Powered By Blogger

Rechercher sur ce blogue

mardi 29 octobre 2019

Windows 10: Microsoft dévoile « Secured core » pour bloquer les attaques sur le firmware


Windows 10: Microsoft dévoile « Secured core » pour bloquer les attaques sur le firmware

Sécurité : Cette nouvelle couche de sécurité concerne les PC haut de gamme. Le premier PC Windows 10 à bénéficier de "Secured core" est la Surface Pro X.

Apple a toujours eu le contrôle complet du matériel et de son système d’exploitation, mais la philosophie de Microsoft n’a jamais été du même ordre.
Mais récemment, Microsoft vise à prendre le contrôle sur le matériel au même niveau qu’Apple grâce à des partenariats avec des fabricants de PC sous Windows. L'objectif est de protéger les appareils contre les attaques qui exploitent le fait que le firmware dispose de privilèges plus élevés que le noyau Windows.
De nos jours, Microsoft est également une entreprise de matériel informatique. La société a tiré les leçons de la Xbox en matière de piratage DRM et les a appliquées à l'écosystème matériel Windows dans le cadre de la nouvelle initiative «Secured core».
Les consommateurs ne verront aucune marque «Secured core» sur leurs PC et la technologie n'existera que sur les derniers appareils Windows 10 équipés de jeux de puces Intel, Qualcomm et AMD.
Toutefois, sur ces nouvelles machines haut de gamme, comme les ordinateurs portables Surface Pro X et Dragonfly, les consommateurs bénéficieront d’une couche de sécurité supplémentaire qui isolera les clés de chiffrement et les éléments d’identité de Windows 10. Ces éléments pouvaient être compromis par des attaques visant les firmwares spécifiques à un appareil.

Nouvelles attaques et nouvelles protections

À la base, la nouvelle protection du firmware provient d’une fonctionnalité de Windows Defender appelée System Guard. Cette fonctionnalité est destinée à protéger les PC Windows 10 des nouvelles attaques utilisées par les groupes de piratage de haut niveau tels que APT28 ou Fancy Bear. Ces groupes ont utilisé à la fin de l’année dernière un nouveau rootkit UEFI (Unified Extensible Firmware Interface) pour cibler les ordinateurs Windows.
"Si vous êtes visés par un malware au niveau du noyau sur votre système d'exploitation standard, l'attaquant ne pourra pas accéder aux fonctionnalités critiques", a déclaré à ZDNet Dave Weston, directeur associé de la sécurité Windows chez Microsoft.
La conception de Secured Core découle de l’expérience de Microsoft en matière de prévention du piratage sur ses consoles de jeu Xbox.
"La Xbox a un modèle de menace très avancé, car nous ne faisons pas confiance à l'utilisateur, même s'il possède physiquement l’appareil. Nous ne voulons pas que l'utilisateur puisse pirater la console pour exécuter ses propres jeux", a déclaré Weston.
"En outre, lorsqu’on sort du domaine de jeu et que l’on se place dans le monde réel, vous voulez avoir la même garantie qu'un attaquant ne peut pas accéder à votre code et à vos données. Nous avons tiré nos propres leçons et travaillé avec des fournisseurs de composant afin de développer une stratégie pour faire face aux menaces avancées ".
Microsoft avait déjà Secure Boot. Cependant, cette fonctionnalité suppose que le firmware est approuvé pour vérifier les chargeurs d'amorçage, ce qui signifie que les attaquants peuvent exploiter le micrologiciel approuvé. Le rootkit d’APT28 n’était pas correctement signé, ce qui signifie que les PC Windows sur lesquels Windows Secure Boot est activé ne sont pas vulnérables, car le système autorise uniquement le chargement du firmware signé.
Cependant, une fois infectés, les logiciels malveillants d’APT28 pouvaient survivre à une réinstallation du système d’exploitation ou au remplacement d’un lecteur matériel.
La nouvelle initiative de Microsoft en matière de sécurité intervient alors que les attaquants et les chercheurs en sécurité s'intéressent de plus en plus aux firmwares. Les vulnérabilités de affectant ces composants divulguées en 2016 étaient inférieures à 50, mais sont passées à 400 en 2017 et à un peu moins de 500 en 2018.

REF.:

Des applications transforment Alexa et Google Assistant en espion

Des applications transforment Alexa et Google Assistant en espion





Google Assistant d'Amazon, Alexa, apple,
 
 
 
SRLabs est parvenu sans difficulté à développer et à publier des applications malveillantes pour Alexa et Google Assistant. Sous la forme d’un banal service d’horoscope, elles vous espionnent et vous trompent pour collecter vos mots de passe et vos données personnelles.


Ces derniers temps, ce sont plutôt Amazon, Apple et Google qui ont été accusés d’espionner leurs usagers. Les assistants vocaux des trois firmes enregistraient des conversations au hasard jusqu’à ce que le scandale éclate au printemps. Les enregistrements n’étaient utilisés que pour être retranscrits manuellement, et ainsi vérifier le fonctionnement de leurs assistants, mais sans prévenir clairement leurs utilisateurs.
Ces comportements laissent place maintenant à une nouvelle menace : les applications malveillantes qui tirent parti du mode de fonctionnement des assistants pour vous espionner, et enregistrer des informations personnelles. Pour prouver à quel point il est simple de tromper Amazon, Google et leurs utilisateurs, SRLabs a publié 4 applications malveillantes sur chacune des plateformes, elles ont toutes passé le processus de validation pour devenir accessibles à tous.

Espionner sur Alexa et Google Assistant, rien de plus simple

Selon Fabian Bräulein, consultant principal en sécurité chez SRLabs, la démarche consistait à montrer que « non seulement les fabricants, mais aussi les pirates peuvent abuser de ces assistants vocaux pour s’immiscer dans la vie privée des gens ». Mais l’expérience va beaucoup plus loin que ça en mettant en évidence de graves failles de sécurité aussi bien dans le processus de validation des applications que dans le fonctionnement même des assistants vocaux.
Les applications malveillantes du laboratoire se présentent comme de banals services d’horoscope qui utilisent plusieurs méthodes pour obtenir des données personnelles, ou votre mot de passe. Après vous avoir donnée votre horoscope, elle reste silencieuse pour donner l’illusion de ne plus fonctionner, alors qu’elle enregistre votre voix pour la transmettre sur un serveur. Dans un deuxième cas, l’application vous répond par un message d’erreur qui indique que le service n’est pas disponible dans votre pays, puis reste silencieuse quelques minutes. Elle reproduit ensuite la voix habituelle des assistants pour vous inviter à effectuer une mise à jour qui nécessite votre mot de passe pour être installée.


Google et Amazon ont bien sûr retiré les applications et indiquent que le processus de validation est en cours de modification pour éviter que de tels programmes soient à nouveau disponibles. Les entreprises n’ont néanmoins pas donné plus de détails sur les changements à venir.
L’expérience de SRLabs a une fois encore montré le danger que représente cette technologie en termes de sécurité, et que sa mise à disposition doit être étroitement surveillée. Un argument que reprendra probablement Apple pour prendre le temps d’ouvrir entièrement Siri aux développeurs tiers. Pour rappel, Spotify aura du attendre iOS 13 pour être commandé via Siri.


Source : SRLabs

lundi 28 octobre 2019

Google Alertes : Pour surveiller votre e-réputation et plein d’autres choses

Google Alertes : Pour surveiller votre e-réputation et plein d’autres choses




Google, achat, vente, E-commerce,
 
 
 
Internet se développe tellement vite qu’il est devenu impossible de suivre tout ce qui s’y passe. Il existe pourtant un outil qui peut vous aider à être informé en temps réel des sujets qui vous intéressent sans même que vous ayez à les chercher : Google Alertes. Peu connu et noyé au milieu de la galaxie des produits proposés par la firme américaine, cette solution pourrait grandement vous simplifier la vie. Comme nous allons le voir, il peut surveiller internet à votre place. C’est utile pour de nombreuses choses mais surtout pour surveiller votre e-réputation !

Google Alertes, qu’est-ce que c’est ?

Google Alertes est un service gratuit proposé par le célèbre moteur de recherche depuis 2004. Il permet de vous informer quand du contenu qui vous intéresse apparaît sur internet… C’est ce que l’on nomme communément un outil de veille.
Il se caractérise par un site internet accessible ici : https://www.google.fr/alerts
Vous pouvez donc configurer une sorte de « recherche automatique » : Vous indiquez à Google les sujets que vous affectionnez, dès qu’il trouve une nouvelle page internet qui en parle, il vous informe par mail.
Simplissime !

A quoi ça sert ?

Même si les possibilités offertes par ce service sont « infinies », quelques grands cas d’utilisation ressortent du lot :
  • Suivre des actualités précises
  • Réaliser une veille  : vous souhaitez vous tenir informé de l’évolution d’un produit, d’un marché ou plus largement d’un secteur d’activité, il suffit de lui dire.
  • Surveiller les sites d’annonces : vous recherchez quelque chose de précis sur un site d’annonce ? Genre un objet qui ne se retrouve en vente que tous les 36 du mois… Configurez l’outil de manière à être informé rapidement ! Bref, le top pour éviter de louper les bonnes affaires
  • Protéger son contenu : Vous êtes l’auteur d’une oeuvre (livre, article…) ? Saisissez quelques phrases clefs et surveillez qu’elles ne se retrouvent pas sur d’autres sites que le vôtre !
  • Protéger sa E-réputation : On en parle après.

E-réputation et usurpation d’identité

Peut-être que vous n’avez-vous pas remarqué, mais nous sommes sur un site qui parlent d’arnaques. Du coup, intéressons-nous 2 secondes à ce que ce type d’outil pourrait nous apporter. Je ne vais probablement pas vous l’apprendre, mais il arrive que des arnaqueurs arrivent à vous voler des informations personnelles : facture EDF, carte d’identité, carte vitale…
S’ils font ça, ce n’est que très rarement pour le plaisir… Il y a fort à parier qu’ils utilisent rapidement vos documents pour usurper votre identité et arnaquer d’autres personnes. Eh bien, c’est ici que l’outil de Google peut être particulièrement pertinent : il suffit que vous lui demandiez de tracker l’apparition des informations vous concernant.
En fonction des documents transmis à l’arnaqueur, vous pouvez envisager de surveiller votre identité (prénom + nom), votre adresse postale, votre numéro de sécurité sociale… Si quelqu’un utilise vos documents frauduleusement et qu’il se retrouve référencé sur un site ou un forum d’arnaques, vous serez informé quasiment en temps réel !
De même, ce type d’outil est particulièrement utile pour les arnaques à la Webcam. Dans ce cas, l’escroc dispose d’une video compromettante et peut la mettre en ligne à tout moment. Vu que son objectif est de nuire, nul doute qu’il apposera votre nom à côté de la vidéo postée si vous êtes sa victime. Dans ce cas, Google vous informera rapidement ! Cool, non ?

Comment ça marche ?

En permanence, Google lance une armée de robots d’exploration (appelés Google Bots) pour découvrir le web et ses méandres. Dès qu’un d’entre eux à découvert une information en lien avec l’alerte que vous avez configuré, un mail vous est envoyé. Ce dernier contient des résultats de recherches personnalisés que vous pouvez étudier !
Au regard de l’explication de ce fonctionnement, on peut comprendre que le délai entre l’apparition du contenu surveillé et l’information est variable. Cela peut aller de quelques heures à quelques jours : cela dépend de nombreux critères comme la popularité du site exploré par exemple.

Pour aller plus loin

Peu de gens le savent, mais il existe des requêtes cachées dans Google. On parle de mots-clefs qui permettent de mieux ciblés vos requêtes. Celle qui est particulièrement intéressante dans notre cas est « site ».
En tapant par exemple site:leboncoin.fr en plus des mots clefs que vous surveillez, Google ne vous renverra que des résultats qui concernent ce site précis. Pratique pour affiner les résultats et orienter « votre caméra » dans la bonne direction !

Alternatives à Google alertes

Même s’il a largement été mis sur un piédestal dans cet article car il s’adresse à des particuliers, il faut savoir qu’il existe d’autres alternatives à Google Alertes (rien ne vous empêche de cumuler).
En voici quelques unes :
  • Talkwalker : D’un fonctionnement proche à celui de Google Alertes, Talkwalker est essentiellement utilisé par les entreprises pour suivre leur e-réputation.
  • Mention : Solution payante qui affiche un tableau de bord complet et une interface de type « messagerie mail »
  • Alerti : Essentiellement orienté sur la surveillance des avis clients dans l’hostellerie, Alerti affiche une solution totalement payante.
J’espère que cet article vous a plu. Pour les moins attentifs qui ont loupé le lien, je le remets pour finir sur une bonne note : Google Alertes.
Par ailleurs, si ce genre de petite astuce du web attise votre curiosité, je me permets de vous redonner le lien vers mon article qui parle de la machine temporelle d’internet : Une machine à voyager dans le temps pour contrer les arnaques.

Le dropshipping : une arnaque double-face !



Le dropshipping : une arnaque double-face !

par



Dropshipping, achat, Hackers,
 
 
Vous ne le savez peut-être pas, mais si vous êtes un internaute moyen, vous avez déjà forcément été confronté au dropshipping. Non ? Mais si ! Lorsque vous avez vu une pub Facebook pour cette montre sympa à un prix incroyable ou encore cette trottinette électrique avec une belle promo… Vous n’avez pas cliqué ? Vous avez bien fait ! Mais comment reconnaître le dropshipping et éviter les risques qu’il vous fait courir ? En quoi s’agit-il souvent d’une arnaque « double face » ? Signal Arnaques vous dévoile les techniques à l’oeuvre pour mieux les déjouer…
Côté pile, vous avez des acheteurs qui pensent faire une bonne affaire en achetant un produit à un prix attractif. Côté face, vous avez des apprentis-marchands qui tentent de faire fortune sur internet en appliquant plus ou moins bien les recettes dépassées de quelques gourous douteux. Au final, vous n’avez presque que des perdants… si ce n’est quelques intermédiaires qui, eux, gagnent à tous les coups ! Mais alors comment ça marche ? C’est ce que nous allons voir.

Le Dropshipping expliqué à ma mère

Pour faire simple, le dropshipping consiste à vendre un produit que vous n’avez pas tout en vous faisant passer pour un vendeur parfaitement normal. Vous créez votre petite boutique en ligne avec quelques produits bien choisis chez quelques fabricants (9 fois sur 10 asiatiques) et lorsque vos clients passent commande, ce sont ces fameux fabricants qui leur livrent directement la marchandise chez eux.
Pour le client, le dropshipping est donc déjà quelque part en soi une arnaque puisqu’il y a tromperie sur la nature de la boutique en ligne : celle-ci n’est en fait qu’un paravent entre lui et le fabricant… ce qui, comme nous allons le voir, n’est pas sans conséquence !

Pourquoi absolument éviter d’acheter chez un dropshipper

Certains pourraient me dire : « où est le problème ? la plupart des boutiques ne fabriquent pas elles-mêmes ce qu’elles vendent ! » Certes, un commerçant « normal » ne fabrique pas les produits qu’il vend… mais il les achète, les stocke, contrôle leur qualité et assure le service après-vente en cas de problème. Cela veut donc dire qu’avec un dropshipper :
  • Vous n’avez aucune garantie sur la qualité : les produits sont en général à très bas coût, ne respectent pas forcément les normes européennes et s’avèrent dans bien des cas être des contrefaçons d’autres produits. Les photos mises en avant par la boutique sont souvent trompeuses et embellissent beaucoup les produits par rapport à ce que vous recevrez. Le dropshipper ne gérant aucune logistique, réussir à retourner le produit au bon endroit et à obtenir un remboursement tient du miracle.
  • Vous devez vous attendre à des délais importants ! Les produits viennent directement de l’autre bout de la Terre puisque le commerçant européen qui vous vend le produit n’en a aucun en stock.
  • Le produit pourra ne jamais arriver : les dropshippers sont de petites sociétés qui n’ont qu’un faible contrôle sur des fabricants qui sont loin d’eux. Outre, les escroqueries et les incidents logistiques, les problèmes de réglementation ou une mauvaise gestion des taxes de leur part peuvent parfois aboutir à la disparition des produits avant qu’ils n’arrivent chez vous.
  • Vous pouvez faire une croix sur le SAV : pour toutes les raisons évoquées au dessus, il n’y en aura pour ainsi dire pas
  • Vous n’avez aucun recours en cas de problème : les dropshippers sont en général des toutes petites structures récentes qui n’ont pas d’image de marque à défendre. Même si elles veulent faire quelque chose, elles s’avèrent complètement désarmées face à un problème important d’un de leur fabricant et sont incapables d’indemniser qui que ce soit. Situées à l’étranger ou insolvables, elles sont d’une manière ou d’une autre à l’abri d’une éventuelle décision judiciaire défavorable.

Comment reconnaître le dropshipping à presque tous les coups

Les dropshippers ont quelques caractéristiques assez faciles à identifier :
  • Ils ont une politique publicitaire très ciblée sur Facebook : de jolies photos, un prix attractif, des commentaires élogieux, et surtout la petite mention « publication sponsorisée »… vous avez là un bon candidat de lien sur lequel ne surtout pas cliquer !
  • Leur site a une durée de vie en général limitée : étant donné qu’ils rencontrent souvent rapidement des problèmes, les sites de dropshipping encore actifs sont récents.
  • La société qui est derrière le site est la plupart du temps petite, très jeune et n’a aucun élément qui puisse assurer sa pérennité (les auto-entreprises y sont extrêmement fréquentes). Dans certains cas, elle est carrément basée à l’étranger (au Royaume Uni, aux USA ou dans un paradis fiscal).
  • Une petite recherche sur Internet à leur sujet aboutit souvent à des sites communautaires de défense des internautes comme Signal Arnaques
Bref, si vous suivez nos 5 techniques pour reconnaître un site d’arnaques, vous devriez assez vite les repérer !

Les « dropshippers » aussi perdants !

Le pire avec les dropshippers, c’est que la plupart d’entre eux sont aujourd’hui perdants : beaucoup ont été attirés vers ce modèle par quelques vendeurs de rêves qui leur ont promis qu’ils pourraient facilement faire fortune. Et oui ! D’après eux, en trouvant quelques fournisseurs sur Aliexpress, en montant une boutique avec Shopify, en calibrant quelques pubs Facebook et en automatisant le tout avec Zapier, on peut générer un petit pactole en travaillant peu comme dans la « semaine de 4 heures » de Tim Ferris.
Au final, ces nouveaux entrepreneurs s’aperçoivent rapidement que pour s’en sortir dans le dropshipping, il faut énormément d’effort pour un résultat au moins aussi aléatoire que dans n’importe quel nouveau business. La publicité Facebook se révèle être un gouffre, la gestion des fournisseurs un cauchemar et les marges une peau de chagrin. Entendons-nous bien : le dropshipping a pu fonctionner pour certains il y a quelques années quand la concurrence était moins féroce, le coût de la publicité moins élevé et l’internaute moyen plus naïf. Mais ce temps-là est fini… et si beaucoup de monde continue à vanter les mérites du dropshipping, ce n’est pas complètement innocent.

Les vrais gagnants de l’histoire…

Si vous faites une petite recherche personnelle sur le dropshipping, vous allez trouver une foule de sites vous expliquant que, oui, oui, c’est formidable et que vous aussi, vous pouvez-y mettre en cliquant ici. Soyons clairs : 99% d’entre eux ont quelque chose à y gagner. Vous y trouverez donc :
  • Des gourous vous vendant des formations pour devenir riche. Honnêtement, ceux-là sont la pire espèce et ils auront un article rien que pour eux dans ces colonnes prochainement (avis à la population : nous cherchons des témoins sur le sujet).
  • Des intermédiaires (plateformes d’e-commerce, places de marché, prestataires de paiement, prestataires web) qui toucheront quelque chose que votre business de dropshipping marche ou pas… et qu’il soit une arnaque ou pas !
  • Des sites qui pratiquent l’affiliation et qui touchent des commissions pour vous faire cliquer sur des liens vers une des deux catégories citées au-dessus.
Vous n’êtes pas d’accord ? Vous avez un témoignage ou une question ? Laissez nous un commentaire et faites suivre l’article s’il vous a plu !

Apple partage vos données de navigation avec le géant chinois Tencent

Apple partage vos données de navigation avec le géant chinois Tencent



apple, confidentialité, anonymat,
 
 
Le service Tencent Safe Browsing pourrait être utilisé par Safari en dehors de Chine. C’est ce qu’indique Apple dans la rubrique « Safari et Confidentialité » d’iOS. Vos données de navigation, notamment votre adresse IP, sont peut-être partagées avec le géant chinois connu pour collaborer activement avec les autorités de son pays.

Lorsque nous activons une option sur notre smartphone ou que nous acceptons les conditions générales d’utilisation d’un service, nous donnons notre consentement, mais à quoi exactement ? Rares sont ceux qui prennent la peine de découvrir à quoi nous nous engageons. C’est ainsi que les utilisateurs d’Android ont donné la permission à Google d’écouter les commandes vocales envoyées à Google Assistant sans le savoir.
Ici c’est la fonctionnalité « Safe Browsing » dans le navigateur Safari d’iOS qui est en cause. Elle est activée par défaut, et doit vous protéger des tentatives d’hameçonnage, et des sites web frauduleux lorsque vous naviguez avec Safari.
Si vous vous rendez dans les réglages de Safari sur votre iPhone, vous remarquerez un petit lien « Safari et confidentialité… ». Il mène vers un document dans lequel on peut lire que des données peuvent être envoyées aux services Google Safe Browsing et Tencent Dafe Browsing, notamment votre adresse IP.
Image 2 : Apple partage vos données de navigation avec le géant chinois Tencent

Rien n’indique si le partage se limite aux utilisateurs chinois

La mise en place d’un service de protection implique bien évidemment de partager des données, au moins l’adresse du site web qu’on souhaite visiter. Et sur ce point, le mode de fonctionnement de Google Safe Browsing garantit relativement bien votre anonymat. Votre historique de navigation n’est pas stocké, et il se base sur des empreintes SHA-256 pour identifier les sites frauduleux plutôt que sur des URL.

En ce qui concerne Tencent, on ne sait rien si ce n’est que l’entreprise collabore activement avec les autorités chinoises. En Chine, Google Safe Browsing n’est pas accessible, tous ses résidents passent donc par Tencent, mais rien n’indique qu’il n’est jamais utilisé en Europe ou ailleurs.
De son côté, Apple n’a pas communiqué sur le sujet, alors que la firme fait déjà l’objet de vives critiques à la suite du retrait de l’application HKMap de l’App Store. Pour rappel, les autorités chinoises reprochaient à l’application d’être utilisée par les manifestants hongkongais pour mener des actions violentes contre les forces de l’ordre.

REF.: