Plusieurs millions de comptes MySpace en vente en ligne sur le marché noir

Selon LeakedSource, les mots de passe de la base de données étaient chiffrés, mais protégés par une technologie aisément contournable avec du temps et de la puissance de calcul. L’intégralité de la base de donnée a été mise en vente pour environ 2 500 euros sur un site spécialisé dans le recel de données volées.

Un milliard d’inscrits

MySpace, considéré il y a dix ans comme le site le plus populaire pour les adolescents et les étudiants, n’est aujourd’hui plus que l’ombre de ce qu’il était. Le service, qui permet de créer sa page personnelle, avait notamment construit sa popularité en attirant de nombreux groupes de musique populaires. Le service existe toujours, et annonçait à la fin de 2015 avoir dépassé le seuil symbolique du milliard d’inscrits au cours de son existence.

Les données contenues dans les fichiers volés restent cependant sensibles – de nombreux internautes réutilisent le même mot de passe pour plusieurs applications ou services. Il est conseillé aux utilisateurs ayant détenu ou détenant un compte MySpace de changer leur mot de passe s’ils l’ont réutilisé sur d’autres services… [Lire la suite]

Réagissez à cet article

Et si charger la batterie de son smartphone via un port USB était dangereux ?

Il parait donc tout à fait normal de chercher une source d’électricité à proximité lors d’une telle situation, par exemple utiliser un port USB. Mais est-ce bien sûr ? Non, en réalité cela peut s’avérer dangereux. Via une connexion USB, n’importe qui peut s’emparer de vos fichiers, infecter votre smartphone d’un virus ou même le rendre inutilisable.

Chevaucher la foudre

Avant d’aborder le problème des hackers, il est important de préciser que toute les sources d’électricité ne sont pas forcément bonnes pour votre téléphone. Il existe beaucoup de plaintes sur Internet, principalement d’utilisateurs tentant de charger leur téléphone dernier cri en les connectant à des adaptateurs ou des chargeurs d’occasion (ou non originaux). Dans certains cas, les téléphones ont été rendus inutilisables. Dans certains cas encore plus étranges, des personnes prenant leur téléphone alors qu’ils étaient en charge ont été sérieusement blessées ou même tuées.

Malheureusement, il s’agit plus que de simples accidents. Par exemple, l’année dernière un appareil a été baptisé à juste titre : le tueur USB. Il contenait un impressionnant ensemble de condensateurs hébergés dans une carte mémoire flash USB, qui déchargeait 220 V dans le port USB auquel il était connecté. Une telle décharge pourrait dans le meilleur des cas détruire le port USB et dans le pire sans doute la carte mère de tout l’ordinateur. Nous doutons que vous souhaitiez tester la durabilité de votre téléphone de cette façon.

Montrez-moi vos fichiers

Deuxièmement, les ports USB n’ont pas été conçus uniquement pour la charge, mais aussi pour transférer des données. Les téléphones consommant le plus de données sont ceux conçus sur la plateforme Android 4 x et les versions antérieures, ils se connectent sur le mode MTP (Media Transfer Protocol) par défaut, exposant tous les fichiers de l’appareil.

En moyenne, il faut plus d’une centaine de kilo octets de données rien que pour le système hôte des fichiers et dossiers du téléphone. Pour vous donner une idée, il s’agit de la taille d’une copie de l’e-book d’Alice au pays des merveilles.

Bloquer votre téléphone vous éviterait de courir un tel risque mais honnêtement seriez-vous prêt à vous passer de votre téléphone pendant qu’il est en charge ? Et à toujours le débrancher du port USB lorsque vous recevez un message par exemple ?

A présent, jetons un coup d’œil de plus près aux données qui sont transmises du port USB même lorsque le mobile est en mode (bloqué)  » charge seule « . La taille de ces données varie, dépendant de la plateforme du mobile et du système d’exploitation de l’hôte. Mais dans tous les cas, il s’agit plus que d’une  » simple charge « . Comme nous l’avons découvert, ces données incluent le nom du mobile, le nom du fournisseur et le numéro de série.

Accès complet et au-delà

Vous devez sûrement penser que vous ne voyez pas où est le problème, seulement il y en a un, puisque nous avons trouvé en cherchant des informations accessibles au public qu’un fournisseur en particulier autorise beaucoup plus que ce qui est spécifié par le système.

