Wi-Fi. Attention au piratage sur les vrais et faux réseaux gratuits

Vous êtes sur votre lieu de vacances et vous avez envie de vous connecter à l’internet. Pour consulter votre messagerie ou vos réseaux sociaux, envoyer des photos à vos proches, surfer sur le net ou consulter votre compte en banque ou faire une réservation.

Solution la plus simple : se connecter à un réseau Wi-Fi gratuit. Dans votre hôtel, camping, à la terrasse d’un café ou d’un restaurant… Les accès gratuits pullulent et se généralisent.

Expert en sécurité à Symantec, Laurent Heslault tire le signal d’alarme. « Rien de plus simple que de pirater les données qui transitent sur un réseau Wi-Fi gratuit » assure-t-il. « Par exemple, je m’installe à la terrasse d’un café et je crée un vrai faux point d’accès gratuit en empruntant le nom du café. Des gens vont s’y connecter et je n’ai plus qu’à récupérer toutes les données qui m’intéressent. Des mots de passe, des identifiants… »

Des sniffeurs de données

Il exagère ? Non. « L’expérience a été faite à la terrasse d’un café. Nous avons installé un logiciel qui permet de sniffer tous les appareils qui se branchaient sur le Wi-Fi. Ensuite, des complices, qui se faisaient passer pour des magiciens, allaient voir les gens en disant que par magie, ils avaient réussi à changer le code de leur téléphone ou leur image sur Facebook. Ils étaient étonnés ! » Rien de magique mais des logiciels de piratage qui se trouvent facilement sur le net.

Les données sur le Wi-Fi ne sont pas chiffrées

« Les données qui transitent sur le Wi-Fi ne sont pas chiffrées. Sauf quand vous vous connectés à un site sécurisé avec le protocole HTTPS. Donc ce sont des données faciles à intercepter. » Danger sur les vrais faux points d’accès Wi-Fi mais aussi sur les vrais qui ne sont, dans la grande majorité des cas, pas chiffrés non plus. « Par contre pas de problème pour une connexion 3G ou 4G qui sont chiffrées. Mais pour économiser leur forfait, les gens préfèrent se connecter au Wi-Fi ».

Conseils

Alors quels conseils ? « Ne jamais, sur un Wi-Fi public, entrer un mot de passe. D’autant que la plupart des internautes utilisent le même mot de passe pour tous leurs sites. » En clair, limiter les dégâts en ne consultant que des sites qui ne demandent aucune identification.

Autre solution : protéger son smartphone ou sa tablette en y installent un logiciel qui va chiffrer toutes les données qui vont en sortir. Plusieurs types de logiciels existent dont le Wi-Fi Privacy de Norton qui est gratuit pendant 7 jours et peut s’installer sur des périphériques fonctionnant sous Ios et Androïd.

Article original de Samuel NOHRA.

Nous prodiguons une multitude d’autres conseils durant les formations que nous animons à destination des élus, chef d’entreprises, agents publics et salariés. [Consultez la liste de nos formations]

Réagissez à cet article

Fausses applications Pokémon GO. Comment se protéger ?

Toutes les fausses applications découvertes par ESET et détectées grâce à ESET Mobile Security (application lockscreen nommée « Pokémon GO Ultimate » et les applications scareware « Guide & Cheats for Pokémon GO » et « Install Pokemongo ») ne sont plus disponibles sur Google Play. Elles ont été retirées de l’app Store suite à l’alerte donnée par ESET.

Même si ces fausses applications ne sont pas restées longtemps sur le Google Play, elles ont généré quelques milliers de téléchargements. L’application « Pokémon GO Ultimate », a piégé entre 500 et 1.000 victimes, « The Guide & Cheats for Pokémon GO » en a atteint entre 100 et 500, et la plus dangereuse d’entre elles, « Install Pokemongo » a atteint entre 10.000 et 50.000 téléchargements.

« Pokémon GO Ultimate » cultive son extrême ressemblance avec la version officielle du célèbre jeu mais ses fonctionnalités sont très différentes : elle verrouille l’écran automatiquement après le démarrage de l’application. Dans de nombreux cas, réinitialiser le téléphone ne fonctionne pas parce que l’application se superpose à toutes les autres, ainsi qu’aux fenêtres du système. Les utilisateurs doivent redémarrer leurs appareils en retirant la batterie ou en utilisant Android Device Manager. Après la réinitialisation, l’application malveillante fonctionne en arrière-plan, à l’insu de sa victime, en cliquant silencieusement sur des annonces à caractère pornographique. Pour se débarrasser de l’application, l’utilisateur doit aller dans Réglages -> Gestion des Applications -> PI Réseau et la désinstaller manuellement.

« Pokémon GO Ultimate » est la première fausse application sur Google Play qui utilise avec succès une fonction de verrouillage d’écran. Comme la fonctionnalité principale de cette application est le clic sur des annonces pornographiques, il n’y a pas de réels dommages. Mais il suffit de peu pour que la fonction de verrouillage d’écran évolue et ajoute un message de rançon, pour créer le premier ransomware par lockscreen sur Google Play.», explique Lukáš Štefanko, Malware Researcher chez ESET.

Alors que l’application « Pokémon GO Ultimate » porte les signes d’un screenlocker et d’un pornclicker, les chercheurs ESET ont également trouvé un autre malware sur Pokémon GO dans Google Play. Les fausses applications nommées « Guide & Cheats for Pokemon GO » et  « Install Pokemongo » sur Google Play, appartiennent à la famille des Scarewares. Ils escroquent leurs victimes en leur faisant payer des services inutiles. En leur promettant de leur générer des Pokecoins, Pokeballs ou des œufs chanceux – jusqu’à 999.999 chaque jour – ils trompent les victimes en leur faisant souscrire à de faux services onéreux. (Cette fonctionnalité a récemment été décrite dans un article publié sur WeLiveSecurity).

« Pokémon GO est un jeu si attrayant que malgré les mises en garde des experts en sécurité, les utilisateurs ont tendance à accepter les risques et à télécharger toutes applications qui leur permettraient de capturer encore plus de Pokémons. Ceux qui ne peuvent pas résister à la tentation devraient au moins suivre des règles de sécurité élémentaires. » recommande Lukáš Štefanko.

Conseils des experts en sécurité ESET pour les afficionados de Pokémon GO :

– téléchargez uniquement ce qui vient d’une source connue

– lisez les avis en prêtant attention aux commentaires négatifs (gardez en tête que les commentaires positifs ont pu être créés par le développeur)

– lisez les termes et conditions de l’application, concentrez-vous sur la partie qui concerne les permissions requises

– utilisez une solution de sécurité mobile de qualité pour vérifier toutes vos applications

Conseils de Denis JACOPINI

Pour anticiper et vous protéger pour moins de 10€ (10€ est prix de la licence initiale. Une forte réduction sera appliquée au moment du renouvellement au bout d’un an)

Article original de ESET

Réagissez à cet article

Formation RGPD : l’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Le Règlement Général sur la Protection de Données (RGPD) entre en application le 25 mai 2018 et les entreprises ne s’y sont pas préparées. Or, elles sont toutes concernées, de l’indépendant aux plus grosses entreprises, et risqueront, en cas de manquement, des sanctions pouvant aller jusqu’à 4% de leur chiffre d’affaires.

Au delà des amendes pouvant attendre plusieurs millions d’euros, c’est aussi  la réputation des entreprises qui est en jeu. Quelle valeur lui donnez vous ? Serez-vous prêt à la perdre pour ne pas avoir fais les démarches dans les temps ?

Formation en Cybercriminalité : Arnaques, virus et demandes de rançons, Comment s’en protéger ?

OBJECTIF DE LA FORMATION EN CYBERCRIMINALITE :

La formation en cybercriminalité a pour but de créer des déclics chez les utilisateurs, mettre à jour les connaissances des informaticiens et faire prendre conscience aux chefs d’entreprises des risques en couvrant les règles de bonnes pratiques et des attitudes responsables qui sont les clés permettant d’enrayer le phénomène de la cybercriminalité.

PROGRAMME :

• Etat des lieux de la cybercriminalité en France et dans le monde;
• Les principaux cas de piratages et d’arnaques expliqués ;
• Les bonnes pratiques au quotidien pour limiter les risques ;
• Etude de vos témoignages, analyse de cas et solutions.
• PUBLIC CONCERNÉ : Utilisateurs, chefs d’entreprise, présidents d’associations, élus….

MOYENS PÉDAGOGIQUES :

• Support de cours pour prise de notes
• Résumé remis en fin de cours.
• Vidéo projecteur et sonorisation souhaitée selon la taille de la salle.

CONDITIONS D’ORGANISATION

• Formations individuelles ou en groupe
• Formations dispensées dans vos locaux ou organisées en salle de formation partout en France en fonction du nombre de stagiaires.

Téléchargez la fiche de présentation / Contactez-nous

QUI EST LE FORMATEUR  ?

Denis JACOPINI est Expert Informatique assermenté, diplômé en Cybercriminalité, Droit, Sécurité de l’information, informatique Légale et en Droit de l’Expertise Judiciaire et a été pendant une vingtaine d’année à la tête d’une société spécialisée en sécurité Informatique.

Il anime dans toute le France et à l’étranger des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles.
A ce titre, il intervient régulièrement sur différents médias et sur La Chaine d’Info LCI pour vulgariser les sujets d’actualité en rapport avec ces thèmes.

Spécialisé en protection des données personnelles, il accompagne les établissements dans leur mise en conformité CNIL en les accompagnant dans la mise en place d’un Correspondant Informatique et Libertés (CIL).

Enfin, il intervient en Master II dans un centre d’Enseignement et de Recherche en Informatique, en Master Lutte contre la Criminalité Financière et Organisée, au Centre National de la Fonction Publique Territoriale et anime le blog LeNetExpert.fr sur lequel il partage et publie de très nombreuses informations sur ses thèmes de prédilection.

Denis JACOPINI peut facilement être contacté sur :
http://www.leNetExpert.fr/contact

10 bonnes pratiques pour des soldes sur Internet en sécurité

– Faites attention aux sites Internet que vous ne connaissez pas. Au moindre doute, n’effectuez pas vos achats, car il peut s’agir d’un faux site Internet qui tente de récupérer les informations de votre carte bancaire.

– Préparez-vous aux attaques par phishing. Elles se diffusent massivement par e-mail lors des soldes, car c’est à cette période que les internautes passent le plus de temps sur les sites Internet de vente en ligne. ESET a réalisé une courte vidéo pour vous expliquer comment éviter le phishing par e-mail.

– Utilisez des méthodes de paiement sécurisé. Vérifiez que l’URL mentionne HTTPS. Effectuez toujours vos paiements sur des sites Internet chiffrés.

– Attention aux annonces sur Facebook. Les plateformes des réseaux sociaux abondent de fausses annonces et sites Internet proposant des offres intéressantes. Évitez également de partager les détails de votre carte bancaire par message : vous ne pouvez pas vérifier l’identité des personnes qui ont accès au compte et qui recevront ces informations.

– Effectuez toujours vos achats sur des appareils sécurisés et évitez de vous connecter à un Wi-Fi public. Ce genre d’arnaque, appelé Man-in-the-Middle (MiTM) est très répandu. En 10 minutes, le pirate peut voler toutes les informations vous concernant.

– Utilisez des mots de passe forts ou un gestionnaire de mots de passe. Plusieurs études ont montré que les utilisateurs ayant plus de 20 comptes en ligne et étant actifs sur Internet sont plus susceptibles de réutiliser les mêmes mots de passe pour plusieurs accès. Selon le rapport de recherche et de stratégie Javelin, cette méthode augmente de 37% le risque de voir ses comptes compromis. Aussi, les experts ESET recommandent d’utiliser des mots de passe forts mélangeant des minuscules et des majuscules à des symboles et chiffres. Les gestionnaires de mots de passe peuvent être utilisés pour ne pas avoir à les apprendre par cœur. Retrouvez les erreurs les plus courantes lors de l’utilisation d’un mot de passe en cliquant ici.

– Soyez prudent avec votre smartphone. Le nombre de cybermenaces sur cette plateforme a considérablement augmenté. Pour commencer, faites vos achats uniquement via des applications certifiées et supprimez les applications dont vous ne vous servez pas. Pensez à désactiver le Wi-Fi lorsque vous faites votre shopping dans un lieu public, privilégiez les données cellulaires, ceci permettra d’empêcher les cybercriminels de vous diriger vers un faux Wi-Fi afin de voler vos informations bancaires.

– Utilisez une e-carte bleue. Non seulement elle est déconnectée de vos comptes bancaires et est également assurée contre les fraudes.

– Respectez les règles de sécurité de base. Cela peut paraître évident, mais avant de faire vos achats, assurez-vous d’être correctement protégé : installez une solution de sécurité efficace et mise à jour. Optez pour une solution qui offre une navigation sécurisée pour les transactions bancaires. Enfin, ajoutez des mots de passe à votre écran de verrouillage ou un code PIN à votre smartphone.

– Évitez de réaliser vos achats sur différents appareils (1 à 2 maximum). Plus vous entrerez les informations de votre carte de crédit sur des appareils différents (PC, tablette, smartphone…), plus vous multipliez le risque d’être victime d’une fraude.

Comment peut-on savoir si vous êtes chez vous et dans quelle pièce grâce au Wifi ?

Nous avons tous des routeurs Wi-Fi à la maison, ils sont si pratiques pour accéder à Internet. Mais les ondes radio émises par ces appareils trahissent également, de façon involontaire, notre présence dans le foyer.
Des chercheurs des universités de Santa Barbara et Chicago viennent de montrer qu’il suffit de se munir d’un smartphone et d’un plan des locaux ciblés, puis de se balader un peu autour pour savoir si une personne est présente, et parfois même dans quelle pièce. Et cela avec une précision qui dépasse les 87 %. Pour une espion ou un voleur, c’est une information plutôt intéressante….[lire la suite]

Une faille de sécurité Bluetooth intercepte nos données et affecte nos smartphones

Il faut savoir que le protocole Bluetooth repose sur la méthode de chiffrement Diffie-Hellman (ECDH) permettant une connexion sécurisée entre deux appareils dont le principe repose sur l’échange de clés. Les chercheurs ont remarqué qu’une étape de validation n’était pas présente dans le processus. Les experts ont donc réussi à intercepter les données transférées pendant les communications sans fil Bluetooth.

Les chercheurs de Technion explique qu’un troisième appareil malveillant peut directement s’incruster dans la liaison dans un rayon de 30 mètres, et espionner la connexion entre les deux appareils afin de récupérer les données échangées. Ces experts sont d’ailleurs parvenus à développer une technologie permettant de trouver la clé de sécurité partagée entre deux appareils...[lire la suite]

Un trottoir dédié aux accros au smartphone en Chine

Objets connectés pour la santé : une étude révèle des failles de sécurité inquiétantes

Denis JACOPINI au JT de TF1 : Cybercriminalité : Dans les prochaines années, ce qui arrive sur nos ordinateurs et nos téléphones risque aussi de se produire sur nos télévisions, nos voitures autonomes…



Nous avons tous été victimes d’une fraude à la carte bleue ou d’un piratage de données personnelles. Un rapport officiel publié ce mercredi 20 juin par le ministère de l’Intérieur, montre l’augmentation considérable du nombre de cyberattaques. La raison: on a plus besoin d’être un hacker professionnel pour lancer une opération. Les techniques sont connues : l’hameçonnage, qui vise à obtenir frauduleusement les coordonnées bancaires, et le rançongiciel.

« Dans les prochaines années, ce qui arrive sur les ordinateurs et sur les téléphones risque de se produire aussi sur des télévisions, des voitures autonomes… »

Ce sujet a été diffusé dans le journal télévisé de 20H du 20/06/2018 présenté par Gilles Bouleau sur TF1. Vous retrouverez au programme du JT de 20H du 20 juin 2018…[lire la suite]