Archives par mot-clé : hack

Android, Biométrie, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Téléphonie, Vie privée

Samsung s5 : biométrie piratée !

Des chercheurs de la société FireEye viennent de mettre à jour une faille importante dans la sécurité des Samsung Galaxy S5. Un hacker se connectant au téléphone (même avec le niveau d’accès le plus faible) sera capable d’en extraire les données biométriques, soit une copie de l’empreinte digitale de l’utilisateur.

Cette révélation démontre une nouvelle fois que les systèmes d’identification biométriques grand public peuvent être piratés. En janvier, les hackers Chaos Computer Club avaient réussi à reconstituer l’empreinte digitale du ministre de la défense allemand. Sur le papier, la biométrie est un bon moyen de prévenir l’usurpation d’identité et les fraudes associées. On peut vous voler vos mots de passe mais pas vos empreintes digitales ou votre œil. Soit. Mais on constate bien que l’authentification biométrique est aussi piratable.

Ce qui pose problème, c’est qu’une fois piratées, les données biométriques ne peuvent être modifiées. Vous ne pouvez pas changer votre empreinte digitale ou rétinienne comme un mot de passe, et vous n’avez pas envie que n’importe qui en prenne possession. Une fois que vos empreintes digitales seront dans la nature (sans forcément que vous soyez prévenu), vous serez en risque si votre empreinte digitale est la porte d’entrée vers vos données personnelles ou professionnelles.

On a beau nous annoncer la mort du mot de passe chaque semaine dans la presse technologique, il a encore de beaux jours devant lui !

Ce n’est en réalité pas tout à fait un hasard si le mot de passe s’est imposé depuis des décennies comme un « standard de fait ». Un peu comme le clavier AZERTY que beaucoup ont cherché à remplacer, il a survécu pour l’instant aux nombreuses innovations qui ont cherché à le remplacer. C’est en effet une technologie peu coûteuse, non brevetée, qui peut être utilisée de manière anonyme et qui permet de gérer la grande majorité des connexions sécurisées sur le web. Surtout lorsqu’une faille de sécurité est découverte, vous pouvez changer vos mots de passe pour vous assurer que vos données sont en sécurité. Ca n’est pas le cas avec la biométrie !

Employés correctement, les mots de passe sont sécurisés. Ils doivent être différents pour chaque site et composés de caractères alphanumériques choisis aléatoirement. Il est par ailleurs nécessaires de les changer régulièrement. Si vous respectez ces règles et stockez vos mots de passe sous forme cryptée, vous êtes en sécurité. Le vrai sujet ce sont moins les mots de passe que la manière dont nous les gérons. Le cerveau humain n’en est pas capable et c’est pourquoi il doit être suppléé par un outil comme Dashlane.

Les récents développements dans l’authentification en ligne sont très intéressants, notamment pour améliorer les méthodes d’authentification fortes combinant différents facteurs et utilisées pour des données très sensibles. Le mot de passe est cependant le standard de fait de l’authentification en ligne. Pour être en sécurité sur le web dès aujourd’hui, et non pas demain, la seule solution est de renforcer la sécurité de ses mots de passe. (Guillaume Desnoes, responsable des marchés européens de Dashlane / Forbes)

 

Android, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Hacking, Leak, Mise à jour, Piratage, Rendez-Vous, RFID, Smartphone, Téléphonie

Une puce dans la main pour pirater des smartphones

Nous avions la puce dans le bras pour rentrer en boîte de nuit, voici venir la puce NFC dans la main pour pirater des téléphones portables.

Seth Wahle est un chercheur en sécurité informatique et technologie sans fil qui a de la suite dans les idées. Il vient de se lancer dans un projet qui demande quelques connaissances en couture et charcuterie.

Il s’est implanté une puce NFC sous la peau de sa main afin de tester son système d’interception de données. Dans sa main gauche, entre le pouce et l’index, du matos acheté sur le site chinois AliBaba. Pour 40 dollars, le voilà avec un outil de 888 bytes de mémoire. Dorénavant, sa main n’a qu’à effleurer un téléphone dont le NFC est branché. Un contact qui lance une page web qui exécute le téléchargement d’un programme comme il l’a expliqué au journal Forbes. Il faut cependant que le téléphone ne soit pas trop protégé pour accepter le téléchargement et l’installation de l’outil pirate.

Il présentera son projet à Miami, du 15 au 17 mai prochains, lors d’un hackfest local.

Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Piratage, Vie privée

Il était possible de pirater Paypal d’un clic de souris

2 commentaires

Yasser Ali, un étudiant Égyptien vient de toucher 10.000 $ de Paypal. Le chercheur en sécurité informatique avait trouvé le moyen de pirater la grosse tirelire Paypal.

Ali, qui est ingénieur en mécanique, a découvert le moyen de passer outre la sécurité mise en place par Paypal. Inquiétant quand on connait les masses d’argent qui peuvent transiter par le géant américain. Via un simple clic, sur un lien particulièrement formulé dans un courriel envoyé à une cible, un pirate pouvait prendre la main sur le compte Paypal ciblé, et l’exploiter à loisir.

PayPal n’a pas tardé à répondre à cette alerte. Correction effectuée, Ali a touché 10 000 dollars de récompense. La faille se situait du côté des jetons d’authentification. Ces codes sont envoyés aux clients et sont changés à chaque fois que l’utilisateur clique sur le lien Paypal. Ali a cependant identifié que chaque jeton peut être réutilisé en faisant croire à Paypal que le client « cliqueur » est bien le propriétaire du compte en question. (Ali)

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Attaque via jQuery.com

Le 18 Septembre dernier, une attaque exploitant le site jQuery.com a pu piéger des milliers de visiteurs.

L’information n’a pas fait grand bruit, pourtant les visiteurs du site jQuery.com sont très nombreux et l’attaque ayant visé ce portail a pu permettre l’infiltration de nombreux internautes. C’est la société RiskIQ qui a détecté des logiciels malveillants exécutés à partir de jQuery.com. Les visiteurs qui n’avaient pas mis à jour leurs logiciels de surfs ont été redirigés vers un kit pirate qui exécutait ensuite des actions malveillantes : lancement d’exploits, installations de logiciels espions dans les ordinateurs des visiteurs.

La bibliothèque jQuery est un outil très populaire pour le développement de sites Web au contenu dynamique et est largement utilisé par les développeurs au sein des entreprises. Selon la recherche interne jQuery, jQuery est utilisé par 30% des sites web sur l’ensemble d’Internet, dont 70% des 10 000 premiers sites dans le monde. Il est important de noter que nous n’avons pas observé de changements au sein de la bibliothèque jQuery elle-même. Cela n’empêche pas une inquiétude certaine. Les utilisateurs de jQuery sont généralement des administrateurs de système informatique et les développeurs Web.

Le même code pirate [RIG] avait été repéré en avril 2014, puis en juin de la même année par des chercheurs de chez Cisco. RIG s’était aussi baladé dans les machines des visiteurs du site askmen.com.

 

Bitcoin, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Sauvegarde

Attaque à l’encontre de NAS de la marque Synology

2 commentaires

Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.

Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.

Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées.  Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.

Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.

Message d’alerte du NAS

Dear user,
The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.

Sincerely,
Synology DiskStation

Android, Chiffrement, cryptage, Cybersécurité, Fuite de données, ios, Logiciels, Mise à jour, Patch, Sécurité, Téléphonie

Google ne protège toujours pas Gmail pour iOS

2 commentaires

Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.

L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.

Argent, Banque, Chiffrement, cryptage, Cybersécurité

Faiblesses dans les cartes à puces

Alors que les Etats-Unis d’Amérique réfléchissent à implanter la carte à puce dans le pays, lire notre actualité de mars 2014, des chercheurs de la prestigieuse université de Cambridge viennent de démontrer deux faiblesses dans la procédure ‘chip & pin’, une puce, un code secret. Il est évident que la puce, couplée à un mot de passe reste la meilleure des sécurité face à une carte bancaire n’utilisant que la bande magnétique, cependant, les chercheurs de Cambridge ont observé qu’il était possible de jouer avec la puce EMV.

Cette protection, utilisée dans un terminal de paiement que l’on retrouve dans quasiment tous les commerces, engendre un code d’authentification unique, un numéro aléatoire. Ce code pourrait être contourné de deux façons. Les chercheurs expliquent d’ailleurs que cela a déjà été constaté. Dans le premier cas, le code unique peut être prévu. Dans le second problème apparait quand le terminal de paiement a été piraté. Si des pirates peuvent prévoir les codes, voir l’adapter, il devient possible, via une carte bancaire préalablement clonée, de retirer de l’argent ou de faire un paiement.

Bref, l’étape du skimming 3.0 est en marche. Les banques auront bien du mal à définir un paiement légitime, d’un paiement cloné. Les clients piégés ne pourront plus se faire rembourser, à moins de prouver qu’ils n’étaient pas sur le lieu de la transaction. Et même dans ce cas, nous avons un doute sur la potentialité de remboursement. Il existerait dans le monde 1,62 milliard de cartes exploitant le protocole EMV. ZATAZ.COM révélait (voir les archives) des cas de piratages, via des DAB modifiés/piratés, l’année derniére.

 

Cyber-attaque, Cybersécurité

Et si le Boeing 777 avait été piraté

Le Canada se penche sur les possibilités de pirater un avion de ligne. Avec la disparition du Boeing 777, le 8 mars dernier, plusieurs services secrets se sont penchés sur les possibilités liées à ce genre de « phénomène ». Il faut dire aussi que le vol de Malaysia Airlines n’est pas un cas unique. En mai 2003, un autre Boeing (727) disparaissait des radars au départ de Luanda (Angola). L’avion ne sera jamais retrouvé.

Du côté des cousins du grand nord, les enquêtes se penchent sur les possibilités de piratage informatique d’un avion. Transports Canada s’intéresse aux travaux d’un hacker qui annonçait, il y a quelques semaines, avoir trouvé le moyen de pirater l’ordinateur de bord d’un avion commercial.

La Direction de l’évaluation du renseignement de sûreté de Transports Canada s’est penché sur cette recherche, nous étions alors 10 mois avant la disparition du MH370. « La présentation, en avril 2013, d’un projet appelé Le hacking d’un avion: séries aériennes pratiques par le consultant en sécurité et pilote commercial Allemand Hugo Teso, au congrès de pirates informatiques Hack In The Box, à Amsterdam, a pris plusieurs organisations de sécurité des transports par surprise », souligne le document récupéré par La Presse Canada. Il avait expliqué avoir pris le contrôle d’un ordinateur de bord d’avion (via un simulateur) en utilisant une application pour téléphone Android et un petit transmetteur acheté sur eBay.

Pirate et crash d’avion : retour d’une chimère
Aussi étonnant que cela puisse paraitre, le spectre du pirate informatique aux commandes d’un avion n’est pas une nouveauté. Au mois d’août 2008, un rapport diffusé par la justice Espagnole indiquait que le vol JK 5022 (qui s’était abimé deux ans plus tôt) se serait écrasé en raison de la présence d´un cheval de Troie dans l´ordinateur central de la compagnie aérienne Spanair. Un cheval de Troie a perturbé ce qui devait permettre l’enregistrement des informations techniques du vol JK 5022. L’ordinateur, situé au siège de la compagnie aérienne à Palma de Mallorca, aurait du émettre un signal d’alarme sur ses moniteurs lorsque trois problèmes techniques similaires ont été détectés par les sondes de l’appareil. L’avion avait accumulé trois incidents qui n’ont pas été enregistrés par l’ordinateur de Spanair. (source: zataz.com)

En 2004, zataz.com vous révélait comment des « idiots » avaient tenté de faire crasher des avions de la patrouille de France. En juin 2003, la grande dame fêtait ses 50 ans. Pour son anniversaire, la Patrouille de France devait survoler le Puy-du-Fou. La représentation des Alpha-jets va être interrompue en raison d’un problème de sécurité. Des pirates s’étaient amusés à envoyer de fausses instructions de vols, qui à 850 kilomètres heures, auraient pu être catastrophique pour les pilotes.

En octobre 2008, des chercheurs des Universités de Cornell et de Virginia Tech indiquaient que des pirates pourraient faire s’écraser un avion en manipulant le GPS (Global Positioning System) des appareils. Pour réussi l’attaque, un pirate doit s’interposer entre le GPS de l’appareil et l’un des 30 satellites en orbite qui permettent de trianguler les informations de localisations. Il suffirait juste de 10 microsecondes pour perturber le moindre vol.  L’un des chercheurs avait présenté un petit boitier qui se branchait sur une simple prise électrique.

Quelques mois auparavant, nous étions alors en janvier 2008, un autre avion de la firme Boeing était montré du doigt : le Boeing 787. Une vulnérabilité de sécurité sérieuse découverte dans le réseau informatique embarqués L’instance gouvernementale en charge de l’aviation sur le territoire Américain (FAA) annonçait que les Boeing 787 étaient ouverts aux pirates informatiques. La faille permettait aux passagers d’accéder aux systèmes de contrôle de l’avion. Le réseau informatique dans le compartiment passager du « 787 Dreamliner« , conçu pour donner aux passagers un accès à Internet lors d’un vol est aussi raccordé… au contrôle de l’avion.

Nous finirons avec ce projet lancé en 2006 par une trentaine d’entreprises et universités (Airbus, Siemens, l’Université technique de Munich, …). L’idée était de travailler sur la mise en place d’un logiciel pas comme les autres. Une sorte de backdoor, une porte dérobée, qui doit équiper les avions. Mission de ce programme, permettre de piloter un avion, à distance, dans le cas où ce dernier a été pris en otage. L’hebdomadaire Der Spiegel expliquait à l’époque que ce programme devait permettre de piloter l’avion, du sol.

Cyber-attaque, Leak, Piratage

Bell canada piraté

Un commentaire

Le groupe de pirates informatiques NullCrew revient sur le devant de la scène en mettant la main sur une base de données de Bell Canada. L’équipe Nullcrew est de retour ! Après plusieurs mois d’un étonnant silence, le groupe de pirates informatiques revient avec un piratage étonnant, celui de l’opérateur Bell Canada. D’après la NullCrew, une fuite de la base de données via le site bell.ca. Le fichier, diffusé sur un site qui a été fermé depuis l’annonce des hacktivistes, comporte des milliers de noms d’utilisateurs, adresses électroniques et mots de passe. DataSecurityBreach.fr qui a pu consulter le document des pirates confirme que les mots de passe en question n’étaient pas chiffrés… tout comme les données de cartes de crédit. « Allez comprendre, indiquent les pirates, les gens qui sont supposés offrir une connexion sécurisée à Internet ne peuvent pas eux-mêmes se sécuriser« .

 

Cyber-attaque, DDoS, Leak, Piratage, Sécurité

L’opérateur Mobil COM piraté

L’opérateur téléphonique tchèque Mobil COM a été piraté. D’après les informations que la rédaction de DataSecurityBreach.fr a pu collecter, une base de données clients a été copiée par des pirates informatiques qui agissent sous le nom d’un groupe baptisé Pay load Crew. Des emails, des mots de passe (MD5), des numéros de téléphones… ont été pris en main par les jeunes visiteurs qui signent sous les pseudonymes de Phen0, Englos et Azr.

Nous avons pu joindre ces pirates afin de comprendre leurs motivations. « Nos motivations sont diverses, expliquent-ils à la rédaction de Data Security Breach. Cela peut allez de simplement montrer au site – victime – qu’ils ne sont pas si sécurisés que ça. Il peut aussi y avoir l’argent. C’est plus rare car habituellement nous jetons à la « poubelle » les cartes bancaires. Ou nous piratons tout simplement pour des raisons personnelles« .

Lors de leurs piratages, les membres du PLC copient des bases de données qu’ils diffusent sur la toile. Quid des iSQL copiées ? « Nous les regardons attentivement. Nous  regardons si les informations sont bien correctes à ceux du site. Nous retirons les informations bancaire, si il y’en a, et collons les dump dans des sites tels que zerobin, pastebin. Nous souhaitons communiquer à propos de nos attaques. Nous pourrions être plus méchant si nous le voulions« .

Dans l’attaque à l’encontre de Mobil COM, les trois pirates ont annoncé avoir été motivés après l’arrestation de l’un des membres de ce crew « emmener un des nôtres n’a fait que nous booster » indiquent-ils dans le fichier qu’ils ont diffusé sur la toile. Nous avons souhaité savoir s’ils ne craignaient pas de finir comme ce membre, AngryBird ? « Non, pour tout vous dire cela fait déjà un an qu’on avait prévu d’être stoppé par la police en charge de la cybercriminalité. Nous nous étions tous mis d’accord. Nous savons ce que nous risquons, donc autant continuer jusqu’à la fin. Personnellement [dixit Englos, Ndr], la cyberpolice m’a déjà retrouvé. Elle m’a contacté pour coopérer et livrer des noms, je n’ai jamais rappelé« .