Les Hackers prouvent qu'il est possible de contourner l'authentification à deux facteurs

Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer.Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l'introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L'authentification à deux facteurs (2FA) est considérée comme un moyen d'améliorer considérablement la sécurité, mais il s'avère que la contournement est assez simple.Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Dans la vidéo , il montre à quel point il est facile de saisir les détails d'un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui voler ses identifiants de connexion et son accès au site. L'outil Evilginx que Kevin a utilisé pour l'aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.L'attaque est simple. Il nécessite un e-mail qui semble "correct" pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé. Dans l'exemple ci-dessus, l'email provient en fait de llnked.com plutôt que LinkedIn.com.Si vous cliquez sur le bouton "Intéressé" dans l'e-mail, l'internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C'est un autre point auquel un utilisateur suspect va s'arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.en relation
 

   
 


    Authentification à deux facteurs: qui l'a et comment l'organiser;Pendant ce processus, il est possible de voler le nom d'utilisateur, le mot de passe et le cookie de session pour le compte LinkedIn. À ce stade, le nom d'utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L'accès est alors accordé.Ce que Mitnick essaie de montrer ici est, même avec 2FA, l'utilisateur est le maillon faible. S'ils ne prennent pas le temps de vérifier où ils entrent leurs informations sécurisées, aucune sécurité dépendant de l'utilisateur, aussi forte soit-elle, ne fonctionnera.

REF.:

Dans un précédent article, nous avons vu comment vérifier si un port local était ouvert sur Windows.
Ce nouveau article vous explique comment vérifier si un port distant est ouvert ou fermé.
Cela permet de savoir si le service est en cours de fonctionnement ou si la connexion est filtrée.

Comment vérifier si port distant est ouvert sur Windows.

Table des matières [masquer]

• 1 Comment vérifier si port distant est ouvert sur Windows
  • 1.1 telnet
  • 1.2 nmap

Comment vérifier si port distant est ouvert sur Windows

Pour se faire, il faut utilser des outils qui permettent d’effectuer des scans de ports, plus d’informations : Scan de ports réseaux ou balayage de ports
Pour pouvoir tester si un port distant est ouvert, il faut tenter une connexion à ce dernier.
Selon le résultat retourné, on peut savoir si une réponse a été faite par l’hôte distante.
La réponse est positive, si le port est ouvert, négative si le port est fermé.
Si aucune réponse n’est donnée, il est possible qu’un pare-feu bloque la connexion.

telnet

telnet est un outil de communication ancien qui peut permettre de déterminer si un port est ouvert selon la réponse.
La communication se fait en TCP, donc avec telnet, il n’est pas possible de déterminer si un port distant en UDP est ouvert.
Le client telnet n’est pas installé par défaut dans Windows, il faut installer ce dernier, pour cela :

• Rendez-vous sur le Panneau de configuration de Windows > Programmes et fonctionnalités.
• A gauche, cliquez sur Activer ou désactiver des fonctionnalités de Windows.
• Cochez Client telnet dans la liste.
• Cliquez sur OK et laissez l’installation se faire.

Le client telnet de Windows fonctionne en ligne de commandes, il faut donc ouvrir une invite de commandes.
Vous pouvez suivre la page : L’ invite de commandes de Windows
La syntaxte telnet est de la forme

telnet  

Par exemple pour vérifier la connexion à un site internet, soit donc le port distant 80, vous pouvez saisir :

telnet www.malekal.com 80

Si la connexion se fait, vous aurez alors un écran noir, en saisissant n’importe quoi, le serveur WEB vous retourne une erreur 400 Bad Request.
Cela prouve que la connexion avec le serveur WEB se fait bien, le port distant 80 est bien ouvert à l’adresse www.malekal.com

Dans le cas où le port est fermé ou inaccessible, par exemple 81, on obtient une erreur : impossible d’ouvrir une connexion à l’hôte, le port xx : Echec de la connexion.

nmap

nmap est un scanneur de ports, ce dernier est dédié à la découverte d’hôte et état des ports.
Avec nmap vous pouvez déterminer plus facilement si un port distant est ouvert, fermé ou filtré.
La page de téléchargement pour nmap pour Windows : https://nmap.org/download.html
Voici la syntaxe pour vérifier si un port en TCP est ouvert :

nmap -p  -v 

Le paramètre -p peut prendre un intervalle de ports, si vous souhaitez en tester plusieurs. Exemple : -p 1-1000
Ainsi pour vérifier si le port 80 est ouvert sur nmap, il faut utiliser la commande suivante :

nmap -p 80 -v www.google.fr

Autres exemples avec un intervalles de ports distants à tester.
Closed signifie que le port est fermé.

Enfin pour tester un port distant en UDP, il faut utiliser le paramètre -sU :

nmap -sU -p 53 -v 1.1.1.1

REF.:

Double authentification : pourquoi il faut s’y mettre et comment

Le mot de passe est une technique archaïque qu’il faudrait supprimer, car bien trop vulnérable. En attendant d’avoir une nouvelle technologie à disposition, la meilleure solution est d’activer un second facteur d’authentification.

Si vous passez la moitié de votre vie sur Internet, certains vous l’auront peut-être déjà dit, mais il faut A-B-S-O-L-U-M-E-N-T passer à la double authentification, cette technique qui consiste à valider un mot de passe par exemple par l’envoi d’un code par SMS ou par une clé de sécurité. Pourquoi ? Parce que de nos jours, un mot de passe n’est plus suffisant pour sécuriser l’accès à un service en ligne.
Les pirates ont des dizaines de techniques à leur disposition pour pénétrer dans vos comptes personnels. Ils peuvent vous envoyer des faux emails pour vous inciter à saisir vos identifiants dans de faux formulaires. Ils peuvent aussi tenter de les intercepter quand vous êtes connectés au travers d’un hotspot Wi-Fi public mal sécurisé. Ou alors, ils vont peut-être vous envoyer un cheval de Troie planqué dans une application Android.

Fuites de données à gogo

Les pirates peuvent aussi voler votre mot de passe directement dans les serveurs mal protégés de votre fournisseur de service. Les utilisateurs de Yahoo le savent bien. L’année dernière, le portail a révélé qu’il s’est fait subtiliser l’ensemble des 3 milliards de comptes qu’il gérait en 2013. Et il suffit de consulter le site haveibeenpwned.com pour constater que le vol d’identifiants est devenu une pratique courante. Le site référence presque 5 milliards d’identifiants volés sur 277 sites, celui de Yahoo n’étant pas compris. Ça donne le vertige.

Cette faiblesse intrinsèque du mot de passe est bien connue. Les industriels vont peut-être réussir un jour à remplacer cette méthode d’authentification archaïque. La technologie FIDO2, qui a récemment obtenu la consécration du W3C, est un candidat crédible. Mais son adoption risque de prendre encore du temps. En attendant, la seule solution pour ne pas se retrouver dans les griffes des pirates, c’est la double authentification. En effet, même si votre mot de passe tombe entre leurs mains, il ne leur servira à rien car il n’est pas suffisant pour se connecter.
Certains vous diront probablement que la double authentification est compliquée et pas très pratique. C’est vrai, car utiliser un second facteur ralentit nécessairement le processus de connexion. Mais ce que l’on perd en confort, on le gagne largement en sécurité. Par ailleurs, vous n’êtes pas obligé d’avoir la double authentification du sol au plafond. Vous pouvez vous contenter de la mettre en œuvre pour les services les plus critiques.

La messagerie, le cloud et les réseaux sociaux en priorité

Les premiers comptes à protéger sont les comptes email qui sont généralement utilisés en dernier recours pour réinitialiser les mots de passe sur vos autres services. Un pirate qui arrive à compromettre un compte email peut, du coup, accéder à d’autres ressources.  Parmi les comptes qu’il faut également protéger en priorité figurent les comptes de réseaux sociaux et les comptes cloud, pour éviter respectivement l’usurpation d’identité et la fuite de données. Enfin, il serait également bien d’activer la double authentification pour les services bancaires en ligne, quand cela est possible.
Mais alors comment faire ? Cela dépend du fournisseur, car c’est à lui de rendre son service interopérable avec les différentes solutions du marché. Un bon conseil : si votre fournisseur de messagerie ne propose pas ce type d’option, allez voir ailleurs. Les grandes marques du web, de leur côté, proposent toutes une ou plusieurs méthodes de double authentification. L’une des plus simples à mettre en œuvre est celle du code à usage unique. A chaque connexion, l’utilisateur rentre son mot de passe et reçoit ensuite, par un autre moyen, un code qui fonctionnera qu’une seule fois.
Pour les services Google, il faut utiliser l’application mobile Google Authenticator. Pour les services Microsoft, c’est – vous avez deviné ? – Microsoft Authenticator. Ces applis doivent au préalable être associées au compte, par le scan d’un QR code par exemple. Elles génèrent ensuite à intervalles réguliers des codes à utiliser. Ce système est appelé « TOTP », pour « time-based one time password ».

Google Authenticator (à gauche) et Microsoft Authenticator (à droite) -

L’avantage, c’est que ces applications peuvent également être utilisées pour d’autres services en ligne. Ainsi, il est tout à fait possible d’utiliser Google Authenticator pour protéger son accès sur LastPass, Slack, Amazon Web Services, Facebook et ProtonMail, par exemple. D’autres applis le font aussi telles que Authy ou Duo Mobile.
Chez Apple, en revanche, pas besoin d’application, l’appareil mobile suffit (iPhone, iPad). A chaque tentative de connexion sur iCloud ou Apple ID, l’utilisateur reçoit directement par le système iOS un code à usage unique.
De son côté, Twitter s’appuie sur son application mobile pour envoyer à l’utilisateur un code de ce type. Et chez Facebook, plusieurs options de double authentification sont à disposition. Outre l’application de codes à usage unique, le réseau social propose de recevoir un code par SMS ou de connecter une clé de sécurité.
Ce dernier cas est un peu la méthode ultime de la double authentification. L’acteur le plus connu dans ce domaine est Yubico qui dispose de toute une gamme de clés de sécurité. Elles proposent plusieurs méthodes comme les codes à usage unique TOTP ou le standard U2F. Mais il y a aussi d’autres fournisseurs comme Neowave ou Key-ID. A vous de choisir.

