Powered By Blogger

Rechercher sur ce blogue

mardi 22 janvier 2013

Hacker: La nouvelle arme d'injection massive est la

Image d'illustration (Rafael Ben-Ari/Cham/Newscom/Sipa)

DEVENIR UN HACKER EN DEUX CLICS

De petits logiciels proposent de pirater un site web en quelques minutes et récupérer e-mails, mots de passe, voire numéros de cartes bleues, ouvrant la voie à une dangereuse démocratisation du "hack".


SUR LE MÊME SUJET
Pirater n'importe quel site en deux clics et dix minutes ? C'est déjà possible.
De plus en plus de petits logiciels permettent aux pirates du dimanche de jouer au "hacker" véritable. Une démocratisation du piratage qui n'est pas sans risque. Récemment, Orange ou Sony ont été les illustres victimes de ces apprentis hackers.
Dans la pratique, le hacker en herbe télécharge gratuitement un simple logiciel, renseigne l'adresse d'un site web et clique pour lancer l'attaque. Après une dizaine de minutes, il récupère l'intégralité des bases de données du site à savoir, en fonction du site, des noms et prénoms, adresses e-mails, numéros de téléphone, mots de passe, voire numéros de cartes bleues.
Aucune connaissance technique nécessaire
"Le Nouvel Observateur" a pu voir à l'œuvre l'un de ces logiciels, dont le nom ne sera pas donné. Après quelques minutes d'attaque contre un site d'abonnements, le logiciel affiche une imposante liste de clients avec noms, adresses, e-mails et mots de passe cryptés. Bluffant ! D'un clic supplémentaire, le logiciel casse le cryptage et révèle tous les mots de passe. Inquiétant...
En quelques clics et sans aucune connaissance technique, le logiciel a pu récupérer nombre de données confidentielles du site (voir ci-dessous).
Ce type de piratage repose sur les "injections SQL", exploitations d'une faille de sécurité dans la base de données du site via de fausses requêtes en langage informatique SQL. Si un pirate-expert est capable de coder ces injections SQL les yeux fermés, le novice préfère passer par un logiciel qui fera tout ce travail automatiquement en enchaînant les fausses requêtes.
Des tâtonnements successifs qui finissent par payer mais qui ne fonctionne pas sur tous les sites.
Les identifiants et mots de passe d'un site piraté automatiquement par un logiciel (Capture d'écran)
"Des armes à la portée de tous"
"Les logiciels de piratage ont toujours existé, mais aujourd'hui ils se multiplient et sont accessibles facilement et gratuitement", note Damien Bancal, rédacteur en chef du site spécialisé en sécurité Zataz. "Ces véritables couteaux suisses numériques permettent de récupérer tout ce qui se trouve sur une base de données, mais aussi décryptent les mots de passe et proposent un accès à l'administration du site. Ce sont des armes à la portée de tous", poursuit-il.
Des outils de piratages livrés clef en main et largement utilisés. Ces "kits d'attaques" représentent désormais deux tiers des activités malveillantes, note l'entreprise de sécurité Symantec. Les désormais célèbres Anonymous ou Lulz Security (dit "LulzSec") ont régulièrement usé de ces logiciels pour récupérer d'importantes bases de données.
Et si jamais l'internaute se sent perdu, aucune crainte, les tutoriels se multiplient surYouTube pour expliquer, pas à pas, les différentes étapes du piratage.
Damien Bancal prévient toutefois les éventuels utilisateurs : "ces logiciels laissent beaucoup de traces pour l'administrateur du site", rappelant que l'utilisation de ce type de logiciel est illégale.
Des kits d'attaques
Mais au-delà de ces "petits" logiciels de piratage, il existe des versions beaucoup plus abouties et plus puissantes qui sont vendues dans un marché souterrain. Les prix pratiqués sont flous et varient entre 40 et 4.000 dollars. L'expert en sécurité chez Symantec, Laurent Heslault, parle d'un prix "moyen" autour de 700 à 800 dollars, support technique compris.
"Il y a un véritable marché pour ce type de logiciel", affirme l'expert. Les pirates novices usent ensuite de ces logiciels pour récupérer puis revendre "au marché noir" nombre d'informations issues des bases de données.
"Ces 'kits d'attaques' sont une tendance lourde de l'année 2011", poursuit-il. "Il y a encore un problème de prise de conscience du côté des entreprises", ajoute-t-il.
Même constat chez Damien Bancal qui lance : "l'injection SQL est la clef du web en 2011".
Des hackeurs allemands à la conférence DefCon à Las Vegas, en juillet (Isaac Brekken/AP/SIPA)
Des failles "facilement corrigeables"
Pour les administrateurs, le piratage n'est toutefois pas une fatalité. "Les injections SQL s'appuient sur des vulnérabilités énormes, conséquences de développements bâclés, mais sont facilement corrigeables", souligne Laurent Heslault.
"Le problème c'est qu'il suffit d'une page oubliée, d'un mauvais code, pour laisser une porte ouverte...", note Damien Bancal, qui plaide pour "avoir des gens capables de mettre les mains dans le cambouis du code".
Pour se protéger, Laurent Heslault conseille : "faire un audit du code du site, faire une recherche complète des vulnérabilités, voire installer une couche de protection supplémentaire".
Boris Manenti - Le Nouvel Observateur


lundi 21 janvier 2013

Optimisez votre réseau Wi-Fi Changez de canal

Optimisez votre réseau Wi-Fi - Changez de canal
 
Photo Inssider

Diagnostiquez l’état de votre Wi-Fi en balayant les fréquences de tous les réseaux avoisinants. La plupart des réseaux utilisent la bande 2,4 GHz, elle-même divisée en 11 bandes. Il est probable que certains canaux soient plus achalandés que d’autres, causant ainsi des interférences.
Si les routeurs optent généralement pour le canal le plus approprié, il est bon de valider leur choix. Le logiciel inSSIDer vous permet d’avoir une multitude d’informations sur les réseaux voisins, leur niveau de sécurité et les signaux qui se chevauchent afin de choisir pour le canal idéal.
Privilégiez le 1, le 6 ou encore, le 11, les seuls canaux à ne pas se croiser.
Version Windows gratuite
4,99 $ Mac OS X


Une technologie américaine utilisée pour censurer internet

Étude - Une technologie américaine utilisée pour censurer internet
 
Photo Fotolia.com


WASHINGTON - Plusieurs régimes autoritaires utilisent la technologie d'une entreprise américaine pour surveiller, filtrer et censurer les données sur internet, affirment des chercheurs canadiens dans une étude.
Ces logiciels et ces technologies développés par la société Blue Coat Systems, basée en Californie, ont déjà été utilisées par la Chine, la Russie, le Venezuela et d'autres pays qui suscitent des «inquiétudes en matière de droits de l'homme», note le département Citizen Lab de l'université de Toronto.
Ces chercheurs ont analysé pendant plusieurs semaines, jusqu'à janvier 2013, 61 logiciels nommés ProxySG et 316 outils PacketShaper «ayant des fonctionnalités particulières qui permettent de filtrer, censurer, et surveiller».
Ces outils ont été utilisés par l'Égypte, le Koweït, le Qatar, l'Arabie Saoudite, les Emirats arabes unis, l'Afghanistan, le Bahreïn, la Chine, l'Inde, l'Indonésie, l'Irak, le Kenya, le Liban, la Malaisie, le Nigeria, la Russie, la Corée du Sud, Singapour, la Thaïlande, la Turquie, et le Venezuela.
Les chercheurs soulignent «le besoin d'un examen approfondi des utilisations des produits de Blue Coat par (ces) pays» et suggèrent de «regarder de plus près la prolifération mondiale de ces technologies d'information et de communication».
Les fournisseurs «devraient songer à dire clairement et publiquement à quoi servent leurs outils. Et nous espérons que Blue Coat saisira l'occasion de ce rapport pour expliquer comment ils s'assurent que leurs outils ne sont pas utilisés pour violer les droits de l'homme».
Le laboratoire canadien a publié ce rapport après que des technologies similaires de Blue Coat avaient été découvertes en Syrie en 2011.
Sollicitée par l'AFP, Blue Coat n'était pas immédiatement en mesure de répondre.
Selon son site internet, l'entreprise propose «des produits qui apportent la visibilité, l'accélération et la sécurité requises pour optimiser et sécuriser les flux d'information reçus par n'importe quel utilisateur ou réseau, n'importe où».



REF,: