Google s'associe avec Dashlane pour créer Open YOLO, une API de connexion automatique et sécurisée aux applis.
Google semble décidé à en finir avec
l'accumulation des différents mots de passe que nous utilisons chaque
jour pour nous connecter aux sites et applis. La firme de Mountain View
s'est associée avec Dashlane, l'entreprise a l'origine du gestionnaire de mots de passe du même nom, pour créer une nouvelle API open-source appelée Open YOLO (pour You Only Login Once) qui offrira aux applis Android un accès sécurisé aux informations de connexion.
Avec cette API, l'utilisateur n'aura besoin que d'ouvrir une seule
session du gestionnaire de mots de passe qui assurera une transmission
automatique et sûre des identifiants aux applications du téléphone. Plus
besoin de rentrer à chaque fois les informations lors de l'ouverture
d'une appli.
Bien que le projet soit pour le moment uniquement en voie d'intégration avec Dashlane, le fait qu'il soit open-source permettra à l'avenir aux autres gestionnaires de mots de passe, comme LastPass ou 1Password, d'en faire aussi l'usage. Certains d'entre eux travaillent déjà à l'intégration d'Open YOLO selon un billet du blog de Dashlane (lien en anglais).
De plus, les éditeurs d'applications pourront également l'intégrer dans leur code, ainsi que les fabricants. Le système Open YOLO
pourrait s'avérer très utile avec les récents systèmes de sécurité
biométrique comme les lecteurs d'empreintes ou le scanner d'iris, tel
celui du Galaxy Note 7 par exemple. Et si le projet concerne uniquement Android pour le moment, Google et Dashlane espèrent l'étendre à d'autres systèmes d'exploitation dans le futur.
jeudi 11 août 2016
lundi 8 août 2016
Une faille de sécurité a permis le vol d'environ 120 000 bitcoins sur Bitfinex, Toutes les transactions sur la plateforme sont suspendues
À l’annonce de cette nouvelle, la valeur du bitcoin a chuté de 11 %, mais elle a vite remonté. Sur la plateforme bitstamp, le bitcoin s’échangeait à 540 $ le 2 août contre 606,35 $ la veille. La valeur du bitcoin a remonté au 3 août pour s’échanger à 563,42 $.
« Nous examinerons plus tard diverses options pour répondre aux pertes de nos clients », a annoncé le site Bitfinex. Pour le moment, les responsables s’attellent à déterminer ce qui s’est passé, à sécuriser la plateforme et à identifier les clients victimes de cette faille de sécurité.
Bitfinex est une plateforme d’échanges de monnaies virtuelles qui est basée à Hong Kong. Pour la sécurité des transactions, Bitfinex a eu recours aux services de BitGo, un spécialiste en cybersécurité. Ce dernier a déclaré via Twitter que ses serveurs ne présentent aucune faille, se disculpant ainsi d’être à l’origine des vols de plusieurs milliers de bitcoins. Le groupe Bitfinex, quant à lui, affirme que cet incident ne remet pas en cause la technologie qu’il utilise pour les échanges de bitcoins.
Pour rappel, le bitcoin est une monnaie cryptographique ayant vu le jour en 2009. De par son aspect virtuel, il ne possède pas de représentation réelle. Pour être plus précis, contrairement aux monnaies habituelles, on n’utilise pas de stocks d’or ou encore de devise comme le dollar pour représenter le bitcoin. Le principe de fonctionnement des échanges de bitcoins se base sur des technologies de cryptographie pour éviter qu’il y ait des doubles paiements. Il est possible d’échanger des bitcoins contre d’autres monnaies et des monnaies virtuelles.
Ce n’est pas la première fois qu’une plateforme d’échanges de monnaies cryptographiques est victime d’un piratage. Récemment, plus de 50 millions $ en ethers, une autre monnaie virtuelle, ont été volés auprès d’un fonds d’investissement. Il y eut aussi le vol de plus de 700 000 bitcoins sur la plateforme d’échanges Mt Gox. À la suite de cette affaire, cette dernière a fait faillite. En ce qui concerne Bitfinex, son avenir reste encore incertain, mais le groupe se veut rassurant en affirmant que les victimes seront indemnisées, une fois l’enquête terminée. Si on tient compte de ces trois incidents, on se demande si l’utilisation des bitcoins ne serait finalement pas risquée.
Source : Bitfinex, Reuters
Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police
Quelles sont les raisons ?
Les autorités chinoises ont mis aux arrêts il y a une semaine Fang
Xiaodun, le chef de la plus grande communauté de hackers éthiques en
Chine. Avec lui, neuf autres membres du groupe connu sous le nom de
Wooyun ont également été arrêtés, mais les raisons de ces arrestations
n’ont pas été rendues publiques.
Quelles sont les raisons ?
Wooyun est une communauté indépendante de près de 5000 chercheurs en sécurité. Comme la plupart des chercheurs en sécurité, ceux de Wooyun utilisent des techniques de piratage afin d’identifier des failles de sécurité dans les systèmes des entreprises et du gouvernement. Les failles découvertes sont ensuite communiquées discrètement aux entreprises concernées pour leur permettre de les corriger. En contrepartie, les chercheurs de Wooyun peuvent recevoir des primes de la part des entreprises pour les différentes vulnérabilités découvertes dans leurs systèmes. Comme on l’observe fréquemment, certaines entreprises peuvent réagir à l’alerte pour faire corriger les failles signalées, mais d’autres non. Pour ces dernières, passé un certain délai, Wooyun publie sur son site web les détails des failles de sécurité découvertes, un recours ultime pour leur mettre la pression afin de fixer leurs systèmes.
Après la divulgation des failles de sécurité, les entreprises sont alors davantage exposées étant donné qu’un pirate pourrait exploiter ces vulnérabilités pour s’infiltrer dans leurs systèmes. D’ailleurs, le quotidien Hong Kong Free Press rapporte que certaines entreprises ont été piratées peu après que des failles dans leurs systèmes aient été rendues publiques par Wooyun. Hong Kong Free Press ne dit toutefois pas si ce sont ces failles divulguées qui ont été exploitées.
Le 19 juillet, le site de Wooyun sur lequel sont divulguées les failles de sécurité ignorées par les entreprises alertées a été suspendu. Le lendemain, le chef de la communauté de hackers éthiques a annoncé une opération de mise à niveau du site pour justifier cela, en rassurant que la situation sera restaurée d’un moment à l’autre. Mais le site est à ce jour encore suspendu. Les dix membres de Wooyun dont Fang Xiaodun ont également été arrêtés par la police peu de temps après cet évènement sans que les raisons de leur arrestation ne soient communiquées. Selon des sources, le site n’a pas été mis hors service par des parties externes, mais plutôt par des membres de Wooyun pour minimiser certains risques. Auraient-ils été sous pression d’une autorité quelconque ? C’est ce qu’insinuent les observateurs.
Parmi les hypothèses sur cette arrestation, certains affirment que Fang Xiaodun doit répondre de ses actes devant la justice parce que des entreprises auraient été piratées après que Wooyun avait divulgué des détails sur des failles de sécurité dans leurs systèmes. Zhao Zhanling, consultant juridique pour Internet Society en Chine, évoque cette raison. Pour ce dernier, Fang Xiaodun et ses pairs pourraient faire face à des poursuites judiciaires, parce les techniques de piratage employées n’ont pas été exécutées sur les propres plateformes de Wooyun, mais sur celles d’autres organisations. Et en publiant les détails de ces failles sur son site web, Wooyun a permis à des acteurs malveillants de pirater ces entreprises. Cette conclusion est critique parce qu’elle implique par exemple que toutes les entreprises de sécurité en Chine violent la loi lorsqu’elles publient des failles de sécurité alors que les éditeurs alertés n’ont pas corrigé leurs produits.
Outre cette hypothèse, de nombreux observateurs pointent directement le gouvernement chinois du doigt. Certains soupçonnent les membres de Wooyun d’avoir piraté les réseaux du gouvernement pour en identifier les failles, mais sans l’autorisation des autorités chinoises. Ils auraient donc été arrêtés par les autorités qui ont décidé de les traiter au même titre que tous les autres pirates.
Source : Hong Kong Free Press
jeudi 4 août 2016
Les claviers sans fil sont piratables
Plusieurs modèles de claviers sans fils seraient très facilement piratables selon l'entreprise de cybersécurité Bastille.
(CCM) — Un dongle USB, une antenne et une poignée de ligne de code Python, c'est tout ce qu'il faudrait pour pirater certains clavier sans fil. C'est la compagnie de sécurité Bastille (lien en anglais) qui tire la sonnette d'alarme. Après avoir testé une douzaine de claviers sans fil de marques différentes, elle a réussi a récupérer très facilement les données transmises par huit d'entre eux.
Avec un procédé qu'elle a baptisé KeySniffer (lien en anglais), elle a exposé les failles de claviers sans fil de diverses marques, dont HP, Kensington et Toshiba. Et a été capable de récupérer à distance - jusqu'à 70 mètres ! - des infos confidentielles qu'un utilisateur tapait sur le clavier : mots de passe, informations bancaires, information de sécurité, etc.
Bastille met en cause la façon dont les claviers transmettent les données tapées. Beaucoup de claviers utilisent une transmission radio et cryptent plus ou moins bien les données. "Il s'avère qu'après avoir complété notre test, il est apparu que les données de frappe étaient transmises en clair, avec absolument aucun chiffrement" explique Marc Newlin, un des chercheurs de Bastille. D'après l'entreprise, il n'y a pas d'autre solution que d'acheter un autre clavier plus sécurisé, par transmission Bluetooth ou filaire.
Les entreprises qui ont été alertées par Bastille ne semblent toujours pas avoir corrigé le tir. Et continuent à vendre des modèles particulièrement vulnérables.
(CCM) — Un dongle USB, une antenne et une poignée de ligne de code Python, c'est tout ce qu'il faudrait pour pirater certains clavier sans fil. C'est la compagnie de sécurité Bastille (lien en anglais) qui tire la sonnette d'alarme. Après avoir testé une douzaine de claviers sans fil de marques différentes, elle a réussi a récupérer très facilement les données transmises par huit d'entre eux.
Avec un procédé qu'elle a baptisé KeySniffer (lien en anglais), elle a exposé les failles de claviers sans fil de diverses marques, dont HP, Kensington et Toshiba. Et a été capable de récupérer à distance - jusqu'à 70 mètres ! - des infos confidentielles qu'un utilisateur tapait sur le clavier : mots de passe, informations bancaires, information de sécurité, etc.
Bastille met en cause la façon dont les claviers transmettent les données tapées. Beaucoup de claviers utilisent une transmission radio et cryptent plus ou moins bien les données. "Il s'avère qu'après avoir complété notre test, il est apparu que les données de frappe étaient transmises en clair, avec absolument aucun chiffrement" explique Marc Newlin, un des chercheurs de Bastille. D'après l'entreprise, il n'y a pas d'autre solution que d'acheter un autre clavier plus sécurisé, par transmission Bluetooth ou filaire.
Les entreprises qui ont été alertées par Bastille ne semblent toujours pas avoir corrigé le tir. Et continuent à vendre des modèles particulièrement vulnérables.
WhatsApp : conversations pas si cryptées
(CCM) — Coup dur pour WhatsApp qui faisait de la vie privée et de la sécurité l'un de ses chevaux de bataille grâce au chiffrement des communications. Jonathan Zdziarski , un chercheur en sécurité, vient de démonter que les conversations échangées par WhatsApp sur iOS ne sont que partiellement chiffrées et que celles qui ont effacées sont sauvegardées en local et sur iCloud.
C'est dans un billet de son blog (lien en anglais) que Zdiarski expose les deux principaux problèmes qu'il a constaté. Premier problème, il s'est aperçu que les archives des conversations censées être supprimées de l'appli sont en réalité stockées en local sur l'appareil et également sur le service de cloud d'Apple. En cause, un bug de la bibliothèque SQLite - chargée de gérer la base de données des contacts - qui ne nettoie pas automatiquement les bases de données et donc les messages qui devraient être supprimés. Zdziarski explique que ce problème n'est pas exclusif à WhatsApp mais à toutes les applis utilisant SQLite, comme iMessage qui laisse "beaucoup de traces récupérables légalement" selon ses propres mots.
Le second problème concerne justement la fameuse fonction de chiffrement dont s’enorgueillit WhatsApp. Ce chiffrement, que Zdziarski ne conteste pas, s'applique en réalité uniquement lorsque le message est en transit. Une fois reçus et lus, les messages échangés sont accessibles sans chiffrement et sans protection sur un terminal iOS. Pis, elles sont également sauvegardées de la même manière sur iCloud. Et donc assez facilement accessibles.
Apple et Facebook, propriétaire du service de messagerie, n'ont pour l'instant pas commenté la découverte. Il faut dire qu'elle est plutôt gênante pour l'image de défenseur de la vie privée que WhatsApp veut se donner
200 millions de mots de passe Yahoo en vente
(CCM) — C'est un fait désormais reconnu, on trouve beaucoup de choses illégales en vente sur le Dark Web : de la drogue, des armes... En ce moment même, on peut y acheter les accès - login et mots de passe - à environ 200 millions de comptes Yahoo. La compagnie américaine a affirmé être "au courant" au magazine Motherboard qui a révélé le premier l'information.
Le vendeur, connu sous le nom de Peace, n'est pas un inconnu. En mai dernier, il avait déjà mis en vente 360 millions d'emails liés à des comptes Myspace, ainsi que 117 millions de compte LinkedIn volé en mai 2012. Ce serait également en 2012 que le hacker aurait récupéré la majorité des comptes Yahoo. S'il les échangeait déjà en privé, le hacker les a publiquement mis en vente hier sur la plateforme de vente The Real Deal, au prix de 3 bitcoins (environ 1800 dollars).
Les infos de compte vendues sont principalement des noms d'utilisateurs, des mots de passe, des dates de naissance et parfois des adresses emails de secours. Motherboard a eu accès a un échantillon et a découvert que si certains comptes étaient encore actifs, mais que beaucoup d'adresses email n'étaient plus en service.
Interrogé par les journalistes, Yahoo a affirmé via un porte-parole être au courant de la déclaration de Peace. Le porte-parole a également fait la déclaration suivante : "Nous sommes déterminé à protéger la sécurité des informations de nos usagers et nous prenons cette déclaration très au sérieux. Notre équipe de sécurité travaille à déterminer les faits. Yahoo travaille d'arrache-pied pour garder nos utilisateurs en sécurité et nous encourageons nos utilisateurs à créer des mots de passe forts, ou même les abandonner au profit de la Clé de Compte Yahoo, et égalementà utiliser des mots différents pour chaque plateforme".
Inscription à :
Articles (Atom)