Archives pour la catégorie Sécurité

Ce hack LastPass Phishing peut pirater tous vos mots de passe.

Si vous voulez sécuriser votre monde en ligne, le mieux est d’avoir un mot de passe différent pour chaque site et service que vous utilisez et de vous assurer que chaque mot de passe est composé de caractères aléatoires au lieu de mots ou de chiffres familiers. Mais cela crée évidemment un problème : comment exactement sommes-nous censés nous souvenir de tous ces mots de passe compliqués ?

C’est là que les services de gestion de mot de passe comme LastPass entrent en jeu. Vous souvenez simplement d’un mot de passe sécurisé et le service se souvient du reste. Entrez le vrai mot de passe à la première fois, puis le service remplira automatiquement le mot de passe du site que vous visitez.

Cela semble sûr, non ?

LastPass a des mesures de sécurité solides qui empêchent quelqu’un d’être en mesure d’attaquer par la force votre compte et de déverrouiller votre mot de passe principal. Mais maintenant, grâce à de nouveaux sites d’hameçonnage astucieux, vous pourriez involontairement vous passer le mot de passe, ce qui signifie que tous les identifiants de connexion pour chaque service stocké sur LastPass pourraient être piraté.

LostPass : le clone de phishing LastPass qui pourrait tromper tout le monde.

Le développeur Sean Cassidy a créé un outil d’hameçonnage qui clone parfaitement l’invite de connexion LastPass et il a nommé l’outil LostPass . Il détecte quand LastPass est installé sur l’utilisateur, puis affiche un message «session expirée» sur le site d’hameçonnage qui vous invite à vous reconnecter à LastPass.

C’est là que LostPass devient vraiment méchant. Lorsque vous entrez votre nom d’utilisateur et votre mot de passe sur l’écran suivant, LostPass détourne immédiatement votre compte. Le nom d’utilisateur (adresse e-mail) et le mot de passe principal sont envoyés en amont du serveur de l’attaquant, de sorte que l’essentiel des dégâts soit déjà fait.

À ce stade, si vous avez activé l’authentification à deux facteurs sur votre compte LastPass, vous serez invité à entrer votre code de vérification. Comme avec le message « session expirée » et l’invite de connexion, cette interface est pratiquement identique à l’invite officielle de LastPass.

Maintenant LostPass a tout ce qu’il faut pour prendre le contrôle total de votre compte. Il utilise les informations de connexion et le jeton d’authentification à deux facteurs qu’il a volé pour créer une porte dérobée dans votre compte via la fonctionnalité « Contact d’urgence » de LastPass, puis définit le serveur de l’attaquant comme un périphérique sécurisé pour empêcher toute notification par courrier électronique. Pour le dire simplement, tous vos mots de passe sont maintenant compromis, et vous n’avez probablement aucune idée que cela vient de se produire.

Note : Comme Sean l’a déclaré sur son blog , « LastPass nécessite maintenant une confirmation par e-mail pour toutes les connexions de nouvelles adresses IP, ce qui atténue considérablement LostPass, mais ne l’élimine pas. » Donc, c’est une petite chance que vous pourriez être piraté, mais c’est toujours une chance s’il y a un hacker intelligent et persistant derrière son écran.

Comment s’assurer que vous ne vous faites pas tromper ?

LostPass fonctionne parce que c’est presque une réplique parfaite de l’interface officielle de LastPass, mais il y a quelques éléments distinctifs subtils. Selon que vous utilisez Chrome ou Firefox comme navigateur, il existe deux façons de détecter cette attaque de phishing.

Spotting LostPass sur Chrome

Si vous utilisez Chrome comme navigateur, repérer un site d’hameçonnage LostPass a un sens aigu. La seule vraie différence est dans la barre d’URL : l’adresse de l’invite de connexion LastPass commencera par chrome-extension si elle est légitime, mais elle commencera par chrome-extension.pw ou quelque chose de similaire, s’il s’agit d’une tentative d’hameçonnage LostPass.

Spotting LostPass sur Firefox

Une tentative d’hameçonnage serait un peu plus facile à repérer sur Firefox, puisque l’invite de connexion officielle de LastPass est une fenêtre flottante, alors que l’invite d’hameçonnage LostPass est intégrée dans la page Web. L’interface aura l’air pratiquement identique, mais si vous ne pouvez pas déplacer librement la fenêtre contextuelle, vous avez affaire à une tentative d’hameçonnage.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Eviter l’écran de connexion mot de passe sur Windows 8.

Il est bon de protéger votre PC par mot de passe pour vous assurer que vos fichiers personnels, vos dossiers et vos documents importants sont sûrs et ne peuvent pas être modifiés sans votre permission. Cependant, entrer le mot de passe tout le temps avant d’utiliser votre ordinateur peut vous agassez.

Ici, vous trouverez un moyen facile de contourner l’écran de connexion du mot de passe de telle sorte que Windows se rendra automatiquement sur le bureau sans vous demander d’entrer le mot de passe du système. Nous verrons également comment restaurer l’invite de mot de passe lorsque vous pensez que votre système n’est plus sûr.

Cette méthode fonctionnera avec Windows 7, Windows 8 et Windows 10.

Allez dans le menu Démarrer et sélectionnez « Exécuter » ou recherchez-le.

Une fois que vous avez sélectionné Exécuter, tapez netplwiz et appuyez sur Entrée. Cela lancera la fenêtre « Comptes d’utilisateurs » (sur les anciennes versions de Windows, cliquez sur « Panneau de configuration des comptes utilisateurs »).

Si vous y êtes invité, entrez votre mot de passe système.

Désactiver l’invite de mot de passe

Dans la fenêtre Comptes d’utilisateurs, décochez simplement l’option « Les utilisateurs doivent entrer un nom d’utilisateur et un mot de passe pour utiliser cet ordinateur ».

Une fois que vous avez cliqué sur OK ou sur Appliquer, vous devrez entrer à nouveau votre mot de passe pour que le paramètre fonctionne.

Vous êtes maintenant prêt et Windows ne vous demandera plus d’entrer votre mot de passe lorsque vous allumez, redémarrez ou vous connectez.

Comment rétablir l’invite de mot de passe

Si vous ne souhaitez plus utiliser cette fonctionnalité et que vous souhaitez récupérer votre écran de mot de passe Windows, vous pouvez le restaurer en répétant les étapes ci-dessus. Cette fois-ci, cochez la case de l’étape 2, que nous avons définie. sélectionné précédemment.

7 façons de se préparer à une attaque de cybersécurité.

Commencez par compter vos appareils, puis passez à ces autres étapes clés.

Les piratages de données, les attaques de phishing, la divulgation d’informations, Internet peut être un endroit effrayant. Réaliser un audit de cybersécurité (ou obtenir une évaluation par une tierce partie) est un excellent moyen de comprendre la posture de cybersécurité de votre organisation. Mais, comme pour préparer un examen ou une révision, se préparer à un audit de cybersécurité peut être intimidant. Bien que chaque évaluation de sécurité soit un peu différente, voici sept façons de vous préparer à votre prochain audit de cybersécurité.

# 1 : Comptez vos appareils

Comment pouvez-vous protéger quelque chose si vous n’êtes pas au courant qu’il existe ? La première étape pour tout bon plan de sécurité consiste à compter chaque périphérique connecté à votre réseau. Veillez à inclure non seulement les ordinateurs de bureau et les ordinateurs portables, mais également les téléphones portables, les imprimantes ou les systèmes de sécurité intégrés à votre réseau. Créer un inventaire de périphérique peut être difficile au début, mais une fois que vous avez terminé, vous aurez une image réelle de ce que vous êtes responsable de la sécurisation. Assurez-vous de maintenir votre inventaire en le mettant à jour lorsque de nouveaux appareils sont ajoutés ou supprimés, il n’y a donc pas de surprise lors de votre évaluation.

# 2 : Vérifiez ce qui fonctionne

Une fois que vous avez terminé l’inventaire d’un appareil, il est temps de faire la même chose pour les applications de logiciel et de micrologiciel. Découvrez ce qui s’exécute exactement sur chaque machine de votre réseau et ce qui doit réellement être exécuté pour exécuter les fonctions métier. Vous pouvez utiliser l’inventaire de votre appareil pour créer une liste de logiciels limitée et approuvée, approuvée pour l’exécution (appelée «liste blanche d’applications»). La liste blanche des applications peut empêcher les utilisateurs de télécharger et d’utiliser des logiciels en dehors de ce qui est nécessaire pour les applications métier.

# 3 : Appliquer le principe du moindre privilège

Le « principe du moindre privilège » est un concept de sécurité informatique précieux. Essentiellement, il favorise les privilèges de profil utilisateur minimal (par opposition à l’accès au niveau de la racine ou de l’administrateur), en fonction du rôle de l’utilisateur ou de ses fonctions. Ajuster les privilèges de l’utilisateur peut sembler limitatif au début, mais cela contribue grandement à empêcher le téléchargement et l’installation d’applications indésirables. Il entre également en jeu lorsqu’une machine a été compromise. Si un cyber-criminel obtient un accès non autorisé à une machine avec des privilèges limités, il sera capable de faire beaucoup moins de dégâts que si le système compromis avait des capacités au niveau de l’administrateur.

# 4 : Implémenter des configurations sécurisées

Les systèmes d’exploitation, les navigateurs et même les imprimantes sont tous dotés de divers paramètres qui doivent être configurés en tenant compte de la sécurité. En fait, un seul système d’exploitation peut avoir des centaines de paramètres à choisir, couvrant des choses comme les exigences de longueur de mot de passe, les ports qui sont ouverts et quand les utilisateurs sont autorisés à se connecter. Les Benchmarks CIS, des normes de configuration sécurisées basées sur le consensus pour plus de 150 technologies différentes, sont disponibles en téléchargement gratuit au format PDF.

# 5 : Patch, patch, patch !

À mesure que de nouvelles vulnérabilités sont découvertes, les fournisseurs publient des mises à jour (ou «correctifs») pour combler les failles de sécurité et rendre les applications plus sécurisées. Les cybercriminels recherchent des gains faciles et des fruits à portée de main, il est donc essentiel d’appliquer les correctifs au fur et à mesure qu’ils sont libérés afin de sécuriser vos systèmes. Un réseau entièrement patché impressionnera tout auditeur. Lorsqu’une application atteint la fin du support (parfois appelée fin de vie), le fournisseur arrête de libérer des correctifs. C’est à ce moment que vous savez qu’il est temps de passer à une version plus récente ou de trouver un autre logiciel pris en charge.

# 6 : Développer un plan de réponse aux incidents

Que se passe-t-il s’il y a une violation de données dans votre organisation ? Les employés savent-ils quoi faire s’ils repèrent (ou pire, deviennent la proie d’un courriel de phishing ? Surprenez votre auditeur en lui montrant que vous êtes prêt pour l’attaque éventuelle de vos systèmes. Les composantes de la planification de l’intervention en cas d’incident comprennent l’évaluation des risques, les tests de pénétration et la formation des employés. Vous devrez peut-être rédiger des stratégies écrites pour indiquer aux employés ce qu’ils doivent faire dans diverses situations, par exemple s’ils reçoivent un courrier électronique suspect, s’ils téléchargent accidentellement un fichier malveillant ou repèrent une menace interne.

# 7 : Utiliser les ressources disponibles

Ne laissez pas l’idée d’un audit de cybersécurité vous submerger. Profitez des outils qui peuvent faciliter ce processus du début à la fin. Des membres comme CIS SecureSuite fournissent un ensemble de ressources qui peuvent vous aider à analyser des systèmes et à produire un rapport sur la conformité d’un système, à implémenter rapidement des configurations sécurisées et à vous connecter avec d’autres experts en cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Comment rendre vos emails plus sécurisé ?

Gardez vos messages à l’abri des regards indiscrets.

Alors que les applications de messagerie instantanée deviennent un moyen de communication électronique de plus en plus populaire, le courrier électronique ne sera bientôt plus disponible. Environ 270 milliards d’emails ont été envoyés en 2017 et ce nombre devrait atteindre environ 320 milliards d’ici 2021.

Malgré le fait que pour accéder à votre compte e-mail, vous devez fournir votre nom d’utilisateur et votre mot de passe (bien que Yahoo ait essayé d’augmenter la sécurité en permettant aux utilisateurs de remplacer le mot de passe par une clé de compte) il fait parti des moyens de communication les moins sécurisés et il a été comparé à l’envoi d’une carte postale. En fait, n’importe qui sur le chemin qui est intéressé peut lire le contenu d’un message.

En fait, les comptes de messagerie ont été piratés tellement de fois à ce stade qu’il y a un site Web que vous pouvez consulter pour voir si vous apparaissez sur une liste de comptes piratés.

Les comptes de messagerie en général sont tout le contraire de privé. Cela vient du fait qu’un email n’est pas une communication directe, mais passe par plusieurs intermédiaires. Un message électronique unique est transmis à plusieurs serveurs, y compris aux FAI concernés, ainsi qu’au client de messagerie, avec plusieurs copies du message stockées sur chaque serveur et d’autres copies sur l’ordinateur de l’expéditeur et du destinataire; donc même quand un email est supprimé, il y a encore beaucoup de copies.

Enfin, selon le FindLaw, les comptes de messagerie sont parmi les plus faciles d’accès des employeurs et des forces de l’ordre aux États-Unis, ils perdent leur statut de communication protégée après 180 jours, leur permettant d’être produits sur simple demande.

L’e-mail commence à montrer son âge, en effet, le premier e-mail a été envoyé en 1971 et ses différents défauts de sécurité suffisent à envoyer aux utilisateurs des moyens de communication alternatifs plus modernes. Cependant, avec quelques ajustements, votre email peut être plus sûr.

1. Protection par mot de passe

Le premier point faible est, bien sûr, le mot de passe et avec des exemples comprenant ‘1’, ‘P @ ssw0rd’ et ‘x’ figurant sur une liste de 10 mots de passe communs, il n’est pas surprenant que certains comptes soient facilement piratés. Les utilisateurs tombent également dans le piège de l’utilisation des mêmes noms d’utilisateur et mots de passe pour plusieurs comptes, ce qui peut entraîner le piratage d’un piratage de plusieurs comptes. Nous devons intensifier notre jeu.

Assurez-vous de choisir des mots de passe plus longs et plus forts. L’utilisation d’un logiciel de mot de passe qui peut générer automatiquement ces mots de passe peut vous aider. En outre, acceptez que le fait de s’appuyer uniquement sur les mots de passe est intrinsèquement non sécurisé et veillez à activer l’authentification à deux facteurs. Cela devrait idéalement se faire via une application et pas seulement via SMS pour éviter d’être victime de l’usurpation de la carte SIM. Comme mentionné ci-dessus, Yahoo donne aux utilisateurs la possibilité de laisser tomber le mot de passe complètement et fournit maintenant un mot de passe à usage unique sur demande via son application mobile pour une sécurité renforcée.

2. Mesures générales

Les utilisateurs doivent comprendre que l’email n’est tout simplement pas une communication privée. Cela vaut deux fois pour les courriels de travail, qui appartiennent à votre employeur et qui peuvent être inspectés lorsqu’ils traversent le réseau et les serveurs d’une entreprise.

Veillez à toujours confirmer qu’une réponse est envoyée à une véritable adresse e-mail et non à une variante de spam. Assurez-vous également de bien choisir entre « Répondre » et « Répondre à tous » lorsque vous répondez à un e-mail de groupe.
Bien que le courrier électronique soit pratique, multiplate-forme et utilisé par à peu près tout le monde, il vaut la peine de considérer si une autre méthode de communication peut être plus sécurisée. Certaines applications de messagerie instantanée ont abordé le problème de la confidentialité des messages, les options incluent TextSecure pour Android et Signal pour le camp iOS.

Cependant, même avec des applications cryptées, il peut y avoir des problèmes; l’application de messagerie populaire, Telegram, qui utilise un cryptage 256 bits, a récemment été retirée de l’App Store d’Apple en raison de préoccupations concernant la distribution de pornographie juvénile, bien qu’elle ait été rétablie par la suite. Même Facebook Messenger permet d’envoyer des messages cryptés, et ils sont également définitivement supprimés afin de ne laisser aucune trace.

3. Utilisez un VPN

Une autre option à envisager est un VPN, qui crée un «tunnel» crypté vers un autre serveur, où les données sont déchiffrées avant d’être envoyées sur Internet. Cependant, bien que la principale raison d’un VPN soit la confidentialité et que vos e-mails soient sécurisés par votre FAI, votre client de messagerie aura toujours une copie non cryptée, ce qui ne garantit qu’une sécurité limitée.

4. Chiffrement d’email

La meilleure stratégie pour garder votre email privé est de le crypter directement dans certains cas, le client de messagerie que vous utilisez déjà peut le faire en coulisse.

GMail propose le cryptage comme paramètre par défaut depuis 2014 pour les utilisateurs qui écrivent via les applications Google ou sur son navigateur Chrome. Toutefois, les e-mails ne sont pas cryptés si un autre navigateur est utilisé ou si le destinataire a une adresse autre que GMail. Cette méthode a donc ses limites. Là encore, Google est devenu le Big Brother de l’Internet et est connu pour lire les messages des utilisateurs, tout cela au nom de leur ciblage avec des publicités plus pertinentes; il y a la vie privée et il y a la notion de confidentialité de Google.

Le client de messagerie de Microsoft, Outlook, offre également une option de chiffrement. L’expéditeur et le destinataire doivent tous deux échanger des signatures numériques, notamment le certificat et la clé publique. La signature numérique comprend également une identification numérique, qui confirme l’authenticité de l’expéditeur. Toutefois, cela ne fonctionne pas sur Outlook.com, ni sur l’application Windows Mail.

Certains services de messagerie électronique ont été conçus pour offrir le cryptage. Un exemple d’un libre est le Tutanota open source, qui propose des applications mobiles pour iOS et Android ainsi que des e-mails par navigateur. L’inconvénient est que les personnes auxquelles vous envoyez des e-mails devront soit avoir un compte e-mail sur la même plate-forme, soit devront fournir un mot de passe pour déchiffrer chaque e-mail.

Une autre stratégie de confidentialité consiste à ne pas utiliser une adresse e-mail permanente et à utiliser à la place une adresse jetable. Le fournisseur de messagerie MailDrop propose des adresses libres à cette fin. Les utilisateurs ont le choix entre créer leur adresse, ou permettre à MailDrop de leur donner une adresse aléatoire – nous avons eu startingsibilation@maildrop.cc lors d’une visite récente. Il n’y a pas d’inscription ou de mot de passe, ce qui le rend idéal pour envoyer un email à un destinataire non sécurisé, mais pas pour recevoir du courrier.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Quelques façons de rendre votre smartphone invulnérable face aux hackers.

Être victime de la cybercriminalité est la pire chose que tout utilisateur de smartphone voudrait éviter pour lui-même.

Cependant, de nombreux conseils sont disponibles pour vous aider à garder votre smartphone en sécurité.

Voici quelques conseils pour aider à garder votre smartphone contre le piratage :

1. Prenez note du type d’applications que vous installez

Lorsque vous installez une application pour smartphone, il peut vous être demandé de lui accorder diverses autorisations, notamment la possibilité de lire vos fichiers, d’accéder à votre caméra ou d’écouter votre micro.

Il existe des utilisations légitimes de ces fonctionnalités, mais elles sont potentiellement ouvertes aux abus.

2. Vérifiez ce qui est déjà sur votre téléphone

Passez en revue toutes les applications sur votre smartphone et consultez les autorisations utilisées: sur iOS, vous trouverez de nombreuses informations pertinentes sous Paramètres et Confidentialité.

Android vous permet également d’installer des applications provenant de sources tierces. Cependant, essayez d’éviter d’installer des applications à partir d’un site Web inconnu.

3. Assurez-vous d’avoir un détecteur de virus

Il existe de nombreux types d’applications de sécurité tels qu’Avast et McAfee que vous pouvez utiliser.

Ces outils peuvent également vous avertir si vous essayez d’installer une application connue pour être malveillante et vous avertir si une attaque de type « phishing » tente de vous inciter à entrer un mot de passe dans une application qui n’est pas fiable ou une page web.

4. Utilisez vos options de sécurité

Assurez-vous que votre téléphone est toujours verrouillé lorsqu’il n’est pas utilisé.

Votre appareil offrira différents types d’options de sécurité, comme un lecteur d’empreintes digitales, une reconnaissance faciale ou un mot de passe.

5. Ne laissez pas les services en ligne déverrouillés

De nombreuses personnes utilisent la connexion automatique pour éviter d’avoir à taper leur mot de passe en permanence lors de la connexion à une application.

Cependant, lorsque vous utilisez la connexion automatique, vous donnez à un pirate l’avantage d’avoir accès à tous vos comptes en ligne. Utilisez une application de gestion de mot de passe qui vous oblige à entrer régulièrement un mot de passe principal.

Essayez de ne pas utiliser le même mot de passe pour toutes vos applications. Les pirates utilisent les services en ligne pour dérober les informations d’identification de l’utilisateur, qu’ils utiliseront sur d’autres sites Web.

6. Soyez prêt à suivre et à verrouiller votre téléphone

Planifiez à l’avance, donc même si votre téléphone est volé, vous savez que vos données sont en sécurité. Vous pouvez configurer votre téléphone pour qu’il s’efface automatiquement après un certain nombre de tentatives incorrectes de saisie du mot de passe. Si vous possédez un appareil Apple ou un appareil Android, vous devrez utiliser Google et utiliser le service « trouver mon appareil ».

Ce service vous aidera à localiser votre téléphone sur une carte et vous permettra de verrouiller l’appareil ou d’effacer les données qu’il contient.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage