Archives par mot-clé : bug

L’Open Source Security Foundation : mieux vaut tard que jamais

Il a plusieurs fois été mis sur la table la difficulté de pouvoir travailler de sorte à optimiser la recherche de bug dans le domaine de l’Open Source.

L’idée de création d’une Open Source Security Foundation est la plus attendu de tous car cela permettra d’organiser au mieux le travail de recherche de bug sur les logiciels Open Source.

Cet article va aussi vous intéresser : Open Source : ces failles de sécurité qui passent inaperçues au détriment de la communauté

L’arrivée de l’initiative de la Fondation pour la sécurité de l’Open Source mets au cœur de tous les projets la cybersécurité. Si le projet a été établi depuis longtemps, on a du mal à comprendre pour quelle raison il a fallu autant de temps pour le réaliser. Malheureusement, cette durée de la tendance a facilité le fait que les attaquants puissent exploiter les bugs dans les applications Open Source, dans OpenSSL, Apache Struts et plusieurs autres projets du même genre, dont la sécurité a été négligée.

D’où le regret que l’initiative de la création de la Fondation ait pris autant de temps. L’heure est de combiner les efforts pour protéger le logiciel libre. Et cela relève de la responsabilité de chaque entreprise.

Si l’initiative prend vie en 2020, il faudrait alors l’encourager. La construction fragmentée de l’Open Source a beaucoup plus crée sa vulnérabilité. Selon qui Kim Lewandowski, chef de produit sur Google, par ailleurs un membre du conseil d’administration de l’OpenSSF : « nous dépendons tous de l’open source, et il n’y a aucune raison que chacun essaye de résoudre ce problème individuellement ou selon des modalités en silo ». S’il est clair que sa vision est totalement juste, l’on se pose la question de savoir pourquoi avoir autant attendu.

On le rappelle, le principal problème de l’Open Source c’est sa sécurité qui n’est pas limitée à une seule entreprise. Par exemple, si une banque utilise un logiciel Open Source, il est clair qu’elle est en droit de demander que ce logiciel soit sécurisé. Cependant, il est clair que la sécurisation coûtera le paiement d’une certaine somme. Ce qui est totalement contraire aux principes même de l’Open Source, payer pour utiliser une application. Le problème se pose pour presque toutes les entreprises et compris le géant américain Google qui le même contribue généralement la production de logiciel Open Source et les utilisent beaucoup. « Google ne va pas réécrire tous les logiciels open source disponibles aujourd’hui sur Internet, et que nous et nos clients utilisons », explique l’agent de Google, Kim Lewandowski.

Même si Google se donnait les moyens, il ne pourra pas véritablement atteindre l’objectif de ce genre en cas l’univers de l’Open Source est très vaste et continue malgré tout de suite tendres encore plus. Au mieux, il pourra faire son mieux pour corriger la vulnérabilité de OpenSSL ou Apache Struts. Bref, une seule entreprise, peu importe sa force ne peux pas résoudre ce problème seul. Trop de diversité, trop de besoins différents, trop de projets différents. Ce qui rend la résolution d’un problème assez complexe et même avec les moyens financiers disponibles, cela reste quand même une gageure. « Il s’est trouvé des cas où certaines personnes chargées de la maintenance d’un projet refusaient soit d’être payées, soit simplement de s’impliquer dans des modifications dont nous avions besoin ».

Pour les outils de sécurité plusieurs projets du secteur de l’Open Source ont besoin d’être épaulé. Cet aspect censé être prise en charge par la Fondation pour la sécurité de l’Open Source, Histoire d’aider des fondations qui sont déjà en charge, De ce genre de contrôle tel que la Cloud Native Computing Foundation (CNCF) ou d’autres organisations. « Certains audits sont excellents et ont permis de découvrir beaucoup de choses, mais si l’auditeur ne va pas au bout de l’audit, les projets peuvent se retrouver bloqués avec une montagne de corrections en suspens », note Kim Lewandowski. Elle ajoute par ailleurs qu’il arrive parfois que « les gens se contentent aussi de corriger des bogues, juste pour réussir l’audit ou en quête de solution rapide, mais sans résoudre le problème de sécurité sous-jacent ».

Le véritable problème actuellement et de pouvoir rassembler toute une communauté autour d’un but commun. L’identification et la résolution des problèmes de sécurité. Comme l’explique le chef de produit de Google : « l’OpenSSF envisageait actuellement différentes modalités pour inciter les contributeurs à résoudre les vulnérabilités de sécurité, même s’il est probable que cela ne sera pas forcément plus simple. Par exemple, certaines entreprises sont prêtes à apporter l’expertise de leurs ingénieurs pour aider à corriger les bogues, ce qui est une bonne chose. Mais l’OpenSSF peut-elle les tenir responsables de ces modifications ? Par exemple, si un certain nombre d’entreprises, membres de l’OpenSSF, engagent chacune cinq ingénieurs, comment faire preuve de responsabilité pour que tous ces ingénieurs fassent exactement ce que nous attendons qu’ils fassent au sein de la Fondation ? Ce sont des problèmes difficiles, et nous avons besoin d’une aide supplémentaire pour cela ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un site internet spécialement dédié au bug de sécurité de WhatsApp

Une aubaine pour les utilisateurs et les chercheurs en cybersécurité d’avoir une meilleure visibilité de la chance.

Dorénavant la nouvelle page web de WhatsApp offre une grande visibilité sur les travaux menés par les ingénieurs de Facebook, au niveau de la réparation des failles de sécurité majeure ou même mineures.

La page a été nouvellement lancée par Facebook, il y a quelques semaines de cela. Objectif : lister toutes les feuilles de sécurité qui ont été identifiées et corrigées par l’équipe chargée de la sécurité du réseau social américain. Comment le sais, la maison mère de WhatsApp c’est-à-dire Facebook, publie très régulièrement des notes WhatsApp sur les pages Google PlayStore et iOS. Malheureusement, ces notes de descriptions ne sont pas assez exhaustives en ce sens que plusieurs détails manquent en ce qui concerne la présentation des failles de sécurité qui ont été corrigées. La description générale souvent laissé par Facebook sur la question est « corrections de sécurité ».

Pour expliquer sa nouvelle tendance, le géant américain souligne le fait que cela est « dû aux politiques et aux pratiques des boutiques d’applications ». Il espère néanmoins que la nouvelle page pourra fonctionner comme un journal de bord qui aura pour objectif principal d’apporter plus d’éléments la sécurité des utilisateurs qui s’intéressent à la question de sécurité sur le plan pratique de l’application. Pour ce qu’il en est des détails qui seront publiés sur la nouvelle page, le réseau social signifie que les visiteurs auront accès à une description brève de la faille détectée ainsi qu’une identifié liés au Bugue ou à la faille de sécurité critique, et si cela a été découvert (CVE).

Pour ce qui concerne les identifiants de critiques qui seront publiés sur la page, le réseau social mentionne qu’ils sont essentiellement destinés au chercheur en sécurité informatique qui veulent s’en servir dans leurs recherches ou dans leur tentative d’exploitation. Ou encore pour les entreprises qui veulent s’en servir pour émettre des alertes liées à la sécurité de leur clientèle.

Facebook ajoute par ailleurs que les bugs listés ou qui serons listés par la suite n’ont pas essentiellement a été utilisés par des potentiels cybercriminels. Il pourra aussi bien s’agir de certaines failles découvertes en interne lors des différents processus de contrôle. Par ailleurs la présence d’une faille de sécurité signifie qu’elle a été déjà corrigée par les services de Facebook. Dans ce contexte, la nouvelle page sert en quelque sorte de moyen d’avertissement en ce sui concerne le fait de toujours tenir son application WhatsApp à jour, pour se protéger d’éventuelles attaques informatiques.

Par ailleurs, si la nouvelle page de WhatsApp sert à publier les failles de sécurité ainsi que les avis portant sur les bugs découverts selon le moyen employé, il n’en demeure pas moins qu’avant leur publication, Facebook promet d’informer tous les développeurs, fabricants et bibliothèques le système d’exploitation ou d’applications pour mobile. « Nous sommes très attachés à la transparence, et cette ressource est destinée à aider la communauté technologique au sens large à bénéficier des dernières avancées dans nos efforts de sécurité », souligne Facebook. « Nous encourageons vivement tous les utilisateurs à s’assurer qu’ils gardent leur WhatsApp à jour depuis leur magasin d’applications respectif, et qu’ils mettent à jour leur système d’exploitation mobile dès que des mises à jour sont disponibles. » conclut le réseau social.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ces hackers qui gagnent beaucoup d’argent… légalement

Il existe une catégorie de pirates informatiques qui se fait beaucoup d’argent tout en restant dans la limite de la légalité.

Ils sont appelés généralement les pirates éthiques ou encore les pirates au chapeau blanc (White Hat en anglais). Leur travail est très simple mais en même temps compliqué. En effet ils sont généralement engagé par des structures privées et publiques pour déceler des vulnérabilités dans les systèmes informatiques ou dans des programmes et logiciels avant que cela ne soit par des pirates malveillants, qui sont appelés les pirates au chapeau noir.

« J’ai découvert que je pouvais exploiter le code et même supprimer une vidéo téléchargée par Mark Zuckerberg si je le voulais » expliquait Pranav, un pirate éthique vivant dans la ville indienne de Pune, à la chaîne BBC. ce jeune pirate informatique a été récompensé par un chèque à 5 chiffres après avoir révélé ce bug au groupe Américain Facebook, via son programme de bug Bounty. La notion de bug Bounty signifie la chasse aux faille de sécurité, qui est quelque chose de très tendance de nos jours. Presque toutes les grandes structures privées et publiques ont un jour procédé, ou procèdent continuellement à ce genre de programme. Et avec une industrie du numérique en pleine croissance cela ne risque pas de s’arrêter de s’arrêter de si tôt. cela crée de l’emploi et il faut l’avouer, la majorité des chasseurs de faille de sécurité sont en majorité jeune. La tranche d’âge part de 18 à 29 ans, et les récompenses peuvent aller jusqu’à des millions de dollars. Cependant il faut noter quelque chose d’important, les primes varient selon les entreprises qui proposent ces chasses de prime et la nature de la faille découverte. Dans ce contexte, certains en font même leur source de revenu principale. « Les primes sont la seule source de revenu pour moi » dit Shivam Vashisht, une pirate éthique vivant dans le nord de l’Inde qui s’est fait plus de 125 000 $ l’année dernière l’an dernier. « Je pirate légalement les plus grandes entreprises du monde et je suis payé pour ça, ce qui est amusant et stimulant. ».

Par ailleurs, une grande partie de ces pirates informatiques sont soit des autodidactes ou ont appris le piratage par la pratique courante. « J’ai passé de nombreuses nuits blanches à apprendre le piratage et le processus d’attaque des systèmes. J’ai même abandonné l’université en deuxième année. ». De là il était plus simple pour ce jeune de transformer ses compétences en informatique en une activité qui pourrait lui rapporter beaucoup d’argent. Il n’est pas seul dans ce cas. Un autre pirate américain du nom de Jessy Kinser écrivait ceci : « Mon intérêt pour le piratage a pris son envol à l’université lorsque j’ai commencé à faire beaucoup de recherches indépendantes sur le piratage mobile et la criminalistique numérique  (…) Au cours d’un projet, j’ai trouvé un moyen d’introduire des applications malveillantes dans la boutique d’applications Android sans détection. »

Il est démontré très clairement que les programmes de prime suite à la découverte de faille de sécurité a joué un rôle très important dans leur motivation. « Ces programmes constituent une alternative légale pour les personnes qui, autrement, seraient enclines à se livrer aux activités néfastes de pirater un système et de vendre ses données illégalement. », affirme Terry Ray, directeur de la technologie de la Firme Imperva, spécialisée dans la sécurité des données.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Le bug sur la caméra des smartphones Android. Une question de sécurité qui continue de faire du tumulte

Depuis un certain moment, il est révélé dans la presse qu’il y aurait un défaut sur les caméras de certaines marques de smartphones tournant sous Android.

Ce même problème qui avait été découvert durant le mois de juillet et corrigé depuis lors serait toujours d’actualité. Il y aurait il une explication à problème ?

vous l’avez sûrement appris, il existerait un défaut de conception sur l’application Google caméra, défaut qui permettrait, à toute personne intéressée ou mal intentionnée de « détourner votre appareil photo Android pour vous espionner ». la faille a été découverte par une entreprise spécialisée dans la cybersécurité plus précisément la sécurité des logiciels, dénommé Checkmarx.

Cet article va aussi vous intéresser : xHelper, le virus pour terminaux Androïd qui fait parler de lui

Elle l’a publié dans un post mis en ligne le 19 novembre. Alors la fameuse question a été posée par plusieurs utilisateurs « Alors, est-ce que vous devez dès à présent mettre un bout de ruban adhésif au recto et au verso de smartphone, afin d’éviter un mésusage de l’une des deux caméras ? » la réponse est simple même si la question semble assez ironique.

Il n’est pas nécessaire d’utiliser l’adhésif dans ce cas, car un correctif de sécurité avait été publié pour ce problème depuis le mois de juillet dernier, correctif mis à la disposition de tous les smartphones qui avaient été affectés par le défaut. toutefois on se pose la question de savoir comment est-ce que une faille corrigée continue de persister ? Surtout quand on sait que c’est une faille qui aurait pu être exploitée à des fins malveillantes. Selon la description faite par Checkmarx, le défaut dont on part à d’ici permet de : « contrôler l’application pour prendre des photos et/ou enregistrer des vidéos via une application malhonnête qui n’a pas les permissions de le faire ».

Ce qui a légitimé le fait l’entreprise de sécurité israélienne et la firme américaine à l’origine de Google caméra, c’est-à-dire Google bien sûr, se sont entretenues tout au long du mois de juillet afin de trouver une solution à ce problème. Google a pris automatiquement au sérieux cette trouvaille fait par l’entreprise israélienne, car non seulement il a classifiée cette faille au rang d’alerte de niveau modéré, ensuite l’a rehaussé à un niveau plus élevé. les échanges ont bien sûr permis de découvrir, que les failles de sécurité touchaient aussi les smartphones de Google, donc le pixel 2 et le pixel 2 XL. du côté des constructeurs tiers utilisant le système d’exploitation Android, le soupçon de la société de sécurité israélienne a été confirmé par Google Suite à une analyse menée durant le début du mois d’août.

À partir de là, différents constructeurs ont été prévenus de la faille de sécurité. Parmi toutes les entreprises, seul Samsung a confirmé avoir été touché par la vulnérabilité. Le correctif de sécurité n’a pas duré avant que Google ne le mettent à disposition des modèles de smartphones touché. Selon le porte-parole de la société : « Le souci a été traité sur les appareils Google impactés via une mise à jour de l’application Google Caméra sur le Play Store en juillet 2019. Un patch a également été mis à la disposition de tous les partenaires ».

Mais pour publier sa découverte, la société israélienne de cybersécurité devait attendre le feu vert de Google et de Samsung. L’autorisation qui lui a été donné seulement que durant le mois de novembre. C’est pour cette raison en partie que cette affaire est autant d’actualité. Deuxièmement, certaines personnes possèdent les smartphones concernés par la faille de sécurité, et n’ont pas jusqu’à présent eu l’idée ou encore la bienveillance d’exécuter la recommandation de mettre à jour leur système. C’est pourquoi la vulnérabilité persiste encore dans leurs smartphones.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



7 conseils à adopter pour un ordinateur plus sûr

Si vous trouvez que votre ordinateur bug de temps en temps, il se peut que vous ne prenez pas assez soin de lui ou encore peut-être qu’il a été exposé à des programmes malveillants.

Alors dans cet article, nous allons vous donner quelques astuces pour rendre votre vous aider à avoir un ordinateur plus performant et plus sûr.

Vous aimerez aussi : Les logiciels malveillants qui mettent notre sécurité informatique en péril

1. Démarrer correctement votre ordinateur

Si vous l’avez constaté, certains programmes commencent à s’ouvrir automatiquement dès l’instant que vous allumez votre ordinateur. Cela peut-être des programmes utiles ou pas. Parmi ces programmes il y a souvent des logiciels malveillants. vous devez vous assurer que n’importe quelles applications ne s’ouvre lors du démarrage. Cela est vital. Sinon vous risquez de laissez un programme malveillant tourné sans ménagement. Allez dans les paramètres, et restreignez le nombre d’applications qui s’ouvrent dès le démarrage.

2. Fermer les applications lorsque vous ne les utilisez plus

Vous devez avoir cette habitude. En effet, laissez les applications ouvertes pour rien pourrait affecter la compétence de votre ordinateur. Mais aussi vous vous exposez à une potentielle attaque. Alors vous les fermez quand vous finissez de les utiliser. Ça crée de l’espace dans votre mémoire vive de l’ordinateur, donc ralenti moins le terminal.

3. Effacer constamment les fichiers inutiles

Les fichiers inutiles sont affichés dans la dans des dossiers plus ou moins cachés votre ordinateur. ils occupent de l’espace mais aussi vous exposent. Certains fichiers sont corrompus, ou malveillants. Surtout dans vos fichiers de téléchargements. Faites d’une pierre deux coups, débarrassez-vous en.

4. Installer un seul antivirus

Il est vrai que les antivirus ont pour objectif de protéger votre ordinateur, cependant ne vous leurrez pas. Deux antivirus sur l’ordinateur n’augmenteront pas votre sécurité, au contraire vous serez plus vulnérables car il y a de forte chance que ces programmes se combattent. Par ailleurs deux antivirus ne feront que ralentir ordinateur.

5. Nettoyer souvent le navigateur

Au bout d’un certain moment, vous devez supprimer votre historique ainsi que toutes les données de navigation qui sont stockés. L’idée est de le rendre un peu plus performant, mais aussi de vous protéger en cas de présence de programme malveillant ou de programme de tracage.

6. Faites la chasse aux intrus

Vous devait constamment être à l’affût. Faites attention aux programmes qui apparaîtront subitement sur votre ordinateur ou qui s’ouvrent dès le démarrage. Si jamais vous recevez un email indiscret ou un pop-up vous demandant de faire une vérification ou une réparation, soyez vigilant et ne vous laissez pas prendre. Lancer constamment des anti programme malveillant, scanner les dossiers part à part et effacer toujours les fichiers qui sont double. Les programmes dont les extensions vous semble suspicieuses débarrassez-vous en ou consulter un expert.

7. Assurer vous d’avoir la corbeille toujours vide

Effectivement quand bien même vous effacerez bon nombre de fichier, ce n’est pas dans tous les cas qu’ils disparaissent totalement. La corbeille est là pour ça. Donc si vous vous débarrasser de certains fichiers qui vous semblent suspects ou dangereux, dans la corbeille, supprimer les définitivement. Sinon ça ne servira à rien.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage