Archives pour la catégorie Sécurité

Dans cette catégorie, l’équipe Pass Revelator vous décrypte toutes les dernières actualités et nouveautés sur le piratage et le hacking de comptes, de bases de données et même d’appareils électroniques. Que vous soyez novice ou expert, nous essayons au mieux de vous expliquer, parfois en schématisant, les dernières techniques des experts en sécurité.

Faille de sécurité corrigée chez Microsoft

Après l’épisode Google, c’est le tour de Microsoft…

Internet Explorer est utilisé par des millions de personnes à travers le monde et la nouvelle de failles de sécurité importantes dans un bulletin d’information de Microsoft ne va pas les rassurer. Les versions concernées vont de l’IE6 à l’IE11, dernièrement sortie. Ceci signifie qu’un grand nombre d’internautes ayant utilisé ce navigateur ont pu être victimes à un moment ou à un autre de leur utilisation sans s’en douter une seule seconde.

Une faille qui offre un contrôle total

Cette faille sur Internet Explorer possède un fonctionnement très simple mais particulièrement redoutable. Elle permettrait à un pirate de complètement contrôler l’ordinateur de sa victime à distance à partir du moment où elle se rend sur une page web spécifique. Bien sûr, des techniques d’hameçonnage ont été mises en place afin d’attirer les utilisateurs d’une façon qui semble naturelle et abattre le piège sur eux avec des conséquences dramatiques dès que l’ordinateur est infecté puisqu’il n’est plus réellement possible d’accéder à certaines commandes.

Un bulletin d’information a été émis par Microsoft à l’égard de tous les utilisateurs de ces versions d’Internet Explorer de même que la mise à jour a été envoyée directement sur tous les appareils fonctionnant avec ce type de navigateur. La correction a donc été mise au point immédiatement afin de combler cette possibilité d’entrée dans les différents ordinateurs via des procédés multiples. Une fois que le mal est fait, il très difficile de récupérer son appareil.

Une mise à jour à effectuer d’urgence

Cette faille a été jugée comme critique sur tous les systèmes d’exploitation Microsoft donc une mise à jour via Windows Update a immédiatement été mise en place afin de pallier à ce problème. Le risque sera toujours présent tant que l’utilisateur n’aura pas effectué cette correction à disposition mais certains d’entre eux ont tendance à repousser les mises à jour car elles bloquent l’accès à l’ordinateur pendant plusieurs minutes. Il faudra donc procéder le plus rapidement possible pour se protéger.

Il suffit de se rendre dans la partie Windows Update de son ordinateur et chercher cette mise à jour critique qui sera alors signalée en rouge. Il suffit de l’effectuer pour régler le problème. Pour les personnes qui ont configuré leur ordinateur pour des mises à jour automatiques n’auront pas à se soucier de cette manipulation car les mises à jour sont programmées à l’avance et se feront alors à l’heure indiquée, permettant à l’utilisateur de toujours posséder un ordinateur sécurisé.

Un accès au SSL 3.0 vivement déconseillé

Dans la même démarche de sécurisation des comptes des utilisateurs et de leurs données, Microsoft a jugé bon d’alerter sur l’utilisation de ce protocole de sécurisation des données qui a montré quelques signes de faiblesse. Il a donc été retiré pour les particuliers afin d’éviter un piratage de masse. L’accès a été laissé libre pour les entreprises, tout en mettant l’accent sur le fait que son utilisation met en péril les données les plus importantes d’une entreprise. Utilisé fréquemment pour la comptabilité, il laisse alors un accès aux comptes de l’entreprise, aux différentes transactions et par extension aux données bancaires de chacun d’entre eux.

Microsoft recommande vivement de passer à la version TLS 1.2 qui a été élaborée pour justement constituer une réponse plus appropriée. Comblant toutes les failles de sécurité observées sur les versions précédentes, il apparaît aujourd’hui comme le protocole de sécurité le plus performant. Dans le mesure du possible, Microsoft attire l’attention sur l’intérêt de se focaliser sur des applications web et des serveurs récents. Ils sont formulés pour lutter contre les attaques subies par les versions précédentes et constituent une barrière de protection.

Source illustration : Flickr.

Accédez maintenant à un nombre illimité de mot de passe :
Télécharger Mot de Passe

Que faut-il faire en cas de vol de mot de passe ?

Malgré toutes les protections prises, il est possible d’être victime du hacking et de constater que son compte de messagerie a été piraté. Dans ce cas de figure, il va falloir intervenir immédiatement afin de sécuriser de nouveau tous ses comptes utilisateurs en ligne et recommencer à utiliser Internet en toute sécurité.

1362845798_e9b738d834_z

Réinitialiser tous ses mots de passe

La première réaction à avoir est de se rendre sur chacun de ses comptes et changer immédiatement ses mots de passe afin d’éviter que le hacker puisse s’y rendre grâce aux informations qu’il va pouvoir récolter sur le premier compte qui a été craqué. Le fait d’avoir pu être piraté doit d’ailleurs alerter sur la valeur de son mot de passe. S’il a pu être trouvé aussi facilement, son taux de fiabilité était insuffisant. Pour les nouveaux de mots de passe, il va falloir procéder de façon différente afin de ne pas prendre le même risque.

Les nouveaux mots de passe qui vont être choisis devront être plus complexes pour éviter d’être de nouveau victimes. Si une cible a pu être atteinte une première fois, il y a de fortes chances qu’elle le soit encore à l’avenir donc il faudra prendre les devants. Un générateur de mot de passe pourra être d’un grand secours dans cette situation car il va permettre de créer très rapidement un grand nombre de combinaisons qui seront beaucoup plus développées que celles utilisées jusqu’alors. L’objectif est d’utiliser des moyens qui permettent très difficilement de parvenir à pirater de nouveau le compte d’une personne.

159273703_dd3410d401_z

Informer ses correspondants

Lorsqu’une adresse de messagerie ou un compte client a été piraté, il faudra rapidement en faire part à l’ensemble de ses contacts pour qu’ils n’envoient plus de mails à cette adresse jusqu’à ce que le compte soit de nouveau sécurisé. Si une faille a été trouvée chez une personne, sa liste de contacts personnels ou professionnels risque en effet d’être victime à son tour du hacking. Les informations qui sont disponibles en ligne peuvent être utilisées par les pirates pour parvenir jusqu’aux compte de messagerie des correspondants. Cet effet boule de neige est constaté dans bien des cas donc l’information le plus tôt possible est impérative.

Il est également vivement recommandé d’utiliser un autre compte de messagerie que celui qui a été piraté pour prévenir d’autres personnes de la situation. L’erreur est souvent commise par les particuliers qui changent de mots de passe et pensent immédiatement que leur compte est de nouveau sécurisé.  En agissant de la sorte, elles ouvrent une grande quantité de portails vers les comptes de messagerie des personnes averties. Il faudra absolument choisir une autre adresse mail pour procéder à cette étape afin de ne mettre personne en danger par un manque de protection. Une fois qu’une adresse mail a été piratée, il va falloir la tester de nouveau pendant plusieurs semaines avant d’être certain qu’elle redevienne complètement saine et la réutiliser pour ses échanges.

Crédits photo d’illustration : Flickr / https://www.flickr.com/photos/intelfreepress/8229504229/

Comment protéger son mot de passe des hackers ?

Sur internet, on peut absolument tout trouver. Mais tout, ça veut dire du bien, et du moins bien. Et, en l’occurrence, certains pirates n’hésitent pas à se servir de la candeur d’utilisateurs peu consciencieux sur leurs mots de passe. Il y a donc plus à perdre qu’à gagner s’il l’on ne prend pas un minimum de sécurité.

Les règles de base

Le plus simple n’est pas toujours l’ami du meilleur, surtout quand il s’agit de mots de passe. Evitons les mots de passe trop simples, comme ceux reprenant des séries de lettres ou de chiffres qui se succèdent sur le clavier.

Exit également les mots trop faciles à deviner, comme « azerty » ou « motdepasse ».
Ils font partie des plus essayés. De la même manière, les noms de famille, les dates de naissance, ou les noms de ville sont à proscrire.

Autre écueil à éviter ; utiliser le même mot de passe pour tous les services.
Une fois que le hacker aura trouvé un mot de passe, nous pouvons être certains qu’il l’essaiera sur tous les services aux quels nous avons accès. Evitons donc de lui faciliter la tâche.

La bonne solution

Dans l’idéal, un mot de passe complet doit comprendre des chiffres, des lettres et des signets. De plus, certaines lettres peuvent être écrites en majuscule. Si ce fait n’a aucune incidence sur nombre de services, ce qu’on appelle la casse des lettres est respectée pour les mots de passe.

Alors certes, « 3ftR(–éfGT », c’est difficile à retenir. Mais il est certain que notre voisin, ou notre ami désirant fouiller sur notre PC ne pourra parvenir à ses fins. De plus, c’est quand même plus intéressant si nous-mêmes sommes en mesure de nous souvenir de notre mot de passe.
D’autant qu’il faut recommencer l’opération pour de nombreux services.

Penser mnémotechnique

Le mieux est alors d’opter pour des petites phrases :

  • j’HabiteDansle44
  • JesuisNédansLe974
  • être37Avoir

Bref, il existe de très nombreuses possibilités, adaptables à chacun et très difficiles à trouver, pour qui que ce soit.

Maintenant, si un hacker de haut niveau veut vraiment savoir ce qu’il ya dans un PC et qu’il veut vraiment accéder à nos ressources en ligne, il y parviendra. Mais il faudrait pour cela qu’il soit déjà très bien informé sur ce qu’il vient chercher.

D’autre part, certains services, comme les services bancaires, sont très bien protégés par les établissements bancaires, mais d’autres restent plus légers. Quoiqu’il en soit, ce n’est pas très compliqué de trouver un mot de passe inviolable, alors autant faire l’effort et minimiser les risques.

Accédez maintenant à un nombre illimité de mot de passe :
Télécharger Mot de Passe

Qu’est-ce que le phishing ?

Faisant partie des méthodes de cybercriminalité, le phishing est une méthode qui consiste à attirer les internautes sur certains sites afin d’avoir une ouverture sur ses informations. Le but est de récolter des informations confidentielles pour s’en servir de façon frauduleuse. Cette méthode dite d’hameçonnage est une des menaces très présentes sur Internet.

4990832696_fa2cc79c93_b

Le mail dans lequel se trouve le piège

Pour fonctionner, le phishing s’appuie sur une méthode simple mais redoutablement efficace car il se base sur un mail attractif envoyé à un certain nombre d’internautes. Il ressemble parfaitement aux mails transmis par des correspondants habituels comme la banque, les administrations ou des sites commerciaux sur lesquels la personne concernée a l’habitude de faire ses achats. Ne se méfiant pas, le mail sera ouvert et le piège du phishing va pouvoir s’abattre grâce à une mécanique très précise qui fonctionne toujours de la même façon. La technique ne consiste pas à trouver une faille informatique mais plutôt compter sur la faiblesse ou l’excès de confiance humains qui va faire qu’ils vont pouvoir entrer dans le système de façon sournoise.

Ce mail copie parfaitement le mode de communication du modèle utilisé et contient un lien qui invite à mettre à jour ses informations. La plupart du temps, le but est de récolter les coordonnées bancaires donc il peut être demandé de les préciser, de les confirmer ou dans le cas de comptes de paiement en ligne de transmettre les identifiants et mots de passe de connexion avec un motif de mise à jour du système ou de meilleure qualité de service. L’internaute qui va répondre à cette demande verra alors ses données les plus confidentielles comme le lieu et la date de naissance récupérées par des pirates qui n’hésiteront pas à les utiliser à leur profit par la suite.

9162677329_61f9497ed6

Une opération de grande ampleur

Pour être sûrs d’atteindre un maximum de cibles, les fraudeurs qui s’adonnent au phishing vont envoyer chaque jour plusieurs milliers de mails à des adresses aléatoires donc il est courant de recevoir des messages émanant d’organismes inconnus. Le fait que la correspondance soit parfaite dans un grand nombre de cas et que l’internaute visé soit effectivement client des sites utilisés pousse à utiliser ce mode de hacking. Les internautes peu méfiants qui cherchent à savoir quel est le motif de ce mail sont également en danger car ils sont susceptibles de faire une correction des informations récoltées en transmettant leurs informations confidentielles.

En remplissant le formulaire mis à disposition, les cybercriminels récupèrent directement des données bancaires qui seront réutilisées pour faire des achats en ligne, pour transférer de l’argent sur des comptes bancaires à l’étranger ou pour usurper complètement une identité en récupérant des informations supplémentaires par la suite. Les risques sont donc très importants car il sera possible de faire des faux papiers à partir des informations complètes sur une personne donc le phishing est un problème réel et il est impératif que chacun en prenne conscience pour se protéger.

Crédits photo d’illustration : Flickr / https://www.flickr.com/photos/bankenverband/14568955953/

Accédez maintenant à un nombre illimité de mot de passe :
Télécharger Mot de Passe

Sécuriser les gestionnaires de mots de passe

Le logiciel NoCrack va bientôt être présenté pour montrer que les gestionnaires de mots de passe sont une façon très intéressante de stocker les mots de passe mais qu’ils sont relativement vulnérables aux attaques. Leur organisation est fragile car un seul mot de passe trouvé permettra de décoder toutes les données qui s’y trouvent.

2446175345_864096f299

Générer des mots de passe fictifs

Le système de fonctionnement de NoCrack réagit en fonction des attaques. Si un mot de passe erroné est entré pour pouvoir avoir accès à toutes les données contenues dans ce gestionnaire de mots de passe, il va offrir de faux mots de passe pour faire croire au pirate qu’il a atteint son but. Ce logiciel veut alerter sur le fait qu’en conservant tous ses mots de passe au même endroit, les risques sont d’autant plus importants car même s’ils sont cryptés, ils ne sont reliés qu’à un seul mot de passe qui conserve le tout.

Le hacking repose sur l’envoi d’une liste très importante de possibilités afin de trouver une correspondance. Plusieurs milliers de choix sont vérifiés en quelques minutes donc il est très facile de trouver le sésame pour récupérer tous les mots de passe. En entrant un mot de passe qui ne correspond pas, les pirates particulièrement habiles parviennent à savoir quelle est la source du problème et changent de stratégie pour finir par trouver un véritable moyen de craquer le mot de passe principal. Si le gestionnaire de mot de passe est considéré comme une évolution, il est impératif que cette possibilité soit accompagnée des moyens de protection plus adaptés.

4010965162_d30fea0560_b

NoCrack demande une saisie manuelle

Pour lutter contre le hacking, il ne sera plus possible de trouver quelle est la source du problème à la saisie d’un mot de passe puisque seuls des leurres seront envoyés aux personnes qui cherchent à entrer dans le gestionnaire de mot de passe. Le seul moyen de trouver le code d’accès véritable sera de tester une par une les possibilités trouvées. Pour le pirate, il s’agit d’une démarche longue et coûteuse qui devrait rapidement le décourager. NoCrack s’annonce donc comme un élément complémentaire à associer à son gestionnaire de mot de passe pour garder un haut niveau de sécurité.

Pour construire son programme, NoCrack s’est inspiré de Kamouflage en cherchant à l’optimiser car il présente certaines failles assez dangereuses. Pour atteindre un niveau supérieur, les chercheurs qui ont élaboré NoCrack se sont basés sur le même algorithme que celui utilisé par les hackers afin de pouvoir comprendre son fonctionnement et lutter contre lui de façon plus efficace.

Il va même plus loin en verrouillant l’accès des comptes jusqu’à ce que le véritable propriétaire procède à une modification de son mot de passe afin de lutter contre les attaques. De son côté, le pirate qui va se retrouver face à ce mur va comprendre qu’il ne lui est pas possible d’utiliser les méthodes classiques pour parvenir à récupérer les mots de passe des nombreux internautes.

Crédits photo d’illustration : Flickr / https://www.flickr.com/photos/so_wrong_its_kelly/4151529943/

Accédez maintenant à un nombre illimité de mot de passe :
Télécharger Mot de Passe