Sécurité : Des pirates ont
trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette
faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire
des achats en ligne.
Depuis vendredi dernier, des utilisateurs déclarent avoir vu des
transactions mystérieuses apparaître dans leur historique PayPal,
provenant de Google Pay. Ces problèmes ont été signalés sur de
nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des
forums de support Google Pay russe et allemand.
Les victimes expliquent avoir remarqué des abus de leur compte Google
Pay sur des achats qui utilisent leur compte PayPal lié. D'après les
captures d'écran et divers témoignages, la plupart des transactions
illégales ont lieu dans des magasins américains, et notamment dans les
magasins Target. La plupart des victimes semblent être des utilisateurs
allemands. Les dommages sont estimés à plusieurs dizaines de milliers
d'euros. Certaines transactions dépassent 1 000 euros.
On ne sait pas encore très bien ce que ces pirates exploitent. PayPal
a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de
commentaire au moment où cet article est publié.
publicité
La théorie d'un chercheur en sécurité allemand
Sur Twitter,
un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce
mardi que les transactions illégales signalées ce week-end semblent être
liées à une faille de sécurité qu'il a signalé, avec son collègue
Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé
prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le
problème vient du fait que lorsque vous liez un compte PayPal à un
compte Google Pay, PayPal crée une carte virtuelle, avec son propre
numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un
utilisateur de Google Pay choisit d'effectuer un paiement sans contact
en utilisant les fonds de son compte PayPal, la transaction est facturée
via cette carte virtuelle.
« Si la carte virtuelle était verrouillée pour ne fonctionner que sur
les paiements en point de vente physique, il n'y aurait aucun problème.
Mais PayPal permet d'utiliser cette carte virtuelle pour les
transactions en ligne également », détaille-t-il à ZDNet lors d'une
interview. Il pense que les pirates ont trouvé un moyen de trouver les
informations de ces cartes virtuelles et qu'ils les utilisent pour
effectuer des transactions non autorisées en ligne.
Le chercheur explique qu'il peut y avoir trois façons d'obtenir les
informations d'une carte virtuelle. La première, c'est de les lire
depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant
un malware infectant l'appareil de la victime. Et la troisième, en les
devinant.
Dans ce dernier cas, « une attaque par force brute pour deviner le
numéro de la carte et la date de validité prendra environ un an, ce qui
fait un espace de recherche plutôt restreint », précise Markus Fenske.
Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est
accepté ».
PayPal enquête
Malgré tout, Markus Fenske est le premier à dire que son collègue
Andreas Mayer ne font que des suppositions sur les réelles causes de
l'attaque – bien que les détails semblent bien correspondre au bug
qu'ils ont signalé l'an dernier.
D'un autre côté, le département de sécurité de PayPal a lancé une
enquête sur les transactions non autorisées dès que ZDNet les a contacté
il y a quelques heures. Les équipes envisagent plusieurs scénarios, et
ils ont pris en compte notamment celui de l'attaque décrite par les
chercheurs allemands, ainsi que leur rapport de février 2019.
« La sécurité des comptes de nos clients est une priorité absolue
dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet.
« Nous vérifions cette information et nous prendrons toutes les mesures
appropriées et nécessaires pour protéger davantage nos clients. »
Hello la compagnie,
je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.
DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic
DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez.
Activer DoH sous Firefox
Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ».
Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ».
Puis cochez la case « Activer le DNS via HTTPS ». Vous pouvez choisir
le fournisseur de DNS sécurisé (Cloudflare ou Nextcloud) ou spécifier
le vôtre. Si vous cherchez une liste fiable de fournisseurs DNS over
HTTPS (DoH), je vous en ai compilé plusieurs ici.
Microsoft Windows
fait partie de ces logiciels qui trainent derrière eux une longue liste
d’astuces et autres easter eggs (fonctionnalités cachées) plus ou moins
marrantes et utiles. J’ai toujours été fan de ces petites pépites
cachées, ces petits secrets, alors je me suis amusé à faire cette vidéo
pour vous montrer toutes celles que vous pouvez retrouver dans Windows
10.
Il y a bien sûr le Mode God dont voici le code au passage :
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Mais aussi des astuces avec Cortana, la calculatrice, l’explorateur
Windows, les émojis, la visionneuse 3D, des clins d’oeil à StarWars, au
Seigneur des Anneaux, au jeu
Doom sans oublier quelques astuces pour ajouter de la transparence à
l’invite de commande MS DOS ou encore activer le mode sombre ou y voir
plus clair lorsque votre bureau est surchargé en fenêtres.
J’étais parti avec comme idée de vous montrer uniquement des easter
eggs, mais de fil en aiguille, je suis aussi tombé sur quelques astuces
pratiques donc je vous ai tout mis. J’espère que cela vous apprendra
quelques trucs.
Amusez-vous bien !
En parcourant votre fil
d'actualités Facebook, vous apercevez une publication sur un enfant
porté disparu. Naturellement, votre premier réflexe est de partager la
publication. Ça peut contribuer à ramener un enfant sain et sauf à la
maison, alors pourquoi pas?
Pas si vite, répond la Gendarmerie royale du Canada (GRC).
Dans
une publication Facebook, le détachement de Kindersley, en
Saskatchewan, rappelle les dangers de partager ce type de publications
sans d'abord faire quelques vérifications.
Souvent, explique la
GRC, ces publications proviennent de personnes mal intentionnées.
Parfois, l'enfant dont la photo est largement partagée ne manque même
pas à l'appel.
Même si l'on souhaite bien faire en partageant la publication, on ne connaît pas toujours tous les faits.
«Par
exemple, un parent qui se voit refuser l'accès à ses enfants par un
ordre de la cour pourrait mettre leurs photos sur Facebook et affirmer
qu'ils ont disparu», écrit le corps de police.
Parfois - dans les
cas de violence domestique, par exemple -, l'autre parent et l'enfant
peuvent se cacher pour leur propre protection.
En partageant une telle photo, vous pourriez mettre des vies en danger, avertit la GRC.
Cliquer sur «Partager» pourrait faire plus de tort que de bien. (Photo: Getty Images)
La GRC recommande de toujours vérifier la source d'une photo avant de la partager.
«Si
la publication ne provient pas d'une source policière officielle et ne
contient pas de lien vers un article publié par un média sérieux
confirmant la disparition, elle n'est probablement pas légitime.»
vol d'identité, vol de donné, DarkWeb, mot de passe, Hackers,
Des milliers de mots de passe d’élus et de fonctionnaires, dont
certains liés à Justin Trudeau et à des députés de l’Assemblée
nationale, ont été piratés et sont disponibles sur le dark web. Ces
fuites pourraient mettre des informations sensibles à risque.
Même des directeurs de la Sûreté du Québec et un sous-ministre
fédéral de la Justice ont été victimes du vol, a constaté notre Bureau
d’enquête au cours des dernières semaines.
Ces fuites ne signifient pas nécessairement que les systèmes
informatiques des gouvernements ont été directement
infiltrés.
Ils
pourraient cependant faciliter le travail de criminels qui voudraient
accéder à des réseaux gouvernementaux.
Informations volées
Le ministère de l’Éducation vient justement d’annoncer qu’un mot de
passe dérobé a servi à voler les informations de 360 000
enseignants.
Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils
proviennent de fuites déjà connues, comme celles qui ont frappé
LinkedIn, Dropbox et le site de rencontres coquines Ashley
Madison.
Dans ces cas-là, les victimes du vol de mots de passe ont utilisé
leur courriel professionnel pour se connecter à leurs comptes sur ces
sites.
Or, les internautes ont tendance à utiliser des mots de passe
similaires d’un site à l’autre, et mettent donc leur code d’accès
professionnel à risque.
« Ça facilite la vie des hackers,
explique Mathieu Jacques, fondateur du consultant en cybersécurité
Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un
robot pour l’avoir au complet ! »
S’ils réussissent, les pirates peuvent ensuite revendre
l’information à des spécialistes du vol d’identité, de l’espionnage ou
des cyberattaques.
Des experts s’inquiètent et croient que les organismes
gouvernementaux n’en font pas suffisamment pour avertir les victimes de
ces vols de mots de passe lorsqu’ils sont détectés sur
internet.
Tenus dans l’ignorance
La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.
« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journal de Montréal
est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme
François Daigle, sous-ministre délégué de la Justice, dont un mot de
passe a fuité.
Plusieurs
organisations concernées sont réticentes à expliquer ce qui s’est
passé. Certaines assurent qu’elles étaient déjà au
courant.
Tous les organismes publics affectés disent s’être dotés de
politiques d’utilisation sécuritaire des courriels. Ils interdisent
l’utilisation de l’adresse professionnelle sur des sites tiers et
prévoient des changements réguliers de mots de passe. - Avec la collaboration d’Andrea Valeria
Notre démarche
Nous avons utilisé un moteur de recherche conçu pour détecter les
données piratées qui se trouvent sur le dark web. Ce logiciel ne révèle
que les quatre premiers caractères des mots de passe qu’il peut trouver.
Nous avons ensuite retrouvé certains mots de passe complets sur un
forum de voleurs d’identité. Éric Caire
Photo d'archives, Simon Clark
Ministre délégué à la Transformation numérique gouvernementale
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’il avait à dire : Son attachée de presse
Nathalie Saint-Pierre indique que son patron ne se souvient pas d’avoir
utilisé ce mot de passe.
François Daigle
Sous-ministre délégué de la Justice
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale. Ce qu’il avait à dire : « Merci de l’avoir porté à
mon attention. Je ne l’aurais jamais su autrement », souligne le
deuxième plus haut fonctionnaire au ministère de la Justice à Ottawa. La
fuite de son mot de passe semble liée à la brèche majeure ayant frappé
LinkedIn en 2016.
Une greffière du palais de justice de Montréal Ce que nous avons trouvé : Un mot de passe avec
lequel elle accédait jusqu’à l’été 2019 au système informatique du
ministère de la Justice. Ce qu’elle avait à dire : Le mot de passe servait
notamment à prendre ses courriels et démarrer l’enregistrement sonore
dans les salles de cour. « C’était le mot de passe pour accéder à tout
», soutient l’ancienne fonctionnaire, qui vient de quitter son emploi et
demande à conserver l’anonymat. Elle non plus n’avait pas été avisée de
la fuite.
Guy Ouellette
Photo d'archives, Simon Clark
Député indépendant
Ce que nous avons trouvé : Deux mots de passe associés à l’une de ses adresses de l’Assemblée nationale. Ce qu’il avait à dire : L’ancien
libéral a déjà utilisé l’un des deux codes d’accès pour consulter des
courriels reçus sur le réseau de l’Assemblée nationale. L’autre mot de
passe a vraisemblablement servi à se connecter sur le réseau LinkedIn.
Personne ne l’a avisé de la situation, même si la fuite semble dater de
plusieurs années. « Il va falloir vérifier s’ils font vraiment une
veille là-dessus, note-t-il. Je vais faire certaines vérifications en ce
qui me concerne. »
Justin Trudeau
Photo d'archives, AFP
Premier ministre du Canada
Ce que nous avons trouvé : Quatre mots de passe
associés à autant d’adresses courriel de la Chambre des communes. L’un
d’eux se trouve sur le web clandestin depuis au moins 2012 sous forme
non encryptée. Certaines données semblent liées aux brèches ayant touché
Dropbox, un site de partage de fichiers, et myheritage.com, spécialisé
dans les recherches généalogiques. Ce qu’il avait à dire : « Ce sont des adresses de
député, pas des adresses du bureau du premier ministre. Ceux qui les
utilisent, ce sont des employés dans la circonscription », dit Ann-Clara
Vaillancourt, attachée de presse au cabinet de
Trudeau.
Paul Crépeau
Directeur exécutif du Conseil de la magistrature ; Ancien procureur de la commission Charbonneau
Ce que nous avons trouvé : Un mot de passe associé à une ancienne adresse gouvernementale. Ce qu’il avait à dire : Il s’en servait pour
plusieurs comptes, jusqu’à notre appel. Le code est associé à son
ancienne adresse du Directeur des poursuites criminelles et pénales,
qu’il a quitté en 2012. Après notre discussion, M. Crépeau a communiqué
avec son ancien employeur. « Je leur ai dit : “Je sens que vous avez
peut-être un problème au niveau de la sécurité !” » ♦ Notre Bureau d’enquête a aussi trouvé des mots de passe
associés à deux autres procureurs, qui n’avaient pas été avertis non
plus.
Pascal Bérubé
Photo d'archives, Simon Clark
Chef intérimaire du Parti québécois
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’il avait à dire : Le
député de Matane s’en servait pour se connecter à des sites tiers. La
sécurité de l’Assemblée nationale ne l’a jamais avisé. « Si mon mot de
passe circule avec un courriel, ce n’est pas très rassurant !
lance-t-il. Merci au Journal de nous avertir, on va prendre des mesures. »
François Croteau
Maire de l’arrondissement de Rosemont–Petite-Patrie, à Montréal
Ce que nous avons trouvé : Un mot de passe associé à son adresse courriel de la Ville. Ce qu’il avait à dire : « C’est le mot de passe
que j’avais jusqu’en 2018 pour me connecter à mon logiciel Lotus Notes
de la Ville ! » Messagerie électronique, connexion au réseau Wi-Fi,
téléchargement d’ordres du jour... Le code servait à toutes ces
fonctions, jusqu’à ce que la Ville passe à un système plus sécuritaire, à
double authentification.
Filomena Rotiroti
Photo courtoisie
Députée de Jeanne-Mance–Viger
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’elle avait à dire : La députée croit qu’elle
utilisait ce mot de passe pour accéder au site de mise en forme
myfitnesspal.com. Personne ne l’a jamais avisée.
Denis Audet
Directeur de la gestion des contrats au ministère de la Justice du Québec
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale. Ce qu’il avait à dire : Le haut fonctionnaire
utilisait encore le code d’accès dont nous avons retrouvé les quatre
premières lettres pour se connecter à des systèmes du gouvernement. « Je
vais devoir vérifier ça », affirme-t-il. Denis Audet se dit surpris de
n’avoir jamais été averti de la fuite.
La Sûreté du Québec et la police de Montréal Ce que nous avons trouvé :
258 mots de passe d’employés de la Sûreté du Québec, dont certains hauts gradés des enquêtes criminelles.
110 mots de passe associés à la police de Montréal. On
y retrouve des codes de chefs de postes de quartier. Des adresses sont
associées au site de rencontres extraconjugales Ashley Madison, ce qui
pourrait permettre de faire chanter des
agents.
Ce qu’ils avaient à dire :
À la Sûreté du Québec, le porte-parole Hugo Fournier
assure que l’organisation est au courant de ces fuites de mots de passe
depuis janvier 2018.
L’organisation n’a reçu aucune plainte à ce sujet et a donc décidé
de ne pas enquêter. Elle croit que ces fuites proviennent des données
d’un site tiers ayant subi une brèche
informatique.
« Une enquête a permis de démontrer qu’aucune
information sensible n’avait été compromise, déclare de son côté la
police de Montréal. Un ensemble de mesures a également été mis en place
pour empêcher que ces adresses courriel puissent être utilisées à
mauvais escient. »
Lexique
Web clandestin (dark web)
Partie
du web non répertoriée par les moteurs de recherche comme Google, où se
concentrent les activités illicites (distribution et revente de drogue,
pornographie juvénile, données personnelles volées,
etc.). Encryption (ou chiffrement)
Modification dans le codage numérique d’une information pour la
rendre illisible par quelqu’un qui ne détient pas la clé de
décryption. Double authentification
Système où l’utilisateur doit entrer un code apparaissant sur un
autre appareil, comme un téléphone, en plus de son mot de passe, avant
de pouvoir se connecter à un réseau.
Des experts s’inquiètent
Des
experts en cybersécurité croient que les gouvernements doivent
redoubler de vigilance pour détecter les fuites de mots de passe qui
pourraient compromettre leurs informations et celles de leurs
employés.
Mathieu Jacques Expert en cybersécurité
« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.
Selon lui, les autorités devraient systématiquement informer leurs
employés de la présence de mots de passe leur étant associés sur le web
clandestin, même s’ils ont été changés et qu’ils sont associés à des
fuites déjà connues.
« Tous les utilisateurs devraient être notifiés pour leurs propres
problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui
aide les entreprises à colmater leurs vulnérabilités
informatiques.
Plusieurs façons
Comment ces données sont-elles arrivées entre les mains de pirates ?
La réponse varie énormément selon les cas, disent les experts.
La victime peut avoir utilisé son adresse courriel
professionnelle comme identifiant pour se connecter à un autre site qui
s’est fait pirater, comme LinkedIn, Dropbox ou Ashley
Madison.
« C’est généralement la source d’information piratée la moins
valide, ne serait-ce que parce que l’information sur ces brèches est
connue et les usagers diligents ont déjà changé leur mot de passe »,
explique M. Jacques.
Quelqu’un peut avoir utilisé un ordinateur à la maison
ou ailleurs, infecté par un virus, pour se connecter à son compte
professionnel, et s’être alors fait voler
l’information.
Pour ce faire, les pirates peuvent utiliser le keylogging :
un logiciel espion qui transmet les touches sur lesquelles tape la
victime, et enregistre son activité.
La victime peut avoir été « hameçonnée » (phishing)
: au téléphone, par texto, par courriel ou à l’aide d’un faux site, le
pirate l’a convaincue de partager son mot de passe en se faisant passer
pour un interlocuteur légitime.
Pire scénario : l’organisme lui-même peut avoir
directement été victime d’une attaque ou d’un vol d’informations, comme
Desjardins et le ministère de
l’Éducation.
Grave problème
Chose certaine, le vol de mots de passe est un grave problème dans
les organisations, publiques ou privées, assure Damien Bancal,
spécialiste en cyberintelligence.
« Des fuites, il y en a à profusion, dit-il. Après le vol, les
pirates peuvent utiliser les informations pendant des années, les
revendre plusieurs fois... »
Les
gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le
bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas
surveiller chaque employé. »
À quoi ça peut servir ?
Un mot de passe valide peut être d’une grande utilité pour un
pirate qui veut voler une identité afin de commettre des
méfaits. Attaque par force brute
Utiliser un réseau d’ordi-nateurs qui teste rapidement des milliers
de mots de passe pour pénétrer dans un système informatique public. Une
fois entré, le pirate peut :
Crypter les données et exiger une rançon pour les déchiffrer ;
Accéder à des dossiers secrets pour faire de
l’espionnage ou voler des informations
confidentielles.
Hameçonnage
Se
faire passer pour un technicien informatique ou un autre interlocuteur
légitime en utilisant des données personnelles comme un identifiant et
un mot de passe.
Soutirer ensuite d’autres informations personnelles, comme d’autres
codes d’accès, qui permettront de commettre des
fraudes. Atteinte à la réputation
Pénétrer une boîte courriel ou un compte LinkedIn pour envoyer des menaces ou insulter d’autres personnes. Fraude, extorsion
Se cacher derrière l’adresse courriel d’un autre pour frauder ou extorquer.
Trouver une adresse servant d’identifiant pour un site
de rencontres extraconjugales comme Ashley Madison, contacter la
victime de la fuite et exiger une rançon pour garder le silence.
