le faire pour 2FA. En général, essayez d’utiliser des applications d’authentification sur les systèmes 2FA basés sur SMS.

Mais, la plus efficace de ces options est de fermer complètement votre messagerie vocale.

A lire aussi : Pourquoi la biométrie vocale mettra fin à l’ère du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

L’authentification à deux facteurs SMS de Reddit a été piratée !

Reddit a confirmé qu’un pirate avait un accès momentané aux services internes après avoir été capable de contourner l’identification par deux facteurs SMS.

Lorsque vous entendez parler d’un piratage, vous avez immédiatement quelques pensées qui vous traversent l’esprit. Qu’est-ce qu’ils ont piraté exactement ? Juste des données d’entreprise ou ont-ils réussi à hacker des informations d’utilisateur également ? Heureusement, Reddit a déclaré que rien de valeur réelle n’a été pris. La partie la plus préoccupante du piratage ? Le fait que le pirate ait pu pirater une authentification à deux facteurs par SMS.

Ce que nous savons :

Reddit est au courant du piratage de données depuis le 19 juin, mais vient de publier une déclaration sur le sujet. Le pirate a fait son travail entre le 14 et le 18 juin. Le pirate a eu accès à une sauvegarde de Reddit à partir de 2007, ce qui a permis au pirate d’accéder à des mots de passe hachés.

Le pirate a également réussi à accéder aux « résumés des emails » de Reddit datant de juin 2018. Cela a permis au pirate d’accéder aux adresses électroniques qui reçoivent le résumé de courrier électronique de Reddit. Ceci est une bonne nouvelle pour les milliers d’utilisateurs de Reddit qui s’inquiétaient des informations personnelles et des mots de passe.

Reddit a également rapidement confirmé que le pirate avait obtenu un «accès en lecture seule» et n’a pas pu accéder en écriture aux systèmes Reddit.

La double authentification par SMS n’est pas si sûr.

Le piratage, qui a surpris toute la communauté informatique, montre le point faible de l’authentification à deux facteurs par SMS. L’authentification à deux facteurs SMS nécessite non seulement un mot de passe pour se connecter, mais vous devez également saisir un code qui a été envoyé à un numéro de téléphone enregistré. Le pirate a pu accéder aux comptes des employés en arnaquant simplement leurs fournisseurs de services téléphoniques.

Bien qu’il semble logique que les numéros de téléphone soient difficiles d’accès, les pirates informatiques ont réussi à arnaquer les entreprises de télécommunications pour leur faire passer des mots de passe et transférer des numéros sur des cartes SIM appartenant au pirate. Après avoir accédé au numéro, le pirate informatique peut alors envoyer le code SMS à deux facteurs et accéder essentiellement aux informations personnelles de la victime, telles que les mots de passe.

Reddit demande aux utilisateurs de laisser tomber la double authentification.

Le modérateur de Reddit, KeyserSosa, a donné quelques conseils aux utilisateurs de Reddit.

Bien qu’il soit recommandé d’utiliser l’authentification 2FA par SMS, le SMS à deux facteurs est encore beaucoup plus sûr que l’utilisation d’un simple mot de passe. La manière traditionnelle de se connecter à des sites et à des applications s’est avérée très facilement piratée. Google a mis en place une clé de sécurité matérielle pour empêcher le phishing sur les comptes de ses employés.

Qui a été affecté ?

Reddit a commencé à envoyer des emails aux utilisateurs qui ont été touchés par le piratage. Ils enverront des invitations à changer les mots de passe aux personnes concernées s’ils le jugent nécessaire, mais vous suggérons de changer votre mot de passe quand même. Reddit enverra aux utilisateurs des informations et des conseils supplémentaires sur la manière de mieux protéger leurs informations et sur ce qu’ils peuvent faire de plus en matière d’informations volées pendant la violation.

Quelques conseils à suivre : Il est temps d’arrêter avec les mots de passe terribles.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Pourquoi devriez-vous envelopper vos clés de voiture dans du papier d’aluminium.

Vous marchez vers votre voiture et vous relevez votre clé. Appuyez sur un bouton et les portes se déverrouillent. Peut-être que les lumières clignotent; il y a peut-être un « boop BOOP ! » accueillant.

Pour des millions de conducteurs, cette habitude est automatique. Il n’est plus nécessaire de mettre la clé dans la serrure.

C’est très pratique, cependant, vous pouvez également inciter les voleurs de voitures de haute technologie à prendre votre voiture et partir en quelques secondes, sans même déclencher une alarme.

Votre porte-clés utilise un signal électronique et les nouveaux modèles ne vous obligent même pas à appuyer sur un bouton. Approchez-vous de votre voiture et les portes se déverrouillent automatiquement. Sur certains véhicules, le moteur s’allume également.

Nous en avions déjà parlé dans cet article avec les voitures BMW.

Si vous avez un vrai modèle de voiture sans clé, les voleurs peuvent intercepter le signal. Comment font-ils ? Comprendre la mécanique d’un « piratage de voiture » peut vous aider à l’éviter.

Comment fonctionne le système de sécurité de votre voiture ?

À l’intérieur de votre porte-clés, il y a une petite puce électronique. Cette puce est programmée avec un code unique qu’elle envoie au système de sécurité de votre voiture. La voiture possède également une puce qui utilise le même algorithme pour générer des codes. En d’autres termes, si les codes correspondent, la voiture s’ouvre.

Comment les criminels attaquent ?

Au cours des deux dernières années, les fabricants ont appris que cette technologie de puce présentait des défauts de programmation et que des pirates qualifiés pouvaient utiliser cette vulnérabilité pour déverrouiller des millions de véhicules.

C’était une surprise effrayante. Chaque clé de sécurité de voiture est unique et chacune peut créer des milliards de codes. Mais les chercheurs de l’Université Radboud aux Pays-Bas et de l’Université de Birmingham ont constaté qu’en interceptant deux fois le signal sans fil, ils pouvaient réduire les combinaisons possibles de milliards à 200 000 seulement. Après cela, un ordinateur peut déterminer le code en une demi-heure et déverrouiller la voiture.

Dans une application du monde réel, un voleur pourrait s’asseoir dans une rue en collectant des signaux sans fil lorsque les propriétaires de voitures entrent et sortent de leurs véhicules. Ensuite, ils pourraient voler beaucoup de voitures.

Les porte-clés toujours en fonctionnement présentent une grave faiblesse de la sécurité de votre voiture. Tant que vos clés sont à portée, tout le monde peut ouvrir la voiture et le système pensera que c’est vous. C’est pourquoi les nouveaux modèles de voiture ne se déverrouillent pas tant que le porte-clés n’est pas à moins d’un mètre.

Cependant, les criminels peuvent obtenir des boîtiers de relais relativement bon marché qui capturent les signaux des porte-clés jusqu’à 30 mètres, puis les transmettent à votre voiture.

En d’autres termes, vos clés pourraient être dans votre maison et les criminels pourraient utiliser la boîte à relais pour marcher jusqu’à votre voiture et l’ouvrir. Heureusement, vous pouvez prendre quelques mesures simples pour empêcher les pirates de voler votre signal.

Étapes pour arrêter les voleurs de voitures :

Il existe quelques moyens simples de bloquer les signaux amplifiés des criminels. Vous pouvez acheter une pochette RFID blindée qui peut contenir vos clés.

– Stick dans le frigo. L’option gratuite consiste à utiliser votre réfrigérateur ou votre congélateur. Les multiples couches de métal bloquent le signal de votre porte-clés. Il suffit de vérifier avec le fabricant du porte-clés pour vous assurer que le gel de votre porte-clés ne l’endommagera pas.

– Placez dans votre four à micro-ondes. Si vous ne voulez pas geler votre porte-clés, vous pouvez faire la même chose avec votre four à micro-ondes. L’armature en métal devrait fonctionner aussi bien que votre réfrigérateur. Ici, cependant, il est essentiel de ne pas allumer votre micro-ondes, car cela pourrait causer de sérieux dommages et même provoquer un incendie.

– Enveloppez votre porte-clés dans du papier d’aluminium : celui-ci est délicat. Tout d’abord, vous devrez convaincre vos amis que vous n’êtes pas tombé dans le piège d’une théorie du complot délirante. Plus important encore, envelopper votre porte-feuille dans du papier d’aluminium peut nuire à votre capacité à l’utiliser. Mais la tactique devrait empêcher les pirates de pirater votre signal, et vous pouvez même trouver une petite boîte et l’aligner avec du papier d’aluminium, juste à des fins de stockage.

– Obtenir un bloqueur RFID : Ce type de piratage de signal n’est pas seulement un problème pour les porte-clés de voiture. Les nouveaux passeports et autres pièces d’identité contiennent des puces d’identification par radiofréquence. Les criminels peuvent utiliser un lecteur RFID puissant pour hacker vos informations à distance. Vous n’avez cependant pas besoin de papier d’aluminium. Vous pouvez acheter des portefeuilles, des sacs à main et des valises de passeport à blocage RFID.

Le piratage de porte-clés n’est pas le seul danger pour les voitures modernes. Découvrez comment les pirates peuvent prendre le contrôle des voitures grâce au système de divertissement et à d’autres moyens d’attaque.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le porte-monnaie crypté de John McAfee aurait été piraté en une semaine.

Un pirate informatique a déclaré que McAfee et Bitfi ne paieraient pas la prime de 250 000 dollars car ils ne sont pas d’accord pour dire que le piratage a été un succès.

Quelqu’un prétend avoir piraté avec succès un portefeuille de crypto-monnaie « impiratable ».

La semaine dernière, McAfee a annoncé avoir conclu un partenariat avec Bitfi pour offrir une prime de 100 000 dollars à toute personne pouvant pirater un porte-monnaie Bitfi (voir notre article). La prime a ensuite été portée à 250 000 dollars. La participation au challenge a nécessité l’achat d’un porte-monnaie Bitfi à 120 dollars, préchargé avec crypto-monnaie.

L’accès root a permis à un hacker de pénétrer dans le répertoire racine du portefeuille, ce qui a permis de modifier son backend. McAfee n’était pas d’accord avec le fait que l’accès root constitue un hack.

« L’accès à un appareil sans capacité d’écriture ou de modification. C’est aussi inutile qu’une licence de dentiste pour une centrale nucléaire », a déclaré McAfee jeudi. « Pouvez-vous obtenir l’argent sur le portefeuille ? Non. C’est ce qui compte. »

Le hacker a déclaré que la possibilité d’obtenir un accès root signifiait que le portefeuille n’était pas sécurisé et a rejeté la première prime comme un « simulacre », ajoutant vendredi que Bitfi « n’a même pas 250k $ disponibles en ce moment. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Comment pirater (légalement) et être payé pour cela.

Voulez-vous apprendre à pirater les systèmes de sécurité les plus récents et les plus performants ? L’idée de démanteler les défenses d’une organisation vous excite-t-elle ? Si vous répondez oui aux deux, nous espérons que vous utiliserez votre enthousiasme comme un hacker white hat !

De nos jours, les données valent plus que l’or, ce qui explique pourquoi les pirates redoublent d’efforts pour vous hacker et vous voler ainsi les précieuses informations de votre entreprise. À la suite de piratages majeures de données contre des organisations comme Facebook et Yahoo, la demande d’experts en sécurité informatique a augmenté, tout comme les options de formation.

Comment devenir un hacker white hat ?

Les hackers white hat (également connus sous le nom de hackers éthiques) sont des experts en sécurité informatique qui utilisent des techniques de piratage pour pénétrer les systèmes de sécurité d’une organisation. Ce processus serait autrement inapproprié, mais l’objectif d’un hacker white hat est de trouver des vulnérabilités dans un système de sécurité et de les corriger, de sorte que de meilleures mesures puissent être prises contre leurs homologues malveillants.

Pour devenir un hacker white hat, vous devez évidemment apprendre à pirater. Des bootcamps formels aux cours virtuels, les occasions d’entraînement ne manquent pas, mais pour ceux qui veulent apprendre à leur rythme et sans contracter de prêts étudiants, il existe le forfait « payer ce que vous voulez » un hacker certifié white hat est un choix judicieux.

Cet ensemble d’apprentissage en ligne comprend des cours pour débutants qui vous enseigneront les principes fondamentaux du piratage, ainsi que des cours avancés pour les professionnels de la sécurité chevronnés. À la fin de cette collection d’apprentissage en ligne, vous aurez les compétences nécessaires pour décrocher un rôle de hacker white hat, ainsi que le savoir-faire pour réussir l’un des meilleurs examens de certification de l’industrie. Nous suggérons de mettre vos nouvelles compétences en sécurité à un usage éthique seulement.

E-learning et différents types de piratage.

Quand on pense au piratage, on peut penser à une vague de chiffres, de 0 et de 1. Cependant, il existe différents types de systèmes de sécurité, chacun avec ses propres méthodes définies de piratage.

L’une des compétences fondamentales qu’un hacker doit apprendre est le test de pénétration, qui est essentiellement une méthode pour exposer les menaces dans un système de sécurité. Une fois que vous avez identifié des vulnérabilités, vous pourrez sécuriser votre système contre de futures attaques. Vous apprendrez ceci et plus de principes de base du piratage dans le programme Learn Ethical Hacking from Scratch, Practical Hacking 2018, et The Complete Ethical Hacking Course : débutant à avancé 2.0. Certaines compétences avancées incluent la création de charge utile, le clonage de sites Web et l’accès au Dark Web.

L’exercice suivant est le piratage Web, qui est couvert dans le Web Hacking pour les débutants. Le piratage Web consiste à exploiter la sécurité d’un site Web par des méthodes telles que les injections SQL, les attaques CSRF, les vulnérabilités XSS et le phishing.

Une autre cible majeure pour les pirates est le WiFi et trois des cours de ce kit couvrent la détection des vulnérabilités dans la sécurité de votre réseau. Vous apprendrez à utiliser Kali Linux pour les tests de stylet, à effectuer des attaques par déni de service et à utiliser Nmap pour analyser les vulnérabilités d’un réseau. Une fois que vous avez cela, vous pouvez passer à des techniques avancées comme les attaques de pré-connexion et post-connexion, les attaques de désauthentification, la création de faux points d’accès et plus encore.

Devenir un white hat certifié CISSP.

Le cours le plus important dans le bundle est indéniablement le cours de Certified Security Systems Security Professional, qui vous formera pour votre examen de certification CISSP. Ce cours vous renseignera sur les cadres d’architecture de sécurité commune, la cryptographie, les réglementations légales et plus encore. Une fois terminé, vous pourrez réussir votre examen CISSP et finalement décrocher un rôle de hacker white hat !

A lire aussi : Black Hat vs White Hat Hacker

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage