Décidément, Yahoo aura bien du mal à regagner la confiance des
internautes et après la découverte d'une attaque de grande ampleur sur
ses serveurs la société a répondu favorablement aux demandes de la NSA
pour scanner les emails des utilisateurs.
La société Yahoo est au coeur d'une polémique particulièrement grave puisque selon une dépêche de Reuters,
sur demande des agences de renseignement aux Etats-Unis, la société a
conçu un logiciel capable de scanner les emails de plusieurs centaines
de millions de comptes à la recherche de mots-clés spécifiques.
Plus précisément, l'ensemble des messages étaient passés au crible en
temps réel et non pas seulement d'anciens emails archivés. La requête
portait sur une chaine de caractères encore inconnue à ce jour mais qui
aurait pu aider les autorités à obtenir des informations sur les
organisations terroristes. Interrogée sur le sujet, la société ne dément
pas et se contente d'affirmer qu'elle respecte les lois des Etats-Unis.
Selon un ancien employé, c'est la PDG Marissa Mayer elle-même qui aurait
décidé d'obéir à cette requête gouvernementale. C'est aussi ce qui a
provoqué le départ du directeur de la sécurité Alex Stamos en juin 2015.
Pour mémoire, l'homme avait notamment communiqué sur une extension pour
Chrome et Firefox permettant de chiffrer les messages. Il travaille
désormais chez Facebook.
Rappelons que le scan des emails à des fins publicitaire a été introduit
en mars 2014. On ne sait pour l'heure s'il s'agit d'une extension à ce
dispositif ou un outil totalement différent.
Il y a deux ans, Yahoo avait révélé des documents
selon lesquels en 2007 et 2008 elle s'est opposée aux demandes du FISC
(ou FISA Court), la cour fédérale américaine chargés de superviser les
mandats de surveillance pour le FBI ou la NSA. Les autorités ont fini
par menacer d'infliger une amende quotidienne de 250 000 dollars à la
société si cette dernière refusait de respecter les injonctions de la
cour. Yahoo! expliquait que cette pression l'a obligé à se soumettre à
ces demandes. La firme a continué ses procédures d'appel et a finalement
perdu devant la cour FISA.
L'affaire survient quelques jours après une révélation sur une attaque
de grande envergure sur les serveurs de Yahoo en 2014. Selon la firme de
Sunnyvale, plus de 500 millions de comptes seraient affectés, un
chiffre démenti par un ancien employé de Yahoo qui table plutôt entre 1
et 3 milliards de comptes.
De leurs côtés Microsoft et Google ont réagi face à ces révélations. Le
géant de la recherche affirme n'avoir jamais reçu de telle requête. Un
porte-parole affirme que la société n'aurait jamais accepté de mettre en
place un tel scan. Chez Microsoft, on affirme également n'avoir jamais
participé à un tel programme. La firme de Redmond n'a toutefois pas
précisé si la NSA lui a déjà demandé de mettre en oeuvre un tel
dispositif.
L'entreprise américaine a
été la victime d'une attaque informatique pilotée par «une entité liée à
un État». Yahoo! est l'un des sites les plus visités au monde.
Yahoo!
a bien été victime d'un large piratage. Le site américain a publié
jeudi soir un communiqué confirmant les informations du site Recode. «Nous pouvons confirmer que des informations de nos utilisateurs ont été dérobées fin 2014», explique l'entreprise dans un communiqué.
«Nous pensons qu'il s'agit d'une attaque provenant d'une entité liée à
un État.» Plus de 500 millions de comptes ont été compromis. Les
utilisateurs touchés seront prévenus par Yahoo! Tous sont d'ores et déjà
invités à changer de mot de passe. L'entreprise collabore avec les
autorités américaines afin d'enquêter sur cette attaque.
«Les
informations dérobées sont des noms, des emails, des numéros de
téléphone, des dates de naissance, des mots de passe hachés, des
questions de sécurité et leur réponse», précise l'entreprise. «L'enquête
ne prouve pas que des mots de passe en clair ou des informations
bancaires auraient été dérobés.» Piratage de Yahoo : un Canadien parmi les 4 accusés;
L'accusé canadien se nomme Karim Baratov. L'homme de 22 ans détient
la double citoyenneté canadienne et kazakhe. À la demande des autorités
américaines, il a été arrêté mardi à Hamilton par l'escouade des
fugitifs de la police de Toronto avant d'être remis à la GRC.
Selon les autorités américaines, deux des autres accusés
appartiennent au Service fédéral de sécurité de la Fédération de Russie
(FSB), le principal successeur du KGB soviétique.
Ces accusations font suite à une attaque informatique lancée contre Yahoo en 2014.
L'un des pirates allégués, Alexsey Alexseyevich Belan, se serait par
ailleurs servi des informations volées pour s'enrichir en s'emparant de
numéros de cartes de crédit et de cartes-cadeaux. Il est l'un des
pirates informatiques les plus recherchés de la planète.
Même si l'attaque a été perpétrée en 2014, ce n'est qu'en septembre
2016 que Yahoo a commencé à informer au moins 500 millions d'abonnés que
leurs courriels, dates de naissance, réponses aux questions de sécurité
et autres données personnelles avaient possiblement été volés. Trois
mois plus tard, Yahoo a révélé qu'une autre attaque, celle-là perpétrée
en 2013, avait touché un milliard de comptes, dont certains qui ont de nouveau été ciblés en 2014.
Ces failles dans la sécurité de Yahoo ont nui à la perception des
investisseurs lors du rachat de ses activités Internet et de messagerie
par l'opérateur téléphonique Verizon. La vente s'est conclue,
mais Yahoo a dû consentir à offrir une ristourne de 471 millions de
dollars canadiens à l'acheteur sur l'offre initiale de 6,5 milliards de
dollars.Selon des documents de cour citée par le quotidien torontois, le jeune
homme de 22 ans arrêté mardi à Ancaster, en Ontario, offrait ses
services de pirate informatique en ligne(surement dans le Deepweb) lorsqu'il a été recruté par
courriel par un officier des services de sécurité de la Russie.Karim Baratov a été contacté par l'agent Dmitry Dokuchaev à la fin de
2014. Cet agent fait partie d'un groupe de quatre experts en
cybersécurité russes qui ont été arrêtés et accusés de trahison en
Russie, en décembre dernier.Karim Baratov aurait été recruté pour obtenir les codes d'accès de 80
comptes appartenant à des victimes du piratage massif d'un demi-milliard
de comptes Yahoo en 2014.La demande d'extradition formulée par le gouvernement américain permet
également d'apprendre que la Gendarmerie royale du Canada(GRC) a placé sous
surveillance pendant au moins six jours Karim Baratov avant son
arrestation(pas beaucoup pour un problême de 2014).
