Archives de catégorie : ID

Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Particuliers, Tor

Own-Mailbox, un projet de mail sécurisé

Un commentaire

Own-Mailbox promet la première boite à mails 100% sécurisé et confidentielle. Pour réussir ce tour de force, les créateurs lancent une souscription qui se termine dans une semaine.

Own-Mailbox, une idée qui s’annonce particulièrement plaisante pour les personnes souhaitant sécuriser leurs correspondances. La mission de Own-Mailbox, vous permettre d’héberger votre propre boîte électronique. Visuellement, il s’agit d’une petite boite, elle ressemble d’ailleurs un peu à la Anonabox présentée, la saison dernière, dans ZATAZ Web TV.

Derrière Own-Mailbox, la société Revolutek. 824 contributeurs, dont votre serviteur, ont mis la main à la poche. 58.000 euros ont été récoltés pour le moment. Le projet en réclame 95.000. La version bêta sera livrée en décembre 2015. La version définitive en juin 2016.

Les auteurs indiquent qu’elle sera aussi facile à installer que gMail. La « box » chiffrera automatiquement vos mails à partir de Gnu Privacy Guard (GPG). Vos correspondants n’ont pas besoin de chiffrer leur message, ou d’avoir votre clé. Un lien HTTPS filtré et temporaire est communiqué à vos contacts. Ce lien pointe vers votre message privé hébergé sur votre propre Mailbox. A suivre sur KickStarter.

Kerv, la bague qui va vous permettre d’allumer votre PC ou payer vos achats
C’est sur KickStarter qu’est apparu le projet Kerv. L’idée de son instigateur, Philipp Campbell, permettre d’allumer votre PC ou payer vos achats avec une bague dédiée. Pour le moment, plus de 13.000 livres sterling ont été collectés, sur les 77.000 que réclame son projet. Payer avec un seul geste – partout dans le monde – du moins dans les boutiques qui accepte les paiements sans contact. Si l’idée semble intéressante, savoir que notre porte monnaie est au bout d’un doigt et que le paiement par NFC peut se manipuler malheureusement assez facilement laisse quelques questions en suspend. A voir pour d’autres utilisations comme diffuser sa carte de visite numérique de manière originale ou permettre de clôturer et/ou ouvrir son ordinateur.

Apple, Cybersécurité, Espionnae, ID, Identité numérique, ios, Logiciels, Mise à jour, OS X, Particuliers, Patch, Smartphone

Contourner iOS 9 LockScreen en 30 secondes

Utiliser SIRI pour contourner l’écran de verrouillage des nouveaux appareils d’Apple fonctionnant sous iOS9.

Une faille de sécurité a été découverte dans le nouvel OS d’Apple, iOS 9, sorti en septembre. Il permet d’exploiter Siri afin de contourner l’écran de verrouillage des téléphones et autres tablettes de la grosse pomme. Le « truc » permet d’accéder aux contacts et aux photos stockées dans l’appareil en 30 secondes. La faille n’est toujours pas corrigée dans la mise à jour 9.1.

La firme de Cupertino a annoncé que plus de 50% des appareils ont été mis à jour

La faille est d’une simplicité enfantine. Il est même étonnant qu’aucun test interne n’eut été réalisé face à ce genre de « bug ». Comment cela marche ? D’abord faire 4 erreurs lors de la demande de votre mot de passe. Attention, au bout de 5 tentatives, votre téléphone sera bloqué. Une protection classique. Dans cette 5ème tentative, tapez trois chiffres et laissez le dernier espace vide. Cliquez sur le bouton « Home » et fournissez un 4ème chiffre aléatoire. L’appareil sera bloqué, mais SIRI sera lancé. Demandez l’heure à Siri et cliquez sur l’îcone « Horloge ». Rajoutez une nouvelle horloge en cliquant sur +. Enregistrez cette horloge avec le nom de votre choix. Sélectionnez l’option « Partagez », ouvrez un nouveau message. Dans le champ « À », ouvrez la page info… et vous voilà avec un accès complet aux contacts et photos stockées dans le téléphone !

Pour éviter ce désagrément à la sauce « Big Brother », allez dans « paramètres », puis « code d’accès », sélectionnez l’option « Autoriser lors du verrouillage ». Bloquez l’accès à Siri quand l’accès à votre téléphone est bloqué par un mot de passe.

Apple, Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données, ID, Identité numérique, Linux, Logiciels, Microsoft, Mise à jour, Particuliers, Vie privée, VPN

Firefox Beta : encore plus de sécurité

Protection contre le pistage au sein de la navigation privée. Firefox Beta est désormais disponible, avec de nouvelles fonctionnalités telles que la protection contre le pistage au sein de la navigation privée.

Cette nouvelle fonctionnalité bloque certains éléments tiers au sein des pages Web, utilisés notamment pour enregistrer l’activité de l’internaute et ainsi créer un profil de l’utilisateur en se basant sur sa navigation. La navigation privée au sein de Firefox permet de limiter l’accès aux données récoltées par les tiers. Firefox Beta propose également un nouveau centre de contrôle, incluant des paramètres de sécurité et de confidentialité regroupés en un seul endroit, et accessible via le bouclier dans la barre d’adresse. Firefox Beta tourne sur Windows, Mac et Linux.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering

600.000 fans des sœurs Kardashian piratables

Les starlettes américaines Kardashian ont lancé une série de nouveaux sites web et applications mobiles afin de suivre « leur vie ». Seulement, comme le botox, le site web s’est tendu et a laissé fuir 600.000 informations privées de fans.

Parallèlement au lancement des applications mobiles, des logiciels qui trônent dans les premières places de l’App Store (des centaines de milliers de téléchargements), les sœurs Kardashian, des « célébrités » de la TV réalité américaine, ont également mis en ligne de nouveaux sites Web conçus pour les aider à mieux communiquer avec leurs fans.

Seulement, les sites avaient des bugs. L’un d’eux permettait de mettre la main sur les noms, prénoms et adresses mails de plus de 600.000 utilisateurs. C’est un jeune internaute de 19 ans, Alaxic Smith, qui a découvert le problème de configuration qui visait l’ensemble des sites Internet des starlettes. Le problème était dans l’API qui communiquait avec les smartphones des « fans » et les sites web des Kardashian. Des informations qui transitaient en claires.

Le responsable « technique » de ce barnum informatique a confirmé la faille et la correction de cette dernière. « Nos journaux indiquent que personne d’autre a eu accès aux informations des utilisateurs, les mots de passe, et les données de paiement n’ont pas été impactés« .

Base de données, Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle

Si c’est gratuit, c’est vous le produit, AVG le confirme

L’éditeur de la solution de sécurité informatique AVG vient de changer ses conditions d’utilisation et indique clairement que sa version gratuite lui permet de collecter des informations sur les utilisateurs. Données qui seront revendues.

L’éditeur Tchèque AVG, créateur de l’antivirus éponyme, propose une version gratuite de son antivirus utilisé par des millions de personnes. L’entreprise vient d’annoncer qu’elle avait modifié ses conditions d’utilisation. Des conditions qui ont le mérite d’être claires.

Dans sa version anglaise, les conditions d’utilisation indiquent qu’AVG peut revendre les données que la société collecte « Nous recueillons des données non personnelles pour faire de l’argent via nos offres gratuites afin que nous puissions les garder gratuites » [We collect non-personal data to make money from our free offerings so we can keep them free].

Après Windows 10, AVG est une nouvelle entreprise à jouer totale transparence sur les informations quelle collecte : informations sur les applications installées dans votre machine; la façon dont ces applications sont utilisées; l’identifiant publicitaire qui vous est associé; votre navigation et votre historique, y compris les métadonnées; le type de connexion Internet que vous utilisez pour vous connecter.

Cette nouvelle politique entrera en vigueur à partir du 15 octobre 2015. A noter que la page française de la « Politique de Confidentialité » d’AVG n’a pas été modifiée.

Mise à jour : AVG souhaite clarifier la situation et apporter plus de précisions sur ce sujet, via un billet posté sur le blog de la société. A la suite de notre article, l’éditeur a fait une petite marche arrière et a précisé, dans un nouveau post, la méthode pour « Comprendre la nouvelle politique de confidentialité de AVG« . L’éditeur explique que sa politique de confidentialité a été effectuée via la « mise en place d’une page, facile à lire, de la politique de confidentialité pour nos clients. Elle donne l’information dont ils ont besoin, plutôt qu’un long document, légalement écrit, est difficile à comprendre. » Le document indique aujourd’hui que « Lors de la création de notre nouveau format de cette politique, nous avons décidé que nos clients devaient avoir la possibilité de choisir, si oui ou non, ils souhaitaient participer à notre programme de collecte de données anonymisées« . Changement de ton, donc. « Exit » la ligne qui indiquait clairement que les données seraient revendues pour permettre à la version gratuite d’AVG de perdurer. Dorénavant, la collecte est une option « et nous pouvons confirmer qu’aucun partage des données ne se passera jusqu’à ce que nos clients soient en mesure de faire ce choix« . Bref, l’utilisateur de l’outil gratuit pourra accepter, ou non, de fournir ses données.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Mise à jour, OS X, Particuliers, Smartphone

iOS 9 : bonne pratique de sécurité

La version finale d’iOS 9 est disponible dès ce 16 septembre ! À cette occasion, voici les bonnes pratiques en matière de sécurité iOS.

Bien que les appareils et les OS Apple aient une réputation de sécurité forte, 84 % des vulnérabilités mobiles découvertes l’an dernier ont touché iOS, selon le dernier rapport de Norton by Symantec sur les menaces de sécurité Internet (ISTR). D’ailleurs, une récente famille de logiciels malveillants, appelée KeyRaider, a compromis un nombre record de comptes d’utilisateurs sur les iPhones jailbreakés.

Ci-dessous, vous trouverez trois conseils de sécurité pour iOS 9 à utiliser pour protéger vos informations personnelles. D’abord, utiliser un mot de passe Apple ID fort et unique. Le nouvel iOS 9 exige désormais un code à six chiffres plutôt que quatre. Si ce dernier est couplé avec un mot de passe Apple ID fort qui utilise des lettres, des chiffres et des symboles, il sera plus difficile pour les criminels de deviner les mots de passe.

Ensuite, DataSecurityBreach.fr vous conseiller d’activer l’authentification à deux facteurs (Comme pour double authentification Gmail, Facebook, Dropbox, …) Dans iOS 9, une authentification à deux facteurs, une couche supplémentaire de sécurité, est étendue à iTunes et iCloud, et les utilisateurs devraient l’activer immédiatement. Celle-ci oblige les utilisateurs à entrer un code de vérification unique de six chiffres (envoyé à un dispositif de confiance) ainsi que leur adresse e-mail et mot de passe lorsque l’ils se connectent à leur compte à partir d’un nouveau navigateur ou terminal.

Enfin, désactiver l’accès à Siri depuis l’écran de verrouillage. Siri est l’assistant personnel intelligent iOS, mais bien qu’utile, Siri peut aussi être un risque de sécurité. Il y a eu plusieurs cas dans le passé où Siri a été utilisé pour contourner l’écran de verrouillage de l’iPhone. Empêcher Siri d’être utilisé à partir de l’écran de verrouillage va protéger les appareils de ces types de hacks.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering

Les écoles autorisées à vendre les données des enfants

Des écoles américaines autorisées par la loi fédérale à vendre des informations de leurs élèves aux commerçants.

Voilà qui ne présage rien de bon pour le futur de nos écoles. Aux USA, la loi fédérale autorise dorénavant les écoles publiques à remplir leur caisse en commercialisant les informations des élèves. Il faut dire aussi qu’à la vue des documents que les parents peuvent remplir à chaque rentrée, et durant l’année, les bases de données des établissements scolaires n’ont rien à envier à big brother.

Les sociétés de marketing louchent sur ces clients prescripteurs. En Europe, les sociétés investissent, sous forme de mécénat et autres rendez-vous scolaires (Junicode, cross de l’école, soirée étudiante, …) mais n’ont pas encore la main mise sur les données. Aux USA, les parents doivent trouver la petite case qui interdit la diffusion des données. Elle est souvent cachée dans le monceau de feuilles à signer. En France, comme ailleurs, n’hésitez pas à ouvrir une adresse mail dédiée uniquement à l’année scolaire en cours [sco2016@votrenomdedomaine.fr, par exemple] et lisez bien les petites lignes, comme celle qui vous informe que votre enfant pourra finir dans la presse locale/territoriale lors d’une sortie de classe, d’une fête d’école, … [WTOP]

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering

Sites de rencontres : la protection n’est pas au rendez-vous !

Une étude de Dashlane au sujet des Sites de rencontres met en avant le fait que la protection n’est pas au rendez-vous.

Cela fait maintenant trois mois que le site Ashley Madison, la version américaine du site de rencontres adultères Gleeden, a été piraté avec les conséquences désastreuses que l’on connaît. Carrières ruinées, familles brisées, procès, c’est un mauvais feuilleton dramatique qui se déroule sous nos yeux outre-Atlantique. Les autres sites de rencontre ne semblent toutefois pas en avoir tiré d’enseignements. L’étude publiée par Dashlane, qui gère l’identité numérique et les mots de passe de 3M d’internautes, montre que la plupart des sites de rencontre n’ont pas mis en place de politique de sécurité pour s’assurer que leurs utilisateurs soient protégés par des mots de passe forts. Les internautes qui partagent des informations pour le moins confidentielles sur ces sites risquent fort d’être très intéressés par les résultats ci-dessous…

Dashlane a étudié 24 sites de rencontre (dont 12 en France) parmi les plus populaires et les a classé selon leur approche de la sécurité des mots de passe. 19 critères ont été utilisés comme la longueur minimale du mot de passe acceptée ou le fait d’exiger ou non un mot de passe alphanumérique, composé de lettres et de chiffres. L’étude prend également en compte l’acceptation par le site des mots de passe très basiques comme « 123456 ».

Les résultats sont alarmants: Alors que les grands sites Internet ont renforcés leurs politiques de sécurité concernant les mots de passe (sur le même test, Apple a un score de 100, Hotmail de 88 et Gmail de 76), les sites de rencontre n’ont en général pas mis en place de politique pour inciter leurs utilisateurs à employer des mots de passe forts. Le plus avancé des sites de rencontres analysés, OK Cupid, n’a qu’un score de 62 et seuls trois sites, sur les douze analysés, ont un score « passable » supérieur à 50.

· Les disparités sont grandes entre les sites. Si OK Cupid a un score de 62, Badoo et Plenty Of Fish ferment la marche avec un petit score de 22.
· Derrière les mauvaises notes, on observe des pratiques de sécurité d’un autre âge. Badoo ou Attractive World envoient à leurs utilisateurs leur mot de passe en clair par email. Encore plus effrayant, sur Match.com ou Plenty Of Fish, il est possible de créer des mots de passe d’une seule lettre ! Aucun des sites analysés pour le marché français n’exige un mot de passe alphanumérique (composé de chiffres et de lettres) et sur les douze, seuls quatre adressent un email aux utilisateurs lorsque leur mot de passe est modifié !
· Les personnes qui recherchent à faire des rencontres extra conjugales sur Internet peuvent aussi se poser des vraies questions car les sites spécialisés, Ashley Madison et Gleeden ne recueillent que des notes respectives de 30 et 32.

Cela fait maintenant trois mois que le site Ashley Madison, la version américaine du site de rencontres adultères Gleeden, a été piraté avec les conséquences désastreuses que l’on connaît. Carrières ruinées, familles brisées, procès, c’est un mauvais feuilleton dramatique qui se déroule sous nos yeux outre-Atlantique. Les autres sites de rencontre ne semblent toutefois pas en avoir tiré d’enseignements. L’étude publiée par Dashlane, qui gère l’identité numérique et les mots de passe de 3M d’internautes, montre que la plupart des sites de rencontre n’ont pas mis en place de politique de sécurité pour s’assurer que leurs utilisateurs soient protégés par des mots de passe forts. Les internautes qui partagent des informations pour le moins confidentielles sur ces sites risquent fort d’être très intéressés par les résultats ci-dessous…

24 sites de rencontre (dont 12 en France) étudiés, parmi les plus populaires. Ils ont été classés selon leur approche de la sécurité des mots de passe. 19 critères ont été utilisés comme la longueur minimale du mot de passe acceptée ou le fait d’exiger ou non un mot de passe alphanumérique, composé de lettres et de chiffres. L’étude prend également en compte l’acceptation par le site des mots de passe très basiques comme « 123456 ».

Les résultats sont alarmants. Alors que les grands sites Internet ont renforcés leurs politiques de sécurité concernant les mots de passe (sur le même test, Apple a un score de 100, Hotmail de 88 et Gmail de 76), les sites de rencontre n’ont en général pas mis en place de politique pour inciter leurs utilisateurs à employer des mots de passe forts. Le plus avancé des sites de rencontres analysés, OK Cupid, n’a qu’un score de 62 et seuls trois sites, sur les douze analysés, ont un score « passable » supérieur à 50. Les disparités sont grandes entre les sites. Si OK Cupid a un score de 62, Badoo et Plenty Of Fish ferment la marche avec un petit score de 22.

Derrière les mauvaises notes, on observe des pratiques de sécurité d’un autre âge. Badoo ou Attractive World envoient à leurs utilisateurs leur mot de passe en clair par email. Encore plus effrayant, sur Match.com ou Plenty Of Fish, il est possible de créer des mots de passe d’une seule lettre ! Aucun des sites analysés pour le marché français n’exige un mot de passe alphanumérique (composé de chiffres et de lettres) et sur les douze, seuls quatre adressent un email aux utilisateurs lorsque leur mot de passe est modifié !

Les personnes qui recherchent à faire des rencontres extra conjugales sur Internet peuvent aussi se poser des vraies questions car les sites spécialisés, Ashley Madison et Gleeden ne recueillent que des notes respectives de 30 et 32.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering, Vie privée

Données d’utilisateurs UBER fuitent sur Google

Les fuites de données sont aussi l’affaire des propriétaires des données qui fuitent. Un exemple concret avec le cas UBER/Google.

Si la grande majorité des fuites sont dues à des piratages, des erreurs d’employés d’entreprises ou à un bug, des cas démontrent que certains internautes ne font pas attention à leur hygiène de vie numérique. Un exemple intéressant avec des informations appartenant à des utilisateurs d’UBER (portail qui permet de mettre en relation des piétons avec des automobilistes, du moins quand des taxis ne bloquent pas l’idée, NDR) qui se sont retrouvées sur Google. Parmi les données, adresses postales, noms du conducteur, informations sur la voiture. Le fautif de ce genre de fuite ? L’utilisateur lui même qui a partagé ses données sur Internet, Twitter.

Google a sauvegardé les informations via ses robots de recherche. Certains de ces voyages remontent à 2013, et incluent des voyages aux États-Unis, Royaume-Uni, Russie, Indonésie, Inde ou encore Philippines. Des données et informations qui restent en ligne, toujours accessibles aujourd’hui, via la cache de Google. Le responsable sécurité de chez UBER indique que son équipe a constaté que « tous ces liens sont volontairement partagée par les utilisateurs.« 

https://twitter.com/four/status/639163190757081088

 

Cyber-attaque, Fuite de données, ID, Identité numérique, Leak, Piratage

500.000 dollars contre 32.000 mails d’Hillary Clinton

Un pirate informatique propose 32.000 courriels électroniques d’Hillary Clinton au plus offrant. Mise à prix : 500.000 dollars.

La campagne pour les présidentielles américains fait rage, sur scène et sur Internet. Un pirate informatique annonce avoir mis la main sur 32.000 courriers électroniques appartenant à la candidate Hillary Clinton. Il a mis à prix cette base de données privée pour la modique somme de 500.000 dollars. Il annonce que le contenu est une mine d’or.

L’ancienne secrétaire d’Etat a-t-elle du soucis à ce faire ? Le corbeau explique que l’équipe de Clinton a pensé à effacer la poubelle, les mails reçus… du webmail privé d’Hillary… mais a oublié d’effacer le dossier des messages envoyés. Bilan, les données auraient été retrouvées en nombre, dont des informations sur la France et d’un otage Français en Algérie. « Si ces courriels sortent dans le domaine public, Hillary devra faire une croix sur sa candidature à la présidentielle car elle pourrait mettre la sécurité nationale de notre pays en danger. » souligne le pirate au journal Radar Online. En juillet 2015, le FBI avait lancé une enquête sur une possibilité de piratage du serveur mail d’Hillary Clinton. La dame utilisait son compte privé pour envoyer des courriels. Des messages non classifiées avait-elle alors précisé.