Archives de catégorie : Identité numérique

Argent, Base de données, Chiffrement, Contrefaçon, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers, Social engineering

Le réveil de la force : des données appartenant à des joueurs d’Electronic Arts dans la nature

Piratage ? Fuite de données ? Phishing ? Plusieurs centaines de données appartenant à des joueurs de produits édités par Electronic Arts diffusés sur la toile.

Pour le moment, impossible de savoir d’ou proviennent les données diffusés sur Pastebin. Dans les fichiers mis en ligne, des informations appartenant à des joueurs de produits vidéo ludique proposé par l’éditeur Electronic Arts. Tout est possible : piratage d’ordinateurs de joueurs ; phishing ; Fuite de données internes. Avec le « buzz » autour du jeu star Wars Battlefront, les pirates ont les dents acérées et les griffes sorties. EA est une cible, comme les autres éditeurs de jeux vidéo. D’abord par une population de pirates, professionnels de la contrefaçon, visant les serveurs et espérant ainsi mettre la main sur des nouveautés, avant leur sortie (le cas le plus parlant fût celui de Sony Picture et des films stockés sur un serveur, 6 mois avant leur sortie en salle, NDR). Le vol de comptes de joueurs et autres données, pouvant être bancaires, attirent la force obscure de certains internautes. EA a Confirmé un problème interne et a proposé aux « clients » impactés de modifier leur mot de passe. Avoir accès à un compte permet aussi de jouer au jeu téléchargé, voir de revendre le compte,  afin d’en tirer des euros sonnants et trébuchants.

Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Police : gestion de la base de données des plaques d’immatriculation

Pendant des années, la police américaine a utilisé des scanners de plaques d’immatriculation installées dans les voitures de patrouille. Elle achète aussi, aujourd’hui, des BDD à des entreprises privées.

Aux USA, mais aussi en Europe, comme en France d’ailleurs avec les contrôle automatisé de données signalétiques des véhicules (radars automatiques), ou encore avec LAPI (lecture automatisée de plaques d’immatriculation), les plaques d’immatriculations des automobiles sont stockées. Chez l’Oncle Sam, la lecture automatisée, via des caméras embarquées sur les véhicules, permet de télécharger les images dans les bases de données qui sont utilisées pour identifier les suspects de crimes et délits.

Il s’avère que la base de données policière n’est pas suffisante. Bilan, des bases de données de plaques sont acquises dans le secteur privé, chez les dépanneurs automobiles par exemple qui photographient les plaques, et les documents des automobilistes.

Les associations en charge des libertés civiles, et certains législateurs, s’inquiètent de ces partenariats, estimant que des protections devaient être mises en place contre les abus. Autres problèmes, l’obsolescence des bases de données acquises et la durée de conservation des données. Certains voix réclament que la police devrait obtenir un mandat d’un juge pour accéder aux bases de données en question. (WTOP)

Argent, Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers

Un objet connecté biométrique qui supprime définitivement les mots de passe

La start-up Trust Designer (EuraTechnologies – Lille), concepteur de produits high-tech, s’est appuyée sur le standard d’authentification forte Natural Security pour développer « SesameTouch », un objet connecté biométrique qui permet de s’authentifier et de payer, et ce sans devoir saisir de code confidentiel.

Un premier cas concret d’utilisation a été présenté en avant-première lors de la dernière édition du salon Paris Retail Week. Trust Designer a intégré son objet connecté « SesameTouch » au porte-monnaie électronique « My E-money Purse » développé par la société TSI (Ticket Surf International), 1ère entreprise française à avoir obtenu la licence d’Emetteur de Monnaie Electronique délivrée par l’APCR (Banque de France). Ainsi, le premier porte-monnaie électronique avec objet connecté biométrique a été présenté lors de ce salon.

Ce produit innovant permet de commander des produits sur le web, de payer et de s’identifier de façon simple (plus besoin de mémoriser un code confidentiel), rapide (la saisie d’un code confidentiel disparaît) et sécurisée (la biométrie permet de s’assurer que le porteur est bien là au moment de la transaction) au moment du retrait en magasin. Pour finaliser l’industrialisation de son produit, Trust Designer a lancé ce jeudi 1er octobre 2015 une campagne de financement participatif, via la plateforme Kickstarter. Nous avions demandé à tester la chose, histoire de parler d’une entreprise que nous voyons de notre fenêtre Lilloise, mais nous n’avons pas eu la chance d’avoir une réponse de la part de Trust Designer.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers

Les espions britanniques… espionnent des ressortissants américains

Le site Cryptome annonce que les espions britanniques du GCHQ ont surveillé les américains qui venaient consulter l’ancêtre de wikileaks.

Pour faire simple, Cryptome est le papa de wikileaks. Depuis plus de 15 ans, Cryptome diffuse des informations qui lui sont transmissent et qui relatent des documents du FBI, CIA, Services secrets de la planéte et autres documentations liées aux droits de l’homme. Cryptome vient s’expliquer, dans un article baptisé « GCHQ Illegal Spying in US » que les grandes oreilles britanniques ont espionné les internautes américains venus se renseigner sur l’espionnage dans le monde, et plus précisément celui mis en place par l’Oncle Sam. Une attaque MITM, Man-In-The-Middle, qui semble avoir permis au GCHQ de tracer les internautes venus se renseigner.

Cette opération de surveillance de masse –  baptisée Karma Police – a été lancée par des espions britanniques il y a environ sept ans. Un espionnage sans aucun débat public, ni examen politique. Un espionnage de l’Internet mondial mis en place  par l’agence des écoutes électroniques du Royaume-Uni, le Government Communications Headquarters (GCHQ). De nouveaux documents tirés des fichiers volés par Edward Snowden, ancien analyste de la NSA, ont été diffusés par The Intercept.

Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Particuliers, Tor

Own-Mailbox, un projet de mail sécurisé

Un commentaire

Own-Mailbox promet la première boite à mails 100% sécurisé et confidentielle. Pour réussir ce tour de force, les créateurs lancent une souscription qui se termine dans une semaine.

Own-Mailbox, une idée qui s’annonce particulièrement plaisante pour les personnes souhaitant sécuriser leurs correspondances. La mission de Own-Mailbox, vous permettre d’héberger votre propre boîte électronique. Visuellement, il s’agit d’une petite boite, elle ressemble d’ailleurs un peu à la Anonabox présentée, la saison dernière, dans ZATAZ Web TV.

Derrière Own-Mailbox, la société Revolutek. 824 contributeurs, dont votre serviteur, ont mis la main à la poche. 58.000 euros ont été récoltés pour le moment. Le projet en réclame 95.000. La version bêta sera livrée en décembre 2015. La version définitive en juin 2016.

Les auteurs indiquent qu’elle sera aussi facile à installer que gMail. La « box » chiffrera automatiquement vos mails à partir de Gnu Privacy Guard (GPG). Vos correspondants n’ont pas besoin de chiffrer leur message, ou d’avoir votre clé. Un lien HTTPS filtré et temporaire est communiqué à vos contacts. Ce lien pointe vers votre message privé hébergé sur votre propre Mailbox. A suivre sur KickStarter.

Kerv, la bague qui va vous permettre d’allumer votre PC ou payer vos achats
C’est sur KickStarter qu’est apparu le projet Kerv. L’idée de son instigateur, Philipp Campbell, permettre d’allumer votre PC ou payer vos achats avec une bague dédiée. Pour le moment, plus de 13.000 livres sterling ont été collectés, sur les 77.000 que réclame son projet. Payer avec un seul geste – partout dans le monde – du moins dans les boutiques qui accepte les paiements sans contact. Si l’idée semble intéressante, savoir que notre porte monnaie est au bout d’un doigt et que le paiement par NFC peut se manipuler malheureusement assez facilement laisse quelques questions en suspend. A voir pour d’autres utilisations comme diffuser sa carte de visite numérique de manière originale ou permettre de clôturer et/ou ouvrir son ordinateur.

Apple, Cybersécurité, Espionnae, ID, Identité numérique, ios, Logiciels, Mise à jour, OS X, Particuliers, Patch, Smartphone

Contourner iOS 9 LockScreen en 30 secondes

Utiliser SIRI pour contourner l’écran de verrouillage des nouveaux appareils d’Apple fonctionnant sous iOS9.

Une faille de sécurité a été découverte dans le nouvel OS d’Apple, iOS 9, sorti en septembre. Il permet d’exploiter Siri afin de contourner l’écran de verrouillage des téléphones et autres tablettes de la grosse pomme. Le « truc » permet d’accéder aux contacts et aux photos stockées dans l’appareil en 30 secondes. La faille n’est toujours pas corrigée dans la mise à jour 9.1.

La firme de Cupertino a annoncé que plus de 50% des appareils ont été mis à jour

La faille est d’une simplicité enfantine. Il est même étonnant qu’aucun test interne n’eut été réalisé face à ce genre de « bug ». Comment cela marche ? D’abord faire 4 erreurs lors de la demande de votre mot de passe. Attention, au bout de 5 tentatives, votre téléphone sera bloqué. Une protection classique. Dans cette 5ème tentative, tapez trois chiffres et laissez le dernier espace vide. Cliquez sur le bouton « Home » et fournissez un 4ème chiffre aléatoire. L’appareil sera bloqué, mais SIRI sera lancé. Demandez l’heure à Siri et cliquez sur l’îcone « Horloge ». Rajoutez une nouvelle horloge en cliquant sur +. Enregistrez cette horloge avec le nom de votre choix. Sélectionnez l’option « Partagez », ouvrez un nouveau message. Dans le champ « À », ouvrez la page info… et vous voilà avec un accès complet aux contacts et photos stockées dans le téléphone !

Pour éviter ce désagrément à la sauce « Big Brother », allez dans « paramètres », puis « code d’accès », sélectionnez l’option « Autoriser lors du verrouillage ». Bloquez l’accès à Siri quand l’accès à votre téléphone est bloqué par un mot de passe.

Apple, Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données, ID, Identité numérique, Linux, Logiciels, Microsoft, Mise à jour, Particuliers, Vie privée, VPN

Firefox Beta : encore plus de sécurité

Protection contre le pistage au sein de la navigation privée. Firefox Beta est désormais disponible, avec de nouvelles fonctionnalités telles que la protection contre le pistage au sein de la navigation privée.

Cette nouvelle fonctionnalité bloque certains éléments tiers au sein des pages Web, utilisés notamment pour enregistrer l’activité de l’internaute et ainsi créer un profil de l’utilisateur en se basant sur sa navigation. La navigation privée au sein de Firefox permet de limiter l’accès aux données récoltées par les tiers. Firefox Beta propose également un nouveau centre de contrôle, incluant des paramètres de sécurité et de confidentialité regroupés en un seul endroit, et accessible via le bouclier dans la barre d’adresse. Firefox Beta tourne sur Windows, Mac et Linux.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering

600.000 fans des sœurs Kardashian piratables

Les starlettes américaines Kardashian ont lancé une série de nouveaux sites web et applications mobiles afin de suivre « leur vie ». Seulement, comme le botox, le site web s’est tendu et a laissé fuir 600.000 informations privées de fans.

Parallèlement au lancement des applications mobiles, des logiciels qui trônent dans les premières places de l’App Store (des centaines de milliers de téléchargements), les sœurs Kardashian, des « célébrités » de la TV réalité américaine, ont également mis en ligne de nouveaux sites Web conçus pour les aider à mieux communiquer avec leurs fans.

Seulement, les sites avaient des bugs. L’un d’eux permettait de mettre la main sur les noms, prénoms et adresses mails de plus de 600.000 utilisateurs. C’est un jeune internaute de 19 ans, Alaxic Smith, qui a découvert le problème de configuration qui visait l’ensemble des sites Internet des starlettes. Le problème était dans l’API qui communiquait avec les smartphones des « fans » et les sites web des Kardashian. Des informations qui transitaient en claires.

Le responsable « technique » de ce barnum informatique a confirmé la faille et la correction de cette dernière. « Nos journaux indiquent que personne d’autre a eu accès aux informations des utilisateurs, les mots de passe, et les données de paiement n’ont pas été impactés« .

Base de données, Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle

Si c’est gratuit, c’est vous le produit, AVG le confirme

L’éditeur de la solution de sécurité informatique AVG vient de changer ses conditions d’utilisation et indique clairement que sa version gratuite lui permet de collecter des informations sur les utilisateurs. Données qui seront revendues.

L’éditeur Tchèque AVG, créateur de l’antivirus éponyme, propose une version gratuite de son antivirus utilisé par des millions de personnes. L’entreprise vient d’annoncer qu’elle avait modifié ses conditions d’utilisation. Des conditions qui ont le mérite d’être claires.

Dans sa version anglaise, les conditions d’utilisation indiquent qu’AVG peut revendre les données que la société collecte « Nous recueillons des données non personnelles pour faire de l’argent via nos offres gratuites afin que nous puissions les garder gratuites » [We collect non-personal data to make money from our free offerings so we can keep them free].

Après Windows 10, AVG est une nouvelle entreprise à jouer totale transparence sur les informations quelle collecte : informations sur les applications installées dans votre machine; la façon dont ces applications sont utilisées; l’identifiant publicitaire qui vous est associé; votre navigation et votre historique, y compris les métadonnées; le type de connexion Internet que vous utilisez pour vous connecter.

Cette nouvelle politique entrera en vigueur à partir du 15 octobre 2015. A noter que la page française de la « Politique de Confidentialité » d’AVG n’a pas été modifiée.

Mise à jour : AVG souhaite clarifier la situation et apporter plus de précisions sur ce sujet, via un billet posté sur le blog de la société. A la suite de notre article, l’éditeur a fait une petite marche arrière et a précisé, dans un nouveau post, la méthode pour « Comprendre la nouvelle politique de confidentialité de AVG« . L’éditeur explique que sa politique de confidentialité a été effectuée via la « mise en place d’une page, facile à lire, de la politique de confidentialité pour nos clients. Elle donne l’information dont ils ont besoin, plutôt qu’un long document, légalement écrit, est difficile à comprendre. » Le document indique aujourd’hui que « Lors de la création de notre nouveau format de cette politique, nous avons décidé que nos clients devaient avoir la possibilité de choisir, si oui ou non, ils souhaitaient participer à notre programme de collecte de données anonymisées« . Changement de ton, donc. « Exit » la ligne qui indiquait clairement que les données seraient revendues pour permettre à la version gratuite d’AVG de perdurer. Dorénavant, la collecte est une option « et nous pouvons confirmer qu’aucun partage des données ne se passera jusqu’à ce que nos clients soient en mesure de faire ce choix« . Bref, l’utilisateur de l’outil gratuit pourra accepter, ou non, de fournir ses données.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Mise à jour, OS X, Particuliers, Smartphone

iOS 9 : bonne pratique de sécurité

La version finale d’iOS 9 est disponible dès ce 16 septembre ! À cette occasion, voici les bonnes pratiques en matière de sécurité iOS.

Bien que les appareils et les OS Apple aient une réputation de sécurité forte, 84 % des vulnérabilités mobiles découvertes l’an dernier ont touché iOS, selon le dernier rapport de Norton by Symantec sur les menaces de sécurité Internet (ISTR). D’ailleurs, une récente famille de logiciels malveillants, appelée KeyRaider, a compromis un nombre record de comptes d’utilisateurs sur les iPhones jailbreakés.

Ci-dessous, vous trouverez trois conseils de sécurité pour iOS 9 à utiliser pour protéger vos informations personnelles. D’abord, utiliser un mot de passe Apple ID fort et unique. Le nouvel iOS 9 exige désormais un code à six chiffres plutôt que quatre. Si ce dernier est couplé avec un mot de passe Apple ID fort qui utilise des lettres, des chiffres et des symboles, il sera plus difficile pour les criminels de deviner les mots de passe.

Ensuite, DataSecurityBreach.fr vous conseiller d’activer l’authentification à deux facteurs (Comme pour double authentification Gmail, Facebook, Dropbox, …) Dans iOS 9, une authentification à deux facteurs, une couche supplémentaire de sécurité, est étendue à iTunes et iCloud, et les utilisateurs devraient l’activer immédiatement. Celle-ci oblige les utilisateurs à entrer un code de vérification unique de six chiffres (envoyé à un dispositif de confiance) ainsi que leur adresse e-mail et mot de passe lorsque l’ils se connectent à leur compte à partir d’un nouveau navigateur ou terminal.

Enfin, désactiver l’accès à Siri depuis l’écran de verrouillage. Siri est l’assistant personnel intelligent iOS, mais bien qu’utile, Siri peut aussi être un risque de sécurité. Il y a eu plusieurs cas dans le passé où Siri a été utilisé pour contourner l’écran de verrouillage de l’iPhone. Empêcher Siri d’être utilisé à partir de l’écran de verrouillage va protéger les appareils de ces types de hacks.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering

Les écoles autorisées à vendre les données des enfants

Des écoles américaines autorisées par la loi fédérale à vendre des informations de leurs élèves aux commerçants.

Voilà qui ne présage rien de bon pour le futur de nos écoles. Aux USA, la loi fédérale autorise dorénavant les écoles publiques à remplir leur caisse en commercialisant les informations des élèves. Il faut dire aussi qu’à la vue des documents que les parents peuvent remplir à chaque rentrée, et durant l’année, les bases de données des établissements scolaires n’ont rien à envier à big brother.

Les sociétés de marketing louchent sur ces clients prescripteurs. En Europe, les sociétés investissent, sous forme de mécénat et autres rendez-vous scolaires (Junicode, cross de l’école, soirée étudiante, …) mais n’ont pas encore la main mise sur les données. Aux USA, les parents doivent trouver la petite case qui interdit la diffusion des données. Elle est souvent cachée dans le monceau de feuilles à signer. En France, comme ailleurs, n’hésitez pas à ouvrir une adresse mail dédiée uniquement à l’année scolaire en cours [sco2016@votrenomdedomaine.fr, par exemple] et lisez bien les petites lignes, comme celle qui vous informe que votre enfant pourra finir dans la presse locale/territoriale lors d’une sortie de classe, d’une fête d’école, … [WTOP]

Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Identité numérique, Linkedin, Particuliers, Phishing, Social engineering, Vie privée

Qui protège le mieux ses données personnelles ?

La récente affaire Ashley Madison a démontré une nouvelle fois les nombreuses failles de nos systèmes informatiques et  la négligence des utilisateurs à confier leurs données personnelles à tous types de sites. Newmanity au travers de son étude a voulu étudier le comportement des français face à cette polémique et les résultats s’avèrent des plus surprenants !  Homme, femme, qui a le plus peur pour ses données personnelles ?

On apprendre que la majorité des actifs Français déclarent faire plus attention à leurs données numériques dans le cadre personnel, plutôt que dans le cadre professionnel. Les hommes déclarent protéger davantage leurs données que les femmes. Les Français expriment plus de méfiance à l’égard des appareils mobiles (Smartphones, Tablettes) que des ordinateurs. La déconnexion des comptes est une habitude peu fréquente pour les Français

Une enquête réalisée auprès d’un échantillon de Français recrutés par téléphone puis interrogés par Internet les 31 août et 1er septembre 2015 a permis de se faire une petite idée de la protection des données. Un échantillon de 1183 personnes, représentatif de la population française âgée de 18 ans et plus. La représentativité de l’échantillon est assurée par la méthode des quotas appliqués aux variables suivantes : sexe, âge, profession du chef de famille et profession de l’interviewé après stratification par région et catégorie d’agglomération.

LES HOMMES PLUS MÉFIANTS QUE LES FEMMES

Selon les actifs français, les données numériques les plus préoccupantes sont celles issues d’une utilisation personnelle : 69% d’entre eux déclarent y être plus vigilants contre 28% dans le cadre professionnel. Et ce sont les femmes qui sont les moins regardantes (34%) sur la protection de leurs données dans le cadre personnelles contre 73% des hommes qui scrutent méticuleusement la moindre trace sur la toile ! Paradoxalement, les manipulations de base permettant de limiter les problèmes de sécurité en matière de données numériques sont encore assez peu utilisées. Par exemple, moins de 6 actifs sur 10 se déconnectent systématiquement de leur boite mail personnelle lorsqu’ils la consultent depuis le bureau, et cette proportion tombe à 48% lorsque l’utilisation se fait sur ordinateur personnel.

Que ce soit sur leur ordinateur personnel ou professionnel, moins de 4 Français sur 10 suppriment leurs données de navigation tous les jours ou au moins une fois par semaine. D’ailleurs, près de 3 actifs sur 10 ne suppriment jamais leur historique de navigation sur leur ordinateur professionnel. Des gestes pourtant simples qui permettraient une meilleures protection de la vie privée de tout un chacun.

Les appareils mobiles suscitent plus de méfiance

Près de la moitié des Français détenteurs d’équipements numériques n’en n’ont pas confiance, signe d’une certaine méfiance alors que les affaires de piratage de données personnelles (Orange, Ashley Madison…) font régulièrement la Une de l’actualité. Dans le détail, que ce soit à l’égard des ordinateurs personnels ou professionnels, les cadres et les femmes qui semblent être les plus confiants. A l’inverse, les hommes et les CSP ‘employés’ et ‘ouvriers’ sont nettement plus réservés.

Il est à noter que cette méfiance devient défiance lorsqu’il s’agit de tablettes ou de smartphones. Ces équipements mobiles sont marqués par le peu de confiance qui leur est accordé en matière de sécurité de données transmises : Seulement 37% des Français détenteurs d’une tablette numérique lui font confiance et à peine plus d’un tiers (34%), en ce qui concerne les possesseurs de smartphones. [l’étude complète]

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering

Sites de rencontres : la protection n’est pas au rendez-vous !

Une étude de Dashlane au sujet des Sites de rencontres met en avant le fait que la protection n’est pas au rendez-vous.

Cela fait maintenant trois mois que le site Ashley Madison, la version américaine du site de rencontres adultères Gleeden, a été piraté avec les conséquences désastreuses que l’on connaît. Carrières ruinées, familles brisées, procès, c’est un mauvais feuilleton dramatique qui se déroule sous nos yeux outre-Atlantique. Les autres sites de rencontre ne semblent toutefois pas en avoir tiré d’enseignements. L’étude publiée par Dashlane, qui gère l’identité numérique et les mots de passe de 3M d’internautes, montre que la plupart des sites de rencontre n’ont pas mis en place de politique de sécurité pour s’assurer que leurs utilisateurs soient protégés par des mots de passe forts. Les internautes qui partagent des informations pour le moins confidentielles sur ces sites risquent fort d’être très intéressés par les résultats ci-dessous…

Dashlane a étudié 24 sites de rencontre (dont 12 en France) parmi les plus populaires et les a classé selon leur approche de la sécurité des mots de passe. 19 critères ont été utilisés comme la longueur minimale du mot de passe acceptée ou le fait d’exiger ou non un mot de passe alphanumérique, composé de lettres et de chiffres. L’étude prend également en compte l’acceptation par le site des mots de passe très basiques comme « 123456 ».

Les résultats sont alarmants: Alors que les grands sites Internet ont renforcés leurs politiques de sécurité concernant les mots de passe (sur le même test, Apple a un score de 100, Hotmail de 88 et Gmail de 76), les sites de rencontre n’ont en général pas mis en place de politique pour inciter leurs utilisateurs à employer des mots de passe forts. Le plus avancé des sites de rencontres analysés, OK Cupid, n’a qu’un score de 62 et seuls trois sites, sur les douze analysés, ont un score « passable » supérieur à 50.

· Les disparités sont grandes entre les sites. Si OK Cupid a un score de 62, Badoo et Plenty Of Fish ferment la marche avec un petit score de 22.
· Derrière les mauvaises notes, on observe des pratiques de sécurité d’un autre âge. Badoo ou Attractive World envoient à leurs utilisateurs leur mot de passe en clair par email. Encore plus effrayant, sur Match.com ou Plenty Of Fish, il est possible de créer des mots de passe d’une seule lettre ! Aucun des sites analysés pour le marché français n’exige un mot de passe alphanumérique (composé de chiffres et de lettres) et sur les douze, seuls quatre adressent un email aux utilisateurs lorsque leur mot de passe est modifié !
· Les personnes qui recherchent à faire des rencontres extra conjugales sur Internet peuvent aussi se poser des vraies questions car les sites spécialisés, Ashley Madison et Gleeden ne recueillent que des notes respectives de 30 et 32.

Cela fait maintenant trois mois que le site Ashley Madison, la version américaine du site de rencontres adultères Gleeden, a été piraté avec les conséquences désastreuses que l’on connaît. Carrières ruinées, familles brisées, procès, c’est un mauvais feuilleton dramatique qui se déroule sous nos yeux outre-Atlantique. Les autres sites de rencontre ne semblent toutefois pas en avoir tiré d’enseignements. L’étude publiée par Dashlane, qui gère l’identité numérique et les mots de passe de 3M d’internautes, montre que la plupart des sites de rencontre n’ont pas mis en place de politique de sécurité pour s’assurer que leurs utilisateurs soient protégés par des mots de passe forts. Les internautes qui partagent des informations pour le moins confidentielles sur ces sites risquent fort d’être très intéressés par les résultats ci-dessous…

24 sites de rencontre (dont 12 en France) étudiés, parmi les plus populaires. Ils ont été classés selon leur approche de la sécurité des mots de passe. 19 critères ont été utilisés comme la longueur minimale du mot de passe acceptée ou le fait d’exiger ou non un mot de passe alphanumérique, composé de lettres et de chiffres. L’étude prend également en compte l’acceptation par le site des mots de passe très basiques comme « 123456 ».

Les résultats sont alarmants. Alors que les grands sites Internet ont renforcés leurs politiques de sécurité concernant les mots de passe (sur le même test, Apple a un score de 100, Hotmail de 88 et Gmail de 76), les sites de rencontre n’ont en général pas mis en place de politique pour inciter leurs utilisateurs à employer des mots de passe forts. Le plus avancé des sites de rencontres analysés, OK Cupid, n’a qu’un score de 62 et seuls trois sites, sur les douze analysés, ont un score « passable » supérieur à 50. Les disparités sont grandes entre les sites. Si OK Cupid a un score de 62, Badoo et Plenty Of Fish ferment la marche avec un petit score de 22.

Derrière les mauvaises notes, on observe des pratiques de sécurité d’un autre âge. Badoo ou Attractive World envoient à leurs utilisateurs leur mot de passe en clair par email. Encore plus effrayant, sur Match.com ou Plenty Of Fish, il est possible de créer des mots de passe d’une seule lettre ! Aucun des sites analysés pour le marché français n’exige un mot de passe alphanumérique (composé de chiffres et de lettres) et sur les douze, seuls quatre adressent un email aux utilisateurs lorsque leur mot de passe est modifié !

Les personnes qui recherchent à faire des rencontres extra conjugales sur Internet peuvent aussi se poser des vraies questions car les sites spécialisés, Ashley Madison et Gleeden ne recueillent que des notes respectives de 30 et 32.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering, Vie privée

Données d’utilisateurs UBER fuitent sur Google

Les fuites de données sont aussi l’affaire des propriétaires des données qui fuitent. Un exemple concret avec le cas UBER/Google.

Si la grande majorité des fuites sont dues à des piratages, des erreurs d’employés d’entreprises ou à un bug, des cas démontrent que certains internautes ne font pas attention à leur hygiène de vie numérique. Un exemple intéressant avec des informations appartenant à des utilisateurs d’UBER (portail qui permet de mettre en relation des piétons avec des automobilistes, du moins quand des taxis ne bloquent pas l’idée, NDR) qui se sont retrouvées sur Google. Parmi les données, adresses postales, noms du conducteur, informations sur la voiture. Le fautif de ce genre de fuite ? L’utilisateur lui même qui a partagé ses données sur Internet, Twitter.

Google a sauvegardé les informations via ses robots de recherche. Certains de ces voyages remontent à 2013, et incluent des voyages aux États-Unis, Royaume-Uni, Russie, Indonésie, Inde ou encore Philippines. Des données et informations qui restent en ligne, toujours accessibles aujourd’hui, via la cache de Google. Le responsable sécurité de chez UBER indique que son équipe a constaté que « tous ces liens sont volontairement partagée par les utilisateurs.« 

https://twitter.com/four/status/639163190757081088

 

Cyber-attaque, Fuite de données, ID, Identité numérique, Leak, Piratage

500.000 dollars contre 32.000 mails d’Hillary Clinton

Un pirate informatique propose 32.000 courriels électroniques d’Hillary Clinton au plus offrant. Mise à prix : 500.000 dollars.

La campagne pour les présidentielles américains fait rage, sur scène et sur Internet. Un pirate informatique annonce avoir mis la main sur 32.000 courriers électroniques appartenant à la candidate Hillary Clinton. Il a mis à prix cette base de données privée pour la modique somme de 500.000 dollars. Il annonce que le contenu est une mine d’or.