Usurpation d'identité
Recode affirmait
qu'un fichier, vendu 1800 dollars au marché noir, contenait des
identifiants, des mots de passe facilement déchiffrables et des
informations personnelles telles que les adresses email alternatives et
la date de naissance. Le site Motherboard avait le premier à évoquer ce piratage en août,
parlant alors de 200 millions de comptes compromis, mais Yahoo! ne
s'était pas prononcé alors sur son authenticité. Ces données provenaient
supposément d'un piratage commis en 2012. Yahoo! évoque un vol datant
de fin 2014.
Ce type de piratage, même s'il est ancien, peut
laisser craindre d'importantes répercussions. Yahoo! demeure l'un des
sites les plus visités au monde, notamment grâce à son service de
messagerie électronique. Yahoo! n'obligeant pas à changer de mot de
passe régulièrement, une bonne part des informations contenues dans ce
fichier devraient toujours être valides et permettre de pénétrer dans
les comptes. Les pirates peuvent aussi tenter de s'introduire dans les
comptes Facebook, Gmail ou Outlook des personnes qui utiliseraient le
même mot de passe sur tous les sites.
Ces intrusions permettent
de mener des campagnes de «phishing» en usurpant l'identité de la
victime, de dérober des données de paiement ou d'autres informations
confidentielles. Pour cette raison, il est recommandé de ne pas utiliser
le même mot de passe sur tous les sites et de préférer des combinaisons
longues, plus difficilement déchiffrables.
LinkedIn, Dropbox, Last.fm et MySpace touchés
Au
cours de ces dernières années, plusieurs piratages massifs ont été
confirmés. 2012 fut par exemple une année noire pour la sécurité
informatique et le vol de données. Quelque 117 millions de comptes LinkedIn,
68 millions de mots de passe Dropbox et 43 millions d'identifiants
Last.fm ont ainsi été dérobés cette année-là. En 2013, ce sont 417
millions de comptes MySpace qui ont été compromis. Généralement, les
fichiers sont exploités une première fois par les pirates avant d'être
mis en vente.
Ces révélations interviennent alors que Yahoo! est
engagé dans un processus de revente à l'opérateur téléphonique américain
Verizon, pour 4,8 milliards de dollars. «Les actionnaires ont des
raisons de redoute que cela conduise à une révision du prix de la
transaction», écrit Recode. Les deux groupes ont acté en juillet ce
rachat, qui doit encore être validé par les autorités de régulation.
Neuf
mois après avoir attaqué l’éditeur italien de solutions d’espionnage,
le hacker Phineas Fisher décrit avec minutie comment il a réussi à
exfiltrer plus de 400 gigaoctets de données sensibles. Un travail
d'orfèvre.
Spécialisée dans la vente d’outils de piratage pour
organisations gouvernementales, l’entreprise italienne Hacking Team a
failli totalement sombrer le 6 juillet 2015, lorsqu’un hacker qui se
fait appeler Phineas Fisher (PF) a jeté en pâture sur le web plus de 400
gigaoctets de données sensibles volées dans ses serveurs : e-mails,
factures, enregistrements audio, codes source, etc. Un coup dur pour
cette PME considérée par Reporters sans frontières comme l’une des
principales « sociétés ennemies d’Internet
», étant donné ses clients peu fréquentables (Arabie Saoudite, Soudan,
Russie,…) qui font notamment appel à elle pour espionner des citoyens...
Neuf mois plus tard, l’auteur de ce piratage refait surface et raconte en détails sur Pastebin.com comment il a réussi à arroser l’arroseur. Voici –à titre pédagogique évidemment– un résumé de cet impressionnant fait d’arme.
1 - Toujours discret tu resteras
Avoir
de se pencher sur son opération de piratage, PF fait en sorte de
laisser le moins de traces possibles sur les réseaux. Tout d’abord, il
active le chiffrement de son disque dur. « Si la police débarque pour
saisir ton matériel, cela veut dire que tu as déjà fait beaucoup
d’erreurs, mais c’est quand même mieux », souligne-t-il. Pour se
connecter à Internet, le hacker utilise une machine virtuelle connectée à
Tor. Ce qui lui permet de rester anonyme et de bien séparer l’activité
hacking de sa vie normale.
Enfin, il recommande de ne pas se connecter directement à Tor car « il y a déjà eu des attaques réussies »
sur ce réseau. Mieux vaut donc passer par un réseau Wi-Fi tiers, comme
celui de son voisin. Par ailleurs, le hacker n'a réalisé aucune action
de piratage directement depuis Tor, mais est passé par une
infrastructure tierce constituée d’une cascade de serveurs, histoire de
brouiller les pistes. Ces ordinateurs permettront de lancer l’attaque,
d’envoyer les commandes et de récupérer les données.
2 - Plein d'informations tu collecteras
Comme
toute attaque sérieuse, celle de PF a d’abord commencé par une analyse
méthodique de l’environnement technique et social de l’entreprise :
domaines et adresses IP, serveurs exposés sur Internet, ports ouverts,
sites web, employés, organisation interne, etc. Pour cela, PF il a
utilisé des services basiques tels que Google ou LinkedIn, mais aussi
des outils techniques pour scanner les ports et les plages IP. Cette
analyse – qui n’a rien d’illégale à ce stade – permet d’avoir une idée
plus précise de la surface d’attaque et de développer une stratégie. Au
final, il n’y avait que peu de choses exposées sur Internet : un site
web Joomla, un serveur mail, quelques routeurs, deux appareils VPN et un
appareil anti-spam. Ce n’est pas très étonnant, car Hacking Team est
une entreprise spécialisée en sécurité et donc en théorie très prudente.
3 - Un zeroday tu trouveras
Selon PF, les deux
principaux moyens pour pénétrer un réseau d’entreprise sont d'envoyer un
email piégé (spear phishing) ou… d'acheter sur le dark web un accès interne. « Grâce
aux Russes travailleurs et leurs kits d’exploitation, aux vendeurs de
trafic et aux gestionnaires de botnets, beaucoup d’entreprises comptent
déjà dans leurs réseaux des ordinateurs infectés », souligne le hacker.
Mais
dans ce cas précis, ces deux méthodes n’avaient pas beaucoup de chance
de réussir. Compte tenu de leur métier, les employés de Hacking Team
sont très rodés aux e-mails piégés. Et comme l’entreprise est
relativement petite, il y avait peu de chance de trouver un accès prêt à
l’emploi dans le dark web. PF a donc choisi la méthode hardcore :
trouver un zeroday -autrement dit une faille sur l’une des ressources
exposées sur Internet. Ce qui fut le cas sur l’un des trois appareils
dédiés (VPN ou anti-spam, on ne sait pas). « Trouver un zeroday dans
un dispositif embarqué me semblait être l’option la plus simple, et
après deux semaines de rétroingénierie, j’ai trouvé un moyen d’accès à
distance avec privilège administrateur », explique le hacker.
4 - Une porte dérobée tu créeras
Armé
de son beau zeroday, PF ne s’est jeté bille en tête dans le réseau de
Hacking Team. Il s’est d’abord procuré les logiciels nécessaires lui
permettant d’explorer le réseau cible. Ainsi, il a remplacé le firmware
de l’appareil vulnérable par un micrologiciel de sa confection, en lui
intégrant une porte dérobée et toute une palette d’outils d’analyse. «
La porte dérobée permet de protéger l’exploit [i.e. l’exploitation du
zeroday, ndlr]. En utilisant l’exploit qu’une seule fois, puis en
revenant par la porte dérobée rend plus difficile la détection et la
correction [de la vulnérabilité, ndlr] », explique le hacker. Puis
il a testé son firmware pendant près d’une semaine. Comment ? C’est
simple : en ciblant des équipements similaires dans d’autres
entreprises. Ainsi, le hacker pouvait s’assurer qu’il n’allait pas
rendre le système instable et susciter l’attention des administrateurs.
5 - Administrateur tu deviendras
Une
fois dans la place, PF a exploré le réseau à la recherche
d’identifiants et de mots de passe, ce qui lui permettrait d’accéder à
des ressources plus intéressantes. Coup de bol, il identifie des
équipements de stockage dédiés à la sauvegarde dont l’accès était
complètement ouvert. En analysant des sauvegardes du serveur mail, il
arrive finalement à trouver le mot de passe de l’administrateur du
réseau Windows de Hacking Team. En d’autres termes, il avait désormais
un accès total au réseau bureautique. A partir de là, il commence à
télécharger les e-mails, les fichiers, etc. Au passage, on découvre que
les administrateurs système n’ont pas forcément des mots de passe d’une
grande complexité…
6 - Le Graal tu dénicheras
Se balader dans le réseau
Windows, c’est bien, mais il y a peut-être autre chose. Pour le savoir,
PF espionne les administrateurs système de Hacking Team. Il se connecte à
leurs ordinateurs, prend des copies d’écran, enregistre les frappes de
clavier, etc. Sur l’une des machines, il détecte un dossier chiffré par
Truecrypt. Il attend patiemment que l’utilisateur l’ouvre pour siphonner
le contenu. Bingo ! Il obtient un accès au réseau de développement de
Hacking Team, sur lequel il trouvera tous les codes source des produits
d’espionnage de l’éditeur. Bref, il est désormais dans le Saint des
saint.
Fier de son exploit, le hacker justifie son action par son engagement politique. «
C’est tout ce qu’il faut pour mettre à genoux une entreprise et stopper
leurs enfreintes aux droits de l’Homme. C’est la beauté et l’asymétrie
du hacking : avec 100 heures de travail, une personne peut détruire des
années de travail d’une entreprise qui réalise plusieurs millions de
chiffre d’affaires. Le hacking donne à l’opprimé une chance de se battre
et de gagner », explique le hacker. Interrogé par Motherboard,
celui-ci se définit ouvertement comme un révolutionnaire anarchiste. Il
reconnait aussi que son action était parfaitement criminelle.
Dans une note de blog, le PDG de Hacking Team estime que cette description de l’attaque comporte « des inexactitudes ». Il fustige par ailleurs la presse qui en fait l’écho, dans le seul but de « capter des lecteurs et empêcher la vérité ». Il espère que le hacker sera bientôt derrière les barreaux. Sa société continuera de collaborer avec les forces de l’ordre « pour assurer la sécurité de nous tous ». Source .:
Alors que le bras de fer bat son plein
entre Apple et le FBI - ce dernier souhaitant obliger la firme de
Cupertino à lui laisser un accès à ses terminaux -, voici une preuve, en
vidéo, démontrant à quel point il peut être simple de pirater un
iPhone, et d'accéder aux données tant convoitées.
Si le FBI veut faire fléchir Apple, ce n’est pas pour permettre un
accès qui n’existerait pas – il en existe forcément, Edward Snowden a
d’ailleurs déclaré que l’agence avait déjà les moyens de le faire – mais
pour avoir le droit de le faire, légalement parlant, s’entend.
Accéder à un iPhone n’a rien de très sorcier pour quiconque connaît les rouages de la machine. Adi Sharabani, PDG de Skycure,
société spécialisée en sécurité des appareils mobiles, en a fait la
démonstration sur le smartphone de Katie Roof, journaliste pour TechCrunch. C’est effrayant de simplicité !
Voici donc la vidéo en question : ICI
Ici,le logiciel en question que vous downloader sera un programme de film gratuit, de la cie skycure.net ,voici le lien (https://attack.skycure.net/)(Mais c'est un programme qui va hacker votre iPhone)
“SkycureAssessment Tool” means
Skycure is engaged in development and provision of cybersecurity
solutions for mobile devices and has proprietary rights in a certain
software assessment tool (the “Assessment Tool“)
that shows security gaps in mobile devices and demonstrates an
unauthorized penetration to such devices using such security gaps (the “Purpose“).
The Assessment Tool is accessible through a Skycure web-cloud offering,
from which the aforesaid penetrations may be launched (the “Skycure Cloud“).
Skycurerévolutionne la façon dontles appareils mobilessont protégéspar l'introduction d'une solution qui répondmenaces de sécuritémobilesémergentssans compromettrela vie privée, la convivialité oula viede la batterie. Skycurepermet aux organisations d'embrasser leBYOD(apportezvotre propre appareil) tendance, maisencore fournirune forte protectionet de contrôle.
Skycurea été fondéeen 2012 parAdiSharabanietYairAmit, deuxUnité8200anciens combattants(Agencede sécurité nationaledes Etats-Uniséquivalent), qui possèdentune expériencetechnologique et managérialevasteet éprouvée dansl'industrie de la sécurité. La sociétéest financée parPitangoVenture Capital etMichaelWeider, une figure connuedans le mondedela sécurité des applications, qui agità titre de conseillerproactifau conseil d'administrationde la société.
Évidemment il existe aussi sur le net des logiciels capable d'accéder a votre iPhone en outrepassant votre mot de passe !
Un
passage des conditions d’utilisation des services Microsoft semble
indiquer que la firme peut s’octroyer le droit de bloquer les jeux
piratés sur les machines de ses utilisateurs. Une polémique qui
intervient alors que des questions se posent quant aux données
personnelles que Windows 10 transmet à Redmond.
C’est une toute petite phrase cachée au cœur du « contrat de
services Microsoft » et elle commence à faire débat sur le web, après
avoir été pointée du doigt par le site Alphr. On vous la livre en VF :
«
Nous pouvons vérifier automatiquement la version du logiciel que vous
utilisez afin de pouvoir continuer de vous fournir les Services, et
pouvons télécharger des mises à jour logicielles ou modifications de
configuration sans vous les facturer afin de mettre à jour, d’améliorer
et d’étoffer les Services, y compris celles susceptibles de bloquer
votre accès aux Services ou d’empêcher votre utilisation de jeux
contrefaits ou de terminaux non autorisés. »
Il
n’en fallait pas plus pour que le Web s’emballe : Microsoft
s’octroierait donc le droit d’examiner votre machine pour vérifier si
vous avez piraté des jeux ! En fait, c’est un peu plus compliqué que ça…
Et pas forcément aussi grave que ça en a l’air. Car le contrat pointé du doigt
ne concerne justement que les services Microsoft, pas Windows 10
lui-même. Il couvre notamment Xbox Live, Skype ou Ondredive. Mais ne
permet pas pour autant à Microsoft d’aller fouiller le disque dur de
votre machine à la recherche de jeux « crackés ».
C’est, comme
le note Tom Warren de The Verge, une simple transposition de ce que fait
déjà Redmond sur sa console Xbox depuis longtemps, autrement dit un
moyen d’interdire l’accès à ses services par le biais d’une mise à jour
aux petits malins qui seraient parvenus à faire tourner des copies
pirates de jeux sur leur machine.
Windows 10 est-il trop bavard ?
Cette
affaire connaît un écho certain car Windows 10 est en ce moment au cœur
d’une polémique quant au respect des données personnelles de ses
utilisateurs. Le site Ars Technica a récemment analysé en profondeur
les paquets de données échangés entre une machine sous Windows 10 et
les serveurs de Microsoft. Et il s’avère que l’OS continue d’envoyer des
données à son éditeur même lorsqu’il ne devrait pas le faire (Cortana,
Onedrive et recherche depuis le menu Démarrer coupés, par exemple).
L’immense majorité du trafic analysé par le site ne contenait aucune
donnée personnelle, mais dans certains cas, un numéro d’identification
de la machine est tout de même envoyé à des fins mystérieuses.
Si cela vous ennuie, vous pouvez toujours télécharger DisableWinTracking, un petit logiciel disponible sur Github conçu pour couper complètement le cordon avec Microsoft.
LastPass ça vous dit quelque chose ? Si vous utilisez un gestionnaire
de mots de passe, vous connaissez sans aucun doute (pas l’émission de
Julien Courbet) LastPass. Ce gestionnaire figure parmi les meilleurs du
marché avec Dashlane et 1Password et compte des millions d’utilisateurs à
travers le monde. Aujourd’hui, nous avons une mauvaise nouvelle pour les utilisateurs de LastPass puisque le service a été piraté.
Pour
ceux qui ne sauraient pas ce qu’est un gestionnaire de mots de passe,
il s’agit d’un logiciel qui permet de stocker tous ses mots de passe
dans un coffre virtuel accessible à l’aide d’un seul et unique mot de
passe appelé « mot de passe maître ».
Le problème c’est que dès
lors que le mot de passe maître est piraté, il y a un risque que toutes
les informations sur les autres mots de passe soient récupérés par
les pirates. Même si LastPast a fait l’objet d’une attaque il a tenu à
préciser que les données cryptées n’ont pas été récupérées mais que les informations comme les adresses email, les indices de mots de passe etc. ont été compromises.
Néanmoins, la firme en charge du gestionnaire a demandé à ses utilisateurs de changer leur mot de passe maître dans les plus brefs délais.
Pour les mots de passe contenus dans le coffre virtuel, il n’est pas
obligatoire de tout changer, LastPass précisant qu’ils n’ont pas été
piratés.
C’est
un évènement plutôt malvenu pour un logiciel censé protéger les données
de l’utilisateur. De ce fait, en réaction à cette attaque, LastPass a
mis en place de nouvelles mesures de sécurité visant à éviter que ce
genre de désagrément (ou pire) ne se reproduise.
Ainsi, à partir
de maintenant, si une personne se connecte sur un compte LastPass depuis
un nouvel appareil, son identité sera vérifiée. Et vous, utilisez-vous
LastPass, ou préférez-vous un autre gestionnaire ?
Un
chercheur en sécurité a découvert une campagne de piratage qui a
potentiellement créé des millions de victimes. Parmi les marques ciblées
: Asus, Belkin, D-Link, Linksys, Netgear, Trendnet, Zyxel...
L’insécurité
chronique des routeurs domestiques se rappelle à notre bon souvenir
grâce à Kafeine. Ce chercheur en sécurité vient de mettre la main sur
une vaste opération de piratage, avec à la clé plusieurs millions
d’appareils potentiellement hackés. Parmi eux des routeurs de marque
Asus, Belkin, D-Link, Linksys, Netgear, Trendnet, Zyxel, etc.
Notre spécialiste a découvert le
pot-aux-roses par hasard. En se baladant sur le Toile, il est tombé nez à
nez avec une page web vérolée qui tente de procéder à une attaque dite
de détournement DNS. Comment ça marche ? Une fois la page chargée, un
code Javascript malveillant essaye de se connecter en douce à
l’interface d’administration du routeur, soit en essayant des
identifiants classiques tels que « admin/admin » ou « admin/password »,
soit en exploitant des failles de sécurité.
Dans certains cas, celles-ci datent de
moins trois mois, ce qui devrait assurer un taux de compromission plutôt
élevé. En effet, ces appareils ne sont que rarement mis à jour par les
utilisateurs. Or, selon Kafeine, le pirate enregistre un volume de
visites plutôt élevé, autour de 250.000 clics par jour, parfois jusqu’à 1
millions de clics ! Ce qui laisse présager de l’ampleur du désastre.
La suite est
classique : une fois dans la place, le malware modifie les adresses des
serveurs DNS du routeur, qui vont traduire les URL en adresses IP. Ce
qui permettra au pirate d’amener l’utilisateur sur de faux sites
(bancaires par exemple), sans que celui ne remarque quoi que ce soit.
Morale de l’histoire : il faut régulièrement changer le mot de passe
d’accès au routeur et toujours veiller à disposer d’un firmware à jour.
Société : Selon une étude menée par
le Centre Commun de Recherche de l’UE, le blocage de sites distribuant
illégalement des contenus relevant du droit d’auteurs n’aurait pas
l’effet escompté et ne suffirait pas à pousser les utilisateurs vers
l’offre légale.
Cela sert-il à quelque chose de bloquer les sites de streaming illégaux ? À l'heure où les fermetures et blocages de sites se multiplient, c’est la question que se sont posés plusieurs chercheurs du Centre Commun de Recherche de l’Union européenne,
qui ont étudié le blocage d’un des principaux sites allemands de
streaming Kino.to, fermé par les autorités en 2011. Les chercheurs ont
pu étudier les comportements de ses utilisateurs dans les semaines
suivant la fermeture du service, et ont cherché à savoir si l’arrêt du
service avait poussé les utilisateurs à se tourner vers des plateformes
légales.
Le site Kino.to était en 2011 le principal site de streaming
allemand, avant sa fermeture par les autorités. En s’appuyant sur les
documents du procès, les chercheurs évaluent le revenu publicitaire
mensuel à environ 150 000.dollars et gênerait environ 7 millions de
clics par jour. L’échantillon retenu pour l’étude se compose de 5000
internautes allemands, dont les informations de navigation ont été
anonymisées puis étudiées par les auteurs de l’étude.
Bloquer ne suffit pas
Sans surprise, tout ne se déroule pas comme prévu et le blocage
d’un site ne transforme pas automatiquement ses utilisateurs en fervents
adeptes de l’offre légale. « On constate ainsi que la fermeture de
Kino.to a affecté de manière globale le comportement des consommateurs,
tout particulièrement ceux qui utilisaient principalement Kino.to.
Mais on observe également une recrudescence du taux de fréquentation
des sites de streaming illégal cinq semaines après la fermeture de
Kino.to » constatent les chercheurs.
Le
graphique fourni explique bien cette tendance : sur l’ensemble du panel
observé, la fermeture de kino.to, identifié comme le principal site de
streaming allemand par les auteurs de l’étude, a provoqué un fort
ralentissement de la consommation de contenus piratés en streaming, mais
celui-ci se résorbe après cinq semaines pour revenir quasiment à
l’identique.
Les vases ne communiquent pas vraiment
La fermeture du site n’a pas non plus provoqué un afflux
monstrueux d’utilisateurs vers l’offre légale disponible au moment de la
fermeture : les chercheurs expliquent avoir constaté une hausse de
fréquentation de 2,5% en direction des sites de VOD légaux provenant
d’anciens utilisateurs de Kino.to. L’étude remarque néanmoins que
celle-ci est particulièrement sensible chez les plus gros utilisateurs
de Kino.to, alors que les utilisateurs occasionnels n’ont pas changé
leurs habitudes suite à la fermeture.
Le principal effet de cette fermeture constaté par les chercheurs
est d’avoir poussé les utilisateurs à se rabattre vers les offres
illégales alternatives à Kino.to, qui se repartissent entre plusieurs
sites de moindre envergure, mais qui ont profité de la fermeture du
principal site du secteur. « Si nous prenons en compte les moyens mis en
œuvre pour la fermeture de Kino.to, il n’est pas évident que ce blocage
ait eu un effet positif » notent ainsi les chercheurs, mais ils
rappellent également les biais qui viennent tempérer cette conclusion :
l’absence d’une offre légale consistante à l’époque n’a pas encouragé
les utilisateurs à perdre leurs mauvaises habitudes.
La semaine dernière, Sony Pictures a été victime d'un piratage géant.
On savait déjà que des documents financiers faisaient partie des 11.000
Go dérobés, mais ce n'est visiblement pas tout: cinq films de Sony ont
fait leur apparition sur les réseaux P2P deux jours plus tard, dont Fury, avec Brad Pitt, et le remake d'Annie, avec Cameron Diaz, attendu au cinéma le 19 décembre aux Etats-Unis et le 25 février en France.
Le studio n'a pas confirmé l'origine de la fuite mais précise au magazine Variety que «le vol de contenus de Sony Pictures Entertainment est une question pénale» et qu'il «collabore avec les autorités».
Le groupe de hackers GOP, pour «Guardians of Peace», n'avait jamais fait parler de lui jusqu'à présent. Selon une source du site Recode, la piste nord-coréenne est explorée par les autorités, alors que Pyongyang aurait pu réagir à la sortie du film de Sony The Interview, dans lequel James Franco et Seth Rogen tentent d'assassiner Kim Jong-Un.
Des
chercheurs britanniques ont mis le doigt sur une vulnérabilité dans le
protocole de sécurité des cartes bancaires qui permet de siphonner des
comptes à grande échelle, ni vu ni connu.
La carte bancaire NFC permet de payer sans contact.
Imaginez
un pirate qui se balade dans le métro avec un smartphone Android dans
la main. A chaque fois que l’appareil se trouve à une distance d’un
centimètre d’une carte bancaire NFC - ce qui est relativement aisé aux
heures de pointe - il valide un paiement bancaire pouvant aller
jusqu’à... 999.999,99 euros ! Impossible ? Malheureusement non, comme
viennent de le prouver cinq chercheurs en sécurité de l’université
britannique de Newcastle.
En analysant le protocole EMV, qui est
le standard international de sécurité des cartes de paiement, ces
experts sont tombés sur une importante faille qui permet de
court-circuiter le plafond défini pour les transactions sans contact.
Celui-ci est de 20 livres anglaises au Royaume-Uni et de 20 euros en
France. Pour dépasser cette limite, il suffit de faire une transaction
dans une monnaie autre que celle de la carte en question. Au
Royaume-Uni, les chercheurs ont pu valider leur attaque sur des cartes
de crédit Visa. Le montant maximum qu’ils ont pu vérifier était de
999.999,99 euros ou 999.999,99 dollars.
Génération d'une transaction frauduleuse.
Techniquement,
l’attaque n’est pas si compliquée. Les chercheurs ont développé une
appli qui simule un terminal de paiement et l’ont installée sur un
Google Nexus 5. Quand le smartphone arrive à proximité d’une carte NFC,
elle génère automatiquement une transaction sans que le porteur ne s’en
rende compte. Cela est possible car les transactions sans contact ne
nécessitent pas de code PIN pour être validées. Cette transaction est
certes créée, mais pas encore envoyée à la banque. Elle est d’abord
stockée dans le terminal. Là encore, c’est possible car le standard EMV
autorise les transactions en mode offline. L’avantage, c’est
que le pirate peut ainsi collecter tranquillement des transactions
auprès de ses victimes et focaliser sur la récupération des fonds dans
un second temps.
En effet, les chercheurs ont montré que
l’on pouvait ensuite décharger ces transactions et les envoyer sur
n’importe quel système de paiement d’un marchand affilié au réseau EMV.
Il suffit pour cela d’ajouter dans les requêtes de transaction les
données relatives à ce marchand. Cela est possible car, dans le standard
EMV, les données du marchand ne font pas partie du sceau de validation
cryptographique créée par la carte bancaire. Le pirate peut donc générer
des transactions puis, dans un second temps, choisir le marchand auprès
de qui il souhaite encaisser le pactole. L’avantage -si l’on peut dire-
de ce procédé : il permet une fraude à grande échelle. Rien n’empêche, à
priori, un groupe de cybermalfrats de pirater des cartes dans de
multiples endroits sur une durée plus ou moins longue.
Il serait intéressant
de savoir si cette attaque fonctionne également sur les cartes Visa
dans d’autres pays, comme la France par exemple. Malheureusement, les
chercheurs se sont limités aux cartes bancaires britanniques. Il faut
souligner, par ailleurs, que les cartes Mastercard ne sont pas
vulnérables à cette attaque, car elles n’autorisent pas le mode offline
pour les transactions en monnaie étrangère. Preuve qu’il existe donc des
solutions techniques à cette faille.
Moins de 24
heures après la publication du nouveau système d’exploitation, deux
hackers ont montré comment y créer des rootkits, c’est-à-dire des
malware furtifs. Au final, ce n’est pas beaucoup plus dur que sur
Mavericks.
Jeudi
soir, 16 octobre, Apple a publié la version 10.10 de son système
d’exploitation Mac OS X, dit « Yosemite ». Les hackers n’ont pas attendu
longtemps pour publier, à leur tour, leurs premières découvertes sur ce
logiciel. Le jour d’après, à l’occasion de la conférence Black Hat
Europe 2014, les chercheurs en sécurité Ming-chieh Pan et Sung-ting Tsai
ont montré comment créer des « rootkit » dans cette mouture. Les
rootkits sont des malwares qui permettent de dissimuler certaines
activités sur un ordinateur, par exemple en faisant en sorte qu’un
processus applicatif n’apparaisse plus dans les outils d’administration,
ni dans les logs. Les rootkits sont particulièrement utiles pour
maintenir des accès non autorisés et faire de l’espionnage.
Durant leur présentation, les deux
chercheurs ont passé en revue les techniques qui prévalaient jusqu’alors
dans la création de rootkits pour Mac OS X, en particulier les travaux du hacker « fG! »
(qui sont très techniques). Ils ont ensuite montré en temps réel
comment cacher la présence d’un processus sur Mac OS X Yosemite. Leur
conclusion: ce n’est pas beaucoup plus compliqué que sur Mavericks. Et
toc!
Regardez bien le processus de la "Calculatrice"...
Mais les deux experts
sont sympas. Ils ont promis qu’il allait publier prochainement un outil
qui permettra de détecter leur nouveau type de rootkit, baptisé «
System Virginity Verifier ». En somme, ils ont développé en même temps
le poison et l’antidote. Au passage, ils montrent que Mac OS X n’est pas
un produit miracle comme veulent parfois le croire les fans invétérés
de la pomme. C’est, au final, un système comme un autre.
Hackerne signifie pas «utiliser les outilsde piratagequi a fait parprofessionneloupard'autres hackersanonymes"si vous utilisezdes outilsde piratagevousappelé"cracker" ou "Noob"dans le monde despirates.
Devenirun hackern'est pas un travailfacile,il faut beaucoupd'intérêt,passionettravail acharné.si vousêtes intéressé parle piratageoudansle cyber-mondealors ce n'est pastâche facilepour vous de devenirpirate.
Alors laissez-nousélaborer les étapespour devenirpirate
En savoir plus surles ordinateursde base (en utilisant le systèmed'exploitation,et d'autres choses)
Apprenezen utilisant le systèmed'exploitation,fixantchaqueproblème que vous rencontrezdansvotre PC,alors vous devriez utiliserplusieurs systèmes d'exploitationcommeLinuxou autres,
En savoir plus surles conceptsde réseautage
En savoir plus surles conceptsde réseautage,de nouvelles conditionsde mise en réseau(protocol,adresseip,http,ftpetplus)
En savoir plus sur clangage de programmation
clangage de programmation,est la première languea prisla plupart du tempspourapprendre la programmation
Apprenez le langage script PHP
Commeparleshackers professionnels,phpest beaucoup plusutile pourle piratage depiratagesweb,phpestutile pour le développementWeb
Essayez de comprendrecomment les outilsde piratagefonctionne
Vouspouvez utiliser des outilsde piratagequi sont faitespar des experts,mais dans le butde s'occuper de leurtravail,la logique de programmationetplus, mais vousne pouvez pas utiliserde piraterdes trucs
Découvrez les nouveauxmalwares
Chaque semaine,de nouveaux logiciels malveillantsintroduiredans lecyber-mondequi sont faitespardes chapeaux noirs(black hat),pourobtenirla gloire,gagner de l'argentouplus.En savoir plus surles logiciels malveillantsparle piratagedes sites d'informations
Faire des recherches sureux, en particuliersur leurtravail?
Apprenez quelques trucs des chapeaux blanc(white hats)piratage
C'est votre choixsi vous voulezêtreun chapeau noirou un chapeaublanc,tandis quedes chapeaux blancssont connuscomme de bonsgars,faire un peu deblancde piratage, ilvous aidera àacquérir de l'expériencedans le piratage,si vous voulezêtreun chapeau blanc,alors vous devriezparticiper à des programmesde primessur les bugs
Essayez de fairedes outilsavecpython
Pythonest un langage de programmationlargement utilisé, vous pouvez utiliserpythonpour faire vos propresoutils de piratage,ouautre langage de programmationdans lequelvous êtes le meilleur,mais le langagepythonpréféréeutilisée par les piratespour fabriquer des outilsde piratage
Étape la plus importanteest sécurisévous avant d'être piraté
Avant de commencerle piratage danstout ça,ilest important de vousassurerd'être prisouêtre piraté
Passer beaucoup detemps avecle piratage et laprogrammation
Le temps que vouspassez avecle piratage oudans la programmation, plusvous devenez plus fort
Donc, passerau moins 4 à5 heures par jour,
REF.:Protégez votrePCet les appareils mobilescontre les piratesetles gouvernements etsurfer de manière anonyme
Le rapport Ponemon offre un aperçu intéressant :
SQL est martelé par les méchants . Pourquoi est-ce , et c'est là tout ce qui peut être fait pour remédier à la situation ? Une récente étude du Ponemon sur les injections SQL et les solutions possibles sont discutés.
SQL a été autour depuis les années 1970 , donc on assumerait tous les bugs de la vulnérabilité du language ont été éliminés.Pourtant, il existe encore de nombreux rapports d'attaquants pouvant tirer parti des faiblesses dans SQL à enfreindre systématiquement les entreprises de grande envergure .
On m'a dit que c'est la nature de la bête . Chaque fois que les gens sont autorisés à accéder aux informations stockées sur les serveurs backend,le problème est juste une requête plus loin .Méchants utilisent une injection SQL pour libérer les données du serveur hébergeant la base de données sous attaque .
En quoi consiste exactement une attaque par injection SQL ?
Selon l'Institut Ponemon , injection SQL est utilisée pour :
" Applications pilotées par les données d'attaque : dans les instructions SQL malveillants sont insérés dans un champ de saisie pour l'exécution (par exemple pour vider le contenu de base de données à l'attaquant ) injections SQL exploitent les failles de sécurité dans le logiciel d'une application injection SQL est plus communément connu comme un . . vecteur d'attaque par des sites grand public , mais peut être utilisée pour attaquer des bases de données SQL dans une variété de façons . "
Pourquoi les attaques par injection SQL sont encore répandue ?
Le fait que les attaques par injection SQL ont été découverts il y a plus de 15 ans par Jeff Forristal et sont encore exécuté par beaucoup de gens frustrés .
D'autres applications vulnérables sont finalement fixés , mais pas SQL . Le projet Open Web Application Security ( OWASP ) propose cette explication :
«Les attaques par injection SQL sont malheureusement très commun , et cela est dû à deux facteurs : . La prévalence des vulnérabilités d'injection SQL et l'attractivité de la cible ( bases de données contenant les données intéressantes / critiques pour l'application ) "
La prévalence de la vulnérabilité et l'apparente incapacité de faire quoi que ce soit à ce sujet le Dr Larry Ponemon perplexe , président et fondateur de l'Institut Ponemon , un organisme de recherche indépendant . Dr Ponemon a décidé de faire ce qu'il fait le mieux : la recherche du problème .
Avec le parrainage de DB Networks, l'Institut Ponemon a recueilli les réponses de près de 600 membres du personnel de TI et les professionnels de la sécurité pour tenter de comprendre comment les organisations réagissent aux menaces d'injection SQL et la prise de conscience des participants sur la façon de gérer le risque - les choses simplement , pourquoi les attaques par injection SQL se produisent encore .
De l'enquête les réponses des répondants , l'Institut Ponemon dérivé résultats intéressants qu'il a publié dans l'étude SQL Injection de la menace .
Méthodologie de l'enquête
Avant d'arriver à ce découvert Ponemon , je vais partager la façon dont il a mis en place l'enquête , en particulier la sélection des participants :
" Un cadre d'échantillonnage de 16520 a connu TI et praticiens de la sécurité situées aux États-Unis ont été sélectionnés comme participants à cette enquête. Rendement total s'élève à 701 . Dépistage et les vérifications de fiabilité requis la suppression de 106 enquêtes . L'échantillon final était composé de 595 enquêtes . "
Le nombre d'organisations attaquées
Une conférence téléphonique a eu lieu avec le Dr Ponemon et Michael Sabo , vice- président du marketing pour DB Networks, pour discuter des résultats . L' ampleur du problème a fait surface lors de l'examen des réponses des répondants aux questions suivantes :
Au cours des 12 derniers mois , votre entreprise at- expérience une ou plusieurs attaques réussies par injection SQL ?
Si oui , combien de temps at-il fallu pour détecter l'attaque ?
Si oui , combien de temps at-il fallu pour contenir l'attaque ?
Soixante- cinq pour cent des organisations représentées dans cette étude a connu une attaque par injection SQL qui a évité avec succès leurs défenses périmétriques dans les 12 derniers mois . Vingt et un pour cent ( le plus grand groupe en termes de pourcentage ) a déclaré qu'il a pris six mois pour détecter l'attaque , et vingt- un pour cent ( le plus grand groupe en termes de pourcentage ) dit qu'il a fallu un mois pour contenir l'attaque .
Pourquoi le taux de réussite ?
La prochaine série de questions a essayé de déchiffrer pourquoi tant d'attaques ont réussi , et pourquoi il a fallu tant de temps pour détecter et contenir les attaques :
Comment êtes-vous familier avec le terme comme arme d'attaque par injection SQL ?
Combien de fois ne scanne votre entreprise pour les bases de données actives ?
Est-ce que votre test de l'entreprise et de valider des logiciels tiers afin de s'assurer qu'elle n'est pas vulnérable à des attaques par injection SQL ?
Quarante- huit pour cent des répondants n'étaient pas familiers avec le terme comme arme attaques par injection SQL . Comme pour la numérisation de bases de données actives , vingt -cinq pour cent le faire à intervalles irréguliers , et vingt-deux pour cent ne recherche pas du tout . Cinquante -deux pour cent des répondants ne va pas tester ou valider un logiciel tiers pour leur sensibilité à attaques par injection SQL .
Essayer d'identifier les faiblesses
Ensuite, les participants ont été invités à évaluer les déclarations suivantes .
La question se référant au BYOD semblait hors de propos. Pour expliquer , Sabo mentionné attaques par injection SQL via un PC a commencé avec le navigateur Web , dont il ne reste que quelques versions et relativement facile à obtenir . Considérant que, BYOD , le plus souvent chaque application se connecte à un serveur SQL , ce qui rend presque impossible de protéger les appareils et les données , et d'expliquer pourquoi 56 pour cent des répondants sont préoccupés par BYOD .
les conclusions
Comme la plupart des enquêtes , l'étude SQL Injection de la menace fournit les informations , mais pas de conclusions . Ponemon et Sabo ont été invités à spéculer sur les conclusions du rapport d'enquête . Tous deux centrés sur la façon dont le maillon faible de SQL est la requête , et que la garantie de toutes les requêtes font ce qu'ils sont censés et rien de plus est une tâche difficile .
Sabo a également mentionné que , jusqu'à récemment , il fallait un haut niveau d'expertise pour construire une requête illicite . Maintenant, l'Internet est inondé avec des outils qui permettent aux individus inexpérimentés à obscurcir les requêtes malveillantes , ce qui rend facile d'être un mauvais gars(Pirate/Hacker) , et encore plus difficile pour les mesures de sécurité SQL pour détecter les requêtes malveillantes.
" Le processus commence par l'apprentissage automatique et la modélisation du comportement de génération de SQL correcte de l'application. L'IDS de base utilise alors une suite de procédures de tester et d'évaluer chaque instruction SQL sur le modèle de comportement appris. Logique floue est appliquée pour déterminer la menace globale de chaque instruction SQL . "
Scepticisme sur les solutions est justifiée sur la base du passé de SQL . Mais , Joe McCray , un consultant indépendant en sécurité et vétéran Pen testeur, dans cette vidéo YouTube, a expliqué que la réponse de DB réseau à injection SQL bloqué toutes les attaques qu'il a essayé :
" La façon dont le produit fonctionne est unique . Le suivi en temps réel et la détection basée sur les anomalies - était quelque chose que je n'avais pas vu dans cet espace de l'application. Elle a été en mesure de montrer à tous les attentats que je tentais , même quelques trucs très sophistiqués que j'utilise " .
Plusieurs sites proposent des outils d’analyse gratuits pour savoir si un service en ligne est correctement sécurisé vis-à-vis de l'inquiétante faille OpenSSL. A consulter si vous êtes du genre anxieux.Mais vous auriez dû paniquer ,il y a deux ans ,gagne de zoufffe!
C'est une question extrêmement grave , qui touche quelque 500 000 serveurs , selon Netcraft , une firme de recherche sur Internet . Voici ce que vous pouvez faire pour vous assurer que votre information est protégée , selon les experts de sécurité contactés par CNET :Gardez un oeil sur les états financiers pour les prochains jours . Parce que les attaquants peuvent accéder à la mémoire d'un serveur d'information de carte de crédit , il ne serait pas mal d'être à l'affût des frais inconnus sur vos relevés bancaires .La réponse naturelle serait de vouloir changer les mots de passe immédiatement, mais les experts en sécurité suggérer attendre la confirmation d'un correctif , car outre l'activité sur un site vulnérable pourrait exacerber le problème . Même après avoir suivi ces lignes directrices , il ya encore du degré de risque en surfant sur le Web à la suite de l'insecte . Heartbleed dit même d'affecter les cookies du navigateur , qui permettent de suivre l'activité des utilisateurs sur un site , de sorte que même la visite d'un site vulnérable sans se connecter pourrait être risqué .
Révélée hier par un groupe de chercheurs en sécurité, l’énorme faille « Heartbleed » a créé un véritable branle-bas de combat parmi les administrateurs système, pour patcher au plus vite leurs serveurs. Car, évidemment, personne n’a envie d’être épinglé sur Twitter pour avoir des services en ligne mal sécurisés. C’est d’ailleurs ce qui est arrivé à Yahoo, qui s’est fait hacker en beauté par Fox-IT, une société spécialisée en cybersécurité. Preuve, d'ailleurs, que l'exploitation de cette faille n'est pas si compliquée. Depuis, Yahoo a mis à jour ses serveurs.
Pour savoir si les services en ligne que vous utilisez sont bien sécurisés, c’est simple : il suffit de faire le test. Plusieurs développeurs ont créé des analyseurs protocolaires taillés sur mesure pour détecter une éventuelle vulnérabilité. L’italien Filippo Valsorda a créé le pagefilippo.io/Heartbleed. Il suffit de rentrer une URL pour savoir si le serveur associé est vulnérable ou non. La société lituanienne Possible a également créé un outil d’analyse (possible.lv/tools/hb/). Il est légèrement plus complet quant au bilan de vulnérabilité. Enfin, la société française Qualys a également intégré un test de vulnérabilité Heartbeat dans son outil d’analyse SSL Server Test. Celui-ci fait un check-up complet de la sécurité SSL d’un site web.
Les géants du web - Google, Facebook, Twitter, Amazon... - sont tous protégés. Le web français a également bien réagi. Nous avons testé toute une série de sites français dans le domaine bancaire, de l’e-commerce ou de la messagerie. Tous ont été patchés. Bravo. Certains sites Web qui semblent avoir été touchés inclus Yahoo et OKCupid.Imgur , le site de partage de photos fréquentées par les utilisateurs de Reddit aussi.
Un avis de Cisco publié jeudi la liste de 11 produits et services que les deux vulnérables à la faille , ainsi que plus de 60 autres considérés comme « victime» que l'enquête de la faille continuer . La plupart des produits de la liste concernent des produits de collaboration de Cisco tels que les téléphones IP et les serveurs de communication . Les services de messagerie réputés vulnérables - enregistré enveloppe service de Cisco ( CRES ) et Webex Messenger Service - ont déjà été patché , a indiqué la compagnie .Oui,car le 7 avril 2014, la société de sécurité CODENOMICON Defensics découvre la très importante faille Heartbleed2,3 qu'elle dévoile à travers le site dédié2. La faille permettrait de récupérer le contenu de la mémoire du serveur, entre autre des messages sécurisés (par exemple des transactions bancaires), mais aussi des clés de chiffrementSSL primaires et secondaires elles-mêmes, en ne laissant aucune trace numérique4. Les certificats de sécurité seraient aussi mis en danger, puisque des pirates pourraient les intercepter et s'en servir même après que les sites aient réparé la faille5. De nombreux sites internet grand public, entre autres Wikipédia, Yahoo! et Flickr, sont affectés et recommandent à leurs utilisateurs de ne pas se connecter à leurs services le temps que des mises à jours soient effectuées6.
Vous pouvez rechercher des applications de cloud computing d'entreprise spécifiques de l'index de Netskope qui restent vulnérables ici .
Etes-vous vulnérable ?
Beaucoup de petits sites web sont vulnérables!
Plusieurs sites Internet proposent de saisir l’url du site que vous souhaitez vérifier afin de vous indiquer s’ils sont vulnérables ou non.
Nous attirons toutefois votre attention sur le fait qu’il est important de ne pas tester la sécurité de vos sites par des outils en ligne non maitrisés (aucune garantie ne peut être faite sur les données récoltées). C’est la raison pour laquelle Lexsi propose un outil de test adapté dans le cadre de service de gestion des vulnérabilités Argos.
Recommandations
Il est recommandé d’installer la dernière version en date, c’est-à-dire OpenSSL1.0.1g. Si cela n’est pas possible alors une solution alternative est de recompiler OpenSSL sans l’extension heartbeat en utilisant l’option OPENSSL_NO_HEARTBEATS.
De plus, le changement des données d’authentification HTTP (Basic / Digest) est vivement conseillé ainsi que le changement des mots de passe des comptes applicatifs.
Enfin, il est également recommandé de régénérer tous les certificats par précaution.
Note : Les plateformes telles que Google, Facebook ou encore Twitter ne semblent pas affectées par cette vulnérabilité à l’inverse de Yahoo qui était vulnérable le mardi 8 Avril 2014 (corrigé le lendemain). Certains sites comme Paypal, Amazon ou Yahoo ont par ailleurs décidé d’expliquer à leurs utilisateurs les contremesures déployées pour lutter contre Heartbleed, là ou d’autres sites tels que CloudFlare ou Tumblr ont simplement signalés avoir patché OpenSSL. Quoique Revenu Canada a fermé son site internet(ah oui,.......comme la dernière faille précédente,non corrigée),Strike deux,............. !$!
Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID) Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités. Le 01 Mars 2014: Le spécialiste en cybersécurité Hold Security affirme avoir découvert sur divers marchés noirs en ligne un stock de 360 millions d’identifiants obtenues suite à plusieurs cyberattaques qui n’auraient pas encore été rendues publiques.
Comptes en banques, réseaux d'entreprises visés ?Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales. REF.:
Au Royaume-Uni, les données de 1,5 million d'usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed. Le 14-04-2014: Lundi, Revenu Canada a rapporté que les numéros d'assurance sociale d'environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed. Ce dernier affirme qu'en plus des données personnelles qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes». «Dans le pire des scénarios, les numéros d'assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n'ont pas nécessairement eu suffisamment d'information pour faire du vol d'identité», a mentionné le spécialiste. En plus des données personnelles des contribuables qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes», a mentionné le commissaire.