Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Sécurité informatique - Vie privée - Neutralité |
Ne mettez jamais rien dans un cloud.
Un couple « Identifiant - Mot de passe » est la clé qui donne accès à ce qui est caché derrière. C'est la donnée la plus sensible et qui doit être la plus sécurisée. Même cela est attaqué et percé sans cesse ! Qu'en sera t-il si le mirage des Clouds prend forme et arrive à berner les utilisateurs sous prétexte de mutation technologique (synonyme de régression dans un contexte de spoliation des données par les états et leurs officines de renseignements sous prétexte de sécurité du public, de mobilité, et autres miroirs aux alouettes).
Aujourd'hui, 15 décembre 2016, soit à peine plus de 2,5 mois après, Yahoo! admet avoir été victime d'une autre attaque, séparée de celle d'août 2013, mais ayant eu lieu également en août 2013, portant sur une autre faille de sécurité, et ayant conduit à la compromission des données de plus d'un milliard de comptes d'utilisateurs supplémentaires. Yahoo! admet également que des attaquants ont trouvé un moyen de se connecter à des comptes Yahoo! sans même avoir besoin de fournir les mots de passe des victimes.
« Selon une analyse approfondie de ces données par les experts en criminalistique, nous croyons qu'un tiers non autorisé, en août 2013, a volé des données associées à plus d'un milliard de comptes d'utilisateurs », a déclaré Bob Lord (responsable de la sécurité des systèmes d'information chez Yahoo) le 15 décembre 2016. « Nous n'avons pas été en mesure d'identifier l'intrusion associée à ce vol. »
La déclaration indique que « pour les comptes potentiellement affectés, les informations de compte d'utilisateur volé peuvent avoir inclus :
Le hachage MD5 (Message Digest 5) est une fonction de hachage cryptographique (un algorithme) qui permet d'obtenir l'empreinte numérique (hashcode - condensat) d'une donnée. MD5 peut, depuis des années, être cassé : des techniques comme les Tables arc-en-ciel (Rainbow Tables), permettent de décrypter (remonter du condensat au contenu qui l'a généré), très rapidement, un hashcode (condensat) MD5.
En plus, Bob Lord a déclaré que les attaquants avaient élaboré un moyen de forger des « cookies » que Yahoo! place sur les ordinateurs des utilisateurs lorsqu'ils se connectent. Les cookies d'authentification sont de petits fichiers texte contenant des informations sur la session de l'utilisateur avec Yahoo. Les cookies peuvent contenir beaucoup d'informations sur l'utilisateur, par exemple si l'utilisateur s'est déjà authentifié sur les serveurs de Yahoo!
Avec de tels cookies forgés, les cybercriminels se substituent à l'utilisateur et font croire à Yahoo! que l'utilisateur est dans une session authentifiée. Ceci permet de se faire passer pour l'utilisateur ciblé sans avoir besoin de fournir le mot de passe du compte. Si la connexion est rafraîchie avant chaque expiration, un cookie forgé permet aux cybercriminels de rester connectés dans les comptes piratés indéfiniment.
Yahoo! déclare être en cours de notification aux titulaires de compte affectés, et que les cookies forgés sont invalidés.
Bob Lord a également déclaré : « Nous avons relié une partie de cette activité au même acteur, sous commande d'un État, qui serait responsable du vol de données divulgué le 22 septembre 2016 ».
Les utilisateurs doivent changer leurs mots de passe, leurs questions de sécurité et les réponses à ces questions, pour tous les comptes Yahoo! sur lesquels ils ont utilisé la même information ou une information similaire.
Yahoo! demande aux utilisateurs d'examiner leurs comptes pour les activités suspectes et d'envisager d'utiliser « Yahoo! Account Key », un outil d'authentification simple qui élimine le besoin d'utiliser un mot de passe sur Yahoo!.
d'une manière générale, ne jamais utiliser de compte courriel poubelle comme Yahoo ! Mail, Google Mail, etc.
d'une manière générale, ne jamais utiliser un même mot de passe sur plusieurs comptes. Toujours utiliser des mots de passe différents sur chaque compte, de quelque nature que soit les comptes.
Souvenez-vous qu’il n’a jamais existé, qu’il n'existe pas, et qu’il n'existera jamais de logiciel, de système d'exploitation, de logiciel serveur, de cloud, de système de gestion de bases de données, de système d'authentification, etc. 100% sans erreur, sans faille de sécurité, impossible à pirater.
Test de solidité des mots de passe.
...nous voulons donc vous informer que nous avons récemment découvert un bug sur Instagram qui pourrait être utilisé pour accéder à l'adresse email et au numéro de téléphone de certaines personnes, même si elles n'étaient pas publiques. Aucun mot de passe ou autre activité Instagram n'a été révélé.
Nous avons rapidement corrigé le problème et avons travaillé avec les forces de l'ordre sur ce sujet. Bien que nous ne puissions pas déterminer quels comptes spécifiques ont pu être impactés, nous pensons qu'il s'agissait d'un faible pourcentage de comptes Instagram.
Deux jours après, c'est d'un hack (piratage) de 6 millions de comptes Instagram dont on parle !
L'affaire fait du bruit, car de nombreuses personnalités célèbres sont touchées dans tous les domaines.
Les données ainsi piratées ont été mise en vente, sur un site éphémère, à raison de 10 US$ par adresse e-mail ou numéro de téléphone.
Dans le cas présent, il semble bien qu'aucun mot de passe n'ait été piraté.
d'une manière générale, ne jamais utiliser un même mot de passe sur plusieurs comptes. Toujours utiliser des mots de passe différents sur chaque compte, de quelque nature que soit les comptes.
Souvenez-vous qu’il n’a jamais existé, qu’il n'existe pas, et qu’il n'existera jamais de logiciel, de système d'exploitation, de logiciel serveur, de cloud, de système de gestion de bases de données, de système d'authentification, etc. 100% sans erreur, sans faille de sécurité, impossible à pirater.
Group-IB, une société internationale spécialisée dans la prévention des cyberattaques, a détecté plus de 40 000 identifiants d'utilisateur de services gouvernementaux compromis dans 30 pays.
La plupart des victimes se trouvaient en Italie (52%), en Arabie saoudite (22%) et au Portugal (5%), Pologne (gov.pl), Roumanie (gov.ro), Suisse (admin.ch), sites Web du ministère italien de la Défense (difesa.it), Forces de défense israéliennes (idf.il), gouvernement La Bulgarie (gouvernement.bg), le ministère des Finances de la Géorgie (mof.ge), la direction norvégienne de l'Immigration (udi.no), les ministères des Affaires étrangères de la Roumanie et de l'Italie et de nombreux autres organismes gouvernementaux.
Les employés du gouvernement, militaires et civils, qui ont des comptes sur les portails officiels du gouvernement de la France (gouv.fr), de la Hongrie (gov.hu) et de la Croatie (gov.hr) sont également victimes.
Les cybercriminels volent les données des comptes utilisateurs en utilisant des logiciels espions spéciaux: enregistreurs de formulaires, enregistreurs de frappes au clavier (keylogger) tels que Pony Formgrabber, AZORult et Qbot (Qakbot).
Des e-mails de phishing ont été envoyés à des comptes de messagerie personnels et professionnels.
L'infection provient d'un logiciel malveillant sous la forme d'une pièce jointe à un courriel ressemblant à un document légitime. Une fois la pièce jointe ouverte, la malveillance s’exécute, volant des informations personnelles. Par exemple :
Ce que ne dit pas la source est la méthode utilisée pour faire la ventilation des origines des comptes compromis. On peut imaginer qu'ils ont une activité (des comptes) sur le Dark Web et peuvent suivre les offres de vente des identifiants des comptes compromis.
|
Hack – quelques exemples d'attaques et de hacks
Les encyclopédies |
---|