Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Particuliers

Grand jeu de l’été

19 commentaires

Voici venir la 17ème édition du grand jeu de l’été de ZATAZ Magazine, datasecuritybreach.fr, zatazweb.tv. A gagner, entre autres, deux Playstation 4.

Comme il est de coutume chez ZATAZ Magazine, et cela dure depuis 17 ans, nous organisons un grand jeu de l’été, histoire de s’amuser, en se cultivant, durant les vacances d’été. Cette année ne déroge pas à la règle. Deux jeux, pour tenter de remporter des lots qui devraient vous plaire. D’abord, des goodies ZATAZ et Defcon. Des Tee-shirts ZATAZ.COM et de la Nuit du Hack. Des livres des éditions ENI, dont l’excellent « Laboratoire virtuel pour auditer et mettre en place des contre-mesures » ; des bluray d’Iron Man 3 (merci Marvel) ; des jeux Watch Dogs (Merci UbiSoft). Cerise sur le gâteau, deux PlayStation 4 (Merci Sony), ainsi que des portes cartes de protections, anti interception de nos donnés bancaires offertes par stop-rfid.fr ou encore des clés USB VPN d’iTwin Pro.

Les réponses :

1 – L’IP, l’adresse Internet Protocol, est-elle une donnée à caractère personnelle ? Oui Non

Réponse : Oui d’après la CNIL et Bruxelles

2 – Configurer un accès Wifi avec un niveau de sécurité maximum se fait avec une clé WPA WPA2 WEP IMEI

Réponse : WPA2

3 – Qu’est ce que le Soft Power ?

l’ingérence, l’influence, la diplomatie, la corruption

Réponse : l’influence

4 – Quel est le résultat de 55 6e 20 2b 20 32 20 3d ?

Réponse :  1 + 2 = 3

5 – Dans l’émission de ZATAZWeb.tv été, un QR code vous propose quelle information ?

Réponse : Lien vers https://www.datasecuritybreach.fr/un-labo-virtuel-pour-auditer-et-mettre-en-place-des-contre-mesures/

6 – Complétez cette phrase en remplaçant les 4 croix par les mots correspondants Ceux qui utilisent xxxx pour favoriser leurs attaques montent leur intelligence; ceux qui utilisent xxxx gagnent en puissance.

Réponse : Ceux qui utilisent le feu pour favoriser leurs attaques montent leur intelligence; ceux qui utilisent l’eau gagnent en puissance. – SUN TZU

7 – TGEgc3VpdGUgZGVzIHF1ZXN0aW9ucyBzb250IHN1ciBkYXRhc2VjdXJpdHlicmVhY2guZnI

Réponse : La suite des questions sont sur datasecuritybreach.fr

8 – 79e35664717c21b96225d8d6ed4f0b16

Réponse : zataz hashé avec md5

9 – Comment se nomme le héro du jeu d’Ubi Soft, Watch Dogs ?

Réponse : Aiden Pearce

10 – Combien de fonctionnaires Sud-Coréens ont été touchés par le blocage de leur smartphone ? (réponse sur DataSecurityBreach)

Réponse : Environ 1500. (Source)

11 – Qui se cache dans la lune, derrière le corbeau ?

Réponse : une tête de mort.

12 – Si on vous dit : 1994 – Henri, Philippe et Christian, vous pensez à ?

Réponse : Rapport « Intelligence économique et stratégie des entreprises« 

13 – Que veut dire  孙子兵法

Réponse : L’art de la guerre

14 – Quel est le pays que n’a pas encore couvert ZATAZWeb.tv ?

Maroc ; Mexique ; Espagne ; Etats-Unis ; Québec ; Belgique.

Réponse : Au moment du jeu, il s’agissait de l’Espagne.

15 – 01001100 01100001 00100000 00110001 01100101 01110010 01100101 00100000 01110000 01100001 01110010 01110100 01101001 01100101 00100000 01100100 01110101 00100000 01100111 01110010 01100001 01101110 01100100 00100000 01101010 01100101 01110101 00100000 01100100 01100101 00100000 01101100 00100111 01100101 01110100 01100101 00100000 01110011 01100101 00100000 01110100 01110010 01101111 01110101 01110110 01100101 00100000 01110011 01110101 01110010 00100000 01111010 01100001 01110100 01100001 01111010 00101110 01100011 01101111 01101101

Réponse : La 1ere partie du grand jeu de l’été se trouve sur zataz.com

Les gagnants : (Tirage au sort effectué lors du HackNowLedge Tunisie)

1.696 bonnes réponses/concurrents sur 5.115 joueurs.

Remporte la PS4 + goodies : Vincent Delecoirti (69)

Jeux Watch Dogs + goodies : Julien Rames ; Folmat5.

Livre + goodies : Dionys Lugon-Moulin ; Fabrice Di Cicco ; Max Barral.

Tee-shirt zataz : Franck Pachon, Gilles Mendes.

Pour la photo, c’est Céline Jacquemin qui reporte a PS3 avec avec cette photo (ci-dessous). Les autres concurrents vont recevoir goodies et tee-shirt zataz.

Argent, Cyber-attaque, Cybersécurité

Failles pour plusieurs banques étrangères

Fahmi Ben Khlifa, jeune chercheur tunisien en sécurité informatique, a alerté la rédaction de datasecuritybreach.fr au sujet de plusieurs failles découvertes sur les sites Internet de trois banques étrangères. Les vulnérabilités, des XSS (Cross-site scripting) qui pourraient permettre à un pirate informatique de mettre en place des pages phishing directement à partir des urls officiels des banques visées, de lancer l’installation d’un code malveillant dans l’ordinateur d’un visiteur, …

Il faut, cependant, que le pirate construise une adresse web malveillante qu’il doit diffuser à ses cibles par courriel, Twitter, Facebook, … Les trois banques concernées ont été alertées : Central bank of Azerbaïdjan, Central bank of Belize et la banque centrale de la république dominicaine.

Espionnae, Particuliers, Vie privée

Espionnite au Royaume-Unis et en Nouvelle-Zélande

D’ici quelques mois, les britanniques seront obligés d’installer un logiciel afin de contrôler la visite d’un site pornographique. Une décision à la Big Brother pour un filtre anti-pornographie censé proteger les enfants. Si l’idée est bonne, qui ne souhaite pas protéger un enfant, l’excuse numérique laisse un léger mal de crâne aux défenseurs des droits de l’homme sur la toile.

Si un britannique adulte souhaite visiter un site coquin, il devra l’indiquer dans le logiciel espion. L’Open Rights Group, une ONG qui tente de protéger les droits en ligne des consommateurs, indique que le gouvernement britannique va étendre cette cyber-surveillance à la violence, à l’anorexie, aux troubles de l’alimentation, au suicide, au fait de fumer, à la consommation d’alcool.

D’après l’ORG, les forums peuvent aussi être « bloqués ». A l’internaute de tripatouiller dans la configuration de son logiciel. Bref, voilà aussi une excellente idée pour les « majors » du web qui, elles, ne seront pas filtrées et s’offriront de la page vue supplémentaire. Ca va être marrant de voir des émissions de télé réalité, comme celle proposée en 2012 par Channel 4, bloquer l’intégralité du site web de la chaîne en raison de l’accumulation de drogue, violence, … A noter que Google a prouvé, zataz.com vous l’a révélé en juillet, qu’il était tout à fait possible de bannir du web un site Internet.

En Nouvelle-Zélande, le parlement veut voter une loi qui donnerait plus de possibilité d’espionnage au Government Communications Security Bureau. La DGSE locale, est un service de renseignement extérieur. Sauf que les « élus » locaux veulent élargir la surveillance des communications à l’ensemble des Néo-Zélandais (soupçonnés de porter atteinte à la sécurité nationale ou non, ndlr datasecuritybreach.fr).

Bref, des 007 censés s’occuper hors des murs du pays veulent aussi s’occuper de leurs citoyens. Bilan, attaques DDoS et autres barbouillages de sites, comme le site du Premier Ministre John Key par Anonymous, chauffent le web local.

Espionnae, Fuite de données, ios, Sécurité, Smartphone, Social engineering, Vie privée

La prochaine mise à jour de l’iPhone va vous espionner

2 commentaires

Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.

Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.

Apple indique que cette option permet « une meilleure approximation de la localisation géographique (…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !

Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.

cryptage, Cybersécurité, Espionnae, Facebook, Fuite de données, Vie privée

Espionner via l’API d’un HTML5

2 commentaires

Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.

Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point.  Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.

Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web.  En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Paiement en ligne

Piratage d’un compte bancaire, les indices qui mettent la puce à l’oreille

3 commentaires

La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.

Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.

1.     Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.

2.     Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.

3.    Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.

4.    Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.

5.     Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.

6.     Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.

Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.

Argent, Arnaque, escroquerie, Particuliers, Pinterest

La méthode miracle anti-cellulite… des pirates

Bitdefender, éditeur de solutions de sécurité, a informé DataSecurityBreach.fr que les utilisateurs de Pinterest étaient visés par la propagation d’une arnaque publicitaire sur ce réseau social qui permet d’épingler ses photos préférées. Ce scam publicitaire concerne une solution « miracle » pour se débarrasser de la cellulite et perdre du poids, une arnaque qui apparaît bien souvent en cette saison estivale. Les scammeurs voient en Pinterest l’endroit idéal pour diffuser ce type d’arnaque puisque parmi les 49 millions d’utilisateurs du réseau social, 80 % sont des femmes. Ce scam n’est pas malveillant mais vise à tirer profit des utilisatrices qui, tombées dans le piège, achèteront le ‘pack beauté’ ou ‘l’offre du jour’.

Cette arnaque, qui a envahi Pinterest en quelques semaines, utilise le tableau d’utilisatrices pour s’y afficher en tant que ‘pin’. Ainsi, de nombreuses femmes ont épinglé malgré elles, sur leur tableau, des dizaines de photos d’un corps exhibant de la cellulite et d’une personne « avant/après » le test de cette solution miraculeuse.

Scam anti-cellulite

L’interface de Pinterest se prête particulièrement à la mise en avant de ce genre de produits. Les images utilisées sont efficaces et le slogan optimiste, ce qui pousse les utilisatrices à cliquer afin de recevoir des « informations auxquelles seulement quelques personnes privilégiées ont accès ». En cliquant sur la photo, l’utilisatrice est redirigée vers plusieurs sites qui affichent tous la même vidéo : quelques exercices basiques qui permettraient de faire fondre les excès de graisse à vitesse grand V. Après ce teasing attrayant, la visiteuse est invitée à s’offrir le pack beauté, sans oublier l’offre du jour, elle aussi à ne pas manquer.

Certains noms de domaines de ces sites sont enregistrés anonymement afin de ne pas révéler l’identité de « l’entreprise » qui fournit les produits en question. Cependant, Pinterest et Google parviennent à bloquer quelques-uns de ces sites, signalés comme dangereux. Afin de se prémunir des arnaques en ligne, Bitdefender préconise aux internautes de toujours utiliser une solution de sécurité à jour et de vérifier sur Internet les informations relatives à la société qui commercialise les produits désirés. Les internautes peuvent aussi bénéficier d’éventuels avertissements ou de l’expérience d’autres acheteurs, grâce à de simples recherches sur le Web.

Arnaque, Cyber-attaque, Entreprise, Fuite de données, Leak

Les menaces et la sécurité des centres d’assistance technique

Un commentaire

Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).

Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :

–          Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks.  L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.

–          Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.

–          43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.

Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :

–          L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données

–          Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques

–          Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)

BYOD, Entreprise, Fuite de données, Sauvegarde, Vie privée

Messages personnels dans un ordi pro ne sont plus personnels

3 commentaires

Le site juridique Legalis.net revient sur une décision de la cour de cassation concernant les emails envoyés depuis l’ordinateur personnel d’un salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel, sans qu’ils soient identifiés comme « personnels ». Bilan, la justice française a décidé que ces courriers étaient présumés professionnels. Telle est la conclusion qui ressort de l’arrêt de la Cour de cassation du 19 juin 2013. La Cour de cassation a affiné sa jurisprudence qui figure dans le premier attendu : « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ». Bref, cette décision pourrait très bien être prise en compte lors de la visite de votre Facebook, via un ordinateur du bureau.

Cyber-attaque, Facebook, Fuite de données, Hacking, Leak, Sauvegarde, Twitter

L’armée électronique Syrienne pirate True Caller

La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.

La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.

True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.« 

L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .