32 millions de comptes Twitter piratés

Le vol de millions d'identifiants et mots de passe Twitter se confirme, avec un hacker russe à la manœuvre.

Les équipes de sécurité des grands services en ligne doivent être bien occupées ces jours-ci, avec des révélations qui s'enchaînent sur des piratages massifs de données d'utilisateurs. Après MySpace, Tumblr, LinkedIn et autres, c'est au tour de Twitter d'être victime d'un hacker. Selon nos confrères du Figaro, plus de 32 millions de profils Twitter seraient actuellement en vente sur le Dark Web.

Si le pirate dénommé Tessa88 prétend avoir en sa possession 379 millions d'adresses email et mots de passe appartenant à des membres de Twitter, les sources citent plutôt le chiffre de 32 millions de comptes réellement compromis. Il n'en demeure pas moins que les volumes sont considérables et que des questions se posent désormais sur la sécurité du réseau social. Selon Twitter, les serveurs de la firme n'ont pas été piratés. Il s'agirait donc d'une attaque détournée, visant les utilisateurs et non l'entreprise en elle-même.

En prévention, Twitter vient de recommander à tous ses utilisateurs de modifier leur mot de passe dans les plus brefs délais, en leur demandant une fois encore d'éviter les combinaisons de lettres trop basiques...

Sécurité : des pirates attaquent Google

Une bande de hackers tente de contourner le protocole de double authentification du géant californien.

La double authentification est largement adoptée aujourd'hui par les géants du net. Ce dispositif, également appelé authentification à deux facteurs, offre un niveau de sécurité supplémentaire pour les utilisateurs en les obligeant à saisir leur identifiants, puis à entrer un code reçu par SMS afin de continuer leur navigation, ou de se connecter à un réseau ou à un ordinateur. Mais des hackers se sont récemment attaqués à la double authentification de Google et tentent de contourner le protocole en envoyant eux-même un SMS à leur victime.

Le mode opératoire des hackers est simple : il envoient un SMS à la personne qu'ils souhaitent pirater, en se faisant passer pour Google. Dans ce message, ils expliquent à la victime qu'une tentative de connexion suspecte a été détectée sur son compte Gmail. Pour bloquer ce dernier, il lui est demandé de renvoyer le code à 6 chiffres qu'elle va recevoir dans les minutes suivantes par SMS au numéro qui lui a envoyé cette alerte. Or, ce numéro n'est autre que celui du pirate. Le code à 6 chiffre reçu par la victime est quant à lui généré par la connexion du hacker. Si la victime se fait avoir, elle enverra donc directement au pirate le code lui permettant d'opérer son méfait.

Cette manœuvre suppose cependant que le hacker possède l'adresse email de sa victime, mais également son mot de passe et son numéro de téléphone. Or, la liste de géants de l'internet victimes de vols de données ne cesse de s'agrandir. Le dernier en date : 32 millions de comptes ont été piratés sur Twitter.

Windows : une faille zero-day supposée affecter toutes les versions de l'OS, de Windows 2000 à Windows 10 Est en vente à 90 000 dollars US

 Plus d’un milliard et demi d’utilisateurs seraient potentiellement exposés à une vulnérabilité zero-day qui affecte toutes les versions du système d’exploitation de bureau de Microsoft, de Windows 2000 à Windows 10, mais également les différentes versions de Windows Server. Le plus critique, c’est que même le dernier Patch Tuesday ne permettrait pas de corriger cette vulnérabilité. Des vidéos YouTube ont en effet montré qu’il est possible d’exploiter cette vulnérabilité sous un Windows qui a installé les dernières mises à jour de sécurité de Microsoft.

La vulnérabilité qui devrait permettre à un attaquant d’avoir des privilèges niveau système sous Windows est vendue sur le net. La firme de sécurité Trustaware a découvert l’offre de vente sur un forum de hackers russe. Le prix était initialement fixé à 95 000 dollars US avant que le vendeur ne fasse un rabais de 5000 dollars.

Le vendeur de cette faille caché sous le pseudonyme de BuggiCorp a posté deux vidéos sur le forum comme preuves de concept. Dans l’une d’entre elles, il escalade les privilèges d’une application sous un Windows 10 ayant installé les dernières mises à jour de sécurité de Microsoft. Et dans l’autre, il contourne toutes les fonctions de sécurité incluses dans la dernière version de l’outil de sécurité EMET (Enhanced Mitigation Experience Toolkit) de Microsoft.

Il faut noter que l’outil EMET vise à empêcher l'exploitation des vulnérabilités logicielles en utilisant des technologies de réduction des risques pour la sécurité. Ces technologies fonctionnent comme des obstacles et des protections spéciales, que l'auteur d'une attaque doit mettre en échec pour pouvoir exploiter les vulnérabilités logicielles. Elles ne garantissent toutefois pas que des vulnérabilités ne puissent pas être exploitées, mais font en sorte que l'exploitation soit aussi difficile que possible.

BuggiCorp dit vouloir vendre la faille zero-day à une seule personne et être payé en bitcoins. En plus du code source de l’exploit entre autres, l’acheteur aura droit à un service après-vente. Le vendeur envisage en effet de livrer des mises à jour futures gratuitement pour les versions de Windows sous lesquelles l’exploit ne pourra pas fonctionner. Il promet également à l’acheteur une assistance complémentaire pour l’intégration de l’exploit en fonction des besoins du client.

Sans entrer en profondeur, BuggiCorp a tenté de fournir quelques détails techniques sur cette vulnérabilité qui ne serait pas encore connue de Microsoft. Mais de quelle faille s’agit-il donc pour qu’il puisse fixer le prix de 90 000 dollars US ?

Quoi qu’il en soit, la faille ne peut pas être exploitée directement pour infecter la machine de la cible, mais peut ouvrir la porte à d’autres attaques.

Certains experts en sécurité estiment donc que le prix est trop élevé pour une faille zero-day, même si la plateforme d’acquisition de vulnérabilités Zerodium a déjà payé un million de dollars US pour une faille sur iOS 9. Ils restent toutefois convaincus qu’elle pourrait intéresser quelqu’un et qu’elle finira par être achetée.

Jeff Jones, un stratège en cybersécurité de Microsoft, a affirmé que la société était bien au courant de la discussion sur la vente de ladite faille zero-day, mais que les revendications postées par le vendeur n’étaient pas encore vérifiées. En ce qui concerne la possibilité que la faille soit achetée par Microsoft, il a souligné que la firme de Redmond paie déjà des primes pour les failles trouvées dans ses produits.

Sources : Trustaware, Krebs on Security

Un programme de reconnaissance faciale d'une startup russe permet d'identifier un inconnu dans la rue instantanément

Juste en prenant sa photo

Une nouvelle application d’identification faciale fait actuellement parler d'elle en Russie. Elle permet à n’importe qui de vous identifier dans la rue instantanément, seulement en prenant une photo de vous à partir d’un téléphone mobile sur lequel tourne l’application russe FindFace. Le service a recours à un puissant algorithme d’identification faciale couplée avec des bases de données de réseaux sociaux.

FindFace n’a été lancé pour le moment qu’en Russie, et couplé seulement avec vkontakte (le Facebook russe). Avec 350 millions d’inscrits et 80 millions d'utilisateurs par jour, le réseau social permet déjà de démontrer la robustesse du service. En scannant juste une photo, l’application permet d’identifier, en une fraction de seconde, toute personne dans l’énorme base de données du réseau social, qui contient plus de 250 millions de photos. L’application permet ainsi de retrouver des amis en ligne, avec une précision de 70 %. En couplant le programme avec Facebook par exemple, cela veut dire également que vous pourrez retrouver sur le réseau social une personne inconnue que vous avez vue dans la rue, mais avec qui vous souhaitez tisser des relations.

En novembre dernier, le programme d’identification faciale de NTechLab, la startup derrière l'algorithme, a réussi à triompher dans la compétition MegaFace de l’université de Washington. L’entreprise russe s’est imposée face à Google et plus de 90 autres équipes venant du monde entier.

Si l’algorithme est utilisé aujourd’hui dans une application de rencontre, les fondateurs de NTechLab imaginent déjà comment d’autres domaines peuvent en profiter, notamment celui de la sécurité. L’entreprise veut aussi collaborer avec le gouvernement russe qui a montré un intérêt pour son programme, afin d’aider à traquer les gens qui commettent des crimes dans le champ de vision des 150 000 caméras de vidéosurveillance déployées dans le pays. Enfin, NTechLab va permettre aux autres entreprises d’avoir accès à son algorithme grâce à une nouvelle plateforme cloud de reconnaissance faciale qui sera dévoilée cet été.

Malgré la prouesse de l’application, beaucoup se préoccupent des questions relatives à la vie privée. FindFace est disponible depuis février, mais sa popularité n’a explosé vraiment qu’à partir du mois d’avril, lorsqu’un photographe russe a voulu montrer au public les implications dangereuses que permet l’application. Il a photographié des dizaines de personnes inconnues dans le métro et a utilisé l’application pour les identifier.

Source : Washington Post

Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques

Et a encore versé 26 000 $ à des chercheurs en sécurité

À peine une semaine après la sortie de Chrome 51, la dernière version stable du navigateur de Google pour Windows, Mac OS X et Linux a reçu une mise à jour de sécurité. Cette nouvelle mise à jour corrige quinze failles de sécurité dont deux sont jugées critiques.

Pour la mise à jour qui vient d'être apportée à Chrome 51, Google a encore sorti son portefeuille pour récompenser des chercheurs en sécurité qui ont trouvé des failles et aidé la firme à les corriger. Il faut noter que le géant de Mountain View avait déjà décaissé 65 000 $ pour la version stable de Chrome 51. Une somme de 26 000 $ vient encore d’être versée à des chercheurs en sécurité pour leur contribution.

Google a déboursé la somme de 7500 $ pour un chercheur anonyme et pour un autre répondant au nom de Marius Mlynski pour la correction des deux failles critiques. Trois autres failles de sécurité ont été corrigées par Rob Wu qui a reçu la somme de 6500 $ pour ces trois vulnérabilités de gravité jugée moyenne. Il est à noter que la correction de ces failles de sécurité permet d’éviter la récupération de données personnelles par un hacker.

Pour le moment, la société n’a publié qu’une partie des failles corrigées, la liste complète ne sera disponible que lorsque la plupart des utilisateurs auront mis à jour leur navigateur.

Source : Chrome Releases

Tor Browser 6.0 : le navigateur dédié au réseau anonyme Tor se renforce sur le plan sécurité

Et apporte un meilleur support pour la vidéo HTML5

La semaine dernière, l’équipe du projet Tor a annoncé une nouvelle génération de services onions basés sur un nouveau système de génération des clés de chiffrement. Ce système considéré comme jamais implémenté sur internet vise à renforcer le chiffrement des communications anonymes sur le réseau.

Jusqu’à ce que la prochaine génération des services Tor soit déployée, l’équipe en charge du projet nous livre une nouvelle version de son navigateur. En effet, un peu plus d’un mois après la sortie de la version 5.5.5 en fin avril dernier, Tor Browser vient de bénéficier d’une mise à jour majeure. Tor Browser 6.0, la nouvelle version du navigateur dédié au réseau anonyme Tor vient avec une pile de nouveautés. Et, conformément à l’idéologie des développeurs du projet Tor, le navigateur se renforce de son côté le plus fort, c’est-à-dire au niveau de la sécurité et la confidentialité.

Tor Browser 6.0 commence par désactiver le support des certificats signés avec SHA-1 ; l’algorithme SHA-1 n’ayant plus la faveur des éditeurs de navigateurs comme Microsoft, Mozilla et Google. Suivant l’exemple de Mozilla, Microsoft a en effet annoncé l’abandon de l’algorithme SHA-1 pour juin 2016, alors que Google envisage d’emboiter le pas à la firme de Redmond juste après, le 1^er juillet 2016.

Comme mesure de sécurité supplémentaire, un contrôle de hachage des fichiers de mise à jour téléchargés automatiquement sera effectué par l’Updater avant l’installation de ces mises à jour, a annoncé l'équipe Tor. L’équipe du projet a également corrigé une vulnérabilité critique de détournement de DDL liée à l’installateur Windows. Côté confidentialité, on peut encore noter que DuckDuckGo est désormais le moteur de recherche par défaut du navigateur. Ce moteur de recherche se distingue par sa philosophie qui est de préserver la vie privée et de ne stocker aucune information personnelle concernant les utilisateurs (adresses IP et traces numériques comme la signature du navigateur).

Les nouveautés de Tor Browser 6.0 vont bien au-delà du volet sécurité et de la confidentialité. Si Tor Browser 5.5.5 était basée sur Firefox 38, la nouvelle mouture du navigateur axé sur la protection de la vie privée est basée sur Firefox 45, une version de la branche Extended Support Release (ESR). Celle-ci bénéficie d’un support à long terme en mises à jour de sécurité. Cette version fraîche de Firefox permet à Tor Browser de profiter des nouvelles fonctionnalités du navigateur de Mozilla. « Ce qui pourrait signifier un meilleur support de la vidéo HTML5 sur YouTube, ainsi que de nombreuses autres améliorations », précise l’équipe du projet sur son blog.

Tor Browser 6.0 est disponible en téléchargement pour Windows, Mac OS X et Linux.

Télécharger Tor Browser 6.0

Source : Blog Tor Project

Sécurité : Tor défie le FBI avec un système RNG jamais implémenté sur Internet

Pour renforcer le chiffrement des communications à travers le réseau

 Si Tor est reconnu par tous, y compris le monde de la sécurité informatique, comme un réseau sûr pour garantir l’anonymat, il semble toutefois ne pas être un mystère pour le FBI. Le bureau d’investigation fédéral des États-Unis a en effet réussi à trouver des failles dans le système. Ces failles ont d’ailleurs été exploitées par le FBI pour traquer des individus qui utilisent le réseau anonyme pour dissimuler leurs activités illégales. C’est le cas notamment d’un administrateur scolaire de Vancouver à Washington qui, bien que caché derrière Tor, s’est fait prendre par le FBI dans une affaire de pornographie juvénile. Sommé par la justice de révéler la faille de Tor qui a été exploitée pour débusquer le suspect, le FBI a refusé de collaborer estimant que cela n’était pas nécessaire pour la défense du suspect, dans le procès.

Il faut noter que le gouvernement fédéral américain et ses agences (NSA et FBI) se sont toujours intéressés dans le contournement des systèmes de sécurité et de chiffrement les plus réputés. Dans un rapport livré cette année, un juge fédéral de Washington a confirmé que des chercheurs ont été engagés par le gouvernement fédéral pour compromettre le réseau Tor. En ce qui concerne la NSA, elle a également été suspectée d’avoir demandé aux développeurs de TrueCrypt d’introduire des portes dérobées dans la solution de chiffrement.

Pour revenir à Tor, les développeurs du projet envisagent de pérenniser la renommée du système de communications anonymes en matière de sécurité. Pour cela, ils ont consacré plusieurs mois de travail pour mettre en place un système de chiffrement qu’ils considèrent comme le tout premier du genre qui sera implémenté sur le net. Avec son nouveau système, le réseau anonyme sera plus difficile à pirater.

Dans le cadre d’une séance de travail sur la prochaine itération de Tor, qui s’est déroulée la semaine dernière à Montréal au Canada, l’équipe Tor a testé son nouveau mécanisme de génération de nombres aléatoires baptisé « RNG distribué ».

Les nombres aléatoires jouent un rôle essentiel dans le chiffrement des communications. Ils servent en effet de base pour générer des clés de chiffrement. Plus l’algorithme de génération des nombres aléatoires est fort, plus il sera difficile de les prédire.

Les développeurs de Tor décrivent leur système de génération de nombres aléatoires distribué comme « un système où plusieurs ordinateurs collaborent et génèrent un nombre aléatoire unique que personne ne peut prévoir (même pas eux-mêmes) ». Le RNG distribué est actuellement à la phase de revue de code et de vérification. Il sera implémenté dans la prochaine génération des services de Tor « pour injecter de l’imprévisibilité dans le système et améliorer sa sécurité », expliquent-ils. Et de poursuivre : « Pour autant que nous le sachions, un système de génération aléatoire distribué comme cela n'a jamais été déployé avant sur Internet ».

L’équipe a également corrigé certaines incohérences et erreurs dans ses services. Elle a aussi apporté des améliorations à la conception des services Tor de la prochaine génération. Elle parle de nouvelle génération, parce qu’il y en aura effectivement une. Toutefois, elle précise que le déploiement des nouveaux services « onion » ne signifie pas que la version actuelle de son système sera automatiquement jetée. Pendant un certain temps, « le réseau Tor sera capable de gérer les deux types de services : la version actuelle et la version de prochaine génération », a-t-elle rassuré sur son blog.

Source : Blog Tor