Le cyberblog du coyote

Les pires mots de passe utilisés en 2017 sont sensiblement les même que ceux de l'année précédente, comment faire pour que les vôtres ne soient pas dans la liste en 2018 ?
Tous les ans en cette période de début d'année, et de bonnes résolutions, les experts de la sécurité attirent notre attention sur une faille de sécurité créée par les utilisateurs eux-mêmes. Il s'agit du choix des mots de passe qui sont censés protéger nos comptes en ligne.
Cette année c'est Avira qui propose sa compilation de pires mots de passe pour mettre en avant son gestionnaire de mots de passe et force est de constater que les rappels à la prudence n'ont pas l'air de fonctionner de façon très efficace. Pour établir cette liste ils ont simplement compilé des millions de mots de passe rendus publics par des failles de sécurité. Comme en 2016, c'est 123456 qui a le plus de succès suivi de plusieurs déclinaisons qui sont à peu près tous des suites logiques de lettres ou chiffres saisies au clavier ou des mots populaires.

1. 123456 (inchangé depuis 2016)
2. password (inchangé)
3. 12345678 (+1)
4. qwerty (+2)
5. 12345 (-2)
6. 123456789 (nouveau dans la liste)
7. letmein (nouveau dans la liste)
8. 1234567 (nouveau dans la liste)
9. football (-4)
10. iloveyou (nouveau dans la liste)
11. admin (+4)
12. welcome (nouveau dans la liste)
13. monkey (nouveau dans la liste)
14. login (-3)
15. abc123 (-1)
16. starwars (nouveau dans la liste)
17. 123123 (nouveau dans la liste)
18. dragon (+1)
19. passw0rd (-1)
20. master (+1)
21. hello (nouveau dans la liste)
22. freedom (nouveau dans la liste)
23. whatever (nouveau dans la liste)
24. qazwsx (nouveau dans la liste)
25. trustno1 (nouveau dans la liste)

Autre information intéressante et inquiétante : cette liste de 25 mots de passe représente une grande majorité de mots de passe analysés, logique puisqu'il s'agit de comptes qui ont été piratés. Si l'un de ces mots de passe est le vôtre il faut donc s'attendre à être piraté tôt ou tard.

Source : cnetfrance.fr

Monsieur Raoul commence sa journée devant son ordinateur, une tasse de café à la main. Il consulte ses mails, parcourt quelques sites d’actualité, joue à un jeu en ligne gratuit... Un peu plus tard, une fenêtre apparaît à l’écran, lui indiquant que ses données sont prises en otage et qu’il doit payer une rançon pour les récupérer ! Mais que s’est-il passé ? Monsieur Raoul est victime d’un logiciel de rançon (ransomware en anglais).

Lire l'article d'Hélène Le Bouder et Aurélien Palisse sur Interstices

Depuis quelques jours on parle beaucoup d'une nouvelle forme d’attaque informatique qui sort des approches « habituelles » et qui laisse présager de nombreuses fuites de données dont beaucoup ne seraient pas détectables. Nous vous proposons de lire l'article de David Monniaux publié sur son blog personnel. David Monniaux est directeur de recherche au CNRS et travaille au sein du laboratoire VERIMAG (CNRS, Université de Grenoble).

Lire l'article sur Binaire.

Aux États-Unis, dans le cadre d'un programme de cybersécurité financé par la Darpa (Agence pour les projets de recherche avancée de défense), l'université du Michigan développe un ordinateur censé être invulnérable aux attaques grâce à des dispositifs de protection intégrés au cœur du matériel.

Lire l'article de Marc Zaffagni sur Futura-sciences

Des experts de renommée internationale sont attendus du 6 au 8 décembre dans le Jura.
La Suisse se profile de plus en plus dans le domaine de la cybersécurité. Via les entreprises actives dans ce domaine. Mais aussi par les conférences qu’elle accueille. Trois semaines après la conférence Black Alps qui s’est tenue à Yverdon, c’est Porrentruy (JU) qui sera l’hôte, du 6 au 8 décembre, d’une manifestation de haut vol concernant la cybersécurité, baptisée Cybersecurity – Switzerland.
La rencontre n’aura rien d’une partie de campagne, au vu de la liste des orateurs qui seront présents dans la ville jurassienne. S’y rendront ainsi, par exemple, Mauro Vignati, responsable de la cybersécurité au sein de la Confédération, Costin Raiu, directeur de la recherche chez Kaspersky Lab, Xavier Guimard, directeur suppléant du Service des technologies et des systèmes d’information de la sécurité intérieure à la gendarmerie nationale, Christos Tsolkas, vice-président de Philip Morris International, ou encore Solange Ghernaouti, directrice du Swiss Cybersecurity Advisory & Research Group à l’Université de Lausanne.

«Un endroit à taille humaine»

Question pratique tout d’abord, pourquoi avoir choisi Porrentruy et non Lausanne, Genève ou Zurich pour cet événement? «Notre but était de trouver un endroit à taille humaine, où les invités se sentent à l’aise et puissent passer du temps à échanger entre eux, sans courir immédiatement à un autre événement, explique Laurent Chrzanovski, l’organisateur du congrès. Le réseautage est très important pour les participants. Et Porrentruy est de toute façon très bien desservie, n’étant qu’à une heure de l’aéroport de Bâle.»
La conférence se tiendra pour la première fois à Porrentruy, où elle devrait également avoir lieu lors des quatre années à venir. Un événement similaire a déjà lieu en Roumanie, mais aussi en Sicile. «Désormais, avoir trois endroits pour nos conférences nous permet d’aborder des questions macrorégionales concernant la cybersécurité. C’est très important, car les problématiques ne sont souvent pas les mêmes en Europe de l’Ouest ou de l’Est», poursuit Laurent Chrzanovski.

Sans but lucratif

A qui s’adresse cette conférence? «Notre organisation, la Swiss WebAcademy, est sans but lucratif, nous n’avons aucun produit ou service à vendre, précise l’organisateur. Cette conférence s’adresse avant tout à des dirigeants d’entreprise ou d’administration qui veulent se tenir au courant des dernières menaces. Nous leur offrons la possibilité de rencontrer des spécialistes de renommée internationale dans des domaines très différents. Car il est faux de penser que la cybersécurité est un concept unique: elle possède tellement de facettes et nous mettons à disposition des personnalités capables de partager leurs expériences et de répondre à des questions pointues.» Une centaine de participants sont attendus. L’inscription coûte entre 200 et 700 francs, selon les options retenues.

Plus d'informations à l'adresse suivante: https://cybersecurity-switzerland.ch

Source : Le Temps

Dans le cadre de ce congrès, la Swiss Webacademy, en collaboration avec la Municipalité de Porrentruy, propose une soirée de prévention, durant le Congrès de cybersécurité, pour adultes et entrepreneurs sur les dangers du net qui aura lieu le

Mercredi 6 décembre 2017, à la salle de l’Inter à Porrentruy
De 19h30 à 21h30, tous les adultes et entrepreneurs intéressés sont invités, à l’occasion d’une conférence publique, à venir découvrir le panorama actuel des principales menaces, à apprendre les attitudes correctes à adopter à la maison comme au travail.

Vous pourrez désactiver toutes les fonctions possibles, cesser d'utiliser vos applications, enlever votre carte SIM... si vous trimballez votre téléphone Android dans votre poche, Android le saura.
Depuis janvier, Google s'est mis à utiliser les identifiants des téléphones Android comme «un signal supplémentaire pour augmenter davantage la vitesse et la performance du système de messagerie», a déclaré un porte-parole du géant du web à Quartz. Or cette collecte passe par les antennes-relais de téléphonie mobile les plus proches et renvoie les coordonnées à Google, qui gère la structure Alphabet, elle-même derrière Android.

Une localisation forcée qui n'est pas sans risque

De cette façon, Google a accès aux données concernant la position et les mouvements des utilisateurs d'Android, le tout dans un rayon approximatif de 400m, qui se réduit considérablement dans les zones urbaines où les tours sont plus nombreuses et permettent une localisation triangulaire plus précise.
Selon le porte-parole, les données sont cryptées et n'ont jamais été conservées, et Google aurait prévu d'arrêter la retransmission des identifiants cellulaires d'ici la fin du mois.
Quartz souligne les risques accrus qu'impliquent cette localisation contrainte pour les forces de police ou les personnes victimes de violences domestiques, dont les coordonnées pourraient être aisément récupérées pour peu que leur téléphone ait été piraté ou affecté par un logiciel espion.
Ces révélations interviennent alors que d'autres compagnies ont été critiquées pour la négligence avec laquelle elles traitent la vie privée de leurs clients. En avril, Uber avait trouvé le moyen d'identifier les utilisateurs d'iOS (Apple) même après suppression de l'application, et traçait jusqu'à fin août la localisation des passagers une fois leur course terminée. Une étude de 2015 révélait déjà que des applications comme Angry Birds, Pandora ou Candy Crush passaient outre les autorisations de localisation. L'option n'apparaît plus que comme une vignette sans garantie.

Un business à plusieurs milliards

«Cela semble assez intrusif de la part de Google de collecter de telles informations, qui ne sont utiles pour les réseaux d'opérateurs téléphoniques que lorsqu'il n'y a pas de carte SIM ou de services activés», commente Matthew Hickey, co-fondateur de la Hacker House, une entreprise de sécurité basée à Londres. De fait, ces informations constituent un véritable business pour des applications ou des sociétés (comme Facebook ou Alphabet, dont les valeurs cumulées sont estimées à 12.000 milliards de dollars), qui peuvent les revendre ou les acheter pour mieux cibler leurs clients. Le service SafeGraph avait ainsi collecté pour le seul mois de novembre 2016, aux États-Unis, l'équivalent de 17 milliers de milliards de données ponctuelles de smartphones.
Attendre un minimum d'intimité sur nos smartphones devient «à la limite du délirant», ironise Slate.com. Et de conclure:
«Si vous voulez être sûr d'être véritablement protégé contre le pistage indésirable de vos données personnelles, la seule option garantie est d'éteindre votre téléphone, d'enlever la batterie, et de le laisser à la maison.» Restera votre adresse.

Source : Slate.fr

Qui ne s'est jamais retrouvé démuni face à son ordinateur infecté par un logiciel malveillant ? Cette situation arrive fréquemment lorsqu'on utilise des outils informatiques et nous pouvons tous être concernés par ces cyberattaques. Récemment, les logiciels de rançon, également appelés ransomwares, ont été régulièrement mis sur le devant de la scène. Ces derniers peuvent en effet infiltrer les systèmes informatiques de particuliers, d'administrations ou encore d'entreprises, comme ce fut le cas avec le logiciel Wannacry qui a frappé plus d'une centaine de pays, dont les hôpitaux britanniques et le constructeur français Renault.
Comme nous l'explique Aurélien Palisse, la lutte contre les ransomwares est une course perpétuelle contre la montre. Comment fonctionnent ces logiciels ? Existe-t-il des moyens de s'en protéger ? Quels sont les enjeux de la recherche dans ce domaine ? Les défis à venir ? Toute une série de questions sur lesquelles le doctorant nous apporte son éclairage.

Ecouter le podcast d'Interstices

Le NIST est une agence américaine dépendant du département du commerce et elle a ainsi pour but de promouvoir l’économie et l’industrie à travers les technologies et les standards. Elle a différentes missions et elle s’intéresse notamment au chiffrement ou encore à la sécurité des données.
En 2003, un de ses chercheurs a établi des règles précises régissant la création et la gestion des mots de passe.

Le NIST a longtemps conseillé des mots de passe complexes

Le rapport écrit par Bill Burr faisait environ huit pages et il dispensait de nombreux conseils afin de faciliter la vie des utilisateurs. Il préconisait notamment d’utiliser des chaînes de caractères aléatoires mêlant minuscules, majuscules, chiffres et caractères spéciaux au lieu de mots faciles à mémoriser.
L’expert ne s’arrêtait pas là cependant et il conseillait également de changer de mot de passe tous les trois mois pour augmenter la sécurité.
Toutefois, ces conseils n’ont pas porté leurs fruits et les contraintes imposées par cette méthode se seraient même révélées contre-productive. C’est en tout cas ce qui ressort de l’entretien de Bill Burr avec le Wall Street Journal.
Il a en effet profité de l’entrevue pour revenir sur ce fameux rapport et exprimer ses regrets.
Les hackers cherchant à trouver un mot de passe par brute force s’appuient systématiquement sur des dictionnaires de mots de passe couplés à des algorithmes développés par leur soin. Ces dictionnaires se composent de mots ou d’expressions courantes et Bill Burr pensait à l’époque qu’une chaîne de caractères complexes suffisait à les contrer.

Il est finalement préférable d’opter pour des suites de mots

Mais voilà, les règles imposées étaient beaucoup trop contraignantes.
En conséquence, de nombreuses personnes ont choisi de partir d’un mot ou d’un nom facile à mémoriser et de le complexifier ensuite avec quelques caractères spéciaux de leur cru. Seul problème, les hackers ont adapté leurs algorithmes en conséquence et ces mots de passe « complexes » sont donc devenus très faciles à cracker.
D’après Bill Burr, un mot de passe comme 1$!Th0m4s!$1 n’aurait donc besoin que de quelques heures pour être cracké et il se révélerait ainsi du même coup totalement inefficace. L’expert recommande donc à présent d’opter pour une suite de mots faciles à retenir, mais n’ayant aucun lien particulier entre eux. Des suites comme thomasmyrtillecamionpoisson ou même mamanchampignonoignondringdring.
Bien sûr, cela ne vous dispense pas d’activer la double authentification sur vos différents comptes… C’est d’ailleurs ce que recommande la CNIL.

Source : fredzone

Les hackers qui ont dérobé plusieurs cyberarmes top secret à l'agence de renseignements américaine affirment vouloir les mettre à disposition sur le Net.

Lire l'article de Baudouin Eschapasse sur le point.fr

L’implication du groupe dans la cyberattaque sans précédent qui a touché des dizaines de pays mi-mai semble de plus en plus probable.

Lire l'article sur lemonde.fr

Selon les statistiques publiées par l'éditeur Kaspersky, c'est Windows 7 et non pas Windows XP qui a été le plus touché par la propagation du rançongiciel WannaCry. On en sait également plus sur la méthode de propagation du logiciel malveillant : il ne s'agissait pas de courriels piégés.

Lire l'article de Marc Zaffagni sur Futura-Sciences.

En parallèle à l’attaque par extorsion débutée vendredi passé, des millions d’internautes se sont fait voler leurs données ces derniers jours via plusieurs assauts menés au niveau mondial. Les spécialistes avertissent: des attaques de grande ampleur causeront des dégâts encore plus importants.
WannaCry n’est pas mort. Une semaine après sa découverte et son expansion mondiale, le logiciel d’extorsion continue à faire des dégâts sur la planète. «Aujourd’hui, le rythme moyen est d’une tentative toutes les trois secondes, ce qui montre un léger recul depuis le rythme enregistré d’un essai par seconde il y a de cela deux jours», notait, vendredi après-midi, le spécialiste en sécurité informatique israélien Check Point. Mais WannyCry, qui a infecté plus de 300 000 ordinateurs sur la planète, n’est que la pointe de l’iceberg. En parallèle, deux attaques massives ont eu lieu, éclipsées par l’agitation mondiale autour du logiciel d’extorsion.
Dans l’ombre de WannaCry, les attaques ciblées se multiplient. Ainsi, cette semaine, zomato.com, site de conseil pour trouver des restaurants dans 24 pays, s’est fait voler les données de 17 millions de clients, dont 6,6 millions ont été mis en vente. Peu connue en Suisse, Zomato est une multinationale indienne, forte de 120 millions d’utilisateurs. Les pirates ont rapidement retiré leur offre de vente, relatait vendredi le site spécialisé TechCrunch, car ils ont réussi à faire plier la société. Zomato a accepté de lancer un programme pour récompenser financièrement les hackers qui détecteront de futures failles.

«Si vous ne coopérez pas…»

Zomato a beau avoir levé 420 millions de dollars (autant en francs) et valoir près d’un milliard de dollars, elle n’a pas pris de mesures efficaces pour protéger ses clients, selon TechCrunch. Pire: ses responsables affirmaient que les mots de passe, chiffrés, seraient illisibles. Or des experts ont pu facilement les décoder.
En parallèle, toujours cette semaine, 1,9 million de clients de l’opérateur de télécoms canadien Bell ont vu leurs données volées. «Nous publions une petite partie des données de Bell car ils n’ont pas voulu coopérer avec nous», écrivaient lundi les pirates, qui menaçaient: «Cela montre que cette société se fiche de la sécurité de ses clients. […] Bell, si vous ne coopérez pas, il y aura davantage de fuites.» L’opérateur n’a pas dit si une demande de rançon est en cours.

Voiture bloquée

Ces deux exemples montrent que les entreprises sont sans cesse sous la menace de tentatives d’extorsion ciblées, rendant par ricochet vulnérables leurs clients. Des internautes qui risquent, en parallèle, d’être confrontés à de plus en plus de tentatives de chantage. Cette semaine, le spécialiste indépendant en cybersécurité Bruce Schneier publiait une tribune éclairante dans le Washington Post.
«Ce n’est qu’une question de temps avant que les gens voient un message sur l’écran de leur voiture leur indiquant que le moteur a été désactivé et qu’il leur coûtera l’équivalent de 200 dollars, en bitcoins, pour le refaire fonctionner. Ou un message similaire sur leur téléphone pour déverrouiller la porte de leur maison contrôlée par Internet: payez 100 dollars si vous voulez rentrer chez vous ce soir. Ou beaucoup plus si vous voulez que votre défibrillateur cardiaque continue à fonctionner.»

Microsoft accusé

Simple fantasme de chercheur? Non, affirme Bruce Schneier, qui rappelle que l’agence américaine de renseignement électronique NSA sait déjà comment infiltrer des téléviseurs Samsung et que le piratage de thermostats a déjà été prouvé. L’Internet des objets, ajoute le spécialiste, ce sont des appareils produits avec peu de soin par des sociétés qui n’ont souvent pas d’équipes d’ingénieurs en sécurité – au contraire de Microsoft, qui a pu réparer la faille au sein de Windows XP, exploitée par WannaCry.
Mais même Microsoft est visé: selon le Financial Times de jeudi, la société a doublé en 2014 le prix de la mise à jour des anciennes versions de Windows, obligeant des institutions, dont le service de santé britannique NHS, à renoncer à des mises à jour faute d’argent. Et ainsi à se retrouver à la merci des pirates.

Source : Le temps.ch

Retour sur un article du 25 avril 2017, qui prend un relief particulier depuis vendredi passé...

Les révélations fracassantes, il y a 2 semaines, du groupe Shadow Brokers sur les outils de piratage utilisés par la NSA ont donné des idées à de nombreux hackers.
Après que le groupe Shadow Brokers ait révélé au monde entier les outils utilisés par la NSA pour infecter les ordinateurs sous Windows et espionner leur propriétaire, des hackers se sont saisit de ces outils pour lancer des vagues de piratage. Malgré les mises à jour correctives lancées par Microsoft, un très grand nombre de machines restent vulnérables et près de 100.000 ordinateurs auraient été infectés.

Des dizaines de milliers d’ordinateurs infectés par les logiciels de la NSA

Des chercheurs en sécurité ont mené une étude montrant que des dizaines de milliers de machines fonctionnant avec le système d’exploitation Windows seraient infectées par le malware « Double Pulsar » utilisé par la NSA et révélé par Shadow Brokers. Le groupe « Countercept » a créé un script permettant de savoir si un système a été compromis.
Une étude menée par les experts de « Binary Edge » utilisant ce script a montré que le nombre de machine infectées avait bondit de 72% en quelques jours suite à la publication des outils de la NSA. Selon certains experts, jusqu’à 100.000 machines seraient ainsi infectées et vulnérables.

Les mises à jour insuffisantes de Microsoft

Très rapidement après les publications, Microsoft s’est empressé de publier des mises à jour correctives pour les systèmes d’exploitation concernés. Cependant, toutes les machines n’utilisent pas le système d’actualisation automatique et un grand nombre d’ordinateur n’ont donc pas encore installé le patch correctif.
Pire encore, Microsoft a arrêté le support de mise à jour de certaines versions de son système d’exploitation qu’il juge obsolète, laissant à jamais ces machines vulnérable au rang desquelles se trouvent de nombreux serveurs d’entreprises ou de collectivités. Il est donc recommandé, si vous n’utilisez pas la mise à jour automatique, de le faire très rapidement et, si vous utilisez un ancien système d’exploitation, de passer à un plus récent supportant le correctif ou alors d’en changer comme par exemple pour linux.

Sources : Binary Edge, begeek.fr

Une attaque informatique massive a frappé des hôpitaux, de grandes entreprises et des administrations un peu partout dans le monde. À l'origine, un rançongiciel surnommé WannaCry qui se propage sur des ordinateurs Windows non mis à jour et chiffre le contenu des disques durs. Les victimes doivent s'acquitter d'une rançon en bitcoin pour récupérer leurs données.

Lire l'article de Marc Zaffagni sur Futura-Sciences

Plus de 75.000 attaques dans 99 pays ont été relevées vendredi 12 mai par Europol. « L’attaque récente est d’un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables », a indiqué l’agence de sécurité européenne dans un communiqué.

Les logiciels de rançon, utilisés dans cette vague de cyberattaques, sont devenus au fil des années l’un des outils préférés des pirates informatiques. Comment fonctionnent-ils et comment s’en prémunir ?

Qu’est-ce qu’un « logiciel de rançon » ?

Les « logiciels de rançon », ou « ransomware », sont des logiciels malveillants qui verrouillent les fichiers informatiques. Leurs utilisateurs forcent leurs cibles à verser une somme d’argent, souvent sous forme de monnaie virtuelle, pour en recouvrer l’usage.
Ces dispositifs, parfois qualifiés de « rançongiciels », sont utilisés aussi bien sur les PC que sur les tablettes et les smartphones. Ils touchent « à la fois les particuliers, les entreprises et les institutions », rappelle à l’AFP Amar Zendik, PDG de la société de sécurité Mind Technologies.

Comme cela fonctionne-t-il ?

Les pirates informatiques prennent en général le contrôle des ordinateurs en exploitant les failles d’internet. Cela peut passer par la consultation par la victime d’un site web préalablement infecté ou par l’ouverture d’un email invitant à cliquer sur un lien ou à télécharger une pièce jointe.
En quelques secondes, le logiciel malveillant peut alors s’implanter. « Quand il s’installe, il n’a pas de charge virale et ne peut pas être détecté », explique Laurent Maréchal, expert en cybersécurité chez McAfee : ce n’est qu’ensuite qu’il « télécharge le payload, c’est-à-dire la charge virale. » Dès lors, le poste de travail se trouve chiffré… et donc bloqué. « Le plus souvent, l’utilisateur doit envoyer un SMS », bien entendu payant, « pour obtenir un code de déblocage », détaille Laurent Maréchal, qui précise que l’infection, dans certains cas complexes, peut se propager « sans intervention humaine ».

Leur utilisation est-elle fréquente ?

Oui. Et le phénomène ne cesse de s’amplifier. Selon l’éditeur de logiciels de sécurité Kapersky Lab, 62 nouvelles familles de « ransomwares » ont été répertoriées l’an dernier. Et d’après McAfee, le nombre d'« échantillons » détectés a grimpé de 88 % en 2016, pour atteindre le chiffre de quatre millions.
A l’origine de ce succès : le retour sur investissement des « rançongiciels », jugé élevé par les pirates. « Souvent, les pirates demandent de petits montants. Mais accumulés, ces petits montants font de grosses sommes », explique Amar Zendik, qui évoque des opérations « simples à mettre en œuvre et très rentables ». Un avis partagé par Laurent Maréchal, qui rappelle que les « ransomware » sont « faciles à se procurer ». « Sur le darkweb, les particuliers peuvent acheter des ransomware prêts à l’emploi, parfois pour seulement 150 dollars. »

Source : 20 minutes

Les données personnelles de 800'000 possesseurs de peluches connectées de la marque Spiral Toys contenant notamment 2,2 millions d’enregistrements vocaux échangés entre les parents et leurs enfants étaient accessibles en ligne sans aucune mesure de protection. Les experts qui ont découvert cette faille pensent qu’elle a été exploitée par des pirates pour faire chanter l’entreprise.

Lire l'article sur Futura-Sciences.

Une entreprise spécialisée dans la sécurité, Hold Security, fait souffler un vent de panique en annonçant la découverte d’un vol planétaire d’identifiants et de mots de passe. L’attaque est plutôt originale, basée sur des botnets qui testent la vulnérabilité des sites, et a été vérifiée par deux experts indépendants. Mais les risques sont peut-être exagérés.

Vous ne connaissiez pas Hold Security, une entreprise installée à Milwaukee, dans le Wisconsin, aux États-Unis ? Grâce à sa découverte retentissante, sa célébrité est acquise. Après plusieurs mois d’enquête, la société spécialisée en sécurité informatique – qui avait déjà révélé une attaque subie par Adobe – affirme que 1,2 milliard de mots de passe, avec les noms (en fait plus de 4 milliards mais la plupart utilisés plusieurs fois), associés à plus de 500 millions d’adresses électroniques, ont été volés dans 420.00 sites Web par un petit groupe de pirates installé en Russie. Dans un article publié par le New York Times, le président de Hold Security, Alex Holden, affirme que les sites piratés sont très variés, de ceux de grandes sociétés jusqu’à des sites personnels. Selon lui, le groupe opère depuis 2011, s’appuyant sur une méthode classique mais avec un professionnalisme rare. L’entreprise l’a baptisé CyberVor, parce que Vor signifie « voleur » en russe.
Dans un premier temps, cette équipe aurait acheté des adresses au marché noir pour créer des botnets, réseaux d’ordinateurs-zombies dans lesquels des logiciels discrets se mettent au travail, et se serait associée à d’autres groupes. En l’occurrence, il s’agissait de tester systématiquement tous les sites auxquels se connectaient les utilisateurs de ces ordinateurs, pour y repérer des failles connues permettant une attaque de type injection SQL (ces trois lettres désignant un système de requête pour fouiller dans les données). Le cas échéant, ces sites mal protégés étaient pillés par les membres du groupe, qui ont donc dû beaucoup travailler.

Le risque de ce piratage est mal évalué

Deux experts en sécurité, mandatés par le New York Times et indépendants de l’entreprise, ont pu consulter la liste des mots de passe volés et affirment qu’elle est authentique. Reste que l’ampleur de l’attaque est difficile à évaluer. Hold Security ne donne pas le nom des sites visités et ne fournit que peu de détails sur l’opération, notamment sur le nombre d’identifiants réellement obtenus par la faille SQL (alors que les premiers avaient déjà été récupérés auparavant), comme le souligne le site The Verge.
À quoi servira ce trésor ? Il sera vendu, affirme Hold Security, et servira à envoyer des spams ciblés, les ordinateurs personnels constituant la cible principale, selon l'entreprise. Cependant, Alex Holden confie au New York Times que CyberVor semble pour l’instant se contenter « d’envoyer des spams sur les réseaux sociaux pour le compte d’autres groupes ».
Hold Security en fait peut-être un peu trop et ne cache pas sa démarche commerciale. Dans son communiqué, violemment titré « Vous avez été piraté », l’entreprise termine son explication par la proposition d’un abonnement à 120 dollars par an (90 euros) pour vérifier si un compte a été visité par les pirates russes. Quoi qu’il en soit, malgré le nombre de mots de passe volés, l’opération semble moins grave que le piratage de 2,9 millions de comptes chez Adobe, qui avaient permis aux voleurs de s’emparer aussi de numéros de cartes de crédit.

Source : Futura-Sciences

La réponse est oui. Ce n'est pas une réponse type de paranoïaque, mais le résultat d'une recherche … et il existe en plus de cela des précédents.
Un exemple aux États-Unis : une femme avait donné l'alerte au FBI. Elle avait été pour le moins choquée de voir deux photos d'elle, nue, qu'elle a reçue par email. Ces deux photos avaient été prises sans qu'elle le sache par la caméra de son ordinateur portable.
Heureusement, le FBI a pu remonter jusqu'à la source : un collègue de classe. Le FBI a trouvé le logiciel sur l'ordinateur de cet étudiant. Ce logiciel lui avait permis d'espionner plusieurs filles. Normalement, la plupart des ordinateurs ont une lumière témoin qui indique quand la webcam est en fonction. Pourtant, la jeune fille a dit qu'elle n'a jamais vu cette lumière s'allumer sans qu'elle ne le veuille. On pensait que cela n'était pas possible d'avoir cette lumière déconnectée tandis que la webcam filme.
En réalité, des chercheurs viennent de montrer que l'on peut très bien le faire. Ces derniers l'ont d'ailleurs fait avec des ordinateurs d'Apple comme les iBooks ou iMacs (car ils sont un peu moins sécurisés a priori, étant moins ciblés par les pirates en général, mais les chercheurs assurent que tous les PC sont dans le même cas).
Le FBI a d'ailleurs déclaré être capable de cette petite prouesse. Les chercheurs de l'université John Hopkins ont réussi à le faire maintenant à leur tour. L'explication est que les ordinateurs portables modernes sont en réalité plusieurs ordinateurs en un. Ils ont plusieurs processeurs (de différentes tailles).
Alors, comme il y a par exemple un processeur pour la batterie, on peut faire d'autres choses à distance, comme faire exploser le portable (ou incendie au moins). On peut faire en sorte également de lire tout ce que vous tapez lettre après lettre. Évidemment, de source assez sûre (Wikileaks) les premiers à surveiller les internautes, ce sont les gouvernements. Ne devenez surtout pas parano et continuez d'utiliser la technologie sans angoisser, hein ?

Source : Sur-la-Toile

Les murs ont des oreilles, même pour les ordinateurs. Le microprocesseur d'un ordinateur pourrait en effet fournir de précieuses informations à un espion.
Des chercheurs israéliens de l'université de Tel-Aviv ont montré que simplement écouter les vibrations qu'émet un ordinateur permet de dire quels types d'opérations sont en cours. On pourrait tout à fait s'en servir avec assez de précision pour déterminer les détails des clés de chiffrage utilisées sur les sites web sécurisés ou même votre paiement en ligne.
L'équipe de chercheurs a réussi d'ailleurs à extraire les clés de chiffrage simplement en posant un smartphone à côté du PC ! Ainsi, les clés peuvent être « craquées » en une petite heure. La même technique peut être employée pour analyser des fluctuations de microcourants électriques qui circulent au niveau du capot de la machine, par simple contact.
L'angoisse est qu'il suffirait d'une application sur un smartphone pour arriver à de tels résultats et rien de plus ; pas besoin d'être James Bond.

Sources : Sur-la-Toile, Mail online