L’ancienne secrétaire d’Etat a-t-elle du soucis à ce faire ? Le corbeau explique que l’équipe de Clinton a pensé à effacer la poubelle, les mails reçus… du webmail privé d’Hillary… mais a oublié d’effacer le dossier des messages envoyés. Bilan, les données auraient été retrouvées en nombre, dont des informations sur la France et d’un otage Français en Algérie. « Si ces courriels sortent dans le domaine public, Hillary devra faire une croix sur sa candidature à la présidentielle car elle pourrait mettre la sécurité nationale de notre pays en danger. » souligne le pirate au journal Radar Online. En juillet 2015, le FBI avait lancé une enquête sur une possibilité de piratage du serveur mail d’Hillary Clinton. La dame utilisait son compte privé pour envoyer des courriels. Des messages non classifiées avait-elle alors précisé.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, Particuliers, Piratage

Le portail pour musiciens ReverbNation, piraté

ReverbNation, une plate-forme en ligne pour musiciens a été averti par la police que sa base de données avait été piratée… il y a plus d’un an !

Voilà qui donne l’ambiance ! Le portail ReverbNation, un espace web dédié aux musiciens, fort de plus de trois millions d’inscrits, a été contacté par la police suite à la découverte du piratage de la base de données de l’espace dédié aux musiciens. Les « amis du petit déjeuner » ont arrêté un pirate lors d’une affaire le concernant.

En fouillant l’informatique du voyou, il a été découvert que ReverbNation avait été piraté à partir de janvier 2014. Le pirate avait mis la main sur la base de données comportant les informations sur les millions d’utilisateurs.

Dans une communiqué de presse reçu à la rédaction de DataSecurityBreach.fr, l’entreprise invite ses utilisateurs à changer leurs identifiants de connexion. Les informations ont été consultées et copiées entre janvier et mai 2014. La fuite n’avait pas été détectée.

Les informations contenues dans la base de données : nom, numéro de sécurité sociale, numéro d’identification, adresse mail, mot de passe chiffrés, adresse postale, numéro de téléphone, date de naissance.

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Reconnaissance du visage, une nouvelle plainte contre Facebook

Une nouvelle plainte contre le système biométrique de Facebook. Cette fois, un collectif de l’Illinois souhaite faire interdire la reconnaissance du visage mis en place par le portail communautaire.

Pour la quatrième fois cette année, Facebook Inc. a été frappé d’une poursuite judiciaire instiguée par un collectif d’internautes mécontents. C’est un résident de l’Illinois qui souhaite faire interdire la reconnaissance faciale de Facebook. Il indique que le logiciel biométrique du portail communautaire viole une loi sur la vie privée de l’état dans lequel vit l’opposant.

Cette 4ème plainte, depuis le début de l’année aux USA, a été déposée lundi 31 août 2015. Elle souligne une bataille qui pourrait se répercuter sur le reste de l’industrie high-tech des États-Unis. Avec près de 1,5 milliard d’utilisateurs actifs, Facebook a amassé ce qui est probablement la plus grande base de données privée au monde de « faceprints ». Des scans numériques de nos visages via des motifs géométriques uniques.

Facebook explique utiliser ces identifiants pour suggérer automatiquement des photos à ses utilisateurs. Lorsque les utilisateurs téléchargent de nouvelles photos sur le site, un algorithme calcule une valeur numérique basée sur les caractéristiques uniques du visage d’une personne. Pour Facebook, un moyen pratique de rester connecté avec ses amis. Les défenseurs de la vie privée et des droits civils indiquent que ces données générées par la technologie de reconnaissance faciale est particulièrement sensible, et exige des garanties supplémentaires.

Espionnae, ID, Identité numérique, Logiciels, Microsoft, Particuliers

Analyse du « Keylogger » de Windows 10

Mr Xhark, un internaute passionné d’informatique a analysé l’interception des données orchestrée par Windows 10. Au final, il déconseille d’utiliser le dernier né de Microsoft.

Mr Xhark, responsable de blogmotion.fr a diffusé un test de Windows 10 et plus précisément des données qu’intercepte le nouvel OS de Microsoft. La conclusion du passionné d’informatique est sans appel « Je n’utiliserai […] pas Windows 10 tant que cette situation n’évoluera pas« .

Pour Mr Xhark, l’outil espionne et il ne fait pas semblant. « Il est très bavard, trop bavard« . Via une série de tests, il est clairement affiché des communications de données entre les ordinateurs sous Windows 10 et les serveurs de Microsoft. Dans les données, la résolution de l’écran de l’ordinateur, le modèle et marque de la machine. Quel intérêt, surtout pour une recherche dans le menu « démarrer ». Un moyen d’identifier au plus précis l’internaute ?

Un véritable problème, même si ce ne sont pas toutes les frappes claviers qui sont transmises à Microsoft. La CNIL se penchera-t-elle sur le problème ? N’est-il pas déjà trop tard ?

Argent, Arnaque, Banque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Particuliers

Un code malveillant s’invite dans les paiements des clients de Village Pizza & Pub

2 commentaires

Le groupe Pizza & Pub Village vient d’informer ses clients qu’un code malveillant a été découvert dans son système de paiement. Un espion qui aurait été installé via le système de paiement TransformPOS.

Le groupe de restauration Village Pizza & Pub propose, depuis 1978, de s’éclater la panse de sympathique pizza. Les clients peuvent payer en « cash » ou via carte bancaire. Pour ce dernier cas, Village Pizza & Pub utilise les services de TransformPOS. Cette entreprise fournit des caisses enregistreuses, des logiciels de gestion de salle de restaurant, …

Village Pizza & Pub vient d’informer ses clients d’une intrusion dans leur système avec un risque évident du piratage de leurs données bancaires. Village Pizza & Pub indique qu’un logiciel malveillant a été introduit par un pirate informatique. Ce dernier serait passé par l’outil de TransformPOS. Le fournisseur n’a pas encore réagi publiquement.

Dans le communiqué de presse de la chaîne de restauration, nous apprenons que TransformPOS a contacté un cabinet d’enquête privé pour mener une enquête approfondie. « Si les clients ont utilisé une carte de débit ou de crédit dans nos restaurant, souligne VPP, il est fortement conseillé de contrôler son compte en banque« . L’infiltration aurait durée plus de 3 mois, du 23 Avril 2015 aut 2 Août 2015.

Le code malveillant a intercepté les informations de la bande magnétique des cartes bancaires passées par le lecteur de Transform POS. « TransformPOS nous a assuré que la cause de l’incident a été identifié et résolu, que les mesures de sécurité renforcées ont été mises en œuvre, et que les clients peuvent utiliser en toute confiance leur carte » termine Village Pizza & Pub.

L’histoire ne dit pas si d’autres restaurants et commerces… ont été impactés.

Cybersécurité, ID, Identité numérique, Justice, loi, Particuliers

Le Dakota du Nord Autorise la police à utiliser des drones armés

La police du Dakota du Nord, aux USA, peut légalement déployer des drones équipés de pistolets paralysants et de gaz lacrymogènes.

« Sarah Conord ? » – La constitution américaine vient de voir une nouveauté intéressante que le législateur risque de débattre lors de la campagne présidentielle américaine. Faut-il utiliser des robots pour sécuriser le gentils citoyens de l’Oncle Sam ? La police du Dakota du Nord s’est posée la question et a trouvé la réponse. Elle vient de recevoir l’accord de déployer des drones équipés de pistolets paralysants et de gaz lacrymogènes. Les juristes ont surfé sur le projet de loi HB 1,328 qui autorise l’armement des drones, et de leur utilisation, contre les citoyens hors-la-loi. Une condition, que les armes en question soient «à létalité atténuée», comprenez, elles ne vont pas tuer.

Cette nouvelle possibilité accélère la nécessité de se poser des questions importantes : quel niveau de militarisation est admissible pour la police ? Est-ce que la police locale a besoin d’armes utilisées par l’armée. La mission première de la police étant de faire l’appliquer la loi. Pour les américains, une évolution qui vise à faire disparaitre le 4ème amendement ? Un amendement qui impose le mandat d’un juge pour agir. (TNA)

Cybersécurité, Espionnae, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering, Vie privée

Activity Update de Windows 10 surveille les enfants

De nombreux parents américains hurlent à l’espionnage de leurs enfants via l’option Activity Update de Windows 10.

Activity Update est l’une des nombreuses, très nombreuses options de Windows 10 permettant de collecter des informations pour « une meilleure utilisation client » indique Microsoft. Sauf que « la mise à jour de l’activité » permet aussi aux parents de recevoir la vie numérique de leur progéniture sur la toile.

Cette mise à jour d’activité est présente dans les Windows 10 de base. L’idée, permettre aux parents de recevoir les informations de connexion des enfants, ou des utilisateurs de la machine en question. Des parents ont découvert la chose en recevant la liste des sites web visités, le temps passé sur le web. Une option activée par défaut, comme l’ensemble des « bonus » de Windows 10. Autant dire que pas mal d’adolescents risquent de devoir expliquer pourquoi ils disent merci à cette Jacquie et à ce Michel. [independent]

Argent, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Piratage, Social engineering, Vie privée

Piratage pour l’Internet des Îles Caïman

Des milliers d’internautes et sociétés basées dans l’informatique des Île Caïman obligés de changer leurs identifiants de connexion à la suite d’un piratage.

Les Îles Caïmans sont connues pour être ensoleillées, paradisiaques. Découvertes par Christophe Colomb en 1503, elles sont connues, aussi, pour être le 5ème plus gros centre financier offshore du monde. Toutes les grandes banques y ont au moins une adresse, sans parler de milliers de comptables, d’avocats d’affaires et autres fiscalistes, spécialistes des montages financiers qui permettent de faire disparaitre des radars des millions de dollars. Une grosse lessiveuse sur sable fin qui semble avoir attiré les pirates informatiques. Le CERT du pays, CIRT-KY, vient d’indiquer qu’il a été mis au courant d’une violation numérique qui a affecté la sécurité des mails et mots de passe de milliers de personnes passant par le pays et le portail Ecay Trade.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Propriété Industrielle

Smart Cities : Pourquoi l’identité est la clé des villes vraiment intelligentes

Il ne fait aucun doute que la montée en puissance de l’internet des objets (IoT) change fondamentalement la façon dont nous interagissons avec le monde. Que ce soient les smartphones, les tablettes, les réfrigérateurs ou les ampoules, presque tout type d’équipement est désormais doté d’une connexion internet destinée à rendre notre vie plus facile et efficace. Cependant, alors que la révolution IoT s’est fortement accélérée ces dernières années, elle est limitée par un défaut significatif : les équipements IoT ne peuvent généralement pas communiquer entre eux. Par Ludovic Poitou, Directeur Général Forgerock, France

Cette impossibilité de communiquer vient du manque d’identité numérique de ces équipements. En tant qu’individu, notre identité est ce qui nous rend unique et ce qui indique aux autres qui nous sommes. Sans elle, nous ne serions qu’un numéro indiscernable de ceux qui nous entourent. Le même concept s’applique aux équipements connectés. Or parmi les 4,9 milliards d’équipements qui font désormais partie de l’IoT (avec une augmentation à 25 milliards prévue en 2025), un grand nombre souffre actuellement d’une crise d’identité.

Cela change cependant. Le développement de la technologie de gestion d’identité numérique signifie que l »on peut désormais attribuer leur propre identité à ces équipements à travers l’écosystème de l’internet des objets. Ils peuvent reconnaitre les autres identités numériques, interagir avec elles en toute sécurité et établir des relations numériques connues entre utilisateurs, entre objets connectés, et entre utilisateurs et objets connectés. Le résultat de cette nouvelle forme de communication est la forte amélioration de l’utilité des équipements connectés à internet chez les particuliers, dans les bureaux et même dans les villes.

Protéger la ville intelligente de demain

Envisagez une ville où les services publics y compris les systèmes de prévention de catastrophes et les systèmes d’alerte sont connectés à l’aide de l’identité. Un ouragan approche ? Alors, le système d’alerte se déclenche, il envoie un message crypté aux services des urgences municipales pour les prévenir du danger. L’identité du système d’alerte est rapidement vérifiée et des plans d’action en cas d’urgence préétablis sont mis en œuvre. Quelques minutes après le signal d’alerte initial, on peut fermer automatiquement les ponts et les systèmes de transport à risque et les services anti-incendie peuvent être envoyées pour évacuer des immeubles dangereux rapidement et efficacement. Les équipes anti-incendies possèdent elles-mêmes leur propre identité ainsi on peut suivre leurs mouvements à travers la ville et les véhicules peuvent être envoyés vers les lieux mal desservis à travers un itinéraire non encombré. Les feux de circulation réagissent à l’arrivée des pompiers afin de limiter les bouchons et on peut vérifier l’authenticité de l’identité de chaque pompier lorsqu’ils arrivent sur site.

Comme le montre cet exemple, l’introduction de l’identité numérique à chaque étape de la réponse d’urgence peut rapidement transformer une opération très complexe avec beaucoup de mouvements en une réponse automatique qui peut sauver de nombreuses vies. Sans identité attachée à chacun des équipements et des systèmes impliqués, cela serait tout simplement impossible.

Equiper la ville intelligente de demain

En plus de nous protéger de l’imprédictible, l’identité numérique peut être aussi utilisée pour rendre plus rapides et plus faciles des aspects plus banals de notre vie. Les voyages et la logistique sont deux des domaines qui devraient bénéficier le plus d’une approche basée sur l’identité. Par exemple, les systèmes intelligents de services routiers peuvent collecter des données en temps réel sur le trafic, la vitesse et les dangers. Ces systèmes peuvent alors mettre en œuvre une signalétique réactive pour guider les voyageurs vers des itinéraires moins encombrés (à travers leurs identités numériques), pour les avertir des retards sur leur itinéraire habituel et pour leur suggérer des alternatives. Les données collectées par ce type d’activité peuvent aussi servir aux planificateurs urbains pour les futurs développements de routes et de transports en commun en indiquant précisément quels sont les points critiques des systèmes actuels.

Ailleurs, les systèmes de parking intelligents peuvent indiquer automatiquement aux conducteurs les places libres dès qu’ils arrivent à proximité, ce qui évite de faire le tour. Une fois la voiture garée, le système intelligent peut surveiller la durée du stationnement à l’aide du GPS du véhicule, déterminer la somme à payer dès que la voiture redémarre et prélever automatiquement la somme à l’aide d’un compte préenregistré. Dans le même temps, la ville peut surveiller la demande globale de stationnement et y répondre par des prix indexés à la demande, ce qui réduit la pollution et le trafic tout en optimisant les revenus.

L’identité est la clé

Ce ne sont que quelques exemples du rôle central que peut jouer l’identité dans les villes intelligentes de demain. La possibilité qu’ont les équipements intelligents à se connecter et à communiquer les uns avec les autres améliorera beaucoup la qualité des services publics et la planification des villes. Pour les citoyens, cela signifiera de nouveaux services efficaces qui amélioreront presque tous les aspects de la vie urbaine, et tout cela sera rendu possible par l’identité et l’internet des objets.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Patch, Piratage

Un rapport IBM X-Force dévoile une utilisation accrue de Tor et une évolution des attaques avec rançon

IBM Sécurité annonce les résultats de son rapport Q3 2015 IBM X-Force Threat Intelligence.

Ce rapport dévoile les dangers grandissants provoqués par les cyber-attaques provenant du Dark Web à travers l’utilisation du réseau Tor (The Onion Router), ainsi que les nouvelles techniques mises en place par les criminels pour les attaques avec rançon. Rien que depuis le début de l’année,  plus de 150 000 événements malveillants provenant de Tor ont eu lieu aux États-Unis.

Même si on entend davantage parler des fuites de données que des demandes de rançon, les « ransomware » représentent une menace grandissante. Comme la sophistication des menaces et des attaquants croît, leur cible fait de même, et ainsi certains attaquants se sont par exemple spécialisés dans la demande de rançon concernant les fichiers de joueurs de jeux en lignes populaires. Le rapport dévoile que les agresseurs peuvent maintenant également bénéficier de « Ransomware as a Service » en achetant des outils conçus pour déployer de telles attaques.

Comme les hauts fonds des océans, le Dark Web demeure largement inconnu et inexploré, et il héberge des prédateurs. L’expérience récente de l’équipe IBM Managed Security Services (IBM MSS) montre que les criminels et d’autres organisations spécialisées dans les menaces utilisent Tor, qui permet d’anonymiser les communications aussi bien en tant que vecteur d’attaques que d’infrastructure, pour commander et contrôler les botnets. La façon dont Tor masque le cheminement offre des protections supplémentaires aux attaquants en les rendant anonymes. Ils peuvent aussi masquer la location physique de l’origine de l’attaque,  et même la remplacer par une autre de leur choix. Le rapport étudie également Tor lui-même, et fournit des détails techniques permettant de protéger les réseaux contre les menaces, intentionnelles ou non, véhiculées par Tor.

Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Particuliers, Social engineering, Vie privée

L’opérateur Comcast accusé de surveiller ses clients, utilisateurs de TOR

Plusieurs clients de l’opérateur Comcast se sont étonnés d’un appel téléphonique de leur FAI. Ce dernier leur a reproché d’utiliser le système d’anonymisation TOR.

L’excellent logiciel TOR permet de surfer anonymement. Il utilise des milliers d’ordinateurs dans le monde, des nœuds TOR, pour permettre de ne pas diffuser son IP sur le site, le forum, l’espace numérique que l’on souhaite visiter. L’ip d’un des nœuds apparaîtra en lieu et place de votre identifiant. TOR, et son option « Internet » Onion, offre la possibilité de créer un site anonyme et, surtout, non référencé. Bilan, vous souhaitez partager vos photos de vacances avec vos ami(e)s intimes, Onion offre cette possibilité. Mais ne nous voilons pas la face derrière de jolis discours libertaires, de protection de la vie privée. TOR et ONION sont malheureusement utilisés par des malveillants, des commerçants peu scrupuleux, pouvant offrir drogue, arme, faux papiers, et biens d’autres contenus plus monstrueux encore [Lire le cas de ce croundfowdind du darknet dédié aux pédophiles, NDR]. Il semble que l’opérateur américain Comcast a décidé de mettre tous les utilisateurs de TOR dans le même panier. Si vous utilisez TOR c’est que vous avez des choses à cacher, donc cessez sinon, l’opérateur coupe la connexion des clients récalcitrants. Comcast trace donc ses clients, et décortique ceux qui utilisent le navigateur Tor. Le FAI pense que si vous devez utiliser TOR, c’est obligatoirement pour faire quelque chose d’illicite. Un des clients indique que les employés de Comcast vont jusqu’à stipuler que TOR est illégal !

Dans un mail diffusé sur Reddit, un interlocuteur de Comcast explique que « Les utilisateurs qui essaient d’utiliser l’anonymat, où se cacher sur Internet, le font généralement pour ne pas avoir d’ennuis avec la justice. Nous avons le droit de résilier ou de suspendre votre compte à tout moment en raison du fait que vous violez  les règles. Avez-vous d’autres questions ? Merci d’avoir contacté Comcast« . Hérésie, surtout que TOR… a été conçu, en partie, par l’armée américaine.

Bref, les utilisateurs de TOR, les « gentils » et les « méchants » utilisent, en plus de TOR, une nouvelle couche d’anonymisation, un Virtual Private Network (VPN). Le VPN cache l’utilisation de TOR, et TOR cache l’utilisateur ! Comcast est revenu sur ce courrier en indiquant qu’il n’y avait aucune surveillance de ses clients ! Pour rappel, Comcast a déjà été classé par le projet TOR comment étant un « Bad FAI« .

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Social engineering, spam, Vie privée

Ashley Madison : 10 Go de données diffusées sur les infidéles

Les pirates informatiques du site Internet Ashley Madison, un espace de rencontres pour adultes à la recherche d’aventures extra conjugales, diffusent 9,7 Gigaoctets de données privées.

Le site Internet AshleyMadison avait confirmé un piratage informatique de son système. Ce portail américain dédié aux rencontres pour adultes à la recherche d’aventures extra conjugales indiquait à l’époque que le chantage des pirates étaient sans grande conséquence, les vilains n’ayant pas vraiment de données sensibles entre les mains.

Quelques semaines plus tard, le roi de l’infidélité se retrouve avec 9.7 Gigaoctets de données dans la nature. Les pirates voulaient manifester sur le fait que le portail demandait 19 dollars aux « clients » afin d’effacer les données de ces derniers. Dans les informations, des mails, beaucoup. Prudence cependant avec ces adresses. Ne pas en tirer une conclusion trop rapide. Dans le lot, très certainement de nombreuses fausses adresses, ou celles de votre patron qu’un concurrent, ou un employé, souhaitaient « embêter ».Ashley Madison ne vérifiait pas les adresses électroniques qui lui étaient adressés.

Détail très intéressant, 5 à 10% des comptes sont féminins, 2/3 sont faux ! Autant dire que le site Ashley Madison fonctionne, en plus, sur du vent ! Au moins ce piratage aura éclairci le plan marketing du pseudo roi de l’infidélité. Dans les données, 15.000 adresses en .mil.gov (armée US) et autant d’adresses en .fr.

Android, Argent, Arnaque, backdoor, Cybersécurité, escroquerie, Espionnae, ID, Identité numérique, Leak, Particuliers, Piratage, Sécurité, Smartphone

Avast découvre un nouveau malware sur Google Play made in Turquie

Une nouvelle version de Porn Clicker vient d’apparaitre sur Google Play. Des pirates Turcs seraient derriére cette nouvelle version.

En avril 2015, l’éditeur de solutions de sécurité informatique Avast découvrait un code malveillant baptisé « porn clicker ». Un malware caché dans un logiciel propose sur Google Play. D’après l’éditeur, il a pu être téléchargé entre 100 000 et 500 000. Le code malveillant se faisait passer pour l’application populaire Dubsmash.

Une fois l’application installée, aucun indice particulier ne permettait à l’utilisateur d’identifier sur son appareil une application intitulée “Dubsmash 2” : en effet, l’application générait à la place une icône qui se présentait sous le nom de “Réglages IS”. Lorsque l’utilisateur ouvre cette application, le Google Play Store active la page de téléchargement de l’actuel “Dubsmash”. Par la même occasion, une liste de liens redirigeant vers divers sites pornographiques est téléchargée, conduisant au lancement d’un des liens de cette liste dans le navigateur. Après une dizaine de secondes, le code procède au clic d’autres liens au sein même du site pornographique.

« Nous serons de retour… »

Quatre mois plus tard, il a identifié une mutation de ce malware. intercepteur de données qui semble avoir été créé par la même équipe turque qui était à l’origine de ce logiciel malveillant. Google a une nouvelle fois réagi rapidement et l’a retirée du Play Store.

Une fois téléchargées, les applications ne présentent aucune activité importante lorsque l’utilisateur procède à l’ouverture de celles-ci, et affichent seulement une image fixe. Toutefois, lorsque l’utilisateur, qui ne se doute de rien, ouvre son navigateur ou d’autres applications, l’application malveillante parcourant l’arrière-plan du système renvoie directement vers des sites pornographiques. Les victimes ne comprennent pas forcément d’où proviennent ces redirections, car il n’est possible d’arrêter ce processus qu’en supprimant l’application.

Les chercheurs en sécurité de chez Eset ont rapporté peu de temps après que de nombreuses applications ayant subi cette mutation se trouvaient dans Google Play, et que la forme originelle du malware y a été téléchargée à plusieurs reprises en mai dernier. Les découvertes, combinées à celles d’Eset, prouvent que les auteurs de ces malwares persistent dans leur intention de faire de Google Play une résidence permanente pour leurs logiciels malveillants.

Quelques jours plus tard, le malware était déjà de retour sur Google Play. Le malware, identifié sous l’appellation « Clicker-AR », était présent dans les trois applications suivantes : Doganin Güzellikleri, Doganin Güzellikleri 2, Doganin Güzellikleri 3. Ce qui signifie littéralement « Beautés de la Nature ». Les pirates avaient en effet modifié les noms des développeurs afin que Google ne puisse pas les retrouver facilement. Avast a signalé à Google la présence de ces applications malveillantes et celles-ci ont été une nouvelle fois retirées.

Que peut faire l’utilisateur ?

Google a du pain sur la planche. En effet, la société a en charge à la fois le maintien du système d’exploitation pour mobiles le plus populaire au monde et un « app store » proposant environ 1,5 millions d’applications. Un antivirus n’est pas à négliger, la source du logiciel est à vérifier par les utilisateurs avant le moindre téléchargement. Faire attention aux demandes d’autorisations des applications. Si une application fait une demande d’autorisation que l’utilisateur ne juge pas nécessaire pour le bon fonctionnement de l’application, cela annonce probablement la présence d’une faille. Même si cela peut-être piégé, vérifier les avis d’utilisateurs.

Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Particuliers, Phishing, Social engineering, Vie privée

Facebook ne corrige pas un problème de sécurité

Une vulnérabilité informatique vise le site Facebook, et ses utilisateurs. Un problème qui pourrait mal finir si le géant américain ne corrige pas rapidement.

En avril 2015, Reza Moaiandin, directeur technique pour Salt Agency, découvrait une faille de sécurité dans Facebook. La vulnérabilité pourrait permettre à un pirate de décrypter les identifiants des utilisateurs du portail communautaire. Pour que l’attaque fonctionne, Reza a utilisé des applications (API) proposées Facebook. Un problème qui semble sérieux. La fuite pourrait permettre de recueillir des millions de données personnelles d’utilisateurs (nom, numéro de téléphone, emplacement, images, …).

Facebook a été alerté en avril 2015, mais n’a toujours pas corrigé. Via cette faille, un malveillant peut alors communiquer avec le Facebook GraphQL et obtenir autant de détails que possible, en faisant passer l’ID de la cible, pourtant chiffrée, à la moulinette.

En utilisant un script maison, Reza a testé sa découverte. Bilan, la fuite de données est exponentielle et  risque de devenir un problème sérieux si aucune limite est mise en place par Facebook. « La communication avec ces API doit être pré-chiffrée, explique Reza, et d’autres mesures doivent être mises en place avant que cette faille ne soit découverte par quelqu’un de beaucoup plus dangereux. » Le chercheur indique avoir trouvé cette faille, par hasard !

Argent, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Particuliers, Phishing, Social engineering, spam, Vie privée

Votre adresse mail vaut de l’or

2 commentaires

300.000 adresses électroniques de Belges à 300 dollars. Plus de 1 million de mails de Français pour 400 $. Autant pour 600.000 Suisses. Le business des adresses mails ne connait pas la crise.

Le business du spam va bien, merci pour lui. Des sociétés se sont même spécialisées dans la commercialisation d’adresses électroniques « à haute valeur ajoutée » indique l’un d’eux. Dernier cas en date, la proposition de la « société » chinoise Weng Jiao. 102 pays proposés, plusieurs millions d’adresses électroniques disponibles, classées par régions, professions, …

Plusieurs millions d’adresses électroniques disponibles pour des spams.

Par exemple, 5 millions d’adresses mails « en vrac » coutent 999 dollars chez cet E-mail addresses databases service. L’acheteur souhaite cibler un pays précis, pas de problème : 358.868 adresses électroniques appartenant à des belges coutent 300 dollars. 1.393.935 million de mails made un France, 400 $. Vous visez des Suisses ? 641.143 mails pour 400 dollars.

La plus importante des BDD est celle de l’Allemagne, avec 3.678.748 pourriels possibles. La Russie, 2.006.321. Le Canada, l’Australie et les USA sont proposés à 1.288.691, 1.087.139 et 888.530 adresses à spammer. Le reste des pays, entre 1200 et 40.000 mails sont vendus entre 50 et 120 dollars. Le commerçant propose aussi de quoi envoyer les messages et les preuves de la diffusion.

Ces possibilités ont été volées dans des boutiques en ligne, des forums mal protégés ou par de simple phishing sous forme de faux jeux. L’important pour le vendeur, comme pour l’acheteur, qu’un humain soit bien présent derrière la missive. A noter que certaines arnaques permettent de valider ou non l’adresse. Le bouton/lien « Désinscription » – « Unsubscribe » assure aux vendeurs d’adresses que derrière l’arobase se cache bien un futur spammé. A noter que certains mots clés Google sont particulièrement efficace pour faire ressortir des bases de données mails du moteur de recherche américain. Bref, prudence quand vous vous inscrivez quelque part. Préférez une adresse unique par service, ainsi, en cas de vol/utilisation, il vous suffira de fermer le compte en question.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering, Téléphonie, Vie privée

Fuite de données dans les poubelles de Motel 6

Retrouver des photocopies de permis de conduire, des copies de plaques d’immatriculations, des signatures ou encore des identités à la sortie d’un Hôtel, voilà une fuite de données pas courante… ou presque.

La chaîne américaine d’hôtels, Motel 6, fait face à une fuite de données peu courante. Une cliente a découvert des centaines de dossiers aux pieds des poubelles d’une des structures hôtelière du groupe. En regardant les dossiers, des contenus privés et sensibles allant des photocopies de permis de conduire, des numéros de téléphones, des numéros de plaques d’immatriculation et même des signatures de clients.

A première vue l’Oncle Sam a du mal à faire comprendre à certaines entreprises comment bien détruire les données privées et sensibles qu’elles collectent. Comme ces confettis utilisés pour fêtes les championnes du monde de football qui n’étaient rien d’autre que des dossiers médicaux découpés en petites bandes de papier… pour faire la fête ! (Image KalTv)