REF.:

CloudFlare, connu pour ses solutions de sécurité et Anti-DOS pour sites internet proposent des serveurs DNS.
Ces derniers sont réputés comme étant rapides et ne faisant pas de collectes de données (contrairement à ceux de Google).
L’adresse des serveurs DNS de CloudFlare est 1.1.1.1.
Ne vous attendez pas non plus à une révolution en terme de vitesse, il y a aussi pour beaucoup un effet d’annonce et marketting.
Un comparatif sur le site des serveurs DNS existent : Comparatif des serveurs de noms (DNS) : Google, OpenDNS, Quad9, Ultra-DNS etc.
Cet article vous explique comment changer les DNS sur votre ordinateur pour passer sur ceux de CloudFlare.

Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Je parle d’effets marketing, car annoncé partout comme plus rapide mais probablement vérifié par personne.
Sur ma connexion internet, les DNS CloudFlare sont plus lents que les DNS Orange.

La modification des serveurs DNS se fait sur la configuration des les interfaces réseaux.
Pour accéder à celle-ci facilement :

• Sur votre clavier, appuyez sur la touche Windows + R
• Dans la fenêtre exécuter, saisissez : C:\Windows\system32\control.exe npca.cpl

La page avec les interfaces réseaux s’ouvrent alors avec la liste des cartes réseaux.
Vous pouvez avoir une carte ethernet pour les connexions en filaires et une care Wifi pour les connexions Wifi.
Il faut modifier les adresses des serveurs de noms (DNS) pour les deux.
Pour entrer dans la configuration de la carte, faites un clic droit dessus puis propriétés.

La liste des des protocoles et connexions de la carte s’affiche.
Double-cliquez sur TCP/IP V4 afin d’ouvrir les paramètres de ce dernier.
En bas, cochez l’option « Utilisez l’adresse de serveurs de noms » suivantes afin de saisir les adresses DNS de CloudFlare 1.1.1.1 en serveur DNS primaire et 1.0.0.1 en serveur DNS secondaire.
Cliquez sur OK sur les deux fenêtres afin que les changements soient pris en compte.

Si vous utilisez l’IPV6, vous pouvez aussi modifier les serveurs DNS dans la configuration IPV6 : 2606:4700:4700::1111 en serveur DNS primraire et 2606:4700:4700::1001 en serveur DNS Secondaire.

Les liens autour des DNS

Les liens du site autour des serveurs DNS :

• Comparatif des serveurs de noms (DNS) : Google, OpenDNS, Quad9, Ultra-DNS etc.
• Comment changer les serveurs DNS
  
• DNS Google : accélérer votre connexion internet

REF.:

Il y a quelques temps, j’avais évoqué SysHardener pour sécuriser Windows.
Hardentools est un outil similaire qui permet de désactiver certains fonctions de Windows utilisées par des malwares.
Voici une présentation de Hardentools.

Table des matières [masquer]

• 1 Hardentools : Sécuriser Windows en désactivant certains fonctionnalités
  • 1.1 Windows
  • 1.2 Microsoft Office
  • 1.3 Acrobat Reader
• 2 Plus loin dans la sécurité Windows

Hardentools : Sécuriser Windows en désactivant certains fonctionnalités

L’utilisation d’Hardentools est très simple et vise à désactiver certaines fonctions de Windows.
Voici la page de téléchargement : Télécharger Hardentools
L’utilitaire se présente avec les fonctions à désactiver qui sont cochées par défaut.
Il faut cliquer sur Harden pour lancer l’opération.

Une barre de progression s’affiche et des fenêtres cmd.exe peuvent s’ouvrir et les fonctions sont désactivées.
On vous invite ensuite à redémarrer Windows afin que les changements prennent effects.

Voici une liste des fonctions proposées à la désactivation.

Windows

• Désactiver Windows Script Host pour se protéger des scripts, plus d’informations : Comment se protéger des scripts malveillants sur Windows
• Désactiver Autoruns et Autoplay, désactive l’insertion automatique pour se protéger des virus par USB. A priori, depuis une mise à jour de Windows, c’est déjà le cas.
• Désactive l’exécution de powershell.exe, powershell_ise.exe par Windows Explorer contre les virus Powershell.
• Force la popup UAC
• Désactive les extensions liés à des scripts toujours pour se protéger contre les scripts malveillants. Les extensions visées : « .hta », « .js », « .JSE », « .WSH », « .WSF », « .scf », « .scr », « .vbs », « .vbe » and « .pif ».

Microsoft Office

Il s’agit ici surtout de renforcer la sécurité d’office, dont des mails malveillants sont utilisés avec des pièces jointes contenant des documents Word ou Office qui permettent d’infecter l’ordinateur.

• Désactive les Macros. Ces dernières sont utilisés par des documents Office malveillants à travers des campagnes de mails vérolés. Plus d’informations : Les virus par Word et Excel (documents Office
• Disable OLE object execution. Autre technique utilisée par les mails vérolés pour infecter les ordinateurs.
• Disabling ActiveX. Désactive les contrôles ActiveX des applications Offices.
• Disable DDE. Autres techniques utilisée par les mails vérolés pour infecter les ordinateurs. Plus d’informations : La technique DDE

Acrobat Reader

Acroba Reader a été longtemps utilisés à travers des exploits Web. Bien que maintenant les navigateurs internet ont leurs propres lecteur PDF, ce dernier peut toujours être utilisés pour infecter les ordinateurs.

• Désactiver JavaScript dans les documents PDF. Acrobat Reader permet d’exécuter du Javascript dans les documents PDF, ce dernier est utilisé pour offusquer du contenu malveillants et permettre l’utilisation malveillantes de documents PDF pour infecter les ordinateurs.
• Désactiver l’exécution d’objet intégré dans les documents PDF. Là aussi il s’agit de limiter l’utilisation malveillante de documents PDF qui peuvent intégré des documents Word avec des macros, DDE malveillantes. Le but étant de dissimuler le document Office malveillant dans un PDF pour rendre sa détection plus difficile.
• Active le mode protégé
• Active la protection de la visualisation
• Active la sécurité renforcée

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
Autres liens autour des virus et la sécurité des virus :

• Pourquoi et comment je me fais infecter?
• Comment vérifier si ordinateur a été hacké ou piraté ?
• Les botnets : réseau de machines infectées
• Business malwares : le Pourquoi des infections informatique
• Comment les virus informatiques sont distribués.
• La sécurité de son PC, c’est quoi ?

REF.:

Dans la série des utilitaires simples et très utile, voici SysHardener.
Ce dernier permet de désactiver des fonctions de Windows, assez inutiles et qui sont généralement utilisées pour propager des logiciels malveillants.
L’utilitaire est gratuit et édité par NoVirusThank, dont nous avions déjà par le passé parlé d’OSArmor.

Table des matières [masquer]

• 1 SysHardener : sécuriser Windows facilement contre les virus
  • 1.1 Réglages généraux de Windows
  • 1.2 Restriction Powershell
  • 1.3 Désactiver les extensions dangereuses
  • 1.4 Désactiver des Services Windows
  • 1.5 Sécuriser Office et Adobe
  • 1.6 Réglages du pare-feu de Windows
• 2 Plus loin dans la sécurité Windows

SysHardener : sécuriser Windows facilement contre les virus

SysHardener est donc un utilitaire gratuite qui permet d’activer ou désactiver des fonctions de Windows afin de sécuriser Windows.
Son utilisation est donc simple, vous devez simplement cocher et décocher certains éléments pour activer ou non ces fonctions.
Cela peut permettre d’optimiser Windows puisqu’il permet de désactiver des services de Windows.
Télécharger SysHardener
SysHardener reprend une partie des tutoriels suivants qui permettent de limiter certains fonctions utilisés par les logiciels malveillants pour infecter Windows :

• Comment se protéger des scripts malicieux sur Windows et limiter PowerShell : Les virus Powershell
• Firewall Windows : les bon réglages
• ublock sur ton navigateur internet

Cet article va énumérer quelques une des possibilités de SysHardener.

Evitez de désactiver tout et n’importe quoi sans savoir.
Je vous conseille aussi de créer un point de restauration avant de changer les paramètres.

Réglages généraux de Windows

La première partie concerne l’UAC et le contrôle des comptes utilisateurs, notamment il est possible d’interdire l’élévation de privilège (passage en administrateur) pour des applications non signées.

Pour plus d’informations sur la signature numérique, lire : signature numérique de fichiers et virus/malwares 

• Turn/On Drive Signing/Intergry Check : active ou désactive la signature numérique des pilotes (drivers), plus d’informations : Comment désactiver la signature numérique des pilotes sur Windows 7, 8 ou 10
• Turn/On Autoplay for any Device : désactive l’exécution automatique des périphériques amovibles.
• Turn Off Windows Script Host : permet de désactiver Windows Script Host pour se protéger des scripts, plus d’informations : Comment se protéger des scripts malicieux sur Windows
• Enfin vous pouvez désactiver SmartScreen. Pour plus d’informations sur SmartScreen, lire notre article : SmartScreen : Protection avec filtrage URL et de fichiers

Smb, le serveur de partage de fichiers peut aussi être désactivé.

Restriction Powershell

Des restrictions PowerShell peuvent aussi être mis en place pour lutter contre les virus Powershell.

Désactiver les extensions dangereuses

En plus de désactiver Windows Script Host, il est aussi  possible de changer l’extension de fichiers qui peuvent être utilisées par des malwares.
On trouve les extensions liées aux scripts : VBS, VBE, JS, JSE, WSF, WHM, HTA
mais certains exécutables comme .SCR ou PIF.
Enfin les extensions de fichiers liées à Java avec JAR.

Désactiver des Services Windows

Et puis vous pouvez désactiver les services Windows inutiles.
Par exemple, vous pouvez désactiver le contrôle d’ordinateur à distance (Remote Desktop Services).
Une liste des services à désactiver est aussi abordée sur la page : Optimiser Windows 10 : les services Windows à désactiver

Sécuriser Office et Adobe

Ensuite SysHardener permet de sécuriser les applications Adobe et Office.
Il s’agit de désactiver le JavaScript dans Adobe Reader qui peut-être utilisés dans des PDF malveillants utilisés dans des campagnes de mails malveillants.
De même, cela permet de sécuriser Office en désactivant DDE (Lire Vulnérabilité (?) DDE sur Word et mails malveillants), OLE et ActiveX.

Réglages du pare-feu de Windows

Enfin la dernière partie concerne les réglages du pare-feu de Windows.
Le but ici est d’internet les connexions sortantes pour certains processus de Windows.
Par exemple, si vous utilisez le partage de fichiers de Windows, il ne faut pas filtrer les connexions sortantes pour explorer.exe.
Sinon vous pouvez cocher la liste complète.
Des réglages plus affinés sont disponibles sur la page : Firewall Windows : les bon réglages

Plus loin dans la sécurité Windows

Dans le même style, il existe Hardentools qui permet aussi de sécuriser Windows en désactivant des fonctions utilisés par les malwares.
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?

REF.:

Les forces de police n'ont plus besoin d'Apple pour accéder au contenu de votre iPhone

La société Cellebrite semble détenir une nouvelle technique d’extraction capable de venir à bout de la sécurité de tous les iPhone, même de l’iPhone X.

Les policiers de la planète doivent être contents. Depuis des années, ils n’arrêtent pas de se plaindre du chiffrement des smartphones et des complications que cela entraîne pour leurs enquêtes. Mais un cadeau vient apparemment de leur tomber du ciel.
Selon Forbes, l’entreprise israélienne Cellebrite est désormais en capacité d’extraire les données de n’importe quel iPhone, même les derniers (iPhone 8, iPhone X). C’est en tous les cas le message que les commerciaux de Cellebrite sont en train de diffuser auprès des forces de l’ordre. C’est également ce qui transparaît sur les brochures commerciales, où Cellebrite affirme pouvoir accéder « aux appareils et aux systèmes Apple iOS, dont l’iPhone, l’iPad, l’iPad mini, l’iPad Pro et l’iPod touch, de la version iOS 5 à iOS 11 ».
D’ailleurs, il semblerait que cette technique d’extraction avancée a déjà été appliquée sur un iPhone X. Dans un mandat de perquisition révélé par Forbes, on apprend qu’un appareil de ce genre a récemment été analysé avec succès par une fonctionnaire de police dont il est précisé qu’elle a reçu une formation Cellebrite.

Cette nouvelle technique d’extraction n’est pas librement disponible au travers des logiciels vendus par Cellebrite. C’est un service spécial facturé 1500 dollars par iDevice. Pour en bénéficier, il faut se rendre dans les laboratoires de l’entreprise.
La raison est claire : pas question de mettre la technique dans les mains des clients et prendre le risque qu’ils devinent la nature de la faille sous-jacente. Car cette capacité hors du commun a dû coûter une belle somme à Cellebrite, à moins que la société l’ait développée elle-même. Les failles iPhone sont celles qui se vendent le plus cher sur le marché des vulnérabilités. La société Zerodium, par exemple, est prête à payer jusqu’à 1,5 million de dollars pour une technique de piratage iPhone.
Vu les réactions des forces de l'ordre, notamment américaines, face au chiffrement des smartphones d'Apple, il est probable que Cellebrite va vite rentabiliser son investissement. Selon Forbes, le département de la sécurité nationale (DHS) n’a pas hésité à payer 2 millions de dollars l’année dernière pour utiliser sa technologie.

REF.:

Safe Cities: 650 villes chinoises ont réformées leurs sécurité publiques à l'aide de technologies de pointe

En 2011, le gouvernement central chinois a entamé la mise en œuvre massive d'un programme national obligeant 650 villes chinoises à réformer leurs infrastructures de sécurité et de sûreté publiques à l'aide de technologies de pointe. Selon le rapport sur les technologies et les marchés des villes sûres en 2013-2022, ce programme se traduira par un marché cumulatif de 138 milliards de dollars en 2013-2022, le plus grand marché national de la ville sûre au monde.

Voici quelques exemples de projets Safe City chinois:

    La province du Sichuan consacre 4,2 milliards de dollars à son projet de ville sûre, y compris un réseau de 500 000 caméras de surveillance.
    Le projet «Safe City Corridor» de la province du Guangdong s'appuiera sur un système de surveillance à 1 000 000 caméras pour un coût estimé à plus de 6 milliards de dollars.
    Le gouvernement municipal de Beijing cherche à placer des caméras dans tous les lieux de divertissement, en ajoutant 400 000 caméras de surveillance à l'ensemble des 300 000 caméras installées pour les Jeux olympiques de 2008.
    Urumqi, la capitale du Xinjiang, où près de 200 personnes sont mortes lors des émeutes de juillet 2009, a terminé l'installation de 40 000 caméras de surveillance dans le cadre d'un projet permanent de sécurité urbaine.
    Le projet Safe City de Guangzhou, l'un des principaux centres d'exportation et de fabrication, comprendra 270 000 caméras de surveillance

REF.:

Docs.com de Microsoft expose des fichiers sensibles

Sécurité : Le service de partage de documents de Microsoft, Docs.com, a été mis en cause par des experts en sécurité pour la mise à disposition de nombreux fichiers sensibles et personnels.

Microsoft a retiré une fonctionnalité de son site de partage de documents, Docs.com. Cette fonction permettait à n’importe qui de lancer des recherches sur les millions de fichiers hébergés sur le service, dont des documents personnels.
Des utilisateurs se sont émus, notamment sur Twitter, que n’importe qui pouvait utiliser la boîte de recherche pour naviguer à travers les documents accessibles au public et les fichiers stockés sur le site, qui devaient clairement rester privés.
Parmi les dossiers examinés par ZDNet, et qui ont été vus par d'autres internautes, on trouve des listes de mots de passe, des lettres d’embauche, des portefeuilles de placement, des règlements de divorce et des relevés de cartes de crédit – certains des documents contiennent des numéros de sécurité sociale et de permis de conduire, des dates de naissance, numéros de téléphone et adresses postales.
Microsoft a supprimé la fonctionnalité de recherche du site tard samedi, mais d'autres ont observé que les fichiers étaient toujours mis en cache dans les résultats de recherche de Google, ainsi que sur le propre moteur de recherche de Microsoft, Bing.
Nous ne publions ni ne fournissons aucun lien vers ces documents ou fichiers.
À l'ère des vols et fuites de données, cet incident relève uniquement des paramètres du service Docs.com. Microsoft n'a pas fait l’objet d’une intrusion et d’une fuite de données, même si  ses utilisateurs voient leurs données exposées.
Qui est à blâmer ? C’est une question de point de vue. Tous les documents auraient été téléchargés par leurs propriétaires. Mais ceux-ci n'auraient visiblement pas réalisé que chaque document pouvait être rendu public. Par défaut, ce paramètre est activé sur les fichiers créés ou modifiés avec Word et Excel Online.
Mais les efforts de Microsoft pour retirer la fonctionnalité de recherche montrent que l’éditeur prend une part de responsabilité.
Un porte-parole de Microsoft a déclaré que la compagnie prenait « des mesures pour aider ceux qui peuvent avoir par inadvertance publié des documents avec des informations sensibles". La firme conseille aux utilisateurs d'examiner et de mettre à jour leurs paramètres en se connectant à leur compte.

Source.:

Analyser votre site web pour le contenu non sécurisé(SSL)

Cet outil va parcourir un HTTPS-site (intégralité du site, de manière récursive, à la suite des liens internes) et rechercher des images non sécurisées, des scripts et css fichiers qui déclenchent un message d'avertissement dans les navigateurs. Le nombre de pages rampé est limité à 200 par site. Les résultats sont mis en mémoire cache pendant 10 minutes.
ici : https://www.jitbit.com/sslcheck/



Comme vous le savez peut-être Google a annoncé qu'on va en HTTPS et ça vous donnera un classement mineur boost. 
 Beaucoup de gens se sont précipités dans l'achat de certificats SSL et le passage à HTTPS.  
Mais après l'activation de SSL sur votre serveur - rappelez-vous de tester vos pages pour les URL «absolues» qui pointent vers un contenu non sécurisés - images et scripts.
 


Les  API

Cette page accepte hachage paramètres comme ceci: 
 https://www.jitbit.com/sslcheck/#url=https://www.google.com/, se sentent libres a utiliser.


Source.:

Intel embarque-t-il une porte dérobée dans toutes ses puces ? La Management Engine ou la Damagement Engine ?

 

Julianprescott2604juuly (Creative Commons)

De plus en plus d’experts critiquent ouvertement le composant Management Engine qu’Intel embarque dans tous ses chipsets récents. C’est un ordinateur dans l’ordinateur, doté d’énormes privilèges d’accès et dont le code est complètement opaque.

La communauté du logiciel libre tire la sonnette d’alarme. Selon elle, la sécurité de la plupart de nos équipements informatiques est compromise, et les coupables sont tout désignés : les puces Intel de dernière génération. Plusieurs porte-paroles de la communauté libre ont récemment publié des notes de blog au vitriol sur un composant bien étrange qui se trouve désormais intégré dans les CPU d’Intel : le « Management Engine » (ME).
Pour les partisans du libre, cette petite entité – qui est censée fournir tout une ensemble de services de sécurité (Trusted Platform Module) et d’administration à distance (Active Management Technology) – est le diable en silicium. C’est un véritable ordinateur à l’intérieur de l’ordinateur. Il dispose de son propre système d’exploitation (propriétaire) et de ses propres interfaces réseaux (adresse MAC). Il a un accès direct à la mémoire du PC et peut prendre son contrôle à n’importe quel moment. Et, bien sûr, il ne peut jamais être désactivé.
Bref, c’est le mouchard idéal. « Il peut allumer ou éteindre le PC, ouvrir tous les fichiers, examiner toutes les applications lancées, connaître les mouvements de la souris et l’enfoncement des touches de clavier, et même capturer ou insérer des images sur l’écran », explique Leah Woods, développeuse en chef de Libreboot, dans une note de blog de la Free Software Foundation. Libreboot est un BIOS libre que Leah Woods et ses amis installent sur des PC Linux que l’on peut acheter sur Minifree.org.

Un code impossible à remplacer

La deuxième salve anti-Intel est venue de Damien Zammit, qui participe également au projet Libreboot. Pour ce développeur, ME est une dangereuse boîte noire qui, si elle est compromise par un attaquant, permet d’installer des portes dérobées (rootkit) « quasi indétectables et imparables », explique-t-il sur le site boingboing.net. Dans l’idéal, Damien Zammit aimerait bien sûr se débarrasser du code propriétaire d’Intel et installer son propre système sur le ME. Malheureusement, c’est impossible car le firmware du ME est vérifié par une ROM secrète intégrée dans le chipset, au travers d’un algorithme de signature électronique basé sur RSA 2048 bits. « Toutefois, il y a peut-être un bug que l’on peut exploiter dans cette ROM », espère Damien Zammit.
Si les développeurs de Libreboot sont tellement vent debout contre ME, c’est parce que cette technologie annihile tous leurs efforts. Leur but est de créer des ordinateurs où toutes les couches informatiques sont libres et open source : le matériel, le BIOS, le système d’exploitation, les applications. Le ME représente, de ce point de vue, un obstacle incontournable.

Tous des PC zombies

Des chercheurs en sécurité ont également planché sur ce problème. C'est notamment le cas de Joanna Rutkowska. En décembre dernier, à l’occasion de la conférence 32C3, cette chercheuse d'Invisible Things Labs a détaillé le fonctionnement du Management Engine d'Intel et listé ses différentes voies d’accès dans le PC. On voit bien que le ME dispose de privilèges hors du commun, alors que « personne ne sait ce qu’il y a dedans ».  

Joanna Rutkowska -

Pour Joanna Rutkowska, le ME « n’est pas seulement un redoutable vecteur d’attaque, il transforme également tous nos PC en PC zombies ». Selon elle, le but d’Intel est d’inverser le modèle d’implémentation actuel, où le système d’exploitation et les applications prennent en charge les traitements de données sensibles, comme le chiffrement ou la génération de nombres aléatoires.
Ces traitements seraient alors progressivement transvasés vers le matériel et, notamment, le ME. « Le code du ME n’est pas forcément malveillant, mais peut-être qu’il contient des erreurs, peut-être que l’implémentation n’a pas été faite de manière correcte. Intel, évidemment, pense que tout ce qu’il fait est forcément sécurisé… », souligne-t-elle.  

Joanna Rutkowska -

Pour sa part, Joanna Rutkowska a proposé un modèle d’implémentation matérielle alternatif orienté vers une sécurité maximale. Son PC idéal est celui qui ne garde aucune donnée de manière persistante (« stateless hardware »). Les données persistantes sont stockées sur des « clés USB de confiance » (« trusted sticks »).
En définitive, cette puce omnipotente et totalement opaque, la Management Engine, s'avère inquiétante. On comprend assez facilement pourquoi Damien Zimmer la surnomme la Damagement Engine. Un processeur qui, au-delà de son but premier, menace et fragilise votre sécurité et celle de votre machine...
Sources.:
Boingboing, FSF
Joanna Rutkowska: article sur la technologie Intel, article sur l’architecture PC non persistante    

Sécurité: Les infrastructures américaines seront visées par des pirates

SAN FRANCISCO - Les États-Unis vont subir des attaques informatiques visant à endommager leurs grandes infrastructures, comme celle subie par le réseau électrique ukrainien en décembre, a averti mardi le patron de l'agence de renseignement américaine NSA, l'amiral Michael Rogers.
«La seule question est quand, et non pas si» les États-Unis seront visés par un «comportement destructeur contre des infrastructures clef», semblable à ce qu'il s'est passé en Ukraine fin 2015, a indiqué l'amiral Rogers en Californie lors d'une convention sur la sécurité sur internet.
Le réseau électrique de l'Ukraine a subi le 23 décembre une cyberattaque qui a plongé plusieurs heures dans le noir une grande partie de la région d'Ivano-Frankivsk (ouest).
Cette attaque «très élaborée» visait à la fois à «mettre par terre le réseau» électrique mais aussi à «ralentir le processus de rétablissement du courant», en anticipant les solutions pouvant être apportées par la société d'électricité, a expliqué le chef militaire.
«Il y a sept semaines, c'était l'Ukraine. Mais ce n'est pas la dernière fois que nous allons voir ça, et ça m'inquiète», a-t-il dit.
L'amiral Rogers est à la fois le patron de la NSA et le commandant du cyber-commandement militaire américain, une force qui disposera bientôt de 6000 soldats spécialisés dans la guerre informatique, pour défendre les réseaux américains mais aussi pour attaquer les réseaux des adversaires.
L'administration Obama propose d'augmenter de 15,5 % le budget de la guerre informatique dans le budget de la défense 2017, à 6,7 milliards de dollars, soit un peu plus de 1 % du budget total de la défense américaine.


Source.:

Vos comptes ont-ils été piratés?

Il y a une façon facile et rapide de vérifier si des données de vos comptes de courrier électronique ont été dérobées par des pirates informatiques: le site haveibeenpwned.com.
Le site fait de plus en plus parler de lui dans l'actualité comme une ressource indispensable pour les experts en sécurité informatique. Il révélait récemment que les données de 65 millions de comptes d'utilisateurs du site de microblogage Tumblr obtenues par un piratage étaient marchandées sur le web.
Il tire son nom de l'argot internet, «Have I Been Pwned?» se traduisant par «Ai-je été [NDLR: comprendre "piégé"]?»
Haveibeenpwned.com obtient et archive les données de failles de sécurité rendues publiques (évidemment, de nombreuses attaques informatiques restent dans l'ombre). Il s'agit généralement des adresses courriel de comptes dont les mots de passe ont été volés par des pirates informatiques.
À ce jour, le site web répertorie plus de 970 millions de comptes atteints par des pirates informatiques, qui ont attaqué différents sites, dont les cas les plus récents et médiatisés de LinkedIn et MySpace. À eux seuls, les données volées à ces deux sites touchent plus de 520 millions de comptes.
Pour savoir si vous faites partie des victimes de ces pirates informatiques, c'est simple: entrez une adresse courriel ou un nom d'utilisateur dans la barre de recherche du site et cliquez sur «pwned?».

Si vous avez été ciblé dans une faille considérée comme sensible (sites pornos ou de rencontre comme Ashley Madison), ces données ne seront toutefois pas accessibles par une recherche publique.

Changez votre mot de passe!

Votre adresse figure parmi les comptes répertoriés par haveibeenpwned.com? Le site web vous informera du type d'informations obtenues par des pirates informatiques (nom d'utilisateur, mots de passe et/ou autres) et pourra aussi vous suggérer une marche à suivre.
À retenir: si, par exemple, votre compte LinkedIn a été piraté, cela ne signifie pas que votre compte courriel qui y est lié est en danger. Toutefois, si vos mots de passe sont les mêmes pour tous vos comptes, il pourrait être bien avisé de les modifier.

Source.:

Firefox: Le blocage du contenu mixte (le HTTPS)

(Redirigé depuis How does content that isn't secure affect my safety?)

Firefox vous protège des attaques en bloquant le contenu potentiellement malveillant et non sécurisé des pages web qui sont censées être sûres. Poursuivez la lecture pour en apprendre plus sur le contenu mixte et savoir quand Firefox l'a bloqué.

Qu'est-ce que le contenu mixte ?

HTTP est un protocole de transmission des informations d'un serveur web vers votre navigateur. HTTP n'est pas sécurisé, donc quand vous naviguez sur une page via HTTP, votre connexion est ouverte aux écoutes et aux attaques. La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n'ont donc pas besoin d'être sécurisées.
Quand vous naviguez sur une page dont le serveur est pleinement HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ? pour les détails). Cela signifie que votre connexion est authentifiée et chiffrée, par conséquent, protégée des écoutes et des attaques de l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est sur un serveur HTTPS. Quand une page HTTPS a des données HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie chiffrée et même si elle semble être sécurisée, elle ne l'est pas.

Note : Pour plus d'informations sur le contenu mixte (actif et passif), visitez cet article de blog en anglais.

Quels sont les risques des contenus mixtes ?

Un pirate peut remplacer les données HTTP de la page afin de voler vos identifiants, s'emparer de votre compte, acquérir des données sensibles vous concernant, modifier le contenu de la page ou tenter d'installer des logiciels malveillants sur votre ordinateur.

Comment puis-je savoir qu'une page contient du contenu mixte ?

Vérifiez si l'icône ci-contre est présente dans votre barre d'adresse pour déterminer si la page contient du contenu mixte.

Pas de contenu mixte : sûr

•  : vous verrez un cadenas vert lorsque vous êtes sur une page entièrement sécurisée qui ne tente pas de charger des éléments non sécurisés.

Contenu mixte bloqué : sûr

•  : vous verrez un cadenas vert avec un triangle d'avertissement gris lorsque Firefox a bloqué les éléments non sécurisés sur cette page. Cela signifie que la page est désormais sûre. Cliquez sur l'icône pour afficher le centre de contrôle et obtenir plus de détails de sécurité sur la page.

Contenu mixte pas bloqué : pas sûr

•  : si vous voyez un cadenas barré en rouge, c'est que Firefox ne bloque pas les éléments non sécurisés, que cette page est vulnérable aux écoutes et aux attaques, et que vos données personnelles à partir du site peuvent vous être volées. Vous ne devriez pas voir cette icône, sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante.

•  : un cadenas gris avec un triangle orange indique que Firefox ne bloque pas le contenu passif non sécurisé. Les pirates peuvent être capables de manipuler des parties de la page, par exemple en affichant du contenu falsifié ou inapproprié, mais ils ne devraient pas pouvoir voler vos données personnelles à partir du site.

Débloquer le contenu mixte

Débloquer les éléments non sécurisés n'est pas recommandé, mais cela peut être fait si nécessaire :

1. Cliquez sur l'icône en forme de cadenas dans la barre d'adresse.
2. Cliquez sur la flèche dans le centre de contrôle :

   

3. Cliquez sur Désactiver la protection pour l'instant.

   

Pour activer la protection, suivez les étapes précédentes et cliquez sur Activer la protection

Avertissement : débloquer le contenu mixte peut vous rendre vulnérable aux attaques.

Développeurs : si votre site web provoque des erreurs de sécurité en raison de contenus non sûrs, consultez cet article de MDN : Régler le problème du contenu mixte dans un site web.

* SSL Checker online :  https://www.jitbit.com/sslcheck/#

Régler le problème du contenu mixte dans un site web

À partir de Firefox 23, Firefox bloque par défaut le contenu mixte actif. Ce que font également Internet Explorer (depuis la version 9) et Chrome.
Cette page vous explique à quoi vous devez être attentif en tant que développeur web.

Votre site web risque d'être  cassé

Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si les iframes ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.

Remarque : comme les contenus mixtes sont déjà bloqués par Chrome et Internet Explorer, si votre site fonctionne avec ces deux navigateurs, il y a de grandes chances qu'il fonctionne également avec Firefox avec le blocage du contenu mixte.

Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web (activez-la à partir des messages de sécurité) et de regarder si elle signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un sytème d'analyse en ligne comme SSL-check qui parcourt tout votre site web de façon récursive et détecte les liens vers du contenu non sûr. Si aucune alerte à du contenu mixte n'apparaît, votre site web est en bonne santé : bravo et continuez à produire des sites web de bonne qualité !

Comment régler le problème

Le meilleur moyen d'éviter le blocage du contenu mixte c'est de proposer l'intégralité de vos contenus via le protocole HTTPS au lieu d'HTTP.
Pour votre propre domaine, diffusez tous les contenus en HTTPS et modifiez vos liens. Il arrive souvent que la version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s » au lien : http:// devient https://.
Pour un autre domaine, utilisez la version HTTPS si elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de contacter l'administrateur du domaine et lui demander de rendre ses contenus disponibles via HTTPS.

Source.: