Powered By Blogger

Rechercher sur ce blogue

dimanche 3 décembre 2017

Une bête faille de sécurité de MacOS ouvre l'accès admin à tous



La dernière version de macOS, High Sierra, offre un moyen simple et infaillible de prendre le contrôle de n'importe quel Mac. Apple vient de pousser un patch.

 Apple n'aura pas tardé à combler cette très embarrassante faille. Le géant vient en effet de pousser un correctif (Security Update 2017-001) qui ferme cette porte grande ouverte. Le correctif qui concerne les utilisateurs de macOS High Sierra 10.13.1 mais pas ceux de 10.12.6 est à installer de toute urgence...

Apple, Apple, Apple. Qu'allons-nous faire de vous ? Dans votre version la plus récente de High Sierra macOS, il s'avère que vous avez donné à un utilisateur local le moyen de prendre possession d'un Mac, et ce totalement.
Allez sur votre Mac sous High Sierra et essayez ceci : sur l’écran de connexion, cochez "Autre utilisateur" et saisissez root comme nom d'utilisateur et laissez le mot de passe vide. Cliquez plusieurs fois et vous pourriez alors découvrir que vous venez de vous connecter à votre système en tant qu'utilisateur root, c'est-à-dire en mode administrateur. Vous avez désormais tous les pouvoirs.
Cela signifie que si vous avez volé un Mac, ou si vous avez simplement accès physiquement à un Mac alors que le propriétaire est absent, vous avez accès à toutes les données qui s'y trouvent. Pensez-vous que ce soit problématique ? Oui, vous pouvez.
C'est un raté historique en matière de sécurité. Rien d’équivalent ne me vient à l’esprit. Tous les Mac exécutant une version à jour de MacOS sont exposés à ce type d’attaques. Cet exploit ne nécessite aucune des redoutables compétences qu’on pourrait prêter à un hacker fou de la NSA. Si vous pouvez utiliser un clavier, vous pouvez entrer.
Dans la version originale de ce trou de sécurité, tout ce que vous deviez faire était de vous rendre dans les Préférences Système, puis Utilisateurs et Groupes, et de cliquer sur le verrou pour apporter des modifications. Ensuite, entrez "root" comme nom d'utilisateur sans mot de passe. Sésame, ouvre toi ! Vous y êtes.
Comme sur tout système basé sur Unix/Linux, l'utilisateur root peut contrôler toutes les fonctions d'administration et peut lire et écrire sur n'importe quel système de fichiers, y compris ceux des autres utilisateurs. En théorie, la racine est désactivée sur les systèmes Apple sauf autorisation expresse. Faux !
Une fois connecté, vous pouvez modifier vos propres autorisations. Par exemple, vous voulez vous donner des privilèges d'administrateur ? Bien sûr ! Ou, vous pouvez configurer de nouveaux comptes de niveau administrateur. Une fois que vous avez fait cela, vous pouvez faire tout ce que vous désirez dans le système.
Le développeur turc Lemi Orhan Ergin a découvert cette variation de la faille et a annoncé l'erreur de sécurité remarquablement stupide d'Apple sur Twitter.
De nombreux autres et moi avons vérifié. Nous avons constaté que le trou est aussi béant qu’il le paraît. Le problème a été confirmé sur macOS High Sierra 10.13.0, 10.13.1 (la version actuelle de High Sierra) et macOS High Sierra 10.13.2 beta.
Il est d'abord apparu qu’il n’était pas possible d’exploiter cette astuce triviale à distance. Depuis lors, Will Dormann, un analyste en vulnérabilités du CERT/CC, a rapporté : « Si vous avez exposé le ‘partage d'écran’, vous pouvez autoriser les utilisateurs à accéder à votre machine avec un accès complet à l'interface graphique sans utiliser de mot de passe ». En outre, Dormann a découvert que "Apple 'Remote Management' est lui aussi exposé. Si 'Contrôle' est activé, cela ouvre un accès distant root complet à un système, sans mot de passe."
Apple a reconnu l’existence du problème. Dans une déclaration, Apple précise que l'ajout d'un mot de passe pour le root permettrait d’y remédier. « Nous travaillons sur une mise à jour logicielle pour résoudre ce problème. En attendant, la définition d'un mot de passe root empêche tout accès non autorisé à votre Mac. Pour activer l'utilisateur racine et définir un mot de passe, suivez les instructions ici. Si un utilisateur root est déjà activé, , veuillez suivre les instructions de la section Changer le mot de passe root pour vous assurer qu'un mot de passe vide n'est pas défini ».
Cela fait quatre problèmes de sécurité liés au mot de passe depuis la sortie de High Sierra en septembre.
Pour le moment, vous devez - impérativement - définir un mot de passe pour le compte root. Vous pouvez le faire avec la commande suivante depuis le terminal :
sudo passwd -u root
Une fois que vous avez défini un mot de passe pour root, l'astuce du mot de passe vide ne fonctionnera plus.

REF.:

La police identifie 32 «money mules» en Suisse





Les forces de l'ordre helvétiques ont récemment mis la main sur plusieurs personnes soupçonnées de blanchiment d'argent, dans le cadre d'une action internationale.

Une opération internationale contre des «mules à argent» a eu lieu du 20 au 24 novembre dans 26 pays européens. En Suisse, l'opération était coordonnée par le centre de compétence de cybercriminalité de la police zurichoise. Deux personnes ont été arrêtées et 32 «mules» identifiées, ont indiqué mardi dans un communiqué commun le Ministère public zurichois, la police cantonale zurichoise et la police municipale de Zurich.

Au niveau européen, 159 personnes ont été arrêtées et 766 «mules» ont été identifiées en Europe.

Recrutement sur internet

Les «mules» sont recrutées sur internet comme agents financiers par des organisations criminelles dans le but de transférer de l'argent sale sur des comptes afin de le blanchir. Cet argent provient notamment du trafic de drogues, du trafic d'êtres humains et d'escroqueries sur internet. Toute personne qui met son compte à disposition pour transférer de l'argent sale peut être accusée de complicité de blanchiment.

REF.:

vendredi 1 décembre 2017

Mais qu'est ce qui fait exploser le cours du Bitcoin ? Les produits dérivés

Le Bitcoin est né de la volonté de se prémunir des risques d'une centralisation bancaire excessive, et ce au cœur de la crise financière et la folie des produits dérivés. Voilà le Bitcoin en passe d'être à son tour soumis à la loi des produits dérivés ou subprime.

Technologie : Le ou les créateurs de la fameuse monnaie virtuelle voulaient tirer les leçons de la crise financière de 2008, provoquée par l'explosion des subprimes au nez et à la barbe des banques et de leurs clients. Et voici qu'ils reviennent par la porte du Bitcoin. Un signe de... crédibilité assure t-on.


Le cours du bitcoin s'est encore envolé la semaine dernière, dépassant les 7.300 dollars par bitcoin pour la première fois de son histoire. Le 30 octobre, son cours était de 6.300 dollars. Surtout, le cours du bitcoin a bondi de plus de 600% face au dollar depuis le début de l'année. La valeur du Bitcoin a explosé dernièrement, et mardi 28 Novembre, elle a franchi la barre des 10.000 $ l’unité pour la première fois, seulement deux jours après avoir passé les 9.000 dollars. La crypto-monnaie se négociait à 10.034 $ mardi 28, soit une augmentation de plus de 900% depuis le début de l'année.

 Les spéculateurs spécialisés dans le Bitcoin estiment néanmoins que la croissance n’est pas terminée. Le gérant de hedge funds, Mike Novogratz, a prédit plus tôt la semaine dernière que la cryptomonnaie atteindrait 10.000 dollars cette année. Quant à Thomas Lee de Fundstrat, il a doublé son objectif de prix à 11.500 $ d'ici mi-2018.La capitalisation boursière du Bitcoin, c’est-à-dire la valeur de l’ensemble des bitcoins générés dans le monde, s'élève désormais à près de 153 milliards de dollars. Une hausse considérable par rapport à 2016.

Evolution du cours du Bitcoin en fin de semaine dernière.
Une nouvelle performance portée par l'annonce de l'imminente mise sur le marché de contrats de futures sur la monnaie virtuelle par CME Group, le plus important marché à terme du monde. "Compte tenu de l'intérêt croissant des clients pour les marchés de crypto-monnaie (...), nous avons décidé d'introduire un contrat à terme sur le Bitcoin" a déclaré Terry Duffy, du Groupe CME.
"La mise en place du marché des Futures correspond à un réflexe très financiers. Jouer sur la différence entre le marché de stock et le marché à terme a toujours existé" explique à ZDNet.fr Pierre Paperon, cofondateur de Solid, société de conseil en technologies Blockchain. "Et le Bitcoin s'y prête très bien. Les marchés à terme adorent quand il y a de grosses volatilités" dit-il.

Les leçons de la crise de 2008 ?

Surtout, "avec les Futures, au lieu de se payer en Bitcoin, on ne prend pas le risque du change et on se paye en euros ou en dollars" analyse t-il avant de prévenir : "Le développement des produits dérivés signifie aussi qu'il y a désormais des visions très différentes sur l'évolution du cours du Bitcoin".
Reste que cette annonce est perçue comme un signe de légitimité donné par le monde de la finance traditionnelle aux monnaies virtuelles. Et propose un bien curieux flashback : au cœur de la crise financière de 2008 provoquée par des produits dérivés totalement irrationnels, un dénommé Satoshi Nakamoto, pseudonyme d'une ou plusieurs personnes, avait voulu réagir au danger d'une centralisation bancaire excessive en inventant une nouvelle monnaie, le Bitcoin. Un Bitcoin désormais lui aussi soumis à la loi des produits dérivés (dits aussi subprime).
De quoi lui donner donc un nouveau coup de fouet. Surtout que l'annonce d'un fork possible ce mois-ci joue en faveur de la spéculation. Mais ceci n'explique pas tout. "Il y a une attirance assez générale désormais pour le blockchain, sans compter l'engouement médiatique, et le phénomènes des ICO sur le Bitcoin et l'Ethereum" dit Pierre Paperon. Il juge que "plusieurs phénomène s’entrechoquent pour comprendre le cours du Bitcoin".

Le Bitcoin, un étalon or

"Le bitcoin est utilisé comme monnaie refuge et les monnaies virtuelles ont désormais une valeur crédible. Du fait de sa convertibilité en USD, le Bitcoin joue le rôle d'étalon or" dit-il. Surtout en Chine, où 70% du minage de Bitcoin est effectué.
La capitalisation boursière des cryptomonnaies atteint 172 milliards de dollars, le bitcoin représentant plus de 54% de ce total, soit 94 milliards de dollars. Chaque jour, la valeur en dollar des échanges de Bitcoin atteint environ 1,5 milliard de dollars.
Dès lors, qui pourrait modérer l'appréciation du Bitcoin ? "Pour moi il n'y a pas de plafond. Quand on regarde les sous-jacent, si on perçoit la technologie de blockchain comme une fintech, on s'aperçoit que l'on en est à 1% de développement de la technologie, et qu'il reste un potentiel de 99%" s'enthousiasme Pierre Paperon. Surtout que vient se greffer sur le marché du Bitcoin le système des ICO, qui stimule d'autant plus la valeur de la monnaie.
Une ICO (Initial Coin Offering) est une méthode de levée de fonds particulière. Elle fonctionne grâce à une émission d’actifs numériques (des tokens, ou jetons) qui peuvent être échangés contre des cryptomonnaies pendant la phase de démarrage d’un projet. La rareté des tokens est une condition déterminante du succès de l'opération : c'est cela qui détermine le fait que les premiers servis feront une bonne affaire.

L'ICO, plus rentable que le crowdfunding

A la différence des actions classiques, les tokens ne représentent pas des parts de l’entreprise. A l'image du modèle de crowdfunding, leur acquisition dans le cadre d'une ICO permet de pré-payer un produit ou un service qui sera développé ou commercialisé par l'organisation qui les émet. C'est aussi pour cette raison que les ICO sont aussi appelées crowdsales. Pour les startup, ce système de crowdsales permet de contourner le système classique de venture capital (capital-risque). Elles acceptent alors de lever des fonds en cryptomonnaies (Bitcoin ou Ether par exemple).
"Les ICO, c'est 200 millions d'euros (ndlr. en équivalent de monnaie virtuelle) levés l'an passé et 6 milliards d'ici à la fin de l'année. On aura rattrapé avec ce montant en une année ce qu'a fait le crowdfunding en 10 ans" dit Pierre Paperon. "Il y a un champs d'application vertigineux. Les plate-formes de monnaies virtuelles sont de plus en plus utilisées pour financer des projets de film, de bien être animal, ou encore des maisons médicalisées".

REF.:

Amazon annonce un nouveau Cloud pour héberger des données gouvernementales "secrètes"



«Alors que Google et d'autres entreprises technologiques collaborent avec l'Etat américain pour censurer l'Internet et que les pays du monde entier préparent leurs propres plans de censure sur Internet - tout cela pour combattre l'épouvantail des« fausses nouvelles »- le Pentagone s'est secrètement engagé en surveillance de masse de l'activité en ligne de la population mondiale, en étroite consultation avec #Amazon. »

 Amazon annonce un nouveau nuage pour héberger des données gouvernementales "secrètes"Amazon Web Services (AWS), la société de cloud computing détenue par Amazon, a annoncé lundi qu'elle lance un nouveau cloud "AWS Secret Region" conçu pour héberger des données gouvernementales classées "Secret". La région secrète AWS est le produit le plus récent de L'accord de 600 millions de dollars de l'entreprise a été conclu en 2013 avec la Central Intelligence Agency (CIA) et l'appareil de renseignement militaire, et signale l'intégration complète d'Amazon au gouvernement et aux agences d'espionnage. 
Bien qu'aucun détail n'ait émergé sur le coût, l'architecture de sécurité ou la conception du nuage de la région secrète, les dirigeants de l'entreprise et de l'État l'ont salué comme le point culminant du partenariat approfondi d'Amazon avec les agences d'espionnage américaines.Dans un message sur le "AWS Government, Education, & Nonprofits Blog", la société proclame fièrement: "Avec le lancement de cette nouvelle région secrète, AWS devient le premier et unique fournisseur de cloud commercial à offrir aux régions des charges de travail gouvernementales complètes. gamme de classifications de données, y compris Non classifié, Sensible, Secret et Top Secret.
 En utilisant le cloud, le gouvernement américain est mieux à même de fournir les informations et les données nécessaires aux parties prenantes de la mission. "Résumant l'importance du nouveau nuage de stockage, Teresa Carlson, vice-présidente d'AWS Worldwide Public Sector, a déclaré dans un communiqué: "La US Intelligence Community peut désormais exécuter ses missions avec un ensemble d'outils commun, un flux constant de la flexibilité d'évoluer rapidement avec la mission. La région AWS Top Secret a été lancée il y a trois ans alors que le premier nuage commercial aérien et les clients de la communauté des services secrets américains en ont fait un succès retentissant. En fin de compte, cette capacité permet une plus grande collaboration entre les agences, aide à fournir des informations critiques aux décideurs plus rapidement et permet une augmentation de la sécurité de notre nation. "John Edwards, directeur de l'information de la CIA, a déclaré: «La région secrète AWS est un élément clé de la stratégie cloud multi-fabric de la communauté Intel. Il aura le même impact matériel sur le CI au niveau Secret que C2S a eu à Top Secret. "La «région AWS Top Secret» à laquelle Carlson et Edwards se réfèrent est un nuage de calcul privé, hors réseau, utilisé uniquement par les 17 agences qui composent l'appareil d'état militaire de renseignement.

 Le cloud, connu sous le nom de Commercial Cloud Service (C2S), stocke une grande partie des données Internet et de télécommunications collectées par les agences IC. Il s'agit d'une composante du programme d'Intelligence Information Technology Enterprise (IC ITE) lancé en 2011 en réponse aux violations de données effectuées par Chelsea Manning, qui ont exposé les crimes de guerre perpétrés par l'impérialisme américain en Afghanistan et en Irak.
 Dans un discours prononcé devant le Sommet du secteur public AWS 2017 à Washington DC en juin dernier, Edwards a félicité Amazon pour les avantages que le nuage de C2S a apporté à la CIA et à d'autres agences d'espionnage.
 Il a déclaré: "C'est la meilleure décision que nous ayons prise. C'est la chose la plus innovante que nous ayons jamais faite. Cela fait une différence matérielle et a un impact matériel à la fois sur la CIA et IC [communauté du renseignement]. "Edwards a noté que le cloud a permis de réaliser d'importantes économies, tout en offrant au CI la possibilité de «dimensionner de vastes infrastructures en quelques secondes». 
Il a révélé que «l'adoption du cloud à travers le CI augmente de 208% en glissement annuel. "Edwards a continué à caractériser le nuage C2S comme l'équivalent d'un super-héros, possédant les superpuissances de vitesse, puissance, scalabilité, force, durabilité et vérité, avec chaque attribut comme une rubrique distincte sur ses diapositives PowerPoint.En ce qui concerne la "Force" du cloud C2S, il a déclaré: "Je ne dirai jamais que tout ce que vous faites dans le cyber-monde est totalement invincible, mais c'est très proche. ... Je dirais que c'est probablement la chose la plus sûre qui existe. "Les affirmations d'Edwards selon lesquelles le C2S est presque impénétrable sont démenties par les révélations faites la semaine dernière qu'une base de données massive créée par le Département de la Défense (DoD) et hébergée sur un serveur AWS a été publiquement exposée. La base de données contenait plus de 1,8 milliard de messages Internet provenant de milliers de personnes à travers le monde qui avaient été compilées par le Pentagone au cours des huit dernières années, apparemment dans le cadre d'une vaste opération de collecte de renseignements. Selon toute vraisemblance, cette base de données a été classée comme très secrète et aurait donc pu être hébergée sur le nuage C2S supposé impénétrable. 

UpGuard a écrit: «Le directeur de la recherche sur les risques cybernétiques de UpGuard, Chris Vickery, a découvert trois compartiments de stockage en nuage Amazon Web Services S3 configurés pour permettre à tout utilisateur authentifié AWS de parcourir et de télécharger le contenu; Les comptes AWS de ce type peuvent être acquis avec une inscription gratuite. "Décrivant le caractère des documents publiés, UpGuard a noté: «Les dépôts semblent contenir des milliards de les publications publiques sur Internet et les commentaires sur les nouvelles ont été rédigés à partir des écrits de nombreuses personnes d'un large éventail de pays, y compris les États-Unis, par  CENTCOM et PACOM, deux commandements unifiés du Pentagone chargés des opérations militaires américaines à travers le Moyen-Orient, l'Asie et le Pacifique Sud.
 "Le caractère et l'ampleur de cette opération de collecte de données donnent un aperçu des activités d'espionnage profondément antidémocratiques que le Pentagone et le Les publications Internet compilées par le Pentagone comprenaient du contenu capturé à partir de sites de nouvelles, de sections de commentaires, de forums Web et de sites de médias sociaux comme Facebook, présentant plusieurs langues.  
D'après UpGuard. Google et d'autres entreprises technologiques travaillent avec l'Etat américain pour censurer l'Internet et les pays du monde entier préparent leurs propres plans de censure sur Internet, le tout au nom de la lutte contre l'épouvantail. de "fausses nouvelles" -le Pentagone a secrètement été engagé dans la surveillance de masse de la population mondiale sur La création du nouveau nuage de la région secrète, parallèlement à la tendance plus générale à la censure et à la surveillance d'Internet, souligne l'intégration croissante de toutes les grandes entreprises technologiques avec l'État en préparation à une vaste expansion de la guerre à l'étranger. Jeudi dernier, le Sénat a voté pour approuver la loi sur l'autorisation de défense nationale de 700 milliards de dollars par un vote de voix, après avoir rapidement passé à la Chambre des représentants par un vote bipartisan de 356 à 70. Tout en augmentant de manière significative Le budget prévoit également la création de «portails de commerce électronique», ce qui mènera éventuellement à l'acheminement de milliards de dollars directement à Amazon.

REF.:

USA : la neutralité du Net condamnée ?



Le régulateur américain des télécoms veut supprimer toutes les règles garantissant à n'importe quel contenu sur internet un accès égal au réseau. La mesure est ardemment soutenue par les grands fournisseurs d'accès, qui rêvent depuis longtemps de commercialiser des accès prioritaires au réseau.

La suppression de la neutralité du Net mobilise les géants du secteur, mais provoque peu de remous dans la société civile.


Un Net à deux vitesses ?


Pour les géants du Net, c'est la mère de toutes les batailles. Ajit Pai, le président républicain de la puissante Federal Communications Commission (FCC), le régulateur des télécoms et des médias aux Etats-Unis, avance à grands pas dans son projet visant à dynamiter le pilier central de la gouvernance d'internet : la neutralité du Net.

Mal connue du grand public, cette règle, longtemps restée non-écrite, a été codifiée par l'Administration Obama. En substance, elle impose aux FAI de transporter sans discrimination l'ensemble des contenus du web. L'internaute a le droit d'accéder de la même manière à un modeste blog comme aux produits des stars du Net. Le projet défendu par Ajit Pai consiste précisément à permettre aux opérateurs de moduler la bande passante en fonction de ce que les fournisseurs de contenus sont prêts à payer.

Arcep neutralité


La Silicon Valley vent debout


Ajit Pai va soumettre son projet au vote de la FCC le 14 décembre prochain. D'ici là, la bataille va faire rage. Choisi par Trump, l'homme est profondément convaincu que les monopoles n'existent plus et qu'au final, le consommateur sera gagnant, puisque la dérégulation incitera les FAI à augmenter leurs investissements dans les réseaux. Mais quid de l'offre et des tarifs ? Un net qui ne serait plus neutre signifierait que certains usagers pourront accéder prioritairement au réseau, quitte à payer plus cher. Idem pour les services gros consommateurs de bande passante, type Netflix, radicalement opposé à toute dérégulation du Net.

Le spectre d'un internet à vitesse variable mobilise dans un front commun les grands acteurs de la Tech ainsi que les défenseurs des droits des consommateurs, inquiets pour la facture de l'internaute américain. Mais la bataille est mal engagée : les Républicains sont majoritaires à la FCC. Verdict le 14 décembre.

REF.: