Archives de catégorie : Hacking

L’actualité lié au Hacking

Hacking

Action malveillante possible pour BeatsByDrDre

Action malveillante possible pour BeatsByDrDre La marque hi-fi, Beats (le fameux b) souffre d’un problème de sécurité sur son site Internet qui pourrait nuire à ses visiteurs/clients. C’est Mazaki, un lecteur, qui nous a alerté sur le sujet. La vulnérabilité, une XSS, un cross-site scripting. L’idée de cette faille, provoquer un enchainement d’actions malveillantes à partir d’un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr datasecuritybreach.fr) ou directement stocké sur le site incriminé par la faille (XSS permanent), le pirate peut orchestrer différents types de piratages.

Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout « simplement » via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran, mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l’ordinateur de l’espace visité. Il est aussi possible, dans certains cas, d’accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d’avril sur zatazweb.tv, le Cross-Site Scripting n’est pas à prendre à la légère. Notre cas du jour, vise donc B. Le protocole d’alerte de ZATAZ a été déclenché au sujet de cette potentialité malveillante. En attendant une hypothétique correction, datasecuritybreach.fr vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail de Beats. Préférez taper directement, dans votre navigateur, l’url concerné.

Une correction ? Il existe moult méthodes pour éviter un XSS. Nous vous passerons l’utilisation d’un firewall (pare-feu) qui permet de filtrer les informations envoyées au serveur/site. Un contrôle du flux de données rentrantes/sortantes loin d’être négligeable. Le coût est l’un des freins de son utilisation. Parmi les solutions, mettre son nez dans le code source de son « précieux ». D’abord, protéger les variables (form et/ou url et/ou cgi et/ou cookies). Pour cela, il faut définir « scriptProtect » du tag <cfapplication>.

Comme le rappel Wikipedia : « Filtrer les variables affichées ou enregistrées avec des caractères ‘<‘ et ‘>’ (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par « us » (user string) aux variables contenant des chaînes venant de l’extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d’autant plus dangereuse) sans filtrage préalable« . Dernier point, non négligeable, faites appels à des personnes compétentes à qui vous laisserez du temps pour auditer sérieusement code source et espaces numériques exploités.

Hacking

Votre enfant confronté à du porno, sur le web ?

Un sondage réalisé par Profil Technology et Mafamillezen, que Data Security Breach a pu consulter, révèle que les parents ont conscience des dangers d’Internet, mais ne protègent pas pour autant leurs enfants. Profil Technology, division de la société française Editions Profil, spécialisée en filtrage de contenus numériques, a effectué un sondage en partenariat avec Mafamillezen auprès de 300 parents. Les résultats de ce sondage confirment les craintes de DataSecurityBreach.fr.

Votre enfant a-t-il été confronté à des contenus inappropriés sur Internet (pornographie, violence, piratage, drogue…) ?

Selon vous, pour votre enfant, surfer sur Internet est :

Avez-vous discuté avec votre enfant des dangers d’Internet ?

Utilisez-vous un logiciel de contrôle parental ?

 

« Ce sondage révèle qu’une majorité de parents (71%) est consciente des dangers qui circulent sur Internet et en parle avec leurs enfants (80%). En revanche, on peut se demander s’ils posent les bonnes questions, car seulement 38% des parents interrogés savent si leurs enfants ont été confrontés à des contenus inappropriés. Ce sondage nous confirme malheureusement, malgré les recommandations de nombreuses associations de protection des enfants, que les parents ne sont pas à proximité des jeunes enfants lorsque ces derniers surfent sur Internet alors même que les médias relaient régulièrement des histoires sordides où tout commence avec un enfant laissé sans surveillance devant un ordinateur », déclare à DataSecurityBreach.fr Nicolas Lacourte, Chef de produits Profil Technology.

Si les parents sont conscients des risques engendrés par Internet, ils semblent ne pas s’astreindre à faire le minimum requis pour s’assurer de la bonne utilisation d’Internet par leurs enfants. Y-aurait-il une forme de découragement voire de renoncement de la part des parents face à la multiplication des sources d’accès à Internet ? Voici donc trois recommandations essentielles, faciles à appliquer et évidemment très efficaces pour accompagner les parents et protéger leurs enfants : Placer l’ordinateur de la maison dans un lieu de passage, de manière à garder un œil sur l’écran ; discuter ouvertement avec les enfants des rencontres mal intentionnées que l’on peut faire sur la toile et les accompagner dans leurs premiers surfs sur Internet ; installer sur les ordinateurs de la maison accessibles aux enfants, une solution de contrôle parental capable de filtrer les sites Internet par catégorie de contenus et de personnaliser le niveau de filtrage par enfant sans omettre de leur expliquer l’objectif de ce filtrage. Ne pas oublier les smartphones et les tablettes qui facilitent l’accès à Internet, mais qui rendent la tâche des parents encore plus difficile en raison de la transportabilité aisée de ces appareils.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage

Certification DSD du gouvernement australien

Good for Enterprise aide les départements du gouvernement à minimiser les risques liés à la cyber-sécurité puis à tirer un meilleur parti de leurs appareils iOS.

Good Technology™, le leader des solutions sécurisées de mobilité d’entreprise, annonce aujourd’hui que Good for Enterprise™ (GFE) est devenue la première solution de sécurité mobile utilisant un conteneur à être certifiée par l’organisme Defence Signals Directorate (DSD) du gouvernement australien. Cette certification, DSD Cryptographic Evaluation (DCE) certification1, permettra aux appareils iOS sécurisés avec Good for Enterprise de communiquer et de stocker des informations classifiés jusqu’au niveau ‘Protected’.

« La certification du niveau de sécurité ‘protected’ est le Saint Graal », a commenté à data security Breach Kevin Noonan, Ovum Public Sector Research Director. « A travers cette large palette de fonctionnalités qu’offre Good, telles que l’accès aux e-mails, au calendrier, aux contacts, à l’intranet et le visionnage des documents, il sera beaucoup plus facile de répondre à la majorité des besoins des professionnels dans la plupart des agences gouvernementales australiennes. »

La DSD est une agence de renseignements du Ministère de la Défense australien. La DSD fournit des recommandations et des services de sécurité principalement aux agences fédérales et gouvernementales australiennes. La DSD travaille également en étroite collaboration avec les industriels pour développer et déployer des produits cryptographiques sécurisés.

« En tant que ministère rattaché au CommonWealth, nous avons des exigences élevées concernant la protection et la sécurisation des informations du gouvernement » a declaré à Datasecuritybreach.fr Al Blake, Chief Information Officer, au Département d’Etat du Développement Durable, de l’Environnement, de l’Eau, de la Population et des Collectivités. « En déployant Good, avec son conteneur chiffré, cela permet aux utilisateurs finaux d’utiliser l’appareil mobile de leur choix, ce qui minimise les frais de gestion des terminaux tout en ayant le niveau de sécurité élevé dont nous avons besoin pour les informations gouvernementales. Le déploiement a été un énorme succès et a permis d’augmenter considérablement la connectivité du personnel et la flexibilité au travail. »

En plus de la solution GFE récemment certifiée, les solutions de Good fournissent une plateforme de mobilité complète au gouvernement. Bien que DSD l’ait certifié pour iOS, GFE prend également en charge Android et Windows Mobile. Les ministères australiens peuvent également bénéficier du meilleur des applications développées par des éditeurs tiers, comme des éditeurs de documents, SharePoint, toutes sécurisées par la plateforme de développement d’applications de Good, Good Dynamics.

En outre, Good Dynamics permet aux utilisateurs de créer et de déployer leurs propres applications sous iOS, enrichissant ainsi l’expérience utilisateur et améliorant la productivité tout en assurant la sécurité des données.

La certification par la DSD du conteneur sécurisé de Good Technology permet aux ministères d’utiliser de manière bien plus productive leurs terminaux iOS, sans faire de compromis sur la cyber-sécurité. La principale exigence pour les organisations du secteur public devrait être de minimiser le risque de compromission des données, telles que des fuites depuis des terminaux ou des réseaux.

La solution de Good Technology de gestion des périphériques mobiles (MDM) offre non seulement une solution complète sécurisé de bout en bout, mais fournit également aux administrateurs la possibilité de surveiller, de gérer et d’aider les utilisateurs d’iOS. Le support technique peut rapidement résoudre les problèmes, et donne une vision complète de tous les appareils iOS déployés au sein d’un département grâce au tableau de bord. A tout moment et de n’importe où, les administrateurs peuvent protéger les réseaux et les données en bloquant l’accès à partir des appareils ‘jailbreakés’, et en effaçant à distance les smartphone et tablettes volés ou perdus.

 

1 : Common Criteria (CC) certification is ongoing

Cybersécurité, Entreprise, Hacking, Logiciels, Particuliers, Piratage, Virus

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage, Virus

La NSA recrute ses tueurs numériques

Un commentaire

La NSA recrute ses tueurs numériques La NSA recrute son armée numérique. Pendant ce temps, un hacktivistes passe par son espace privée dédié à l’emploi. « Notre pays est entré dans une ère nouvelle qui apporte de profonds changements » explique l’espace emploi de la NSA. Un espace publique qui annonce que la National Security Agency lance une série de recrutements de personnel qui sera intégré aux opérations de réseau informatique (CNO). « Cette mission très importante est composé de trois grandes parties: le réseau de défense, d’attaque de réseau, et de l’exploitation des réseaux informatiques. Afin de s’acquitter de ses missions, la NSA est à la recherche de personnes qui sont hautement qualifiées et passionnées pour gagner la guerre dans le cyberespace. »

Bon, ne courez pas proposer votre CV. La NSA ne recrute que de l’américain pur souche. Toujours est-il que les emplois sont « variés » demandant « une bonne connaissance des techniques de pénétration du réseau » (…) « Si vous avez l’habitude visiter les sites Web de sécurité de réseau, assister à des conférences, ou de maintenir votre propre réseau, nous aimerions vous parler ! » Comme le montre la capture écran de cet article, des postes partout aux USA, des employés pour le « computer Network Operation » ; des chercheurs informatiques ; descodeurs/programmeurs … et des pirates informatiques. Comme nous vous l’avons entouré, le poste « Intrusion Analyst Skill Developpement program ». du Ethical Hacking à la sauce « Homme en noir ».

A noter, d’ailleurs, que lors du Defcon 20 de Las vegas, un concours renvoyait les vainqueurs du « Capture the flag » sur un espace numérique du site NSA.GOV dédié : www.nsa.gov/careers/dc20/. A première vue, un poste qui n’a pas encore trouvé preneur. L’hacktiviste Sl1nk (En interview dans l’émission de janvier de zatazweb.tv) a réussi à s’inviter dans l’espace emploi du site officiel de la NSA. Une visite qui lui a permis de se créer un compte « utilisateur ». Nous vous laissons imaginer la suite !

Pendant ce temps, les grandes banques américaines se sont tournés vers la National Security Agency pour demander de l’aide à la suite de plusieurs attaques informatiques lancées durant les fêtes de fin d’année. Les banques ont demandé à la NSA de protéger leurs systèmes informatiques. Autant dire que l’idée est intéressante. Demander au plus gros espion de la planète de sécuriser des banques. vous commencez à sentir le souffle chaud de big brother dans sa belle chemise de « protection » contre les DDoS. Les attaques sur les sites bancaires, qui ont commencé il y a un an, et qui se sont intensifiées en Septembre, auraient connu une nouvelle sophistication inquiétante. La NSA, la plus grande agence mondiale d’espionnage électronique, a été priée de fournir une assistance technique pour aider les pauvres banquiers. En gros, entre les connexions pirates, mais aussi les légitimes, et les banques, il y aurait donc dorénavant les grandes oreilles de l’Oncle Sam. La NSA a refusé de commenter, sauf une déclaration lapidaire, une aide « en pleine conformité avec toutes les lois et réglementations applicables. ». Fermé le ban !

Chiffrement, cryptage, Cybersécurité, Hacking, Linux

Cracker 350 milliards de mots de passe par seconde

Un commentaire

Un chercheur en informatique met en place un ordinateur capable de cracker 350 milliards de mot de passe par seconde.

Voilà un « crack jack » dès plus efficace. Imaginez ! Cinq serveurs, qui composent un cluster, capable d’égrainer des milliards de mots de passe en une fraction de seconde. Plus exactement, 350 milliards de mot de passe à la seconde.

Jeremi Gosney, le fondateur et PDG de Stricture Consulting Group a exposé son monstre, en Norvège, la semaine dernière, lors du Passwords 12 conference d’Oslo. Bilan, les possibilités de sécurité par mot de passe d’un Windows utilisant l’algorithme cryptographique NTLM (Il est inclus dans toutes les versions de Windows depuis Server 2003) ne tiendront pas 6 heures.

La machine est constituée de 5 serveurs et de 25 cartes graphiques AMD Radeon. Par conséquent, la machine peut essayer une étonnante combinaisons qui, en seulement 5.5 heures, est assez forte pour casser un mot de passe de huit caractères, contenant lettres majuscules, minuscules, des chiffres et des symboles. La solution hardware est secondée par le couteau Suisse dédié aux mots de passe ocl hash cat.