Qu'est-ce que l'exploitation de sites Web Pass-The-Cookie ?

 

 Qu'est-ce que l'exploitation de sites Web Pass-The-Cookie ? 

14 juin 2021

 Écrit par Hannah Golding 

Qu'est-ce qu'une vulnérabilité de site Web ? 

 Un attaquant découvrira d'abord une vulnérabilité, puis tentera de l'exploiter pour prendre pied au sein de l'hôte. Le plus souvent, des vulnérabilités existent en raison de logiciels obsolètes sur l'application Web, tels que le serveur Web, cependant, les applications Web peuvent avoir leurs propres problèmes en raison de problèmes de codage et de configuration de l'application elle-même. 

 Les risques de sécurité les plus courants pour les applications Web incluent :

 Injection 

 Authentification brisée 

Exposition de données sensibles

 Entités externes XML (XXE)

 Contrôle d'accès cassé 

 Mauvaise configuration de la sécurité

 Script intersites XSS

 Désérialisation non sécurisée 

 Utilisation de composants avec des vulnérabilités connues

 Journalisation et surveillance insuffisantes

 1 OWASP

 https://owasp.org/www-project-top-ten/

 – OWASP Top Ten

 Qu'est-ce que l'exploitation de sites Web ?

 L'exploitation de sites Web est un moyen courant d'attaquer des sites Web. Environ 90 % des violations de données signalées révèlent qu'un exploit est utilisé à un ou plusieurs points de la chaîne d'attaque. L'exploitation est la prochaine étape qu'un attaquant peut franchir après avoir trouvé une vulnérabilité. C'est le moyen par lequel une vulnérabilité peut être exploitée pour une activité malveillante par des pirates ; ceux-ci incluent des logiciels, des séquences de commandes ou même des kits d'exploit open source. 

 Qu'est-ce qu'un cookie de session ?

 Les cookies sont des données qui sont stockées dans la mémoire temporaire, ou « cache », d'un navigateur Web et sont renvoyées au même site Web qui les a créés. Chaque navigateur détient indépendamment sa propre base de données de stockage de cookies

 - par exemple, les cookies enregistrés par un navigateur auquel on a accédé à l'aide de Chrome, ne sont pas visibles par Firefox. 

 En ouvrant une fenêtre de navigation privée, l'utilisateur fournirait à cette fenêtre une nouvelle base de données de cookies vide et temporaire. L'ouverture de plusieurs onglets dans la même fenêtre entraînera également le partage de la même base de données de cookies. Ainsi, un cookie de session est simplement un cookie stockant des informations utilisées par l'application Web pour gérer la session de l'utilisateur en cours, que ce soit dans un, deux ou plusieurs onglets.

 Les cookies de session sont générés par l'application Web après qu'un utilisateur s'est connecté avec succès, ce qui signifie que le cookie confirme que l'ID et le mot de passe de l'utilisateur sont valides et que l'utilisateur a réussi tous les défis d'authentification multifacteur (MFA), tels que la soumission d'un mot de passe horaire ou à l'aide d'un dongle. Une copie du cookie de session est incluse lorsqu'une application Web reçoit une demande d'un navigateur et, à son tour, l'application Web peut valider le cookie de session et l'utiliser pour autoriser la demande.

 Ces cookies sont utilisés pour plus de commodité une fois qu'un utilisateur est authentifié auprès du service afin que les utilisateurs n'aient pas besoin de se ré-authentifier souvent à plusieurs reprises. Cependant, cela signifie que les cookies de session sont valides pendant un certain temps (entre quelques minutes ou heures selon l'application Web), ce qui peut laisser de la place aux pirates pour voler une copie du cookie de session d'un utilisateur - également connu sous le nom de " pass ". l'attaque du cookie.

 Comment fonctionne une attaque Pass-the-Cookie ? 

 Dans une telle attaque, l'auteur peut injecter dans l'application Web un script malveillant qui permet de voler les cookies de session de l'utilisateur. 

Pour chaque visite sur le site, le script malveillant est activé et plus de données sont prises. Les cookies de l'utilisateur sont ensuite importés dans un navigateur que l'auteur contrôle, ce qui signifie qu'il peut utiliser le site en tant qu'utilisateur tant que le cookie reste actif. Cela donne à l'agresseur la possibilité de se déplacer latéralement, d'accéder à des informations sensibles et d'effectuer des actions sur le compte de la victime.

 Comment atténuer les attaques de type Pass-the-Cookie 

 Le seul moyen d'éradiquer presque suffisamment le risque d'attaque par passe-le-cookie est de forcer l'utilisateur à se ré-authentifier plus fréquemment pour différentes fonctionnalités d'application Web. Cependant, cela diminuerait l'expérience utilisateur. Heureusement, avec de nombreuses méthodes d'atténuation simples disponibles, la probabilité qu'une attaque par passe-le-cookie se produise peut être réduite. En vous déconnectant simplement de l'application Web et en fermant le navigateur une fois que vous avez fini de l'utiliser, vous pouvez réduire considérablement le risque d'attaque.

 De nombreux utilisateurs ne se déconnectent jamais, ce qui augmente la menace. Des tests réguliers pour les attaques de type "pass-the-cookie", dans le cadre de l'examen et des évaluations de la sécurité de votre application et de votre architecture, peuvent également aider à réduire la probabilité qu'une attaque ait lieu. Cela peut aider à repérer les vulnérabilités où l'injection de script pourrait être activée. Une sensibilisation accrue aux attaques par transmission de cookies, grâce à des méthodes telles qu'une meilleure formation des utilisateurs à la gestion des cookies en particulier, peut également aider à réduire le risque qu'une attaque se produise. Néanmoins, une atténuation efficace dépend en grande partie de la mise en place des cultures de sécurité internes appropriées. Maintenir la conscience de la sécurité au sein d'une organisation ou en tant qu'individu est essentiel pour identifier et répondre aux menaces de sécurité, ainsi que pour suivre les processus de sécurité. Être conscient de votre posture de sécurité est crucial pour découvrir et corriger les vulnérabilités apparentes.

REF.:  https://cyberclan.com/knowledge/what-is-pass-the-cookie-website-exploitation/

 

 

Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019

Fanny Dufour

21 octobre 2021 à 11h30

 

Google a communiqué sur les techniques déployées par les hackers pour piéger des youyubeurs et sur les mesures mises en place pour les arrêter.

L'entreprise parle notamment d'une importante campagne de phishing en cours depuis 2019 et qui repose sur du social engineering pour contourner l'authentification multifacteur.

Des mots de passe et cookies volés

Depuis 2019, plusieurs youtubeurs sont visés par des campagnes de phishing dans le but de réaliser des attaques de type pass-the-cookie. C'est ce que Google a dévoilé dans un post de blog écrit par son groupe d'analyses des menaces (TAG). Les chercheurs de l'entreprise attribuent les attaques à plusieurs hackers recrutés sur un forum russe.

Avec l'émergence de l'authentification multifacteur , les attaquants sont repassés sur des techniques de social engineering afin de piéger les victimes. Ils visent les adresses mail professionnelles des youtubeurs, souvent publiques, avec des e-mails leur proposant des opportunités de collaboration pour des tests de produits comme des antivirus , des jeux vidéo ou des VPN . Les e-mails sont personnalisés, avec une petite présentation de l'entreprise fictive et une proposition commerciale. Quand la victime accepte le deal, elle reçoit par e-mail ou via un PDF sur Google Drive une URL pour télécharger le logiciel, qui cache en vérité un malware .

Une fois ce dernier présent sur l'ordinateur de la victime, il s'occupe de voler les mots de passe et cookies et de les envoyer sur le serveur distant des attaquants, qui peuvent par la suite prendre le contrôle des chaînes de leurs cibles. Avoir activé l'authentification double facteur sur son compte n'aide pas : grâce aux cookies d'authentification volés, ils arrivent à contourner la protection. Aucun des malwares utilisés n'était persistant, ce afin d'éviter la détection.

Une campagne de phishing importante

Google a détecté qu'au moins 1 011 domaines permettant aux attaquants de se faire passer pour des entreprises légitimes et 15 000 comptes mail ont été créés dans le cadre de cette campagne. La variété des malwares utilisés ainsi que la personnalisation des e-mails envoyés s'explique par le fait que l'attaque n'est pas le fait d'un groupe en particulier, mais de plusieurs hackers recrutés sur un forum russe, à qui étaient promis 25 à 70 % des revenus générés par le vol du compte, selon le niveau de sophistication de leur attaque.

L'entreprise a indiqué avoir mis en place plusieurs mesures de sécurité afin d'arrêter les tentatives de phishing, comme le Safe Browsing , de nouvelles règles pour les détecter et les bloquer automatiquement, et des mesures de sécurité plus fortes sur les comptes pour prévenir les utilisateurs à chaque action sensible. YouTube aurait également réussi à récupérer automatiquement 99 % des chaînes piratées, utilisées par les hackers pour réaliser des scams promettant des crypto-monnaies en échange d'une contribution initiale.

Google en profite pour donner des conseils aux youtubeurs, comme le fait de scanner les fichiers avant de les télécharger, de prendre au sérieux les avertissements de sécurité ou d'activer l'authentification double facteur, même si elle ne permet pas d'arrêter ces attaques en particulier. Elle deviendra de toute façon obligatoire pour certains d'entre eux d'ici la fin de l'année.

Source : Google

 

 

iOS 15 : toutes les nouveautés de l’application Notes

La nouvelle mise à jour majeure du système d’exploitation propriétaire pour iPhone permet de mieux catégoriser ses listes de tâches, entre autres.

Publié le30 novembre 2021 à 13:45

Par

iPhon.fr

Top 4 des nouveautés iOS 15 de Notes :

• les tags
• les dossiers intelligents
• les mentions
• l’activité

Avec iOS 15, plusieurs applications natives de l’iPhone ont droit à des fonctionnalités supplémentaires, dont Notes. Cette plateforme a l’avantage de pouvoir se synchroniser avec tous vos appareils Apple y compris ceux qui tournent sous macOS Monterey et les iPad, grâce à la connexion via iCloud. 5 Go sont inclus de base dans votre compte, qu’il est nécessaire de lier à Notes pour profiter de toutes ses nouveautés. En effet, les tags ne sont par exemple pas disponibles autrement (il est aussi possible de ne pas enregistrer ses notes en ligne et de les stocker en local).

Application Notes
Prix	Gratuit
Développeur	Apple
Compatibilité	iOS 15
Note	4/5
Données collectées	Identifiants, contenu utilisateur, analytics
Également sur	iPad et Mac

Mieux ranger ses notes

Deux principaux changements apportés par iOS 15 avec Notes permettent de mieux organiser les contenus que vous créez dans l’application. Il s’agit d’une part des tags, similaires à ceux qu’on peut trouver par exemple sur Google Keep, et d’autre part des dossiers intelligents. Ces derniers fonctionnent de pair avec les tags. On vous explique.

Les tags

Le but des tags est de vous aider à trier vos différentes notes en fonction de thèmes personnalisés, que vous allez créer vous-même (ils ne sont pas prédéfinis). Par exemple, on peut imaginer que si vous collectez souvent des recettes dans Notes sous iOS 15, vous leur attribuez toutes le tag #cuisine. C’est au dièse qui le précède qu’on reconnaît un tag dans Notes, et il apparaît possible de créer autant de ces “étiquettes” que bon vous semble, dans la limite de votre stockage disponible bien évidemment, mais la place occupée par ces données semble très restreinte.

Pour attribuer un tag à une note, rien de plus simple : il faut écrire le #tag dans le titre ou dans le corps de la note, n’importe où. Pas de réglage spécifique, donc. On trouvera simplement dommage qu’en commençant à rédiger un tag, la liste des tags déjà créés ne s’affiche pas dans un menu déroulant, pour éviter d’éventuels oublis ou fautes de frappe.

Avec iOS 15, les tags sont compatibles avec certains des caractères spéciaux, mais pas tous : vous pouvez ainsi créer le tag #$g, mais pas le tag #%h6. Et bonne nouvelle : il est aussi possible de créer des tags à partir d’emojis, par exemple #🗂📔.

Afin d’afficher toutes les notes correspondant à un tag, il vous suffit de vous rendre sur la page d’accueil de l’app Notes. Faites défiler vers le bas, et le menu Tags liste tous les tags créés. En touchant l’un d’entre eux, une sélection automatique s’affiche avec uniquement les notes qui incluent ce tag. Touchez le bouton pour créer une nouvelle note, et celle-ci intègrera déjà automatiquement le tag que vous visitiez juste avant. En accédant au menu avec les trois petits points dans un cercle en haut à droite, vous pouvez aussi choisir de modifier la disposition des notes sous forme de galerie plutôt que sous forme de simple liste.

Créer des dossiers intelligents

Imaginons maintenant que cette liste de tags ne vous suffit pas, car vous souhaitez trier vos notes en fonction de plusieurs tags. Pour ce faire, Apple a imaginé dans iOS 15 les dossiers intelligents accessibles depuis l’écran d’accueil de Notes via le bouton en bas à droite, en forme de dossier et avec un “+”.

Après avoir choisi où vous souhaitez enregistrer le dossier (sur votre iPhone ? dans iCloud ?), optez pour Nouveau dossier intelligent. À vous, ensuite, d’en choisir le titre et de sélectionner les tags qui feront entrer toutes les notes correspondantes dans le dossier.

Tous les dossiers intelligents sont ensuite affichés sur la page d’accueil de Notes dans iOS 15. En accédant à l’un d’eux, une barre de recherche est disponible dans laquelle il suffit de taper les mots-clés recherchés pour voir apparaître les notes qui les contiennent dans les résultats. Il n’est pas possible de chercher par tag ici, mais on peut trier en fonction de Notes partagées, de Notes verrouillées, de Notes avec listes de pointage, de Notes avec dessins, de Notes avec documents scannés et de Notes avec des pièces jointes. Pratique.

Au sein de chaque dossier intelligent, vous disposez aussi d’un raccourci pour créer une nouvelle note tandis que celles qui y sont déjà enregistrées sont listées plus haut avec un aperçu de leur contenu, leur titre et l’heure de dernière édition.

N.B. : il est aussi possible de créer des dossiers simples avec iOS 15, en choisissant Nouveau dossier.

Collaboration

Mentions

Autre nouveauté : dans le corps d’une note, vous pouvez mentionner un autre utilisateur d’iOS 15 en écrivant @ suivi de son identifiant. Des suggestions s’affichent alors pour vous aider à le retrouver, le cas échéant. Celles-ci sont placées juste au-dessus du clavier et il suffit de les faire défiler pour choisir celle qui vous intéresse.

Lorsque vous mentionnez quelqu’un, par exemple @Hugo, celui-ci reçoit une notification sur son iPhone. Sachez qu’il est cependant impossible de mentionner quelqu’un avec qui la note sur laquelle vous travaillez n’a pas été partagée.

Activité

Et justement, lorsque vous décidez de donner accès à une note iOS 15 à un autre utilisateur, cette activité est désormais enregistrée dans l’application. Le panneau d’activité est spécifique à chaque note que vous créez. Pour l’afficher, ouvrez une note et touchez l’icône circulaire avec trois petits points au milieu située en haut à droite de l’écran. Ensuite, choisissez Afficher l’activité de la note.

Triées en fonction du temps, les différentes modifications de la note en question s’affichent alors. C’est aussi là qu’il est possible de voir quand a été partagée la note, mais aussi à quelle heure telle ou telle personne y a été mentionnée.

Compatibilité

Les tags, les dossiers intelligents et les mentions sont des fonctionnalités de Notes qui sont donc livrées avec iOS 15. Cette mouture est compatible avec la gamme iPhone 13, les iPhone SE et la gamme iPhone 12, mais pas uniquement. Pour voir la liste de tous les mobiles Apple éligibles, c’est juste ici dans notre article dédié.

Bon à savoir : les Notes rapides, également une nouveauté récemment annoncée par Apple, ne peuvent être créées que depuis un Mac sous Monterey ou un iPad sous iPadOS 15. Elles peuvent cependant s’afficher sur iOS 15 ensuite.

 

REF.:   https://www.iphon.fr/post/ios-15-toutes-nouveautes-application-notes

 

 

Rendez-vous dans un an pour le métavers d’Apple

Avec ses services et sa capacité technologique hors pair, l’entreprise pourrait faire de l’ombre à Facebook.

Publié le28 novembre 2021 à 12:00

Par

iPhon.fr

Ming-Chi Kuo, analyste taïwanais réputé quand il est question de l’avenir d’Apple, a récemment pu échanger avec les investisseurs qui le suivent en évoquant le prochain wearable majeur que devrait dévoiler la marque. Après la montre au poignet et les écouteurs aux oreilles, il s’agirait cette fois-ci d’un casque de réalité augmentée et/ou virtuelle confondu ci-et-là avec des lunettes connectées. Les deux appareils devraient toutefois voir le jour, et donc être assez différents en termes de design et de fonctionnalités.

Pour le moment, on ne connaît malgré tout que peu de choses à propos de ces produits. Mais Kuo, lui, pense savoir que le casque AR sortira à l’occasion du quatrième trimestre 2022. Un calendrier somme toute assez raisonnable étant donné qu’Apple multiplie les brevets en faveur d’un tel système depuis maintenant de longs mois.

Pas besoin de mobile !

Toujours selon Ming-Chi Kuo, les performances de ce gadget ne seraient pas en reste puisque le chercheur parle d’un “niveau” de calcul proche de celui d’un Mac. À titre de comparaison, les derniers ordinateurs portables de cette collection sont classés parmi les plus véloces du marché. Ceci grâce à la présence de puces propriétaires sous le capot, les M1 Pro et M1 Max, intégrant processeur, carte graphique et mémoire vive sur un même circuit imprimé.

Contrairement à la proposition de valeur de certaines gammes similaires, le casque d’Apple serait qui plus est capable de tourner de façon totalement autonome. Comprenez qu’il ne faudra donc pas le brancher à une quelconque machine ou à un iPhone pour en profiter. Une information qui rassure, à l’heure où beaucoup craignaient de voir leur matériel incompatible car trop ancien ou doté d’un système d’exploitation concurrent.

Écran UHD

Pour terminer, Kuo nous explique que la VR serait bel et bien de la partie en plus des données superposées à l’environnement extérieur réel, grâce à deux dalles 4K. L’une serait installée en face de l’oeil droit et l’autre du gauche, avec de l’OLED pour de bons contrastes et une consommation d’énergie réduite.

 

REF.:   https://www.iphon.fr/post/rendez-vous-un-an-metavers-apple?fbclid=IwAR1YVIr4OzFINCvQEY2ErGJA4A4pCuz_WasSxzGz8kLenBci3qwxmljYq6k

 

 

Apple alertera les personnes dont l’iPhone est infecté par un logiciel espion

Apple a intenté une poursuite judiciaire à la mi-novembre contre le groupe israélien NSO.

Radio-Canada

hier à 16 h 35

Les propriétaires de téléphones intelligents iPhone pourront dormir sur leurs deux oreilles : Apple a indiqué qu’elle comptait les avertir si leur appareil avait été piraté par un logiciel espion.

Il s’agit de la suite de l’offensive du géant californien contre le groupe NSO, qui signe le logiciel espion controversé Pegasus. Apple a intenté des poursuites judiciaires à la mi-novembre contre ce groupe israélien, qui lui se défend en affirmant vendre ses outils seulement aux gouvernements et aux agences de sécurité.

Ces personnes sont ciblées précisément en raison de qui elles sont ou de ce qu'elles font, a indiqué Apple dans un document d'assistance, faisant référence aux journalistes et activistes, entre autres, qui ont été victimes du logiciel Pegasus.

À lire aussi :

• Des géants du web poursuivent NSO, le groupe derrière le logiciel espion Pegasus
• Affaire Pegasus : le Canada a un rôle à jouer contre le cyberespionnage
• Espionnage de journalistes et d’opposants : l'affaire Pegasus suscite l'indignation

L’entreprise américaine a indiqué qu’une fois le logiciel espion détecté sur un appareil de sa marque, elle enverrait un message texte par le biais de l’application iMessage, une notification sur l’appareil, en plus d’un courriel, le tout afin d’informer l’utilisateur ou l’utilisatrice de la situation.

Contrairement aux pirates traditionnels, ceux parrainés par l'État disposent de ressources exceptionnelles pour cibler un très petit nombre d'individus spécifiques et leurs appareils, ce qui rend ces attaques beaucoup plus difficiles à détecter et à prévenir, a souligné Apple dans son document d’assistance.

Apple précise que cette nouvelle fonction d’alerte n’est pas une finalité en soi et conseille de poursuivre une bonne hygiène numérique en quelques étapes :

• Mettez les appareils à jour avec les derniers logiciels, car ils contiennent les plus récents correctifs de sécurité.
• Protégez vos appareils avec un code d'accès.
• Utilisez l'authentification à deux facteurs et un mot de passe fort pour l'Apple ID.
• Installez les applications de l'App Store.
• Utilisez des mots de passe forts et uniques en ligne.
• Ne cliquez pas sur les liens ou les pièces jointes provenant d’adresses inconnues.

Avec les informations de NBC News

REF.:   https://ici.radio-canada.ca/nouvelle/1843889/apple-alerte-iphone-infecte-logiciel-espion-nso-pegasus