Powered By Blogger

Rechercher sur ce blogue

dimanche 15 mars 2020

Une violation de données au ministère de la Défense américain




Une violation de données au ministère de la Défense américain

Sécurité : La DISA a révélé que les informations personnelles de ces employés ont été exposés pendant plusieurs mois l'an dernier, sans donner plus de détails.

La DISA (Agence de défense des systèmes d'information), une agence du ministère de la Défense chargée de fournir des télécommunications sécurisées et un soutien informatique à la Maison Blanche, aux diplomates américains et aux troupes militaires, a révélé une violation de données.
Les employés de la DISA ont reçu la semaine dernière des lettres les notifiant de cet incident de sécurité, révélant qu'il a eu lieu entre mai et juillet 2019, à cause d'un système de la DISA qui « a pu être compromis ». La DISA affirme que les informations personnelles des employés, y compris les numéros de sécurité sociale, ont été exposées pendant cette période, mais n'a pas précisé combien d'entre eux ont été touchés.
publicité
L'agence n'a pas fourni d'autres détails sur cet incident, mais elle avait déjà prévenu avant même l'envoi de la lettre qu'aucune preuve ne suggérait que les données personnelles des employés avaient été utilisées de manière abusive.
D'après Reuters, qui a eu vent de cette lettre ce jeudi, la DISA emploie environ 8 000 employés, militaires et civils. La DISA offre désormais une surveillance gratuite à tous ceux qui ont été touchés, conformément à la législation américaine.
C'est la deuxième violation de données révélée par le ministère de la Défense américain ces deux dernières années. En octobre 2018, plus de 30 000 membres du personnel militaire et civil du ministère avaient vu leurs données personnelles et financières exposées, à cause d'une faille de sécurité chez un prestataire externe.

Source : ZDNet.com

Cloudflare accepte d'arrêter la mise en cache du contenu pirate au Japon



Cloudflare accepte d'arrêter la mise en cache du contenu pirate au Japon, si le tribunal déclare des sites illégaux.




Cloudflare, piratage, Hackers, p2p, droits d'auteur,






En 2018, quatre des plus grands éditeurs de mangas du Japon ont déposé une requête auprès d'un tribunal de Tokyo exigeant que Cloudflare cesse de fournir des services à plusieurs sites `` pirates '', y compris Hoshinoromi, le remplaçant de Mangamura. Les sociétés révèlent désormais qu'un accord a été conclu avec Cloudflare pour "arrêter la réplication" des sites sur ses serveurs basés au Japon, si un tribunal les déclare illégaux.

En tant que plus grand service d'atténuation CDN et DDoS de la planète, Cloudflare fournit des services à des millions de sites Web.

Une infime proportion de ces sites se trouvent dans les radars des sociétés de divertissement et d'édition, car ils proposent directement des liens vers des copies non autorisées d'œuvres protégées par le droit d'auteur ou y sont liées. En conséquence, Cloudflare subit une pression presque continue de cesser de faire affaire avec ces entités.

Comme indiqué pour la première fois ici sur TF en septembre 2019, les éditeurs japonais Shueisha, Kadowaka, Kodansha et Shogakukan ont poursuivi le site `` pirate '' Hoshinoromi devant un tribunal fédéral de New York. La plate-forme, qui s'est positionnée en remplacement du site pirate auto-fermé Mangamura, a été accusée de "violation délibérée et massive" des droits d'auteur des éditeurs.

Cette affaire est toujours en cours et selon un dossier déposé la semaine dernière (pdf), les éditeurs ont beaucoup de mal à identifier et à servir les accusés, ont donc besoin d'une prolongation. Cloudflare a également été mentionné dans cette action en justice et il s'avère maintenant que les mêmes éditeurs avaient précédemment ciblé la société CDN devant un tribunal japonais en 2018.

Comme pour d'autres poursuites au Japon, les détails sont flous. Cependant, selon une déclaration conjointe publiée à la fin de la semaine dernière, Shueisha, Kadowaka, Kodansha et Shogakukan ont déposé une requête auprès du tribunal de district de Tokyo en août 2018, exigeant que Cloudflare cesse de fournir des services à plusieurs plates-formes `` pirates '', Hoshinoromi inclus. En raison de la mise en cache, cela équivalait à Cloudflare fournissant au public du contenu contrefait, ont-ils soutenu.

Pour des raisons qui semblent liées au cas en cours aux États-Unis, ils ont attendu jusqu'à présent pour révéler une sorte de règlement avec Cloudflare. Il aurait été atteint en juin 2019 et semble dépendre de la question de savoir si un tribunal détermine que les sites «pirates» en question portent atteinte au droit d'auteur et sont donc illégaux.

La déclaration des éditeurs indique que lorsque les sites "pirates" utilisant Cloudflare sont consultés par des utilisateurs au Japon, la plupart de ces utilisateurs y accèdent via les serveurs situés au Japon sur Cloudflare. Donc, si le tribunal de district de Tokyo décide que les sites sont illégaux, Cloudflare aurait accepté d’arrêter la réplication des sites sur les serveurs de Cloudflare au Japon.

Au moins en partie, l'annonce est conçue pour être un avertissement aux autres sites "pirates" qui pourraient envisager d'utiliser les services de Cloudflare pour améliorer la disponibilité et l'accessibilité générale. Reste à savoir si cela fera une grande différence sur le terrain.

Alors que cette question particulière semble être réglée, Cloudflare a été poursuivi en décembre dernier par Takeshobo, un autre éditeur majeur basé au Japon qui distribue des dizaines de publications de mangas, dont beaucoup sous le label Bamboo Comics.

L'éditeur a déclaré qu'il avait été contraint de poursuivre Cloudflare parce que les avis de retrait envoyés à la société CDN concernant un site "pirate" sans nom avaient été ignorés, permettant au matériel contrefait de rester en ligne via les services de Cloudflare. Les progrès dans ce cas particulier sont inconnus, mais le règlement avec Shueisha, Kadowaka, Kodansha et Shogakukan pourrait fournir une solution possible pour Takeshobo.

Cloudflare est évidemment extrêmement prudent face à des poursuites similaires, insistant toujours sur le fait qu'en tant que fournisseur de services, il n'est pas responsable des activités de ses utilisateurs. La semaine dernière, cependant, les effets d'une décision rendue en décembre par un tribunal allemand ont vu Cloudflare déconnecter la plate-forme musicale pirate DDL-Music sous la menace de lourdes amendes.


REF.:

Une nouvelle faille de sécurité découverte dans les réseaux 4G





Une nouvelle faille de sécurité découverte dans les réseaux 4G

 



failles, 4G, Hackers,


Technologie : Une récente étude met en lumière une nouvelle faille de sécurité sur les réseaux 4G. Celle-ci faciliterait l'usurpation d'identité des possesseurs de smartphones ou d'objets


Nouveau signal d'alarme pour les réseaux 4G/LTE. Selon une nouvelle étude publiée récemment par l'université allemande de Bochum, une faille de sécurité sur ces réseaux pourrait être exploitée pour souscrire des abonnements ou des services de site web payants aux frais de quelqu'un d'autre.
Cette faille permettrait de fait l'usurpation d'identité des utilisateurs de smartphone, en donnant aux attaquants le pouvoir de « démarrer un abonnement aux frais d'autrui ou de publier des documents secrets de l'entreprise sous l'identité de quelqu'un d'autre ».
Cette attaque, baptisée IMP4GT, toucherait « tous les appareils qui communiquent avec le LTE », ce qui inclut « pratiquement tous » les smartphones, les tablettes et certains appareils connectés. Les systèmes radio reposant sur une architecture logicielle sont un élément déterminant de cette attaque. Celle-ci serait ainsi capable de lire les canaux de communication entre un appareil mobile et une station de base et donc de tromper un smartphone en lui faisant considérer que la radio est la station de base pour mieux duper le réseau en traitant la radio comme le téléphone mobile.

publicité

La voie ouverte à l'usurpation d'identité

Une fois que ce canal de communication est compromis, il est temps de commencer à manipuler les paquets de données envoyés entre un appareil 4G et une station de base. « Le problème est le manque de protection de l'intégrité : les paquets de données sont transmis chiffrés entre le téléphone mobile et la station de base, ce qui protège les données contre les écoutes », expliquent les chercheurs à l'origine de cette étude.
Pour eux, « il est possible de modifier les paquets de données échangés. Nous ne savons pas ce qui se trouve où dans le paquet de données, mais nous pouvons déclencher des erreurs en changeant les bits de 0 à 1 ou de 1 à 0 ». Autant d'erreurs qui peuvent alors forcer un téléphone mobile et une station de base à décrypter ou chiffrer les messages, en convertissant les informations en texte clair ou en créant une situation dans laquelle un attaquant est capable d'envoyer des commandes sans autorisation. Seul bémol : les attaquants doivent se trouver à proximité de leur victime pour être capable d'utiliser cette technique.
Reste que le jeu en vaut la chandelle : la faille permettrait en effet à ceux qui l'exploitent d'acheter des abonnements ou de réserver des services en adressant simplement la facture à leur victime. Elle pourrait même avoir des conséquences beaucoup plus dommageables pour les forces de l'ordre en ouvrant la porte à des faits d'usurpation d'identité. « Par exemple, un attaquant pourrait télécharger des documents classés d'une entreprise en faisant reposer la faute de cette intrusion sur la victime, qui serait auteure de l'infraction aux yeux de son opérateur comme des autorités », précisent les auteurs de cette étude.

Des réseaux 4G faillibles

Seule défense connue à ce jour : changer purement et simplement d'équipement radio, ce qui devrait se révéler compliqué alors que les opérateurs commencent tout juste à déployer leurs réseaux, dont une grande part repose encore sur les réseaux 4G existants.
« Les opérateurs de réseaux mobiles devraient accepter des coûts plus élevés, car la protection supplémentaire génère plus de données pendant la transmission », explique l'un des auteurs de l'étude, qui sera présentée lors du Network Distributed System Security Symposium qui se tiendra ce mardi à San Diego. De la même façon, « ;tous les téléphones mobiles devraient être remplacés et la station de base élargie », notent les auteurs de cette étude, qui doutent fortement de la probabilité d'une telle débauche de moyens dans le contexte actuel.
Rappelons que d'autres failles ont été découvertes ces dernières années sur les réseaux 4G. Il y a quelques années, une étude menée par la même université allemande avait ainsi mis en évidence les faiblesses de la sécurité de la 4G, en démontrant que celle-ci pourrait être utilisée de manière abusive pour suivre les visites de sites web et pour réaliser des attaques de type "Man-in-The-Middle" (MiTM) afin de rediriger les victimes vers des domaines malveillants. Autant de failles causées par l'incapacité de la 4G à vérifier les charges utiles chiffrées transmises par les flux de données, relevaient déjà les auteurs de l'étude.




samedi 14 mars 2020

Alexa, Cortana, Google et Siri vous écoutent



Alexa, Cortana, Google et Siri vous écoutent





Alexa, Cortana, Google, Siri, espionnage, IoT, Hackers,


Technologie : Vous êtes-vous déjà demandé combien de fois votre enceinte intelligente s'active sans le vouloir ? Une étude de la Northeastern University a tenté de le découvrir.


Personne n'aime que des étrangers s'immiscent dans une conversation. Surtout lorsqu'ils ont tendance à interrompre sans prévenir.
Une étude estime que les enceintes intelligentes s'activent, alors même que vous ne les avez pas appelées, entre 1,5 et 19 fois par jour. Le temps moyen d'activation est de 43 secondes, ce qui signifie que 43 secondes de vos conversations peuvent être enregistrées et transmises au siège du fabricant.
Les chercheurs sont arrivés à ces conclusions en utilisant des séries pour étudier lesquelles – sans raison évidente – ont activé Alexa (et d'autres) de manière aléatoire.

publicité

19 séries et 125 heures de diffusion

L'étude aurait pu être menée en utilisant simplement du vocabulaire varié pour parler aux enceintes. Mais cela aurait pris beaucoup de temps, et aurait été probablement incomplet. D'où l'idée d'utiliser des séries télévisées très populaires aux Etats-Unis, appartenant à des domaines très différents, comme Grey's Anatonmy, The Big Band Theory ou encore Narcos, qui contiennent un très large choix de vocabulaire.
Les chercheurs ont diffusé 125 heures de programmation télévisée pour mener cette étude, et ont bien sûr pris soin d'écarter les moments où l'enceinte s'est réveillée parce que le mot d'activation était effectivement prononcé. Ils ont examiné cinq enceintes intelligentes : Google Home Mini première génération, Apple HomePod première génération, Harman Kardon Invoke de Microsoft, quelques haut-parleurs Amazon Echo Dot deuxième génération, et quelques haut-parleurs Amazon Echo Dot troisième génération.

Dis Siri, tu nous écoutes ?

La pire d'entre elles ? Siri, bien sûr. Siri n'est pas très douée pour comprendre la plupart des choses. Qui peut s'étonner que des mots choisis au hasard à la télévision la fasse réagir ? Et nous parlons vraiment de mots aléatoires. Siri s'active en entendant "Faith's funeral" ("l'enterrement de Faith") et Alexa croit qu'on l'appelle quand elle entend "congresswoman" ("membre du Congrès"). L'assistant de Google Home Mini réagit à la phrase "I don't like the cold" ("je n'aime pas le froid"). Quant à Cortona, elle confond son nom avec "Colorado".
Que sommes-nous censés faire face à cela ? Espérer que nos conversations susceptibles d'être enregistrées par inadvertance soient si banales que personne ne pourra les utiliser contre nous ? La semaine dernière, Robert Frederick, un ancien directeur d'Amazon Web Services, a déclaré à la BBC que pour avoir une vie privée, il a la solution : il éteint simplement Alexa.

Source : ZDNet.com

Piratage : le couple PayPal / Google Pay dans la tourmente



Piratage : le couple PayPal / Google Pay dans la tourmente





Paypal, Google Pay, Hackers,



Sécurité : Des pirates ont trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire des achats en ligne.


Depuis vendredi dernier, des utilisateurs déclarent avoir vu des transactions mystérieuses apparaître dans leur historique PayPal, provenant de Google Pay. Ces problèmes ont été signalés sur de nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des forums de support Google Pay russe et allemand.
Les victimes expliquent avoir remarqué des abus de leur compte Google Pay sur des achats qui utilisent leur compte PayPal lié. D'après les captures d'écran et divers témoignages, la plupart des transactions illégales ont lieu dans des magasins américains, et notamment dans les magasins Target. La plupart des victimes semblent être des utilisateurs allemands. Les dommages sont estimés à plusieurs dizaines de milliers d'euros. Certaines transactions dépassent 1 000 euros.
On ne sait pas encore très bien ce que ces pirates exploitent. PayPal a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de commentaire au moment où cet article est publié.

publicité

La théorie d'un chercheur en sécurité allemand

Sur Twitter, un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce mardi que les transactions illégales signalées ce week-end semblent être liées à une faille de sécurité qu'il a signalé, avec son collègue Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le problème vient du fait que lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte virtuelle, avec son propre numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un utilisateur de Google Pay choisit d'effectuer un paiement sans contact en utilisant les fonds de son compte PayPal, la transaction est facturée via cette carte virtuelle.
« Si la carte virtuelle était verrouillée pour ne fonctionner que sur les paiements en point de vente physique, il n'y aurait aucun problème. Mais PayPal permet d'utiliser cette carte virtuelle pour les transactions en ligne également », détaille-t-il à ZDNet lors d'une interview. Il pense que les pirates ont trouvé un moyen de trouver les informations de ces cartes virtuelles et qu'ils les utilisent pour effectuer des transactions non autorisées en ligne.
Le chercheur explique qu'il peut y avoir trois façons d'obtenir les informations d'une carte virtuelle. La première, c'est de les lire depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant un malware infectant l'appareil de la victime. Et la troisième, en les devinant.
Dans ce dernier cas, « une attaque par force brute pour deviner le numéro de la carte et la date de validité prendra environ un an, ce qui fait un espace de recherche plutôt restreint », précise Markus Fenske. Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est accepté ».

PayPal enquête

Malgré tout, Markus Fenske est le premier à dire que son collègue Andreas Mayer ne font que des suppositions sur les réelles causes de l'attaque – bien que les détails semblent bien correspondre au bug qu'ils ont signalé l'an dernier.
D'un autre côté, le département de sécurité de PayPal a lancé une enquête sur les transactions non autorisées dès que ZDNet les a contacté il y a quelques heures. Les équipes envisagent plusieurs scénarios, et ils ont pris en compte notamment celui de l'attaque décrite par les chercheurs allemands, ainsi que leur rapport de février 2019.
« La sécurité des comptes de nos clients est une priorité absolue dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet. « Nous vérifions cette information et nous prendrons toutes les mesures appropriées et nécessaires pour protéger davantage nos clients. »

Source : ZDNet.com