La double authentification de Google contournée par des hackers

La double authentification plombée par des pirates ?

Puisque la double identification implique qu’un utilisateur saisisse un mot de passe puis qu’il confirme son identité en saisissant un code préalablement reçu par SMS afin de pouvoir accéder à ses comptes, elle semblait être une solution fiable pour bien protéger les données des internautes.

Mais ça, c’était avant puisque des pirates ont réussi à contourner la double authentification de Google pour accéder aux comptes d’utilisateurs tiers.

Pour ce faire, les hackers ont mis en place une méthode plutôt astucieuse. En effet, s’ils disposent de l’adresse mail et du mot de passe, ils se font passer pour la firme de Mountain View, expliquent qu’une activité suspecte a été repérée et invitent l’utilisateur à renvoyer le code de sécurité qui leur a été envoyé.

Sans le savoir, les utilisateurs fournissent alors la clé de l’ultime protection aux pirates qui ont désormais le temps de commettre tous les actes malveillants qui désirent.

Une porte d’entrée vers les terminaux mobiles des utilisateurs ?

En s’offrant un accès aux comptes de messagerie des internautes, les pirates s’offrent une vraie porte d’entrée vers les terminaux mobiles de leurs propriétaires.

En effet, s’ils contrôlent le compte mail de leurs victimes, ils pourront facilement envoyer des mails sur Gmail incluant des pièces jointes frauduleuses qui peuvent être des applications malveillantes. Si le mail est ouvert depuis le mobile, le terminal sera alors automatiquement infecté.

Autrement dit, le hacker pourra avoir un accès complet à l’ensemble des données qu’il contient. Incontestablement, la double authentification a donc ses limites…

Article original de Jérôme DAJOUX

Réagissez à cet article

Techniques et astuces pour la robustesse de vos mots de passe

La méthodologie de CyLab est la suivante : montrer aux gens des mots de passe par paires, et leur demander lesquels leur semblent les plus robustes. Ensuite, établir une corrélation entre leurs réponses et l’efficacité effective de ces derniers en utilisant les méthodes les plus actuelles pour craquer les mots de passe. Au final, sur 75 paires, les participants en ont correctement sélectionné 59. Il s’agit de 79%, soit en pratique un « B ».

Il est vrai que l’échantillon des 165 utilisateurs du CyLab est certainement un peu plus technique que d’autres utilisateurs : ils ont été recrutés en ligne via le système du Turc Mécanique d’Amazon. De plus, CyLab ne dit pas en substance que tous les utilisateurs atteindront ce score, mais seulement que certains peuvent y arriver. Enfin, pour conclure, ces scores ne sont pas alarmants.

Les personnes sondées par CyLab savaient que des mots de passe sont robustes lorsque :

• Les majuscules sont utilisées au milieu du mot, plutôt qu’au début.
• Des chiffres et des symboles sont situés au milieu du mot plutôt qu’à la fin.
• Des séquences de chiffres aléatoires sont insérées à la place d’autres plus évidentes, telles que l’année en cours par exemple.
• Des noms sont ajoutés, différents des traditionnels prénoms et noms.
• Des noms faisant parties de la vie privée ne sont pas utilisés, tels que les prénoms de vos enfants.
• Des mots faisant référence de manière évidente au site ou au compte que vous êtes en train de protéger ne sont pas utilisés.

Bien sûr, il en reste 21% qui n’ont pas réussi à faire la distinction. Cela laisse en effet de belles opportunités aux cybercriminels pour craquer vos mots de passe. Quelles ont donc été les plus grosses erreurs commises ? :

1. Les participants ont ajouté des chiffres à leurs mots de passe, en plus des lettres, en pensant les renforcer. Dommage ! Les hackers savent bien que les internautes très souvent rajoutent à la fin des chiffres, du coup « brooklynqy » est plus sécurisé que « brooklyn16 ».
2. Les participants ont pensé que le fait de changer tout simplement des lettres en chiffres rendrait leurs mots de passe plus robuste. Dommage ! Les craqueurs de mots de passe « exploitent de plus en plus la tendance des utilisateurs à faire des substitutions prévisibles », ainsi « punk4life » n’est pas plus sûr que « punkforlife ».
3. Les participants ont surestimé la sécurité procurée par les séquences présentes au niveau de leur clavier.Dommage ! Les hackers de nos jours recherchent très rapidement les séquences des claviers telles que « qwertyuiop », tout comme d’autres patterns classiques, et pas seulement à base de mots.
4. Les participants ont mal appréhendé la popularité de certains mots ou de certaines phrases. Selon le CyLab, par exemple, les utilisateurs ont pensé que « ieatkale88 » et « iloveyou88 » étaient équivalent d’un point de vue sécurité. Pas vraiment : les craqueurs de mots de passe ont besoin de plus d’un milliard de tentatives en plus pour en venir à bout de « ilovekale ». Il est plus sûr de choisir un mot isolé rare plutôt qu’une phrase intégrant « iloveyou » or « ilove ». Les mots de passe utilisant le mot « love » sont incroyablement répandus …ce qui est plutôt une bonne intention si vous n’êtes pas responsable de la cybersécurité d’un site.

Qu’est ce qui pourrait aider les utilisateurs pour éviter les mauvaises stratégies de choix des mots de passe ? Selon l’auteur de l’étude :

Une méthode qui semble être très efficace pour assister les utilisateurs dans l’évaluation de leurs mot de passe, vis-à-vis des pratiques courantes, est de leur fournir des feedbacks ciblés et explicites pendant la phase de création. Les calculateurs actuels de la force d’un mot de passe indiquent simplement aux utilisateurs si un mot de passe est faible ou fort, mais ne mentionne pas les raisons.

Les futurs travaux dans ce domaine pourraient s’inspirer d’une récente étude qui montrait la possibilité pour les utilisateurs de finir automatiquement le mot de passe partiel qu’ils viennent de taper … et pourrait également se baser sur une autre étude utilisant des arguments de motivation ou encore la pression de collègues pour inciter les utilisateurs à créer des mots de passe plus robustes.

Article original de Sophos France

Réagissez à cet article

Euro 2016 et sécurité informatique, quelques conseils face à quelques risques…

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro).
Auteur : Damien Bancal

Réagissez à cet article

Alerte : Un Trojan détecté sur Google Play

S’il est de bon augure de se méfier des jeux d’argents, il faut les craindre d’autant plus lorsqu’ils sont sur internet. L’application Black Jack Free qui était en fait un Trojan a été téléchargée plus de 5000 fois avant d’être retirée du Google Play Store quatre jours plus tard. A première vue, il n’y avait rien à craindre de ce jeu de cartes qui permettait de jouer gratuitement tout en utilisant de l’argent fictif. Sauf que, dans l’arrière boutique l’application dérobait des données, mais aussi de l’argent sur les comptes en banque des utilisateurs. «Black Jack Free n’était pas directement le problème. Mais il installait une deuxième application, Play Store Update qui repérait les applications actives sur internet et imitait les pages d’accueil» explique Arnaud Simon, responsable technique Europe du sud chez Lookout.

Par ce stratagème, l’application superposait des fenêtres sur les applications bancaires, ou sur les réseaux sociaux comme Facebook ou Skype par exemple. Ensuite, les utilisateurs entraient leurs codes et identifiants sans se douter que des pirates les récupéraient. Play Store Update pouvait aussi intercepter des SMS, les envoyer vers un serveur malicieux, transférer des appels, verrouiller l’écran et effacer les données d’un terminal.

Un risque plus ou moins écarté

Il est donc fortement conseillé aux utilisateurs ayant téléchargé Black Jack Free de supprimer l’application de leurs terminaux Android et de se débarrasser de Play Store Update également. Ensuite, pour éviter les mauvaises surprises, Lookout invite les personnes concernées à modifier leurs codes d’accès.

A noter que « l’application était disponible sur Google Play car les pirates disposaient d’un accès potentiel à de nombreux terminaux. Mais les hackers ne se sont pas contentés de diffuser Black Jack Free sur cette seule et unique plateforme, elle est disponible ailleurs sur le web», ajoute Arnaud Simon. Comprendre que le Trojan court toujours et que la méfiance reste de mise.

Article original de Victor Mayet

Réagissez à cet article

Alerte Arnaques ! Des pirates informatiques se font passer pour des stars

Des pirates informatiques se font passer pour les animateurs vedettes de NRJ, Virgin Radio et autres stars de la FM pour soutirer des informations bancaires.

Nous connaissions la Fraude au Président, l’arnaque aux faux virements via des informations bancaires soutirées à des entreprises par ruse. Un piège qui fonctionne, malheureusement aussi, sur les locataires de logements sociaux. Les escrocs se font passer pour le bailleur afin de faire modifier les données concernant les virements des loyers.

Aujourd’hui, je viens d’apprendre une nouvelle ruse. Des escrocs se font passer pour les stars de la radio (Manu de NRJ, Camille Combal de Virgin Radio…) en téléphonant et en promettant de l’argent à leurs interlocuteurs. « Un homme dans un soi-disant bureau d’antenne de radio vous dit que vous venez de gagner 2000€ et de doubler vôtre salaire, souligne l’un des témoins de ZATAZ.COM. Il y a beaucoup de bruit derrière. Comme dans un studio de radio ».

Ils visent vos informations bancaires
Une fois l’interlocuteur appâté, l’appel est transféré à une standardiste « On vous demande un numéro de compte bancaire, souligne un autre lecteur de ZATAZ. Ce qui m’a mis la puce à l’oreille est que le soi-disant animateur fusionne plusieurs jeux du 6/9 de NJR et de Virgin Radio. Pour mettre la personne en confiance, on vous ovationne et félicite pour votre prix. »

La question est de savoir maintenant comment les escrocs peuvent avoir le numéro de téléphone portable et l’identité complète (Nom, prénom) des personnes appelées.

Bref, prudence ! Si vous ne vous inscrivez pas à un jeu officiel, il n’y a pas de raison que ce dernier vous téléphone !… [Lire la suite]

 
Merci à Damien Bancal auteur de cet article

M

Réagissez à cet article

La cybercriminalité fait des ravages dans les entreprises françaises

La cybercriminalité visant les entreprises françaises explose
Les entreprises françaises sont-elles des cibles faciles pour les pirates ? Selon une étude de Price Water House Coopers concernant les fraudes en entreprises, les attaques informatiques occupent le deuxième rang derrière le détournement d’actifs. En 2 ans, la cybercriminalité a explosé en France, elle représente 53% des fraudes en 2016 contre 28% en 2014.
Aujourd’hui, une grande partie des entreprises (85%) ont pris conscience que le risque d’être victime de pirates informatiques est bel et bien réel. Elles n’étaient que 48% en 2014. Selon Louis Di Giovanni, travaillant dans le département Litiges et Investigations du cabinet PwC, « L’explosion du Big Data quels que soient les domaines, alliée à la digitalisation de l’activité économique et la multiplicité des supports numériques augmentent l’exposition des entreprises au risque de cyberattaque, d’où une plus grande prise en compte de ce risque par les dirigeants« .

Les entreprises françaises ne sont pas prêtes face à ce risque
Bien que les entreprises françaises aient bien pris en compte le risque élevé que représente la cybercriminalité, elles n’ont pas forcément mis en place de défenses adéquates. « Plus de la moitié des entreprises françaises n’ont pas encore de plan d’action 100% opérationnel pour répondre à une cyberattaque » déclarait M. Di Giovanni.

A cause de l’explosion de la cybercriminalité, le taux de fraude en entreprise progresse fortement. 68% des entreprises ont déclaré avoir été victimes d’une fraude au cours des deux dernières années, contre 55% en 2014, soit une hausse de 13 points… [Lire la suite]

L’étude PWC Global Economic Crime Survey 2016

Réagissez à cet article

Les ‘’dix commandements’’ de base pour ne pas être une victime d’arnaque

Dans cet article, la Plateforme de lutte contre la cybercriminalité (PLCC) fait un rappel en 10 points des mesures à prendre pour naviguer sur la toile en toute sécurité.

1-      Changer régulièrement vos mots de passe. (Un site = Un mot de passe unique)

2-      Aucune autorité judiciaire, de police  ne possède d’adresse mail gratuite de type Hotmail, Yahoo, Gmail…

3-      Ne divulguez pas d’informations personnelles sur Internet. Prenez le temps de sécuriser vos comptes ainsi que ceux de vos enfants. Ne rendez pas visibles vos contacts sur Facebook ou autre réseau sociale.

4-      Allez toujours sur une adresse commençant par  https://, officielle et habituelle pour vous connecter à votre compte bancaire, à votre messagerie ou autres réseaux sociaux.

5-      Evitez d’envoyer des photos ou vidéos, de vous, à caractère sexuelle ou tout autre position indélicate.

6-      Ne versez jamais d’argent par Mandat Cash ou Western Union à une personne que vous ne connaissez pas, que vous n’avez jamais rencontrée physiquement.

7-      Méfiez-vous des trop bonnes affaires. Ne cédez jamais à la précipitation. Les bases d’une transaction sont les mêmes dans la réalité et sur Internet. Une annonce trop alléchante cache souvent une arnaque. Renseignez-vous, comparez les prix et les produits avant d’acheter.

8-      Cessez tout contact si votre interlocuteur (que vous ne connaissez pas) vous demande de l’argent sous prétexte de frais, de maladie, de transport…

9-      Remettez vous souvent en question. Il n’y a pas de profil type de victime, personne n’est à l’abri sur Internet. Les cyberdélinquants jouent parfois sur notre confiance excessive en nos capacités.

10-  Ayez un anti-virus efficace et à jour sur votre ordinateur.

Une fois de plus, la PLCC vous exhorte à la prudence !… [Lire la suite]

Réagissez à cet article

Dénoncez les hôtes Airbnb, Paris vous le rendra…

Réagissez à cet article

Les cybercriminels profitent des failles de la nature humaine 

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.

• 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés ;
• 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents;
• Les attaques par ransomware augmentent de 16% par rapport à 2015.

Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber-espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées. Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

1. La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée ;
2. Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe ;
3. Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. »… [Lire la suite]

Téléchargez le rapport

Réagissez à cet article

Daech prend le contrôle d’une centrale nucléaire. Futuriste ?

La prise de contrôle d’une centrale nucléaire par des mouvements djihadistes pourrait devenir une réalité « avant cinq ans », a admis samedi le coordinateur de l’Union européenne pour la lutte contre le terrorisme alors que la sécurité des sites nucléaires belges est pointée du doigt.

« Je ne serais pas étonné qu’avant cinq ans il y ait des tentatives d’utiliser l’Internet pour commettre des attentats », notamment en prenant le contrôle du « centre de gestion d’une centrale nucléaire, d’un centre de contrôle aérien ou l’aiguillage des chemins de fer », estime Gilles de Kerchove dans une interview au quotidien La Libre Belgique.

« À un moment donné, il y aura bien un gars » au sein de l’organisation djihadiste État islamique « avec un doctorat en technologie de l’information qui sera capable d’entrer dans un système », a-t-il estimé.

La miniaturisation des explosifs mais également la connaissance accrue des combattants de l’État islamique dans les biotechnologies constituent de réelles menaces pour l’avenir, selon lui. « Que se passera-t-il quand on en sera à comment élaborer un virus dans la cuisine de sa mère ? » s’est-il demandé.
En revanche, M. de Kerchove a estimé que le département belge de la Défense était « assez bon » en matière de cybersécurité. « Ils n’ont, bien sûr, pas les capacités de représailles des Français, des Anglais ou des Américains, mais en cas d’attaque, je pense que notre département de la Défense est assez bon », a-t-il dit, précisant cependant qu’il ne savait pas « si le gouvernement » belge était « capable d’anticiper et de résoudre de grosses attaques ».

Sécurité renforcée

Des médias belges et internationaux ont rapporté vendredi que la cellule terroriste bruxelloise responsable des attentats de mardi avait prévu une attaque à l’arme de guerre dans les rues de Bruxelles, type 13 novembre à Paris, et la fabrication d’une « bombe sale » radioactive après une surveillance vidéo par deux des kamikazes, les frères El Bakraoui, d’un « expert nucléaire » belge. À la suite des attaques survenues mardi à Bruxelles qui ont fait 31 morts, la sécurité avait été renforcée autour des deux centrales nucléaires de Belgique.
C’est dans ce contexte de suspicion sur la sécurité des sites nucléaires qu’un agent de sécurité dans le nucléaire a été abattu et son badge volé jeudi soir dans la région de Charleroi, dans le sud de la Belgique, selon le journal La Dernière Heure. Samedi, la piste terroriste a été écartée, par la justice belge. La piste terroriste est formellement démentie, rapporte l’agence de presse Belga, citant le parquet de Charleroi, dans le sud du pays. Le juge d’instruction spécialisé dans les matières terroristes n’a pas été saisi. Les raisons de la mort de la victime, abattue, tout comme son chien, de plusieurs balles à son domicile, ne sont pas encore connues mais les enquêteurs pensent à un cambriolage qui aurait mal tourné ou à un crime pour des raisons privées.
Le parquet de Charleroi a démenti le vol de son badge d’accès de centrale nucléaire… [Lire la suite]

Réagissez à cet article