background preloader

Sécurité

Facebook Twitter

Des millions de routeurs domestiques peuvent être attaqués à distance. 21/05/2015. 01net le 21/05/15 à 15h14 Netgear, TP-Link, Trendnet, Zyxel...

Des millions de routeurs domestiques peuvent être attaqués à distance. 21/05/2015

Si vous possédez un routeur domestique de l’une de ces marques, il est probable que vous ayez un problème de sécurité. La plupart de ces routeurs disposent en effet d’une fonctionnalité théoriquement assez pratique, à savoir le partage en réseau d’une connexion USB. Concrètement, vous connectez un équipement en USB sur votre routeur - un disque dur par exemple - et celui-ci devient alors accessible à distance au travers du réseau. Le problème, c’est qu’il existe dans ce module une faille qui permet à une personne mal intentionnée de faire crasher le routeur ou d’y exécuter n’importe quel code. Exemple de routeur vulnérable. Attaque par Internet Certains d’entre vous se diront que ce n’est pas si grave que cela, car il faut déjà pouvoir rentrer dans le réseau domestique pour réaliser cette attaque.

Une rapide recherche a montré qu’au moins 26 fabricants de routeurs utilisent le logiciel de KCodes dans au moins 92 produits. USB Kill, comment une clé USB préservera les données de votre PC en cas de crise. 06/05/2015. La dernière fois qu’étaient associés les termes USB et Kill dans l’actualité, c’était pour vous parler de cette clé USB, pas vraiment destinée à faire du bien à votre machine.

USB Kill, comment une clé USB préservera les données de votre PC en cas de crise. 06/05/2015

Aujourd’hui, la donne est tout à fait différente, l’USB Kill pourrait bien vous sauver la mise. Surtout si vous êtes un sonneur d’alerte, un journaliste d’investigation ou que votre ordinateur contient des données sensibles qui ne doivent pas tomber entre de mauvaises mains. Schématiquement, USB Kill transforme une clé USB en « kill switch », en mécanisme d’autodestruction. Il s’agit en fait d’un script Python qui est installé sur la machine et qui va surveiller l’état des ports USB. Une faille dans WordPress rend des millions de blogs vulnérables. 28/04/2015. Une faille zero-day fait crasher iPhone et iPad indéfiniment. 22/04/2015. 01net le 22/04/15 à 17h10 Tiens, ben v'la qu'il reboote!

Une faille zero-day fait crasher iPhone et iPad indéfiniment. 22/04/2015

Les chercheurs en sécurité Adi Sharabani et Yai Amit ont dévoilé - à l’occasion de la conférence RSA 2015 qui se tient actuellement à San Francisco - une faille zero-day dans iOS 8 qui permet de faire crasher le système indéfiniment au travers d’un réseau Wifi malveillant. Dès que l’appareil tente que rebooter, il plante à nouveau sans que l’utilisateur ne puisse intervenir directement au niveau des réglages ou des boutons. La seule solution : prendre la fuite pour ne plus être dans le rayon de couverture dudit réseau Wi-Fi. Cette attaque s’appuie principalement sur un bug dans la gestion du SSL : un pirate envoie un certificat SSL un peu trafiqué et hop, le système plante.

Comment la NSA pourrait bientôt déchiffrer toutes vos données. 13/04/2015. 01net le 13/04/15 à 19h40 Le chiffrement commence à poser problème aux espions de la NSA.

Comment la NSA pourrait bientôt déchiffrer toutes vos données. 13/04/2015

De plus en plus de personnes prennent l’habitude de chiffrer leurs données quand elles sont en transit ou lorsqu’elles sont stockées. Suite aux révélations d’Edward Snowden, les fournisseurs high-tech ont également fait beaucoup d’efforts pour mieux protéger les données de leurs clients, histoire de ne pas les perdre. Face à ce constat, le gouvernement cherche des solutions permettant d’accéder aux données cryptées, sans pour autant affaiblir le niveau de sécurité général. D’après The Washington Post, plusieurs scénarios sont actuellement à l’étude dans la Maison Blanche. Mais les experts en sécurité interrogés par le Washington Post restent dubitatifs et ne pensent pas qu’un tel système puisse réellement fonctionner. Lire aussi: Source: Firefox 37 : Mozilla supprime une fonction de sécurité SSL. 07/04/2015. Il s’est évadé de prison à coup de phishing. 30/03/2015. 01net le 30/03/15 à 14h03 Limer les barreaux d’une fenêtre de prison, c’est une technique du passé.

Il s’est évadé de prison à coup de phishing. 30/03/2015

Désormais, les criminels s’inspirent des méthodes de hacker pour se faire la malle. Un cas spectaculaire s’est produit il y a que quelques semaines, dans la prison de Wandsworth, près de Londres. D’après la BBC, Neil Moore, un escroc notoire, était en détention provisoire dans cet établissement pour avoir arnaqué des investisseurs en se faisant passer pour un conseiller bancaire de Barclays, Lloyds ou Santander. C’est également grâce à une technique d’usurpation d’identité qu’il a réussi à prendre la poudre d’escampette : le « spearfishing »

. © Google Maps Quelques emails suffisent pour sortir de cette prison. La prison s’est rendu compte de l’arnaque que trois jours après, lorsque ses avocats ont essayé de le contacter, mais sans succès : l’homme a disparu de la circulation. Lire aussi : Le principal hébergeur de malware dans le monde est... Amazon ! 17/03/2015. 01net le 17/03/15 à 13h29 David DeWalt, PDG de FireEye, à Paris Nous savons tous qu’Amazon est le premier vendeur en ligne.

Le principal hébergeur de malware dans le monde est... Amazon ! 17/03/2015

Mais saviez-vous que c’est également au travers de cette enseigne que la plupart des logiciels malveillants sont diffusés dans le monde, grâce aux services très performants de sa filiale Amazon Web Services ? C’est en tous les cas ce qu’affirme David DeWalt, PDG de FireEye, une entreprise spécialisée dans les cybermenaces. De passage à Paris, le dirigeant a brossé un tableau plutôt sinistre du cyberespace. « L’internet est partout et il est finalement très peu contrôlé.

Dédiés aux entreprises, les serveurs virtuels d’Amazon Web Services se prêtent finalement très bien aussi aux activités malveillantes : quelques clics suffisent pour les créer, les modifier ou les supprimer. Lire aussi: Les inquiétantes failles de sécurité du contrôle aérien américain. 04/03/2015. 01net le 04/03/15 à 19h42 Voilà une nouvelle qui ne va pas rassurer les « aérodromophobes », c'est-à-dire les personnes qui ont peur de l’avion.

Les inquiétantes failles de sécurité du contrôle aérien américain. 04/03/2015

Un rapport gouvernemental américain montre que les systèmes informatiques de la Federal Aviation Administration, l’agence de contrôle aérien, sont de vraies passoires : les correctifs ne sont appliqués qu’au bout de quelques années ou pas du tout, les échanges de données sensibles ne sont pas toujours chiffrés, parfois des mots de passe et des « données d’authentification » circulent en clair, etc.

Conclusion : des hackers terroristes pourraient « s’introduire dans les systèmes » et « perturber le fonctionnement opérationnel ». Ce qui représente donc un risque potentiel grave pour les 2.850 vols que supervise la FAA tous les jours. Le contrôle aérien aux Etats-Unis. Le plan de la NSA pour déchiffrer toutes les communications mobiles. 20/02/2015. 01net le 20/02/15 à 16h35 Une fois de plus, l’industrie des télécoms nous montre qu’elle est incapable d’assurer la sécurité de ses clients.

Le plan de la NSA pour déchiffrer toutes les communications mobiles. 20/02/2015

Publiés par The Intercept, des documents d’Edward Snowden révèlent que la NSA et le GCHQ détroussent les fabricants de cartes SIM tels que Gemalto depuis au moins 2010, afin de mettre la main sur des millions de clés d’authentification censées assurer la protection des communications entre le téléphone mobile et la station de base. En effet, chaque carte SIM est dotée d’une clé d’authentification unique baptisée « Ki » qui permet à l’opérateur de vérifier l’identité de l’abonné au moment où celui-ci se connecte au réseau : la station de base envoie un message aléatoire au terminal qui le renvoie après l’avoir chiffré avec la clé Ki. L’opérateur, qui détient également la clé Ki, procède à la même opération, puis compare les deux résultats : s’ils sont égaux, bingo, l’utilisateur est connecté. Les gardiens des clés pas très vigilants. Facebook: une faille permettait d'effacer toutes les photos. 13/02/2015. 01net le 13/02/15 à 17h49 La faille a été jugée sérieuse par Facebook.

Facebook: une faille permettait d'effacer toutes les photos. 13/02/2015

C’est sur son site que Laxman Muthiyah raconte son aventure. Ce chercheur en sécurité indien a découvert une faille dans l’API Graph de Facebook, l’outil de programmation mis à disposition des développeurs, qui permettait à un hacker d’effacer les photos des utilisateurs du réseau social. « N’importe quel album photo détenu par n’importe quel membre du réseau social, groupe ou page peut être supprimé », indique le chercheur avant de faire la démonstration de l’opération qu’il a pu réaliser en utilisant un jeton d’accès mobile de l’API sur son site et dans une vidéo. Laxam Mutiyah aurait pu faire disparaître toutes les photos publiques du réseau social... mais il a préféré contacter Facebook pour prévenir ses équipes de cette vulnérabilité.

Un sénateur américain juge déplorable la sécurité des voitures connectées. 09/02/2015. 01net le 09/02/15 à 19h49 La pression monte sur les constructeurs automobiles.

Un sénateur américain juge déplorable la sécurité des voitures connectées. 09/02/2015

Il y a un peu plus d’une semaine, BMW s’est fait épinglé par l’association des automobilistes allemands ADAC, qui a trouvé une jolie faille dans sa plateforme « ConnectedDrive » qui permet notamment d’accéder à distance à certaines fonctions du véhicule. Le sénateur américain Ed Markey vient maintenant porter une nouvelle charge contre les voitures connectées. Après avoir interrogé 16 grands constructeurs, il arrive à la conclusion que les systèmes informatiques embarqués « restent largement non protégés » et que les marques automobiles « n’ont pas fait leur travail » pour le protéger. « Il y a un manque clair de mesures de sécurité appropriées pour protéger les conducteurs contre les pirates qui pourraient prendre le contrôle d'un véhicule ou contre ceux qui désirent collecter et utiliser des données personnelles du conducteur », souligne le rapport.

Pas assez d’efforts fournis. Une faille permet de pirater les drones Parrot à distance. 27/01/2015. 01net le 27/01/15 à 12h28 Les drones sont des objets fascinants, et tout particulièrement pour les hackers. Le chercheur en sécurité indien Rahul Sasi vient d’en décortiquer un provenant du fabricant français Parrot, à savoir le Parrot AR Drone 2.0. Après de longues heures de rétro-ingénierie, il a trouvé une faille permettant d’installer une porte dérobée - baptisée Maldrone - au cœur même du système de l’appareil, à savoir dans le logiciel de pilotage et de navigation. Cette partie du code, totalement propriétaire, permet à l’appareil de voler et de rester stable dans les airs.

Dans une vidéo, le hacker montre comment il installe cette porte dérobée à distance puis prend le contrôle de l’appareil, y compris de sa caméra. Rahul Sasi présentera les détails techniques de son hack lors de la conférence Nullcon, qui se déroulera à Goa début février. Et les plus mauvais mots de passe de lannée sont...? 20/01/2015. 01net le 20/01/15 à 17h31 Pas de changement à l’horizon : le pire mot de passe du monde est toujours la plus bête suite de chiffres qui soit : 123456. Tout au moins à en croire Splashdata, une entreprise qui conçoit des solutions de gestion des mots de passe, qui a mis à jour son classement annuel des mots les plus courants.

Une liste compilée à partir de 3,3 millions de mots qui ont fuité sur le web durant l’année 2014. Voici donc la liste des sésames les plus nuls de l'année : 1 123456 (inchangé depuis 2013) 2 password (inchangé) 3 12345 (+17 places) Google ne corrigera pas une faille qui touche un milliard de téléphones Android. 13/01/2015. 01net. le 13/01/15 à 14h41 Par le biais de son projet Zero, qui débusque des failles de sécurité, Google joue les redresseurs de torts et s’est attiré le courroux de Microsoft en publiant les détails d’une faille de sécurité 48 heures avant que le géant de Redmond ne publie son correctif.

Irréprochable Google, donc. Et pourtant, la société de Sergey Brin et Larry Page a pris une décision qui va exposer environ 930 millions d’utilisateurs ou en tout cas de téléphones sous Android. Google a en effet choisi de ne pas corriger une faille dans WebView – un composant essentiel de l’OS qui permet d’afficher des pages Web et a été remplacé dans KitKat (Android 4.4) par une version plus récente basée sur Chromium. Pas de souci, tant qu'il n'y a pas de faille, donc. Si la position semble difficilement tenable, il y a derrière cet abandon une volonté forte de Google de pousser les utilisateurs et aussi les fabricants à adopter et à proposer des versions plus récentes d’Android.

La Cnil épingle les bornes Wi-Fi en libre accès. 23/12/2014. 01net le 23/12/14 à 12h47 Au restaurant, à l’hôtel, dans les bibliothèques... les réseaux Wi-Fi en libre accès se multiplient un partout et c’est bien pratique. Malheureusement, ils ne sont pas toujours mis en place dans les règles de l’art, comme vient de le souligner la Cnil. Suite à une série de contrôles, la Commission a constaté que « la plupart de ces services ne satisfont pas aux exigences de la loi Informatique et Libertés ». Ainsi, de nombreux gestionnaires conservent des données sur le contenu des communications échangées ou des sites consultés, alors qu’ils ne devraient stocker que les données relatives au trafic.

Plusieurs gestionnaires utilisent par ailleurs des outils de surveillance pour assurer la sécurité des postes informatiques, avec à la clé prise en main à distance, contrôle de l’historique de navigation, etc. Les géants high-tech veulent tuer le mot de passe grâce à la biométrie. 10/12/2014. 01net le 10/12/14 à 19h25 © Nok Nok Le doigt suffit pour se loguer Les outils informatiques deviennent de plus en plus complexes et sophistiqués, mais il y a une chose qui n’évolue que très lentement : c’est l’identification/authentification. Dans la majorité des cas, nous utilisons encore le bon vieux login et son mot de passe, alors que ce n’est plus vraiment adapté aux usages d’aujourd’hui.

Pour dépasser cet anachronisme, plusieurs géants high-tech - dont Google, Paypal, Visa, Mastercard, Samsung et Microsoft - se sont mis ensemble pour imaginer une nouvelle façon de s’authentifier. Empreinte digitale, biométrie vocale, reconnaissance faciale,... Comment la biométrie vocale va s’infiltrer dans notre quotidien. 06/12/2014. A3, un logiciel qui détecte les virus et répare les dégâts. 17/11/2014. Microsoft corrige une faille qui touche tous les Windows existants. 12/11/2014. La sécurité des Samsung Galaxy mise à mal par un hacker anonyme. 27/10/2014. Le FBI veut obliger Google et Apple à ouvrir une backdoor sur iOS et Android. 17/10/2014. La NSA risque de «casser Internet», alerte Eric Schmidt. 09/10/2014.

Sécurité informatique : et si on finissait avec les mots de passe ? 07/10/2014. Et si Tor débarquait dans Firefox ? 01/10/2014. Faille de sécurité Shellshock. 30/09/2014. La carte bleue du futur sera plus difficile à pirater. 22/09/2014. Le paiement sans contact par Apple Pay, est-il réellement plus sécurisé ? 10/09/2014. 5 conseils pour protéger ses photos et données perso dans le cloud. 02/09/2014. Black Hat: failles dans les terminaux de communication par satellite. 08/08/2014. Facebook rachète une start-up pour mieux se protéger des pirates. 08/08/2014. Cybersécurité 2013 ? 08/04/2014. Une faille permettait de prendre le contrôle de 99% des smartphones Android. 29/07/2014. La NSA récolte des données de vie privée. 07/07/2014. La Russie veut barricader son Internet. 02/07/2014. Les smartphones Android, frappés par un ver SMS. 30/06/2014. Les 6 grandes cybermenaces qui pèsent sur le Mondial 2014. 11/06/2014.

eBay : 145 millions de comptes clients compromis (MAJ). 22/05/2014. « L’antivirus est mort », dit Symantec. 06/05/2014. La France, cible privilégiée des cyberattaques avancées. 30/04/2014. Les bolides électriques Tesla. 01/04/2014. Espionnage: Orange travaille avec la DGSE. 20/03/2014. « Boeing Black » 03/03/2014. Locaux parisien défense info. 20/02/2014. NSA, surveillance. 15/01/2014. Oracle, faille. 13/01/2014. Cybersurveillance. 26/12/2013.

Appli malicieuses Android. 09/12/2013. La police informatique (accès aux données). 26/11/2013. Drones et cybersécurité. 19/11/2013. Indonésie et l'informatique. 17/10/2013. Apple, faille sécurité. 27/09/2013.