Hello la compagnie,
je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.
DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic
DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez.
Activer DoH sous Firefox
Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ».
Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ».
Puis cochez la case « Activer le DNS via HTTPS ». Vous pouvez choisir
le fournisseur de DNS sécurisé (Cloudflare ou Nextcloud) ou spécifier
le vôtre. Si vous cherchez une liste fiable de fournisseurs DNS over
HTTPS (DoH), je vous en ai compilé plusieurs ici.
Microsoft Windows
fait partie de ces logiciels qui trainent derrière eux une longue liste
d’astuces et autres easter eggs (fonctionnalités cachées) plus ou moins
marrantes et utiles. J’ai toujours été fan de ces petites pépites
cachées, ces petits secrets, alors je me suis amusé à faire cette vidéo
pour vous montrer toutes celles que vous pouvez retrouver dans Windows
10.
Il y a bien sûr le Mode God dont voici le code au passage :
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Mais aussi des astuces avec Cortana, la calculatrice, l’explorateur
Windows, les émojis, la visionneuse 3D, des clins d’oeil à StarWars, au
Seigneur des Anneaux, au jeu
Doom sans oublier quelques astuces pour ajouter de la transparence à
l’invite de commande MS DOS ou encore activer le mode sombre ou y voir
plus clair lorsque votre bureau est surchargé en fenêtres.
J’étais parti avec comme idée de vous montrer uniquement des easter
eggs, mais de fil en aiguille, je suis aussi tombé sur quelques astuces
pratiques donc je vous ai tout mis. J’espère que cela vous apprendra
quelques trucs.
Amusez-vous bien !
En parcourant votre fil
d'actualités Facebook, vous apercevez une publication sur un enfant
porté disparu. Naturellement, votre premier réflexe est de partager la
publication. Ça peut contribuer à ramener un enfant sain et sauf à la
maison, alors pourquoi pas?
Pas si vite, répond la Gendarmerie royale du Canada (GRC).
Dans
une publication Facebook, le détachement de Kindersley, en
Saskatchewan, rappelle les dangers de partager ce type de publications
sans d'abord faire quelques vérifications.
Souvent, explique la
GRC, ces publications proviennent de personnes mal intentionnées.
Parfois, l'enfant dont la photo est largement partagée ne manque même
pas à l'appel.
Même si l'on souhaite bien faire en partageant la publication, on ne connaît pas toujours tous les faits.
«Par
exemple, un parent qui se voit refuser l'accès à ses enfants par un
ordre de la cour pourrait mettre leurs photos sur Facebook et affirmer
qu'ils ont disparu», écrit le corps de police.
Parfois - dans les
cas de violence domestique, par exemple -, l'autre parent et l'enfant
peuvent se cacher pour leur propre protection.
En partageant une telle photo, vous pourriez mettre des vies en danger, avertit la GRC.
Cliquer sur «Partager» pourrait faire plus de tort que de bien. (Photo: Getty Images)
La GRC recommande de toujours vérifier la source d'une photo avant de la partager.
«Si
la publication ne provient pas d'une source policière officielle et ne
contient pas de lien vers un article publié par un média sérieux
confirmant la disparition, elle n'est probablement pas légitime.»
vol d'identité, vol de donné, DarkWeb, mot de passe, Hackers,
Des milliers de mots de passe d’élus et de fonctionnaires, dont
certains liés à Justin Trudeau et à des députés de l’Assemblée
nationale, ont été piratés et sont disponibles sur le dark web. Ces
fuites pourraient mettre des informations sensibles à risque.
Même des directeurs de la Sûreté du Québec et un sous-ministre
fédéral de la Justice ont été victimes du vol, a constaté notre Bureau
d’enquête au cours des dernières semaines.
Ces fuites ne signifient pas nécessairement que les systèmes
informatiques des gouvernements ont été directement
infiltrés.
Ils
pourraient cependant faciliter le travail de criminels qui voudraient
accéder à des réseaux gouvernementaux.
Informations volées
Le ministère de l’Éducation vient justement d’annoncer qu’un mot de
passe dérobé a servi à voler les informations de 360 000
enseignants.
Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils
proviennent de fuites déjà connues, comme celles qui ont frappé
LinkedIn, Dropbox et le site de rencontres coquines Ashley
Madison.
Dans ces cas-là, les victimes du vol de mots de passe ont utilisé
leur courriel professionnel pour se connecter à leurs comptes sur ces
sites.
Or, les internautes ont tendance à utiliser des mots de passe
similaires d’un site à l’autre, et mettent donc leur code d’accès
professionnel à risque.
« Ça facilite la vie des hackers,
explique Mathieu Jacques, fondateur du consultant en cybersécurité
Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un
robot pour l’avoir au complet ! »
S’ils réussissent, les pirates peuvent ensuite revendre
l’information à des spécialistes du vol d’identité, de l’espionnage ou
des cyberattaques.
Des experts s’inquiètent et croient que les organismes
gouvernementaux n’en font pas suffisamment pour avertir les victimes de
ces vols de mots de passe lorsqu’ils sont détectés sur
internet.
Tenus dans l’ignorance
La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.
« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journal de Montréal
est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme
François Daigle, sous-ministre délégué de la Justice, dont un mot de
passe a fuité.
Plusieurs
organisations concernées sont réticentes à expliquer ce qui s’est
passé. Certaines assurent qu’elles étaient déjà au
courant.
Tous les organismes publics affectés disent s’être dotés de
politiques d’utilisation sécuritaire des courriels. Ils interdisent
l’utilisation de l’adresse professionnelle sur des sites tiers et
prévoient des changements réguliers de mots de passe. - Avec la collaboration d’Andrea Valeria
Notre démarche
Nous avons utilisé un moteur de recherche conçu pour détecter les
données piratées qui se trouvent sur le dark web. Ce logiciel ne révèle
que les quatre premiers caractères des mots de passe qu’il peut trouver.
Nous avons ensuite retrouvé certains mots de passe complets sur un
forum de voleurs d’identité. Éric Caire
Photo d'archives, Simon Clark
Ministre délégué à la Transformation numérique gouvernementale
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’il avait à dire : Son attachée de presse
Nathalie Saint-Pierre indique que son patron ne se souvient pas d’avoir
utilisé ce mot de passe.
François Daigle
Sous-ministre délégué de la Justice
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale. Ce qu’il avait à dire : « Merci de l’avoir porté à
mon attention. Je ne l’aurais jamais su autrement », souligne le
deuxième plus haut fonctionnaire au ministère de la Justice à Ottawa. La
fuite de son mot de passe semble liée à la brèche majeure ayant frappé
LinkedIn en 2016.
Une greffière du palais de justice de Montréal Ce que nous avons trouvé : Un mot de passe avec
lequel elle accédait jusqu’à l’été 2019 au système informatique du
ministère de la Justice. Ce qu’elle avait à dire : Le mot de passe servait
notamment à prendre ses courriels et démarrer l’enregistrement sonore
dans les salles de cour. « C’était le mot de passe pour accéder à tout
», soutient l’ancienne fonctionnaire, qui vient de quitter son emploi et
demande à conserver l’anonymat. Elle non plus n’avait pas été avisée de
la fuite.
Guy Ouellette
Photo d'archives, Simon Clark
Député indépendant
Ce que nous avons trouvé : Deux mots de passe associés à l’une de ses adresses de l’Assemblée nationale. Ce qu’il avait à dire : L’ancien
libéral a déjà utilisé l’un des deux codes d’accès pour consulter des
courriels reçus sur le réseau de l’Assemblée nationale. L’autre mot de
passe a vraisemblablement servi à se connecter sur le réseau LinkedIn.
Personne ne l’a avisé de la situation, même si la fuite semble dater de
plusieurs années. « Il va falloir vérifier s’ils font vraiment une
veille là-dessus, note-t-il. Je vais faire certaines vérifications en ce
qui me concerne. »
Justin Trudeau
Photo d'archives, AFP
Premier ministre du Canada
Ce que nous avons trouvé : Quatre mots de passe
associés à autant d’adresses courriel de la Chambre des communes. L’un
d’eux se trouve sur le web clandestin depuis au moins 2012 sous forme
non encryptée. Certaines données semblent liées aux brèches ayant touché
Dropbox, un site de partage de fichiers, et myheritage.com, spécialisé
dans les recherches généalogiques. Ce qu’il avait à dire : « Ce sont des adresses de
député, pas des adresses du bureau du premier ministre. Ceux qui les
utilisent, ce sont des employés dans la circonscription », dit Ann-Clara
Vaillancourt, attachée de presse au cabinet de
Trudeau.
Paul Crépeau
Directeur exécutif du Conseil de la magistrature ; Ancien procureur de la commission Charbonneau
Ce que nous avons trouvé : Un mot de passe associé à une ancienne adresse gouvernementale. Ce qu’il avait à dire : Il s’en servait pour
plusieurs comptes, jusqu’à notre appel. Le code est associé à son
ancienne adresse du Directeur des poursuites criminelles et pénales,
qu’il a quitté en 2012. Après notre discussion, M. Crépeau a communiqué
avec son ancien employeur. « Je leur ai dit : “Je sens que vous avez
peut-être un problème au niveau de la sécurité !” » ♦ Notre Bureau d’enquête a aussi trouvé des mots de passe
associés à deux autres procureurs, qui n’avaient pas été avertis non
plus.
Pascal Bérubé
Photo d'archives, Simon Clark
Chef intérimaire du Parti québécois
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’il avait à dire : Le
député de Matane s’en servait pour se connecter à des sites tiers. La
sécurité de l’Assemblée nationale ne l’a jamais avisé. « Si mon mot de
passe circule avec un courriel, ce n’est pas très rassurant !
lance-t-il. Merci au Journal de nous avertir, on va prendre des mesures. »
François Croteau
Maire de l’arrondissement de Rosemont–Petite-Patrie, à Montréal
Ce que nous avons trouvé : Un mot de passe associé à son adresse courriel de la Ville. Ce qu’il avait à dire : « C’est le mot de passe
que j’avais jusqu’en 2018 pour me connecter à mon logiciel Lotus Notes
de la Ville ! » Messagerie électronique, connexion au réseau Wi-Fi,
téléchargement d’ordres du jour... Le code servait à toutes ces
fonctions, jusqu’à ce que la Ville passe à un système plus sécuritaire, à
double authentification.
Filomena Rotiroti
Photo courtoisie
Députée de Jeanne-Mance–Viger
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’elle avait à dire : La députée croit qu’elle
utilisait ce mot de passe pour accéder au site de mise en forme
myfitnesspal.com. Personne ne l’a jamais avisée.
Denis Audet
Directeur de la gestion des contrats au ministère de la Justice du Québec
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale. Ce qu’il avait à dire : Le haut fonctionnaire
utilisait encore le code d’accès dont nous avons retrouvé les quatre
premières lettres pour se connecter à des systèmes du gouvernement. « Je
vais devoir vérifier ça », affirme-t-il. Denis Audet se dit surpris de
n’avoir jamais été averti de la fuite.
La Sûreté du Québec et la police de Montréal Ce que nous avons trouvé :
258 mots de passe d’employés de la Sûreté du Québec, dont certains hauts gradés des enquêtes criminelles.
110 mots de passe associés à la police de Montréal. On
y retrouve des codes de chefs de postes de quartier. Des adresses sont
associées au site de rencontres extraconjugales Ashley Madison, ce qui
pourrait permettre de faire chanter des
agents.
Ce qu’ils avaient à dire :
À la Sûreté du Québec, le porte-parole Hugo Fournier
assure que l’organisation est au courant de ces fuites de mots de passe
depuis janvier 2018.
L’organisation n’a reçu aucune plainte à ce sujet et a donc décidé
de ne pas enquêter. Elle croit que ces fuites proviennent des données
d’un site tiers ayant subi une brèche
informatique.
« Une enquête a permis de démontrer qu’aucune
information sensible n’avait été compromise, déclare de son côté la
police de Montréal. Un ensemble de mesures a également été mis en place
pour empêcher que ces adresses courriel puissent être utilisées à
mauvais escient. »
Lexique
Web clandestin (dark web)
Partie
du web non répertoriée par les moteurs de recherche comme Google, où se
concentrent les activités illicites (distribution et revente de drogue,
pornographie juvénile, données personnelles volées,
etc.). Encryption (ou chiffrement)
Modification dans le codage numérique d’une information pour la
rendre illisible par quelqu’un qui ne détient pas la clé de
décryption. Double authentification
Système où l’utilisateur doit entrer un code apparaissant sur un
autre appareil, comme un téléphone, en plus de son mot de passe, avant
de pouvoir se connecter à un réseau.
Des experts s’inquiètent
Des
experts en cybersécurité croient que les gouvernements doivent
redoubler de vigilance pour détecter les fuites de mots de passe qui
pourraient compromettre leurs informations et celles de leurs
employés.
Mathieu Jacques Expert en cybersécurité
« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.
Selon lui, les autorités devraient systématiquement informer leurs
employés de la présence de mots de passe leur étant associés sur le web
clandestin, même s’ils ont été changés et qu’ils sont associés à des
fuites déjà connues.
« Tous les utilisateurs devraient être notifiés pour leurs propres
problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui
aide les entreprises à colmater leurs vulnérabilités
informatiques.
Plusieurs façons
Comment ces données sont-elles arrivées entre les mains de pirates ?
La réponse varie énormément selon les cas, disent les experts.
La victime peut avoir utilisé son adresse courriel
professionnelle comme identifiant pour se connecter à un autre site qui
s’est fait pirater, comme LinkedIn, Dropbox ou Ashley
Madison.
« C’est généralement la source d’information piratée la moins
valide, ne serait-ce que parce que l’information sur ces brèches est
connue et les usagers diligents ont déjà changé leur mot de passe »,
explique M. Jacques.
Quelqu’un peut avoir utilisé un ordinateur à la maison
ou ailleurs, infecté par un virus, pour se connecter à son compte
professionnel, et s’être alors fait voler
l’information.
Pour ce faire, les pirates peuvent utiliser le keylogging :
un logiciel espion qui transmet les touches sur lesquelles tape la
victime, et enregistre son activité.
La victime peut avoir été « hameçonnée » (phishing)
: au téléphone, par texto, par courriel ou à l’aide d’un faux site, le
pirate l’a convaincue de partager son mot de passe en se faisant passer
pour un interlocuteur légitime.
Pire scénario : l’organisme lui-même peut avoir
directement été victime d’une attaque ou d’un vol d’informations, comme
Desjardins et le ministère de
l’Éducation.
Grave problème
Chose certaine, le vol de mots de passe est un grave problème dans
les organisations, publiques ou privées, assure Damien Bancal,
spécialiste en cyberintelligence.
« Des fuites, il y en a à profusion, dit-il. Après le vol, les
pirates peuvent utiliser les informations pendant des années, les
revendre plusieurs fois... »
Les
gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le
bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas
surveiller chaque employé. »
À quoi ça peut servir ?
Un mot de passe valide peut être d’une grande utilité pour un
pirate qui veut voler une identité afin de commettre des
méfaits. Attaque par force brute
Utiliser un réseau d’ordi-nateurs qui teste rapidement des milliers
de mots de passe pour pénétrer dans un système informatique public. Une
fois entré, le pirate peut :
Crypter les données et exiger une rançon pour les déchiffrer ;
Accéder à des dossiers secrets pour faire de
l’espionnage ou voler des informations
confidentielles.
Hameçonnage
Se
faire passer pour un technicien informatique ou un autre interlocuteur
légitime en utilisant des données personnelles comme un identifiant et
un mot de passe.
Soutirer ensuite d’autres informations personnelles, comme d’autres
codes d’accès, qui permettront de commettre des
fraudes. Atteinte à la réputation
Pénétrer une boîte courriel ou un compte LinkedIn pour envoyer des menaces ou insulter d’autres personnes. Fraude, extorsion
Se cacher derrière l’adresse courriel d’un autre pour frauder ou extorquer.
Trouver une adresse servant d’identifiant pour un site
de rencontres extraconjugales comme Ashley Madison, contacter la
victime de la fuite et exiger une rançon pour garder le silence.
Vous n’avez pas trouvé la version karaoké de votre chanson préférée
sur YouTube ? Essayez Youka, un site qui transforme n’importe quelle
vidéo de la plateforme de streaming en piste de karaoké.
Le nom de l’application vient de la contraction de « YouTube » et « karaoké ». Youka recherche automatiquement les paroles des chansons
disponibles sur YouTube et les applique à la vidéo. Elle parcourt pour
cela tous les sites internet répertoriant gratuitement des paroles de
musique. Différentes options de langue sont disponibles. Youka
fonctionne donc aussi avec des chansons en français.
En quelques secondes seulement, l’application génère les paroles.
Celles-ci s’affichent ensuite sur la vidéo, et défilent avec une couleur
bleue indiquant quand commencer à chanter chaque phrase. Et ce n’est
pas tout, l’application peut isoler la partie vocale d’un morceau, pour transformer la vidéo YouTube en véritable piste de karaoké.
L’intelligence artificielle au service du karaoké
D’autres options assez amusantes à essayer sont également disponibles. Youka peut par exemple isoler la partie instrumentale, afin de ne conserver que la partie vocale d’une chanson. Enfin, beaucoup moins utile mais original,l’application peut générer des paroles de karaoké sur un morceau entièrement instrumental.
Le technologiste Andy Baio, qui a publié plusieurs posts sur Youka, a
par exemple testé cette fonction avec le tube électro Sandstorm de
Darude. Le résultat est donc une succession de « dadadada » et « beep beep beep beep ».
Jeux vidéo en hyper réalité virtuelle | Reportage chez Terragame
Selon Baio, Youka utilise l’outil d’intelligence artificielle open source Spleeter, développé par la plateforme de streaming Deezer.
Celui-ci permet de séparer l’audio et la voix d’un morceau en 5 pistes
différentes dans un délai très rapide. Afin de rendre son application
complètement légale et de s’éviter un procès, le créateur de Youka a annoncé qu’il rendrait bientôt son programme open-source. En attendant, vous pouvez le tester sur cette page.