Le vol de millions d'identifiants et mots de passe Twitter se confirme, avec un hacker russe à la manœuvre.
Les équipes de sécurité des grands services en ligne doivent être
bien occupées ces jours-ci, avec des révélations qui s'enchaînent sur
des piratages massifs de données d'utilisateurs. Après MySpace, Tumblr,
LinkedIn et autres, c'est au tour de Twitter d'être victime d'un hacker. Selon nos confrères du Figaro, plus de 32 millions de profils Twitter seraient actuellement en vente sur le Dark Web.
Si le pirate dénommé Tessa88 prétend avoir en sa possession 379 millions d'adresses email et mots de passe appartenant à des membres de Twitter, les sources citent plutôt le chiffre de 32 millions de comptes réellement
compromis. Il n'en demeure pas moins que les volumes sont considérables
et que des questions se posent désormais sur la sécurité du réseau
social. Selon Twitter, les serveurs de la firme n'ont pas été piratés.
Il s'agirait donc d'une attaque détournée, visant les utilisateurs et
non l'entreprise en elle-même.
En prévention, Twitter
vient de recommander à tous ses utilisateurs de modifier leur mot de
passe dans les plus brefs délais, en leur demandant une fois encore
d'éviter les combinaisons de lettres trop basiques...
jeudi 16 juin 2016
Sécurité : des pirates attaquent Google
Une bande de hackers tente de contourner le protocole de double authentification du géant californien.
La double authentification est largement adoptée aujourd'hui par les géants du net. Ce dispositif, également appelé authentification à deux facteurs, offre un niveau de sécurité supplémentaire pour les utilisateurs en les obligeant à saisir leur identifiants, puis à entrer un code reçu par SMS afin de continuer leur navigation, ou de se connecter à un réseau ou à un ordinateur. Mais des hackers se sont récemment attaqués à la double authentification de Google et tentent de contourner le protocole en envoyant eux-même un SMS à leur victime.
Le mode opératoire des hackers est simple : il envoient un SMS à la personne qu'ils souhaitent pirater, en se faisant passer pour Google. Dans ce message, ils expliquent à la victime qu'une tentative de connexion suspecte a été détectée sur son compte Gmail. Pour bloquer ce dernier, il lui est demandé de renvoyer le code à 6 chiffres qu'elle va recevoir dans les minutes suivantes par SMS au numéro qui lui a envoyé cette alerte. Or, ce numéro n'est autre que celui du pirate. Le code à 6 chiffre reçu par la victime est quant à lui généré par la connexion du hacker. Si la victime se fait avoir, elle enverra donc directement au pirate le code lui permettant d'opérer son méfait.
Cette manœuvre suppose cependant que le hacker possède l'adresse email de sa victime, mais également son mot de passe et son numéro de téléphone. Or, la liste de géants de l'internet victimes de vols de données ne cesse de s'agrandir. Le dernier en date : 32 millions de comptes ont été piratés sur Twitter.
vendredi 10 juin 2016
Windows : une faille zero-day supposée affecter toutes les versions de l'OS, de Windows 2000 à Windows 10 Est en vente à 90 000 dollars US
La vulnérabilité qui devrait permettre à un attaquant d’avoir des privilèges niveau système sous Windows est vendue sur le net. La firme de sécurité Trustaware a découvert l’offre de vente sur un forum de hackers russe. Le prix était initialement fixé à 95 000 dollars US avant que le vendeur ne fasse un rabais de 5000 dollars.
Le vendeur de cette faille caché sous le pseudonyme de BuggiCorp a posté deux vidéos sur le forum comme preuves de concept. Dans l’une d’entre elles, il escalade les privilèges d’une application sous un Windows 10 ayant installé les dernières mises à jour de sécurité de Microsoft. Et dans l’autre, il contourne toutes les fonctions de sécurité incluses dans la dernière version de l’outil de sécurité EMET (Enhanced Mitigation Experience Toolkit) de Microsoft.
Il faut noter que l’outil EMET vise à empêcher l'exploitation des vulnérabilités logicielles en utilisant des technologies de réduction des risques pour la sécurité. Ces technologies fonctionnent comme des obstacles et des protections spéciales, que l'auteur d'une attaque doit mettre en échec pour pouvoir exploiter les vulnérabilités logicielles. Elles ne garantissent toutefois pas que des vulnérabilités ne puissent pas être exploitées, mais font en sorte que l'exploitation soit aussi difficile que possible.
BuggiCorp dit vouloir vendre la faille zero-day à une seule personne et être payé en bitcoins. En plus du code source de l’exploit entre autres, l’acheteur aura droit à un service après-vente. Le vendeur envisage en effet de livrer des mises à jour futures gratuitement pour les versions de Windows sous lesquelles l’exploit ne pourra pas fonctionner. Il promet également à l’acheteur une assistance complémentaire pour l’intégration de l’exploit en fonction des besoins du client.
Sans entrer en profondeur, BuggiCorp a tenté de fournir quelques détails techniques sur cette vulnérabilité qui ne serait pas encore connue de Microsoft. Mais de quelle faille s’agit-il donc pour qu’il puisse fixer le prix de 90 000 dollars US ?
Quoi qu’il en soit, la faille ne peut pas être exploitée directement pour infecter la machine de la cible, mais peut ouvrir la porte à d’autres attaques.
Certains experts en sécurité estiment donc que le prix est trop élevé pour une faille zero-day, même si la plateforme d’acquisition de vulnérabilités Zerodium a déjà payé un million de dollars US pour une faille sur iOS 9. Ils restent toutefois convaincus qu’elle pourrait intéresser quelqu’un et qu’elle finira par être achetée.
Jeff Jones, un stratège en cybersécurité de Microsoft, a affirmé que la société était bien au courant de la discussion sur la vente de ladite faille zero-day, mais que les revendications postées par le vendeur n’étaient pas encore vérifiées. En ce qui concerne la possibilité que la faille soit achetée par Microsoft, il a souligné que la firme de Redmond paie déjà des primes pour les failles trouvées dans ses produits.
Sources : Trustaware, Krebs on Security
Un programme de reconnaissance faciale d'une startup russe permet d'identifier un inconnu dans la rue instantanément
Juste en prenant sa photo
Une nouvelle application d’identification faciale fait actuellement
parler d'elle en Russie. Elle permet à n’importe qui de vous identifier
dans la rue instantanément, seulement en prenant une photo de vous à
partir d’un téléphone mobile sur lequel tourne l’application russe
FindFace. Le service a recours à un puissant algorithme d’identification
faciale couplée avec des bases de données de réseaux sociaux.
Juste en prenant sa photo
FindFace n’a été lancé pour le moment qu’en Russie, et couplé seulement avec vkontakte (le Facebook russe). Avec 350 millions d’inscrits et 80 millions d'utilisateurs par jour, le réseau social permet déjà de démontrer la robustesse du service. En scannant juste une photo, l’application permet d’identifier, en une fraction de seconde, toute personne dans l’énorme base de données du réseau social, qui contient plus de 250 millions de photos. L’application permet ainsi de retrouver des amis en ligne, avec une précision de 70 %. En couplant le programme avec Facebook par exemple, cela veut dire également que vous pourrez retrouver sur le réseau social une personne inconnue que vous avez vue dans la rue, mais avec qui vous souhaitez tisser des relations.
En novembre dernier, le programme d’identification faciale de NTechLab, la startup derrière l'algorithme, a réussi à triompher dans la compétition MegaFace de l’université de Washington. L’entreprise russe s’est imposée face à Google et plus de 90 autres équipes venant du monde entier.
Si l’algorithme est utilisé aujourd’hui dans une application de rencontre, les fondateurs de NTechLab imaginent déjà comment d’autres domaines peuvent en profiter, notamment celui de la sécurité. L’entreprise veut aussi collaborer avec le gouvernement russe qui a montré un intérêt pour son programme, afin d’aider à traquer les gens qui commettent des crimes dans le champ de vision des 150 000 caméras de vidéosurveillance déployées dans le pays. Enfin, NTechLab va permettre aux autres entreprises d’avoir accès à son algorithme grâce à une nouvelle plateforme cloud de reconnaissance faciale qui sera dévoilée cet été.
Malgré la prouesse de l’application, beaucoup se préoccupent des questions relatives à la vie privée. FindFace est disponible depuis février, mais sa popularité n’a explosé vraiment qu’à partir du mois d’avril, lorsqu’un photographe russe a voulu montrer au public les implications dangereuses que permet l’application. Il a photographié des dizaines de personnes inconnues dans le métro et a utilisé l’application pour les identifier.
Source : Washington Post
Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques
Et a encore versé 26 000 $ à des chercheurs en sécurité
Et a encore versé 26 000 $ à des chercheurs en sécurité
Pour la mise à jour qui vient d'être apportée à Chrome 51, Google a encore sorti son portefeuille pour récompenser des chercheurs en sécurité qui ont trouvé des failles et aidé la firme à les corriger. Il faut noter que le géant de Mountain View avait déjà décaissé 65 000 $ pour la version stable de Chrome 51. Une somme de 26 000 $ vient encore d’être versée à des chercheurs en sécurité pour leur contribution.
Google a déboursé la somme de 7500 $ pour un chercheur anonyme et pour un autre répondant au nom de Marius Mlynski pour la correction des deux failles critiques. Trois autres failles de sécurité ont été corrigées par Rob Wu qui a reçu la somme de 6500 $ pour ces trois vulnérabilités de gravité jugée moyenne. Il est à noter que la correction de ces failles de sécurité permet d’éviter la récupération de données personnelles par un hacker.
Pour le moment, la société n’a publié qu’une partie des failles corrigées, la liste complète ne sera disponible que lorsque la plupart des utilisateurs auront mis à jour leur navigateur.
Source : Chrome Releases
vendredi 3 juin 2016
Tor Browser 6.0 : le navigateur dédié au réseau anonyme Tor se renforce sur le plan sécurité
Et apporte un meilleur support pour la vidéo HTML5
Et apporte un meilleur support pour la vidéo HTML5
Jusqu’à ce que la prochaine génération des services Tor soit déployée, l’équipe en charge du projet nous livre une nouvelle version de son navigateur. En effet, un peu plus d’un mois après la sortie de la version 5.5.5 en fin avril dernier, Tor Browser vient de bénéficier d’une mise à jour majeure. Tor Browser 6.0, la nouvelle version du navigateur dédié au réseau anonyme Tor vient avec une pile de nouveautés. Et, conformément à l’idéologie des développeurs du projet Tor, le navigateur se renforce de son côté le plus fort, c’est-à-dire au niveau de la sécurité et la confidentialité.
Tor Browser 6.0 commence par désactiver le support des certificats signés avec SHA-1 ; l’algorithme SHA-1 n’ayant plus la faveur des éditeurs de navigateurs comme Microsoft, Mozilla et Google. Suivant l’exemple de Mozilla, Microsoft a en effet annoncé l’abandon de l’algorithme SHA-1 pour juin 2016, alors que Google envisage d’emboiter le pas à la firme de Redmond juste après, le 1er juillet 2016.
Comme mesure de sécurité supplémentaire, un contrôle de hachage des fichiers de mise à jour téléchargés automatiquement sera effectué par l’Updater avant l’installation de ces mises à jour, a annoncé l'équipe Tor. L’équipe du projet a également corrigé une vulnérabilité critique de détournement de DDL liée à l’installateur Windows. Côté confidentialité, on peut encore noter que DuckDuckGo est désormais le moteur de recherche par défaut du navigateur. Ce moteur de recherche se distingue par sa philosophie qui est de préserver la vie privée et de ne stocker aucune information personnelle concernant les utilisateurs (adresses IP et traces numériques comme la signature du navigateur).
Les nouveautés de Tor Browser 6.0 vont bien au-delà du volet sécurité et de la confidentialité. Si Tor Browser 5.5.5 était basée sur Firefox 38, la nouvelle mouture du navigateur axé sur la protection de la vie privée est basée sur Firefox 45, une version de la branche Extended Support Release (ESR). Celle-ci bénéficie d’un support à long terme en mises à jour de sécurité. Cette version fraîche de Firefox permet à Tor Browser de profiter des nouvelles fonctionnalités du navigateur de Mozilla. « Ce qui pourrait signifier un meilleur support de la vidéo HTML5 sur YouTube, ainsi que de nombreuses autres améliorations », précise l’équipe du projet sur son blog.
Tor Browser 6.0 est disponible en téléchargement pour Windows, Mac OS X et Linux.
Télécharger Tor Browser 6.0
Source : Blog Tor Project
Sécurité : Tor défie le FBI avec un système RNG jamais implémenté sur Internet
Pour renforcer le chiffrement des communications à travers le réseau
Si Tor est reconnu par tous, y compris le monde de la sécurité
informatique, comme un réseau sûr pour garantir l’anonymat, il semble
toutefois ne pas être un mystère pour le FBI. Le bureau d’investigation
fédéral des États-Unis a en effet réussi à trouver des failles dans le
système. Ces failles ont d’ailleurs été exploitées par le FBI
pour traquer des individus qui utilisent le réseau anonyme pour
dissimuler leurs activités illégales. C’est le cas notamment d’un
administrateur scolaire de Vancouver à Washington qui, bien que caché
derrière Tor, s’est fait prendre par le FBI dans une affaire de
pornographie juvénile. Sommé par la justice de révéler la faille de Tor
qui a été exploitée pour débusquer le suspect, le FBI a refusé de collaborer estimant que cela n’était pas nécessaire pour la défense du suspect, dans le procès.
Pour renforcer le chiffrement des communications à travers le réseau
Il faut noter que le gouvernement fédéral américain et ses agences (NSA et FBI) se sont toujours intéressés dans le contournement des systèmes de sécurité et de chiffrement les plus réputés. Dans un rapport livré cette année, un juge fédéral de Washington a confirmé que des chercheurs ont été engagés par le gouvernement fédéral pour compromettre le réseau Tor. En ce qui concerne la NSA, elle a également été suspectée d’avoir demandé aux développeurs de TrueCrypt d’introduire des portes dérobées dans la solution de chiffrement.
Pour revenir à Tor, les développeurs du projet envisagent de pérenniser la renommée du système de communications anonymes en matière de sécurité. Pour cela, ils ont consacré plusieurs mois de travail pour mettre en place un système de chiffrement qu’ils considèrent comme le tout premier du genre qui sera implémenté sur le net. Avec son nouveau système, le réseau anonyme sera plus difficile à pirater.
Dans le cadre d’une séance de travail sur la prochaine itération de Tor, qui s’est déroulée la semaine dernière à Montréal au Canada, l’équipe Tor a testé son nouveau mécanisme de génération de nombres aléatoires baptisé « RNG distribué ».
Les nombres aléatoires jouent un rôle essentiel dans le chiffrement des communications. Ils servent en effet de base pour générer des clés de chiffrement. Plus l’algorithme de génération des nombres aléatoires est fort, plus il sera difficile de les prédire.
Les développeurs de Tor décrivent leur système de génération de nombres aléatoires distribué comme « un système où plusieurs ordinateurs collaborent et génèrent un nombre aléatoire unique que personne ne peut prévoir (même pas eux-mêmes) ». Le RNG distribué est actuellement à la phase de revue de code et de vérification. Il sera implémenté dans la prochaine génération des services de Tor « pour injecter de l’imprévisibilité dans le système et améliorer sa sécurité », expliquent-ils. Et de poursuivre : « Pour autant que nous le sachions, un système de génération aléatoire distribué comme cela n'a jamais été déployé avant sur Internet ».
L’équipe a également corrigé certaines incohérences et erreurs dans ses services. Elle a aussi apporté des améliorations à la conception des services Tor de la prochaine génération. Elle parle de nouvelle génération, parce qu’il y en aura effectivement une. Toutefois, elle précise que le déploiement des nouveaux services « onion » ne signifie pas que la version actuelle de son système sera automatiquement jetée. Pendant un certain temps, « le réseau Tor sera capable de gérer les deux types de services : la version actuelle et la version de prochaine génération », a-t-elle rassuré sur son blog.
Source : Blog Tor
Inscription à :
Articles (Atom)