Étiquettes des archives : cyber-actualité

Cyber-histoires du côté obscur : piratage japonais légal ; piratage de Keychain ; 2FA = 0 dollars ; qui est à l’origine de cette attaque informatique en Iran ; et un léopard de mer qui a avalé une clé USB.

Bonjour à tous !

Voici la dernière édition de mon bulletin régulier / occasionnel sur les informations relatives à la cybersécurité : les histoires les plus intéressantes, récentes et absurdes…

Piratage approuvé par l’État !

Le gouvernement japonais est soupçonné d’organiser le piratage de 200 millions d’appareils de l’Internet des Objets de ses citoyens. Il ne s’agit pas d’un film de science-fiction, et il semblerait que cette situation soit bien réelle. C’est comme ça que les japonais se préparent à accueillir les Jeux olympiques qui auront lieu à Tokyo en 2020. Tout est parfaitement légal puisque le gouvernement est à l’origine de cette action. Les appareils des citoyens seront piratés en utilisant la méthode préférée des cybercriminels : les mots de passe par défaut et les dictionnaires de mots de passe. S’il s’avère que le mot de passe d’un dispositif est faible, alors les bureaucrates vont l’inclure dans une liste d’appareils non sécurisés, et ces informations seront ensuite transmises aux fournisseurs de services Internet qui devront le communiquer aux abonnés et les convaincre de mieux protéger leur dispositif en modifiant leur mot de passe. Il s’agit d’un test de résistance à l’approche des Jeux olympiques, afin de déterminer si les appareils de l’Internet des Objets du pays sont bien protégés, et pour essayer d’empêcher leur utilisation lors d’attaques qui viseraient l’infrastructure des Jeux olympiques. Les méthodes utilisées pour ce  » test  » peuvent facilement être contestées, mais le fait que les autorités fassent quelque chose de concret suffisamment à l’avance est un point positif. Il ne faut pas non plus oublier que les Jeux olympiques ont déjà été pris pour cible dans le passé, et le Japon n’était pas si loin.

Oups !

Un pirate informatique de 18 ans, Linus Henze, a publié une vidéo qui révèle une faiblesse surprenante de MacOS. Il s’agit surtout du programme Keychain qui garde et protège les nombreux mots de passe de l’utilisateur. L’adolescent a utilisé un exploit zero-day pour développer une application qui peut analyser tout le contenu du programme Keychain. Il est assez curieux et étrange de voir que M. Henze n’envisage pas de partager ses recherches et son application avec le géant technologique, puisqu’Apple ne dispose pas d’un programme de récompense pour les chasseurs de bugs (bug bounty). L’entreprise a deux options : soit elle négocie avec l’expert, ce qui serait une première pour Apple, soit elle essaie de résoudre le problème elle-même, ce qu’elle pourra ou non faire.

Pendant ce temps vous, chers lecteurs, n’avez pas à vous en faire pour la sécurité de vos mots de passe ! Il existe (qui l’aurait cru ?!) des gestionnaires de mots de passe multiplateformes parfaitement bien protégés. Quand aux chercheurs, sachez que certains fabricants de logiciel ont des programmes bug bounty.

 

En lire plus :Cyber-histoires du côté obscur : piratage japonais légal ; piratage de Keychain ; 2FA = 0 dollars ; qui est à l’origine de cette attaque informatique en Iran ; et un léopard de mer qui a avalé une clé USB.

Le meilleur du monde de la cybersécurité en 2018

Mesdames et Messieurs ! J’ai l’honneur de vous présenter la dernière édition des actualités du monde de la cybersécurité de 2018. Je ressens toujours le besoin de faire un léger résumé et récapitulatif à cette période de l’année, pour que l’on puisse commencer la nouvelle année de façon positive 😊. Aujourd’hui, nous allons parler des informations les plus importantes, stupides, drôles et bizarres du monde de l’informatique et de la cybersécurité que nous avons vues sur nos écrans en 2018. Parlons d’abord du professionnalisme des médias ; vous savez, ces qualités comme l’objectivité, le journalisme d’investigation, et la vérification des faits. Ou mentionnons plutôt l’absence de tous ces aspects.

En octobre, Bloomberg Businessweek a publié une « étude » au titre assez accrocheur, rédigée par un journaliste bien connu pour ce genre d’articles. La première partie du titre est assez parlante : The Big Hack. Cette histoire repose sur des informations fournies par une personne anonyme (surprise, surprise !), prétend que le hardware fabriqué par Super Micro contient des bugs, et que ce serait soi-disant le cas depuis plusieurs années. Les puces ont prétendument été trouvées par le personnel d’Apple et Amazon, et les autorités américaines mènent une enquête depuis 2015. C’est là où ça devient intéressant…

 

Amazon a nié avoir connaissance de ces bugs, alors que Tim Cook, directeur général d’Apple, a dit que ce n’était qu’un tissu de mensonges, et a demandé le retrait de l’article. Super Micro a déclaré ne jamais avoir reçu de plaintes de la part des clients, ou de questions des autorités (rien de vraiment surprenant !). Dans les 24 heures suivant la publication, les parts de Super Micro ont chuté de 60 %. L’entreprise a fait appel à une société externe pour mener une enquête. Elle n’a trouvé aucune preuve permettant de corroborer les allégations des journalistes. Il semblerait que Bloomberg ne soit pas pressé de s’excuser, même si un autre journaliste a été chargé de faire plus de recherches.

En lire plus :Le meilleur du monde de la cybersécurité en 2018

Flickr photostream

Instagram

Cyber-histoires du côté obscur, et d’autres positives.

Bonjour à tous,

Aujourd’hui, j’ai quelques informations surprenantes à partager avec vous en matière de cybersécurité. J’ai d’abord quelques histoires assez inquiétantes, puisqu’il s’agit de menaces qui proviennent d’un petit appareil omniprésent et indispensable pour certaines personnes, ne serait-ce que pour quelques minutes, puisqu’ils le prennent même pour aller aux toilettes ou pour dormir. Les autres informations sont assez positives et encourageantes, et parlent de femmes qui vont de succès en succès en informatique. Parfait, approfondissons d’abord les aspects les plus inquiétants…

Ne soyez pas victime d’Asacub

Actuellement, les personnes ont tendance à confier de nombreux renseignements à leur smartphone (fiable ?) : données bancaires, documents personnels et professionnels importants, messages (qui contiennent souvent des données très personnelles qu’il vaut mieux garder à l’abri des regards indiscrets), et autres. Mais je suis certain que je ne vous apprends rien de nouveau, et que vous faites peut-être partie de ces personnes. Si tel est le cas, alors vous devez lire attentivement cet article…

Une forte hausse a été détectée fin août dans la prolifération du cheval de Troie Asacub qui touche Android, et qui exploite cette faiblesse singulièrement humaine : la curiosité. Le cheval de Troie envoie un message qui contient le texte suivant : « Salut John : tu devrais avoir honte ! [lien] », ou « John, Pete vous a envoyé un MMS : [lien] ». John est un peu perplexe mais curieux comme une belette. Il se demande quelle pourrait bien être cette photo, clique sur le lien, et télécharge (de bon cœur) une application… qui arrive discrètement à accéder à tout son répertoire, et commence à envoyer des messages similaires à ses contacts.

Mais cet habile malware ne s’arrête pas là. Il peut, par exemple, lire les messages que vous recevez, et envoyer le contenu aux pirates informatiques qui exécutent le malware ; ou encore envoyer des messages avec un contenu spécifique à un numéro donné. Cette capacité à intercepter et envoyer des messages permet, entre autres, aux auteurs du cheval de Troie de se transférer des fonds à l’aide de la carte bancaire de la victime, si elle est numériquement connectée au numéro de téléphone. Comme si cela n’était pas suffisant, il existe un bonus pour les victimes : la facture élevée de l’opérateur mobile pour avoir envoyé tous ces messages.

Comment vous protéger d’un malware mobile si redoutable ?

Voici quelques conseils :

  • Ne cliquez pas sur les liens suspects ;
  • Vérifiez minutieusement quels droits l’application que vous avez téléchargée essaie d’obtenir (microphone, appareil photo, position, …) ;
  • L’étape la plus importante et la plus simple : installez une solution de confiance sur votre smartphone Android.

Android ? Hmmm. Je peux déjà entendre votre soupir de soulagement :  » Aaaahhh, Dieu merci, j’ai un iPhone !  »

Que les amoureux d’Apple ne se réjouissent pas trop vite ! Nous avons aussi quelques liens pour vous. Ne vous inquiétez pas, en toute honnêteté vous pouvez suivre ces liens :

En lire plus :Cyber-histoires du côté obscur, et d’autres positives.

Insérez votre adresse e-mail pour vous inscrire à ce blog

Infecter un ami, redémarrer des Boeing, boucher des trous sans authentification et plus encore.

Bonjour mes amis !

Voici mon nouvel article de la série « Uh-oh Cyber-Actualités« , celle où je vous tiens au courant de tout ce qui se passe de terriblement fragile et d’effrayant dans le monde numérique.

Depuis le dernier « Uh-oh », beaucoup d’actualités se sont accumulées et nécessitent votre attention. Oui, le flux de « Uh-oh » est passé de simples gouttes de ruisseau de montagne aux chutes du Niagara. Et ce flux ne cesse de s’accélérer…

En tant que vétéran de la cyberdéfense, je peux vous dire que par le passé, on parlait des cataclysmes à l’échelle planétaire pendant six mois. Tandis qu’aujourd’hui, le flux des messages est comme du saumon pendant la période du frai : surchargé ! Inutile de dire que les nouvelles de nos jours vont tellement vite, qu’on pourrait les comparer à des attaques par déni de service. « J’ai appris l’autre jour le piratage de Mega-Corporation X où tout a été volé, même le hamster du patron a été emporté par un drone ! »…

Qu’importe, puisque le nombre de cyber scandales a augmenté rapidement, par conséquent le nombre de scandales aussi. Auparavant, il y en avait trois ou quatre par blog. Aujourd’hui : sept !

Vous avez préparé le popcorn/le café/la bière ? C’est parti…

1) Infecter un ami et débloquer ses fichiers gratuitement.

En lire plus :Infecter un ami, redémarrer des Boeing, boucher des trous sans authentification et plus encore.

Uh-oh Cyber-Actualités : Le futur en passe d’arriver et les malwares revenant d’entre les morts.

Comme toujours concernant cette « rubrique« , je vous livrerai un aperçu sur les récents couacs de la cybersécurité. Ils n’ont peut-être pas fait la une des médias, mais n’en sont pas moins problématiques pour autant. Et comme d’habitude, il s’agit de mauvaises nouvelles. Il existe toutefois encore quelques raisons de rester optimistes, ou du moins un peu. Aïe !

Uh-oh Cyber-Actualités. Article numéro 1 : le futur est sur le point d’arriver.

news-1Une capture d´écran de Blade Runner

Plusieurs auteurs aiment imaginer comment seront les choses dans le futur. Souvent, les écrivains de science-fiction proposent de profondes réflexions philosophiques sur l’Homme et sa place dans l’Univers. Parmi eux, se trouvent les frères russes Arcadi et Boris Strougatski, Philip K.Dick, et Arthur C. Clarke (ainsi que son « traducteur » sur le grand écran Stanley Kubrick). Très souvent, de telles réflexions philosophiques s’avèrent tristes et effrayantes.

Parfois, pour ne pas dire fréquemment, les réflexions sont moins profondes et philosophiques, mais ce n’est pas pour autant qu’elles ne seront pas susceptibles de se produire un jour ou l’autre. Et c’est sur ce point en particulier que j’interviens !…

Donc. Retour à la première décennie du XXIème siècle. Lors de mes conférences, mes auditeurs aimaient raconter des histoires drôles « inquiétantes » à propos de ce qui pourrait se passer dans le futur. Exemple : une cafetière lancerait une attaque par déni de service sur le frigo, tandis que le micro-onde trafiquerait la centrifugeuse.

Dix ans se sont écoulés depuis, et de tels phénomènes de science-fiction pourraient bien devenir réalité…

En lire plus :Uh-oh Cyber-Actualités : Le futur en passe d’arriver et les malwares revenant d’entre les morts.