Comment est-ce possible ?

Cela est rendu possible via un ancien système de commandes appelées commandes AT. Ces dernières ont été développées il y a quelques dizaines d’années afin de permettre les communications des modems et ordinateurs. Plus tard, elles ont été intégrées au standard du GSM et désormais sont toujours utilisées sur les smartphones.

Pour vous donner une idée de l’usage des commandes AT, laissez-moi vous donner quelques exemples que nous avons été en mesure de découvrir à la surface d’Internet : elles permettent à un hacker d’obtenir votre numéro de téléphone et de télécharger les contacts enregistrés dans la carte SIM. Ces commandes permettent d’établir un appel à n’importe quel numéro, et ce à vos frais, bien entendu. Et si vous êtes en roaming, de tels appels inattendus peuvent vite faire grimper la facture. Dépendant du vendeur, le mode du roaming peut faciliter l’accès à un hacker d’installer n’importe quel type d’applications, y compris malveillantes.

Tout ce qu’on vient de mentionner est possible, même si votre smartphone est bloqué !

En résumé, ne vous fiez pas aux apparences d’un port USB car il pourrait bien  » cacher des choses « . Il s’agit d’un système qui collecte les données des appareils auxquels il est connecté, peu importe les raisons. C’est une source d’énergie bancale, tel un puissant condensateur ou un ordinateur qui installe une porte dérobée sur votre appareil. Une chose que vous ignorez jusqu’à ce que vous le branchiez.

Article de Alexey Komarov

Réagissez à cet article

La France visée par une nouvelle cyberattaque de l’EI

Une fuite de données sensibles mais accessibles depuis 6 mois

Le message commence par une représentation de la basmala, un verset leitmotiv du Coran à la gloire de Dieu. Des mots-dièse “CCA #CyberCaliphate #UCC” et un logo de la Caliphate Cyber Army viennent compléter la revendication introductive.
Vient ensuite une liste de 77 emails, mots de passe, numéros de téléphone, adresses, comptes Paypal et soldes de compte Paypal. La liste concerne 38 adresses françaises, 31 américaines, 6 australiennes, 1 philippine et 1 néerlandaise. Les coordonnées semblent être uniquement personnelles et non professionnelles.

Après analyse, il semblerait que les données exposées ici étaient déjà présentes sur le Dark Web avant cette publication. En effet, un message publié le 12 janvier dernier sur le site pastebin.com reprenait 35 paires d’emails/mots de passe correspondant exactement à ceux publiés le 16 mai par la Cyber Caliphate Army. A l’aune de cette troublante similarité entre le 12 janvier et le 16 mai, la CCA reprendrait à son compte des adresses en libre accès sur le Dark Web ; ce qui ne serait pas la première fois.

Une Cyber Armée aux attaques peu techniques mais à fort impact médiatique

La Cyber Caliphate Army est issue de la volonté de l’Etat Islamique de projeter son action dans l’espace virtuel en 2014. Elle est dans un premier temps dirigée, et probablement entièrement constituée par Junaid Hussain, un hacker anglais.

De son lancement pendant l’été 2014 jusqu’à l’assassinat de Hussain par un drône américain en août 2015, la CCA a revendiqué une série de cyberattaques peu sophistiquées mais très médiatiques : plusieurs défacements de comptes Twitter du Commandement Central des Armées américaines (CENTCOM), de Newsweek, de chaînes de télévisions américaines, l’arrêt des retransmissions des 11 chaînes de TV5 Monde (action dont la parenté est mise en doute par de nombreux experts).

Cette nouvelle fuite souligne les faiblesses de la Cyber Armée du Califat

Depuis la mort de Husain, la CCA a mené des actions nettement moins symboliques : des défacements indiscriminés de milliers de sites et des actions à la parenté douteuse dont des fermetures de systèmes informatiques revendiquées ex-post et des diffusions de données en réalité déjà en ligne, comme celle détectée ce 16 mai par CybelAngel.

Face à ce potentiel de nuisance visiblement réduit, 4 groupuscules d’hacktivistes islamistes dont la Cyber Caliphate Army ont proclamé leur union en un United Cyber Caliphate en avril ainsi que nous vous le rapportions la semaine dernière. Quelques semaines plus tard, le groupuscule Cyber Caliphate Army revendique pourtant en son nom propre une action et ne mentionne le United Cyber Caliphate qu’en un hashtag UCC. Il semblerait que l’intégration des différents groupes hacktivistes islamistes prenne plus de temps que prévu.

Article de CybelAngel Analyst Team

Réagissez à cet article

Deux applications accusées d’espionner les coureurs

Si vous ne le savez pas encore, Runkeeper est une application qui permet de mesurer ses performances sportives. Si on parle d’elle aujourd’hui, ce n’est pas vraiment pour les fonctionnalités qu’elles proposent, mais plutôt pour un sujet plus serré. En effet, cette application qui est la possession de la société FitnessKeeper violerait les règles de confidentialité des données personnelles. D’après le NCC (conseil des consommateurs norvégien), afin de pouvoir évaluer l’état de l’utilisateur, elle doit d’abord accéder à des fonctionnalités stratégiques telles que la géolocalisation.

Et le comble dans tout cela, c’est le fait que les données de l’utilisateur ayant été collectées seraient ensuite utilisées pour des finalités commerciales. En effet, elles seraient revendues à des entreprises de publicité et seraient même sauvegardées même après la suppression du compte. En tout cas, c’est ce qu’avance un rapport qui date du 10 mai. Interrogé sur cette question, le fondateur de Runkeeper a indiqué que le problème vient d’un bug. « Nous sommes en train de sortir une nouvelle version de notre application qui élimine ce bug… Nous prenons au sérieux la confidentialité des données des utilisateurs… », a-t-il indiqué. Par ailleurs, outre l’application Runkeeper, le NCC pointe aussi du doigt l’application Tinder, laquelle est une application pour les fans de rencontre amoureuse. Elle, aussi, conserverait les données des utilisateurs, notamment, les photos et les conversations… [Lire la suite]

Réagissez à cet article

Le site Internet de Météo France piraté

Il se nomme Amar^SHG. Ce jeune pirate informatique (Il serait un Albanais) est dans la mouvance des hacktivistes politiques qui, par le biais de la modification de site Internet (defacement, barbouillage), trouvent un moyen de faire passer des messages. Amar^SHG a fait la pluie et le beau temps sur les sites de Météo France via un détournement de DNS radical.

Lundi soir, le pirate a mis la main sur un moyen informatique qui lui a donné l’occasion de détourner l’ensemble des noms de domaines de Météo France. Comme il a pu me l’indiquer sur Twitter, les domaines .fr, .mobi, . Paris, … ont été impactés.

Détournement de DNS

Les visiteurs accédaient, ce lundi soir (vers 22h30), à une page noire et rouge, portée par la musique « Wonderful life » de Katie Melua. Côté message, le cyber manifestant souhaitait viser ceux qui « se plaignent pour leurs propres problèmes ». AMAR ^ SHG parle d’espoir, d’un monde qui n’est pas parfait « Il faut vivre avec, avec espoir »… [Lire la suite]

Article de Damien BANCAL

Réagissez à cet article

11 millions volés dans une attaque simultanée de distributeurs automatiques

Cartes contrefaites
Ce vol a probablement été mené par un groupe international faisant usage de cartes de crédit contrefaites contenant des informations de compte dérobées à une banque sud-africaine. Le nom de la banque n’a pas été mentionné et Interpol compte bien aider la police nippone dans cette affaire, comme le rapporte The Japan Times. 14.000 transactions Plus de 100 personnes pourraient avoir coordonné ce retrait d’argent colossal. Le montant maximal de 100.000 yen a été retiré dans chacune des 14.000 transactions…. [Lire la suite]

M

Réagissez à cet article

Le site Internet de Météo France victime de détournement de DNS après celui de Canal +

Il se nomme Amar^SHG. Ce jeune pirate informatique (Il serait un Albanais) est dans la mouvance des hacktivistes politiques qui, par le biais de la modification de site Internet (defacement, barbouillage), trouvent un moyen de faire passer des messages. Amar^SHG a fait la pluie et le beau temps sur les sites de Météo France via un détournement de DNS radical.

Lundi soir, le pirate a mis la main sur un moyen informatique qui lui a donné l’occasion de détourner l’ensemble des noms de domaines de Météo France. Comme il a pu me l’indiquer sur Twitter, les domaines .fr, .mobi, . Paris, … ont été impactés.

Détournement de DNS
Les visiteurs accédaient, ce lundi soir (vers 22h30), à une page noire et rouge, portée par la musique « Wonderful life » de Katie Melua. Côté message, le cyber manifestant souhaitait viser ceux qui « se plaignent pour leurs propres problèmes ». AMAR ^ SHG parle d’espoir, d’un monde qui n’est pas parfait « Il faut vivre avec, avec espoir ».

Un message qui change des propos de haines, guerriers… que l’on peut croiser sur des pages modifiées par d’autres pirates informatiques. Une attaque qui a pu être mise en place via un phishing, un accès non autorisés à partir d’une injection SQL… Bref, plusieurs méthodes possibles ont pu être exploitées pour atteindre l’administration des noms de domaine et orchestrer ce détournement de DNS… [Lire la suite]

Réagissez à cet article

Pourquoi Edward Snowden déconseille Allo, la nouvelle messagerie de Google

 
Haro sur Allo. La nouvelle application de messagerie instantanée de Google était l’une des principales annonces de la conférence Google I/O, mercredi 18 mai, au quartier général de l’entreprise à Mountain View. Fondée sur l’intelligence artificielle, elle est capable de comprendre le langage humain et affine son algorithme au fil des conversations afin de proposer des suggestions de plus en plus pertinentes. Disponible cet été sur Android et iOS, elle est déjà au coeur d’une controverse d’experts.

Allo possède des paramètres de sécurité renforcés. Un mode « incognito » permet de chiffrer de bout en bout les messages afin de les rendre illisibles pour une personne extérieure à la conversation. Seuls les participants à la discussion sont en mesure de les déchiffrer. Google lui-même ne peut pas y accéder et répondre à d’éventuelles requêtes judiciaires des autorités.

Cette option est basée sur le protocole open source Signal, développé par Open Whispers Systems. C’est le même protocole de chiffrement que WhatsApp, dont les discussions sont cryptées de bout en bout depuis le mois d’avril. Mais à l’inverse de WhatsApp et d’autres messageries sécurisées actuelles (Viber, Signal, iMessage) le chiffrement des conversations n’est pas activé par défaut sur Allo. C’est aux utilisateurs d’effectuer la démarche.

Les experts en sécurité déconseillent Allo

Des experts en cybersécurité s’interrogent déjà sur la pertinence d’une telle fonction, arguant que de nombreux utilisateurs ne feront pas la démarche de l’activer. « La décision de Google de désactiver par défaut le chiffrement de bout en bout dans la nouvelle application de discussion instantanée Allo est dangereuse et la rend risquée. Évitez-la pour l’instant », a conseillé Edward Snowden sur Twitter.
Le lanceur d’alerte à l’origine du scandale des programmes de surveillance de la NSA en 2013 n’est pas le seul à critiquer le choix de Google. Nate Cardozo, représentant de l’EFF, une association américaine de défense des libertés numériques, a estimé pour sa part que « présenter la nouvelle application de Google comme étant sécurisée n’est pas juste. L’absence de sécurité par défaut est l’absence de sécurité tout court ».

« Rendre le chiffrement optionnel est une décision prise par les équipes commerciales et juridiques. Elle permet à Google d’exploiter les conversations et de ne pas agacer les autorités », a encore indiqué Christopher Soghoian, membre de l’Association américaine pour les liberté civiles.

L’intelligence artificielle, priorité de Google

Après avoir pris fait et cause pour Apple dans le bras de fer qui l’a opposé au FBI sur le déblocage de l’iPhone chiffré d’un des terroristes de San Bernardino, Google n’est donc pas allé aussi loin que WhatsApp en généralisant le chiffrement des discussions. Un ingénieur en sécurité de Google a expliqué sur son blog comment la société avait dû arbitrer entre la sécurité des utilisateurs et les services d’intelligence artificielle d’Allo.

Pour profiter pleinement des capacités de Google Assistant implémentées dans Allo, les algorithmes doivent être en mesure d’analyser les conversations, ce qui n’est possible qu’en clair. « Dans le mode normal, une intelligence artificielle lit vos messages et utilise l’apprentissage automatique pour les analyser, comprendre ce que vous voulez faire et vous donner des suggestions opportunes et utiles », explique Thaï Duong.

Ce parti pris pourrait évoluer d’ici la sortie de l’application cet été. Le site américain TechCrunch a publié des paragraphes que l’ingénieur avait publié dans son article avant de les supprimer. Il affirme qu’il est en train de « plaider en faveur d’un réglage avec lequel les usagers peuvent choisir de discuter avec des messages en clair », pour interagir avec l’intelligence artificielle en l’invoquant spécifiquement, sans renoncer à la vie privée. En somme, proposer « le meilleur des deux mondes »… [Lire la suite]

Réagissez à cet article

Plus de 100 millions de mots de passe LinkedIn dans la nature… depuis 2012 !

Le piratage massif dont a été victime LinkedIn en 2012 revient hanter le réseau social professionnel. Une base de données contenant plus de 100 millions d’identifiants et de mots de passe est actuellement proposée à la vente sur une place de marché du dark web, «The Real Deal», rapporte le siteMotherBoard. Le fichier est proposé à la vente pour 5 bitcoins, soit un peu plus de 2000 euros. Il concerne 167 millions de comptes, dont 117 millions sont associés à un mot de passe.

Le site LeakedSource, qui a eu accès au fichier, assure avoir réussi à déchiffrer en trois jours «90% des mots de passe». Ils étaient en théorie protégés par un procédé de hachage cryptographique, SHA-1, mais sans salage, une technique compliquant leur lecture en clair. Deux personnes, présentes dans le fichier, ont confirmé à un chercheur en cybersécurité que le mot de passe associé à leur identifiant était authentique.

LinkedIn avait reconnu en 2012 le vol des données de connexion, mais sans jamais préciser le nombre d’utilisateurs concernés. Un fichier, concernant 6,5 millions de comptes, avait à l’époque été mis en ligne. «À l’époque, notre réponse a été d’imposer un changement de mot de passe à tous les utilisateurs que nous pensions touchés. De plus, nous avons conseillé à tous les membres de LinkedIn de changer leurs mots de passe», commente aujourd’hui le réseau social professionnel sur son blog.

123456, linkedin, password, 123456789 et 12345678

Selon LeakedSource, la base de données aurait été détenue jusqu’alors par un groupe de pirates russes. Ces informations de connexion, même si elles remontent à 2012, ont encore une grande valeur. Elles peuvent être utilisées tout à la fois pour pénétrer dans d’autres comptes plus critiques (sites d’e-commerce, banque en ligne…) ou organiser des campagnes de phishing, une technique utilisée pour obtenir les renseignements personnels d’internautes. Nombre d’utilisateurs utilisent la même combinaison d’adresse email et de mot de passe sur tous les sites, et en changent peu souvent, ce qui démultiplie les effets de tels piratages.Preuve de cette imprudence générale, les cinq mots de passe les plus utilisés dans le fichier mis en vente étaient 123456, linkedin, password, 123456789 et 12345678… [Lire la suite]

Réagissez à cet article

Prise d’otage numérique par Rançongiciels, la nouvelle arme fatale des cyberpirates

Locky, Cryptolocker, Synolocker, Cryptowall, TeslaCrypt, Petya… Si vous n’êtes pas un spécialiste de la sécurité informatique, ces noms barbares ne vous disent probablement rien. Et pourtant, ils représentent la nouvelle menace qui pèse sur vos ordinateurs. Depuis quelques années, en effet, un nouveau type de logiciel malveillant a le vent en poupe: les rançongiciels – un néologisme 2.0 dérivé du mot «ransomware» dans la langue de Shakespeare. Ces virus prennent, à distance, le contrôle de PC, tablettes ou smartphones et bloquent l’ensemble de leurs données. Pour les récupérer, les propriétaires légitimes sont sommés de payer une rançon dans un délai très court, dans une monnaie virtuelle et non traçable comme les bitcoins.

Selon une étude d’Intel Security-McAffe, datant de mars 2016, ce type d’attaque a augmenté de 26% au dernier trimestre 2015, par rapport à l’année précédente.

Les PME ne sont pas préparées

«Les demandes de rançons après un piratage sont en plein essor dans le monde et en Suisse, résume Ilia Kolochenko, CEO et fondateur de l’entreprise genevoise High-Tech Bridge, spécialisée dans la sécurité informatique. C’est devenu une véritable industrie.»

De fait, les exemples se multiplient – proches de nous. En avril 2016 par exemple, Ralph Eberhard, patron de la gérance Immogeste basée à Genève, témoigne dans le journal Le Temps avoir dû payer 1800 francs à des hackers. Le même mois, un peu plus loin d’ici, dans le Béarn, le PDG d’une entreprise raconte peu ou prou la même histoire, dans le journal La République des Pyrénées.

En effet, à chaque fois le scénario est identique. Un matin, en allumant leurs ordinateurs, les salariés voient s’afficher sur leur moniteur un message martial, généralement rouge sur fond noir, qui dit en substance: «Tous les fichiers de votre disque dur ont été cryptés. Pour les déchiffrer et les récupérer, vous devez nous payer.» La plupart du temps, les montants exigés ne s’avèrent pas dissuasifs: de quelques centaines de francs pour des particuliers à quelques milliers pour les PME. Mais parfois les sommes demandées sont astronomiques. En février 2016, un ransomware a infecté un hôpital de Los Angeles, bloquant l’ensemble des données médicales des patients. Pour remettre le système d’information d’aplomb, les pirates ont réclamé 9000 bitcoins, soit l’équivalent de 3,6 millions de dollars!

«Auparavant, les hackers s’attaquaient à de grosses entreprises, afin de toucher le jackpot, rappelle Ilia Kolochenko. Aujourd’hui, ils se recentrent sur les PME et les particuliers, parce qu’ils ont compris que même si les sommes obtenues sont moindres, l’activité se révèle moins risquée et plus facile. Si vous attaquez une grande banque, vous devez d’abord déjouer une sécurité informatique de premier plan. Et si vous y parvenez, vous pouvez être certain qu’elle ne vous lâchera jamais. Elle vous traquera pendant des années s’il le faut. A l’inverse, les particuliers et les PME ne sont absolument pas préparés à ce type d’attaque et en plus ne disposent pas des moyens nécessaires pour retrouver les auteurs.» Selon un rapport de Symantec publié en avril 2016, 57% de ces attaques ciblent des entreprises de moins de 250 salariés.

Mais comment ces logiciels malveillants se diffusent-ils? «Ces chevaux de Troie accèdent à l’ordinateur par le biais de courriels infectés ou de sites Internet piratés», explique la centrale Melani. Concrètement, «les hackers possèdent des robots informatiques, les botnets, qui scrollent l’ensemble des pages Internet – un peu comme Google – à la recherche de failles connues, explique Ilia Kolochenko. Lorsqu’une vulnérabilité est découverte, le virus s’installe et attend sa victime, en affichant par exemple un nouveau lien. Lorsque quelqu’un clique sur ce dernier, le virus passe sur son ordinateur et crypte l’ensemble des données.»

Faut-il payer la rançon ou pas?

Face à cette situation, la centrale Melani recommande de «ne pas céder à l’extorsion car, en payant la rançon, vous participez au financement de l’activité des criminels et leur permettez d’améliorer l’efficacité de leurs prochaines attaques. De plus, il n’existe aucune garantie que les criminels respecteront leur engagement et vous enverront réellement la clé vous permettant de récupérer vos données.»

En pratique, les choses s’avèrent plus compliquées, notamment pour les PME qui, privées de leurs fichiers clients, voient toute leur activité bloquée. «Si vous êtes infectés, il n’existe pas 3000 solutions, reconnaît Ilia Kolochenko. La première consiste à faire des recherches sur Internet, afin de savoir s’il existe déjà une clef de décryptage contre le rançongiciel. Malheureusement, c’est rarement le cas. La seconde, c’est payer. Si vous vous adressez à une entreprise comme la nôtre, nous finirons par remonter jusqu’au coupable et nous parviendrons peut-être à récupérer vos données. Mais cela va prendre beaucoup de temps. Même si cela peut paraître immoral, c’est moins coûteux pour une PME de régler la rançon que de lancer des investigations.» (TDG)

… [Lire la suite]

Réagissez à cet article