Powered By Blogger

Rechercher sur ce blogue

samedi 14 mars 2020

Piratage : le couple PayPal / Google Pay dans la tourmente



Piratage : le couple PayPal / Google Pay dans la tourmente





Paypal, Google Pay, Hackers,



Sécurité : Des pirates ont trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire des achats en ligne.


Depuis vendredi dernier, des utilisateurs déclarent avoir vu des transactions mystérieuses apparaître dans leur historique PayPal, provenant de Google Pay. Ces problèmes ont été signalés sur de nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des forums de support Google Pay russe et allemand.
Les victimes expliquent avoir remarqué des abus de leur compte Google Pay sur des achats qui utilisent leur compte PayPal lié. D'après les captures d'écran et divers témoignages, la plupart des transactions illégales ont lieu dans des magasins américains, et notamment dans les magasins Target. La plupart des victimes semblent être des utilisateurs allemands. Les dommages sont estimés à plusieurs dizaines de milliers d'euros. Certaines transactions dépassent 1 000 euros.
On ne sait pas encore très bien ce que ces pirates exploitent. PayPal a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de commentaire au moment où cet article est publié.

publicité

La théorie d'un chercheur en sécurité allemand

Sur Twitter, un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce mardi que les transactions illégales signalées ce week-end semblent être liées à une faille de sécurité qu'il a signalé, avec son collègue Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le problème vient du fait que lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte virtuelle, avec son propre numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un utilisateur de Google Pay choisit d'effectuer un paiement sans contact en utilisant les fonds de son compte PayPal, la transaction est facturée via cette carte virtuelle.
« Si la carte virtuelle était verrouillée pour ne fonctionner que sur les paiements en point de vente physique, il n'y aurait aucun problème. Mais PayPal permet d'utiliser cette carte virtuelle pour les transactions en ligne également », détaille-t-il à ZDNet lors d'une interview. Il pense que les pirates ont trouvé un moyen de trouver les informations de ces cartes virtuelles et qu'ils les utilisent pour effectuer des transactions non autorisées en ligne.
Le chercheur explique qu'il peut y avoir trois façons d'obtenir les informations d'une carte virtuelle. La première, c'est de les lire depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant un malware infectant l'appareil de la victime. Et la troisième, en les devinant.
Dans ce dernier cas, « une attaque par force brute pour deviner le numéro de la carte et la date de validité prendra environ un an, ce qui fait un espace de recherche plutôt restreint », précise Markus Fenske. Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est accepté ».

PayPal enquête

Malgré tout, Markus Fenske est le premier à dire que son collègue Andreas Mayer ne font que des suppositions sur les réelles causes de l'attaque – bien que les détails semblent bien correspondre au bug qu'ils ont signalé l'an dernier.
D'un autre côté, le département de sécurité de PayPal a lancé une enquête sur les transactions non autorisées dès que ZDNet les a contacté il y a quelques heures. Les équipes envisagent plusieurs scénarios, et ils ont pris en compte notamment celui de l'attaque décrite par les chercheurs allemands, ainsi que leur rapport de février 2019.
« La sécurité des comptes de nos clients est une priorité absolue dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet. « Nous vérifions cette information et nous prendrons toutes les mesures appropriées et nécessaires pour protéger davantage nos clients. »

Source : ZDNet.com

Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave





Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave

Hello la compagnie,
je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.
DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez.

Activer DoH sous Firefox

Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ».
Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ».
Puis cochez la case « Activer le DNS via HTTPS ». Vous pouvez choisir le fournisseur de DNS sécurisé (Cloudflare ou Nextcloud) ou spécifier le vôtre. Si vous cherchez une liste fiable de fournisseurs DNS over HTTPS (DoH), je vous en ai compilé plusieurs ici.


Il existe aussi une grosse liste détaillée ici mais il y a des DNS tenus par des particuliers donc je ne vous l’ai pas mise.

Puis faites OK.
Et voilà. Ensuite, rendez-vous sur cette page de test pour valider que tout fonctionne.
Et si la section Encrypted SNI est rouge, voici un article qui explique comment activer la fonctionnalité de chiffrement SNI.

Activer DoH sous Chrome / Brave

Pour cela, entrez la ligne suivante dans le champs d’adresse du navigateur :
chrome://flags/
Cherchez ensuite quelque chose qui s’appelle Secure DNS ou DNS over HTTPS et activez l’option
Pensez ensuite à configurer votre réseau Windows / Linux ou macOS pour utiliser des DNS compatibles DoH comme ceux de Cloudflare : 1.1.1.1. Mais si, vous savez, ici dans Windows (c’est pour vous rafraichir la mémoire) :
Puis allez sur ce site pour valider que tout fonctionne pour vous.
Et voilà !


REF.:

Les easter eggs et astuces cachées de Windows 10





Les easter eggs et astuces cachées de Windows 10

Microsoft Windows fait partie de ces logiciels qui trainent derrière eux une longue liste d’astuces et autres easter eggs (fonctionnalités cachées) plus ou moins marrantes et utiles. J’ai toujours été fan de ces petites pépites cachées, ces petits secrets, alors je me suis amusé à faire cette vidéo pour vous montrer toutes celles que vous pouvez retrouver dans Windows 10.
Il y a bien sûr le Mode God dont voici le code au passage :
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Mais aussi des astuces avec Cortana, la calculatrice, l’explorateur Windows, les émojis, la visionneuse 3D, des clins d’oeil à StarWars, au Seigneur des Anneaux, au jeu Doom sans oublier quelques astuces pour ajouter de la transparence à l’invite de commande MS DOS ou encore activer le mode sombre ou y voir plus clair lorsque votre bureau est surchargé en fenêtres.

J’étais parti avec comme idée de vous montrer uniquement des easter eggs, mais de fil en aiguille, je suis aussi tombé sur quelques astuces pratiques donc je vous ai tout mis. J’espère que cela vous apprendra quelques trucs.
Amusez-vous bien !


REF.:

mercredi 11 mars 2020

Vous partagez les avis de disparition d'enfants sur Facebook? Attention, dit la GRC




Vous partagez les avis de disparition d'enfants sur Facebook? Attention, dit la GRC

Ces publications peuvent provenir de personnes mal intentionnées.

 

 
Libellés

facebook, Hackers, GRC, partage, disparition

 

En parcourant votre fil d'actualités Facebook, vous apercevez une publication sur un enfant porté disparu. Naturellement, votre premier réflexe est de partager la publication. Ça peut contribuer à ramener un enfant sain et sauf à la maison, alors pourquoi pas?
Pas si vite, répond la Gendarmerie royale du Canada (GRC).
Dans une publication Facebook, le détachement de Kindersley, en Saskatchewan, rappelle les dangers de partager ce type de publications sans d'abord faire quelques vérifications.
Souvent, explique la GRC, ces publications proviennent de personnes mal intentionnées. Parfois, l'enfant dont la photo est largement partagée ne manque même pas à l'appel.
Même si l'on souhaite bien faire en partageant la publication, on ne connaît pas toujours tous les faits.
«Par exemple, un parent qui se voit refuser l'accès à ses enfants par un ordre de la cour pourrait mettre leurs photos sur Facebook et affirmer qu'ils ont disparu», écrit le corps de police.
Parfois - dans les cas de violence domestique, par exemple -, l'autre parent et l'enfant peuvent se cacher pour leur propre protection.
En partageant une telle photo, vous pourriez mettre des vies en danger, avertit la GRC.
Cliquer sur «Partager» pourrait faire plus de tort que de bien. (Photo: Getty Images)
La GRC recommande de toujours vérifier la source d'une photo avant de la partager.
«Si la publication ne provient pas d'une source policière officielle et ne contient pas de lien vers un article publié par un média sérieux confirmant la disparition, elle n'est probablement pas légitime.»


REF.:

Fuite et vol de mots de passe d’élus disponibles sur le web


Fuite et vol de mots de passe d’élus disponibles sur le web

Des mots de passe d’élus disponibles sur le web

 





vol d'identité, vol de donné, DarkWeb, mot de passe, Hackers,
 
 


Des milliers de mots de passe d’élus et de fonctionnaires, dont certains liés à Justin Trudeau et à des députés de l’Assemblée nationale, ont été piratés et sont disponibles sur le dark web. Ces fuites pourraient mettre des informations sensibles à risque.    
Même des directeurs de la Sûreté du Québec et un sous-ministre fédéral de la Justice ont été victimes du vol, a constaté notre Bureau d’enquête au cours des dernières semaines.                 
Ces fuites ne signifient pas nécessairement que les systèmes informatiques des gouvernements ont été directement infiltrés.                 
Ils pourraient cependant faciliter le travail de criminels qui voudraient accéder à des réseaux gouvernementaux.                 

Informations volées     

Le ministère de l’Éducation vient justement d’annoncer qu’un mot de passe dérobé a servi à voler les informations de 360 000 enseignants.                 
Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils proviennent de fuites déjà connues, comme celles qui ont frappé LinkedIn, Dropbox et le site de rencontres coquines Ashley Madison.                 
Dans ces cas-là, les victimes du vol de mots de passe ont utilisé leur courriel professionnel pour se connecter à leurs comptes sur ces sites.                 
Or, les internautes ont tendance à utiliser des mots de passe similaires d’un site à l’autre, et mettent donc leur code d’accès professionnel à risque.                 
« Ça facilite la vie des hackers, explique Mathieu Jacques, fondateur du consultant en cybersécurité Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un robot pour l’avoir au complet ! »                 
S’ils réussissent, les pirates peuvent ensuite revendre l’information à des spécialistes du vol d’identité, de l’espionnage ou des cyberattaques.                 
Des experts s’inquiètent et croient que les organismes gouvernementaux n’en font pas suffisamment pour avertir les victimes de ces vols de mots de passe lorsqu’ils sont détectés sur internet.                 

Tenus dans l’ignorance     

La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.                 
« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journal de Montréal est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme François Daigle, sous-ministre délégué de la Justice, dont un mot de passe a fuité.                 
Plusieurs organisations concernées sont réticentes à expliquer ce qui s’est passé. Certaines assurent qu’elles étaient déjà au courant.                 
Tous les organismes publics affectés disent s’être dotés de politiques d’utilisation sécuritaire des courriels. Ils interdisent l’utilisation de l’adresse professionnelle sur des sites tiers et prévoient des changements réguliers de mots de passe.                 
- Avec la collaboration d’Andrea Valeria 

Notre démarche     

Nous avons utilisé un moteur de recherche conçu pour détecter les données piratées qui se trouvent sur le dark web. Ce logiciel ne révèle que les quatre premiers caractères des mots de passe qu’il peut trouver. Nous avons ensuite retrouvé certains mots de passe complets sur un forum de voleurs d’identité.        
Éric Caire 
bilan informatique Caire
Photo d'archives, Simon Clark
  • Ministre délégué à la Transformation numérique gouvernementale                       
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                 
Ce qu’il avait à dire : Son attachée de presse Nathalie Saint-Pierre indique que son patron ne se souvient pas d’avoir utilisé ce mot de passe.                 

François Daigle  
  • Sous-ministre délégué de la Justice                       
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale.                 
Ce qu’il avait à dire : « Merci de l’avoir porté à mon attention. Je ne l’aurais jamais su autrement », souligne le deuxième plus haut fonctionnaire au ministère de la Justice à Ottawa. La fuite de son mot de passe semble liée à la brèche majeure ayant frappé LinkedIn en 2016.                 

Une greffière du palais de justice de Montréal 
Ce que nous avons trouvé : Un mot de passe avec lequel elle accédait jusqu’à l’été 2019 au système informatique du ministère de la Justice.                 
Ce qu’elle avait à dire : Le mot de passe servait notamment à prendre ses courriels et démarrer l’enregistrement sonore dans les salles de cour. « C’était le mot de passe pour accéder à tout », soutient l’ancienne fonctionnaire, qui vient de quitter son emploi et demande à conserver l’anonymat. Elle non plus n’avait pas été avisée de la fuite.                 

Guy Ouellette 
Periode des questions
Photo d'archives, Simon Clark
  • Député indépendant                       
Ce que nous avons trouvé : Deux mots de passe associés à l’une de ses adresses de l’Assemblée nationale.                 
Ce qu’il avait à dire : L’ancien libéral a déjà utilisé l’un des deux codes d’accès pour consulter des courriels reçus sur le réseau de l’Assemblée nationale. L’autre mot de passe a vraisemblablement servi à se connecter sur le réseau LinkedIn. Personne ne l’a avisé de la situation, même si la fuite semble dater de plusieurs années. « Il va falloir vérifier s’ils font vraiment une veille là-dessus, note-t-il. Je vais faire certaines vérifications en ce qui me concerne. »                 

Justin Trudeau 
FILES-CANADA-ROYALS-CELEBRITY-BRITAIN
Photo d'archives, AFP
  • Premier ministre du Canada                       
Ce que nous avons trouvé : Quatre mots de passe associés à autant d’adresses courriel de la Chambre des communes. L’un d’eux se trouve sur le web clandestin depuis au moins 2012 sous forme non encryptée. Certaines données semblent liées aux brèches ayant touché Dropbox, un site de partage de fichiers, et myheritage.com, spécialisé dans les recherches généalogiques.                 
Ce qu’il avait à dire : « Ce sont des adresses de député, pas des adresses du bureau du premier ministre. Ceux qui les utilisent, ce sont des employés dans la circonscription », dit Ann-Clara Vaillancourt, attachée de presse au cabinet de Trudeau.                 

Paul Crépeau  
  • Directeur exécutif du Conseil de la magistrature ; Ancien procureur de la commission Charbonneau                       
Ce que nous avons trouvé : Un mot de passe associé à une ancienne adresse gouvernementale.                 
Ce qu’il avait à dire : Il s’en servait pour plusieurs comptes, jusqu’à notre appel. Le code est associé à son ancienne adresse du Directeur des poursuites criminelles et pénales, qu’il a quitté en 2012. Après notre discussion, M. Crépeau a communiqué avec son ancien employeur. « Je leur ai dit : “Je sens que vous avez peut-être un problème au niveau de la sécurité !” »                 
♦ Notre Bureau d’enquête a aussi trouvé des mots de passe associés à deux autres procureurs, qui n’avaient pas été avertis non plus. 

Pascal Bérubé 
PQ Pascal Berube
Photo d'archives, Simon Clark
  • Chef intérimaire du Parti québécois                       
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                 
Ce qu’il avait à dire : Le député de Matane s’en servait pour se connecter à des sites tiers. La sécurité de l’Assemblée nationale ne l’a jamais avisé. « Si mon mot de passe circule avec un courriel, ce n’est pas très rassurant ! lance-t-il. Merci au Journal de nous avertir, on va prendre des mesures. »                 

François Croteau  
  • Maire de l’arrondissement de Rosemont–Petite-Patrie, à Montréal                       
Ce que nous avons trouvé : Un mot de passe associé à son adresse courriel de la Ville.                 
Ce qu’il avait à dire : « C’est le mot de passe que j’avais jusqu’en 2018 pour me connecter à mon logiciel Lotus Notes de la Ville ! » Messagerie électronique, connexion au réseau Wi-Fi, téléchargement d’ordres du jour... Le code servait à toutes ces fonctions, jusqu’à ce que la Ville passe à un système plus sécuritaire, à double authentification.                  

Filomena Rotiroti  
Filomena Rotiroti
Photo courtoisie
  • Députée de Jeanne-Mance–Viger                      
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                
Ce qu’elle avait à dire : La députée croit qu’elle utilisait ce mot de passe pour accéder au site de mise en forme myfitnesspal.com. Personne ne l’a jamais avisée.                

Denis Audet  
  • Directeur de la gestion des contrats au ministère de la Justice du Québec                      
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale.                
Ce qu’il avait à dire : Le haut fonctionnaire utilisait encore le code d’accès dont nous avons retrouvé les quatre premières lettres pour se connecter à des systèmes du gouvernement. « Je vais devoir vérifier ça », affirme-t-il. Denis Audet se dit surpris de n’avoir jamais été averti de la fuite.                 

La Sûreté du Québec et la police de Montréal 
Ce que nous avons trouvé :  
  • 258 mots de passe d’employés de la Sûreté du Québec, dont certains hauts gradés des enquêtes criminelles.                 
  • 110 mots de passe associés à la police de Montréal. On y retrouve des codes de chefs de postes de quartier. Des adresses sont associées au site de rencontres extraconjugales Ashley Madison, ce qui pourrait permettre de faire chanter des agents.                                  
Ce qu’ils avaient à dire :  
  • À la Sûreté du Québec, le porte-parole Hugo Fournier assure que l’organisation est au courant de ces fuites de mots de passe depuis janvier 2018.                                  
L’organisation n’a reçu aucune plainte à ce sujet et a donc décidé de ne pas enquêter. Elle croit que ces fuites proviennent des données d’un site tiers ayant subi une brèche informatique.                                 
  • « Une enquête a permis de démontrer qu’aucune information sensible n’avait été compromise, déclare de son côté la police de Montréal. Un ensemble de mesures a également été mis en place pour empêcher que ces adresses courriel puissent être utilisées à mauvais escient. »                            

Lexique  

Web clandestin (dark web)  
Partie du web non répertoriée par les moteurs de recherche comme Google, où se concentrent les activités illicites (distribution et revente de drogue, pornographie juvénile, données personnelles volées, etc.).                
Encryption (ou chiffrement)  
Modification dans le codage numérique d’une information pour la rendre illisible par quelqu’un qui ne détient pas la clé de décryption.                
Double authentification  
Système où l’utilisateur doit entrer un code apparaissant sur un autre appareil, comme un téléphone, en plus de son mot de passe, avant de pouvoir se connecter à un réseau.              

Des experts s’inquiètent  

Des experts en cybersécurité croient que les gouvernements doivent redoubler de vigilance pour détecter les fuites de mots de passe qui pourraient compromettre leurs informations et celles de leurs employés.                 
« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.                
Selon lui, les autorités devraient systématiquement informer leurs employés de la présence de mots de passe leur étant associés sur le web clandestin, même s’ils ont été changés et qu’ils sont associés à des fuites déjà connues.                
« Tous les utilisateurs devraient être notifiés pour leurs propres problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui aide les entreprises à colmater leurs vulnérabilités informatiques.                

Plusieurs façons  

Comment ces données sont-elles arrivées entre les mains de pirates ?                 
La réponse varie énormément selon les cas, disent les experts.                                 
  • La victime peut avoir utilisé son adresse courriel professionnelle comme identifiant pour se connecter à un autre site qui s’est fait pirater, comme LinkedIn, Dropbox ou Ashley Madison.                                  
« C’est généralement la source d’information piratée la moins valide, ne serait-ce que parce que l’information sur ces brèches est connue et les usagers diligents ont déjà changé leur mot de passe », explique M. Jacques.                                 
  • Quelqu’un peut avoir utilisé un ordinateur à la maison ou ailleurs, infecté par un virus, pour se connecter à son compte professionnel, et s’être alors fait voler l’information.                                  
Pour ce faire, les pirates peuvent utiliser le keylogging : un logiciel espion qui transmet les touches sur lesquelles tape la victime, et enregistre son activité.                                 
  • La victime peut avoir été « hameçonnée » (phishing) : au téléphone, par texto, par courriel ou à l’aide d’un faux site, le pirate l’a convaincue de partager son mot de passe en se faisant passer pour un interlocuteur légitime.                 
  • Pire scénario : l’organisme lui-même peut avoir directement été victime d’une attaque ou d’un vol d’informations, comme Desjardins et le ministère de l’Éducation.                                  

Grave problème  

Chose certaine, le vol de mots de passe est un grave problème dans les organisations, publiques ou privées, assure Damien Bancal, spécialiste en cyberintelligence.                
« Des fuites, il y en a à profusion, dit-il. Après le vol, les pirates peuvent utiliser les informations pendant des années, les revendre plusieurs fois... »                
Les gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas surveiller chaque employé. »                

À quoi ça peut servir ?  


Un mot de passe valide peut être d’une grande utilité pour un pirate qui veut voler une identité afin de commettre des méfaits.                
Attaque par force brute 
Utiliser un réseau d’ordi-nateurs qui teste rapidement des milliers de mots de passe pour pénétrer dans un système informatique public. Une fois entré, le pirate peut :                                 
  • Crypter les données et exiger une rançon pour les déchiffrer ;                 
  • Accéder à des dossiers secrets pour faire de l’espionnage ou voler des informations confidentielles.                                  
Hameçonnage  
Se faire passer pour un technicien informatique ou un autre interlocuteur légitime en utilisant des données personnelles comme un identifiant et un mot de passe.                
Soutirer ensuite d’autres informations personnelles, comme d’autres codes d’accès, qui permettront de commettre des fraudes.                
Atteinte à la réputation 
Pénétrer une boîte courriel ou un compte LinkedIn pour envoyer des menaces ou insulter d’autres personnes.                
Fraude, extorsion  
  • Se cacher derrière l’adresse courriel d’un autre pour frauder ou extorquer.                 
  • Trouver une adresse servant d’identifiant pour un site de rencontres extraconjugales comme Ashley Madison, contacter la victime de la fuite et exiger une rançon pour garder le silence.

REF.: