Sécurité | IT-Connect - Partie 69

18/11/2024

Actu Cybersécurité

Faille : Piratez un compte PayPal en quelques clics !

03/12/2014 Florian BURNEL 0 commentaire infosec, PayPal, Sécurité

Ce n’est pas la première fois de l’année que des problèmes de sécurité sont rencontrés chez PayPal, le service de paiement en ligne qui appartient au géant eBay. Un chercheur en sécurité égyptien, Yasser H. Ali a découvert trois vulnérabilités critiques sur le site PayPal. Ces trois vulnérabilités concernent une faille CSRF, un bypass du jeton d’authentification et une réinitialisation de la question de sécurité. Yasser a diffusé une vidéo Proof-of-Concept qui démontre étape par étape comment réaliser un exploit qui s’appuie sur ces trois vulnérabilités. Dans cette démo, il utilise l’exploit CSRF qui permet à un pirate d’ajouter une seconde adresse e-mail sur le compte de la victime, et aussi de réinitialiser la réponse à la question de sécurité du compte ciblé. Une fois l’exploit réalisé, le pirate n’a plus qu’à réinitialiser le mot de passe du compte et le tour est joué ! https://www.youtube.com/watch?feature=player_embedded&v=KoFFayw58ZQ De son côté, l’équipe de sécurité PayPal a corrigé les failles remontées par Yasser.

Lire cet article

uTox : Une alternative chiffrée à Skype

28/11/2014 Florian BURNEL 5 commentaires Messagerie, Sécurité, uTox

Utiliser le logiciel uTox pour communiquer de façon sécurisée, aussi bien par texte que son et vidéo

Lire cet article

Google lance son tableau de bord d’activité !

27/11/2014 Florian BURNEL 0 commentaire Google, Sécurité

Si vous disposez d’un compte Google, sachez qu’un nouvel outil de sécurité est accessible au sein de votre compte ! En effet, Google propose désormais d’afficher un tableau de bord qui résume l’activité liée à votre compte Google. Ainsi, vous pourrez savoir sur les 28 derniers jours quels appareils a utilisés votre compte Google, avec la date, la localisation et le nom de l’appareil. Grâce à ce tableau de bord, vous pourrez détecter facilement les connexions suspectes et les révoquer si besoin. Pour accéder à cette fonctionnalité : – Accéder à la page d’accueil Google – Cliquer sur votre avatar et « Compte » – Dans votre compte, cliquer sur l’onglet « Sécurité » – Cliquer sur « Afficher l’activité » Voici un aperçu :

Lire cet article

Actu Cybersécurité

Box Bitdefender : Sécuriser tout vos appareils à la maison

26/11/2014 Florian BURNEL 1 commentaire BitDefender, Sécurité

Spécialisé dans les logiciels de sécurité, BitDefender va lancer le mois prochain une Box ayant pour objectif de protéger tous les appareils connectés au sein d’un foyer, sans s’arrêter aux PCs. Le constat est simple : il faut multiplier les logiciels, notamment les anti-virus sur les différents types d’appareils (PCs, Mac, tablettes, smartphones, etc..), alors pourquoi ne pas utiliser un boitier capable de gérer l’ensemble de ces équipements ? C’est en tout cas ce que propose BitDefender avec cette Box. En effet, elle viendra se connecter sur un port Ethernet de votre Box Internet afin d’être connecté à votre réseau local. Sachez que la Box BitDefender pourra également jouer le rôle de routeur autonome. Grâce à cette connectivité, le boitier analysera les flux échangés avec les différents appareils connectés. La Box contenant une base de signatures de malwares, elle sera alors en mesure d’identifier la présence d’un logiciel malveillant. Si vous utilisez cette Box, vous n’aurez plus besoin d’installer (et

Lire cet article

WhatsApp Messenger ajoute le chiffrement bout à bout par défaut !

20/11/2014 Florian BURNEL 0 commentaire Sécurité, WhatsApp

La très populaire application de messagerie, WhatsApp, a fait du chiffrement bout à bout (end-to-end pour ceux qui préfèrent) une fonctionnalité activée par défaut. Une nouvelle étape dans la conservation de la vie privée des utilisateurs. WhatsApp c’est tout de même 600 millions d’utilisateurs en octobre 2014, et c’est une application qui appartient à Facebook qui l’avait racheté pour la maudite somme de 22 milliards de dollars. L’arrivée de ce chiffrement end-to-end des messages, signifie que même Mark Zuckerberg ne pourra pas fouiller dans vos conversations, même si les autorités lui demande. Les développeurs précisent que pour eux ce déploiement du chiffrement bout à bout est le plus grand jamais réalisé. Pour la réalisation, un partenariat avec Open Whisper Systems a été mis en place. D’ailleurs, il s’agit d’une organisation mise en place par Moxie Marlinspike, l’homme qui est derrière le développement de l’application de messagerie sécurisée TextSecure. Les limites du chiffrement bouillent à bout dans WhatsApp Pour le moment,

Lire cet article

Actu Cybersécurité

WireLurker : Un malware infecte les Mac et ensuite les iPhone par USB

06/11/2014 Florian BURNEL 0 commentaire Apple, Sécurité, WireLurker

Un nouveau malware, nommé WireLurker, cible les utilisateurs de Mac et les périphériques mobiles Apple. Actuellement, le malware vise les utilisateurs chinois. D’après les chercheurs en sécurité de chez Palo Alto, le malware a infecté par moins de 467 applications pour Mac OS X ! Elles sont délivrées par un store d’applications, alternatif, nommé Maiyadi App Store. Au cours des six derniers mois, ces applications ont été téléchargées plus de 356 104 fois. De ce fait, des centaines de milliers de Mac pourraient être infectés. Le malware s’attaque aux périphériques iOS ! En fait, si vous connectez un périphérique sous iOS à votre Mac infecté, par exemple un iPhone, ce dernier sera lui aussi infecté ! En fait, WireLurker vérifie sans cesse la présence d’un périphérique USB sur votre Mac pour être prêt à l’infecter. D’après les chercheurs en sécurité, le malware installe des applications malicieuses sur l’appareil infecté (iPhone). De plus, toutes les données de votre téléphone deviennent accessibles

Lire cet article

Actu Cybersécurité

Drupal : Des millions de sites touchés par une injection SQL

03/11/2014 Florian BURNEL 0 commentaire Drupal, Sécurité

Drupal est un des CMS les plus utilisés pour la création de sites web, il est Open Source et est utilisé par des millions de sites. Malheureusement, une faille de type injection SQL est présente dans le CMS, ce qui laisse des millions de sites web ouvert aux hackers. Vous devez immédiatement mettre à jour vos sites vers la version Drupal 7.32, afin de vous protéger. Pour exploiter cette attaque, aucune authentification n’est requise sur le site cible et l’attaque ne laisse aucune trace du pirate. Lorsque votre site est attaqué, le pirate peut dérober des informations, ou dans certains cas, installer une backdoor sur votre site pour garder un accès à distance. Cette vulnérabilité réside dans le Core de Drupal, au sein du module dédié à la protection des attaques de type injection SQL. Informations sur la mise à jour Drupal 7.32 L’équipe de sécurité Drupal affirme que la mise à jour doit être effectuée uniquement sur un site

Lire cet article

Actu Cybersécurité

Les Sony Xperia envoient des données sur des serveurs en Chine

29/10/2014 Florian BURNEL 2 commentaires Baidu, Sécurité, Sony

Si vous êtes propriétaire d’un smartphone Sony qui tourne sous Android 4.4.2 ou 4.4.4, sachez que votre appareil transmet des données sur des serveurs en Chine, sans aucune intervention de votre part. C’est surprenant mais c’est une réalité. Il y a environ un mois, des utilisateurs de la communauté Sony ont détectés la présence d’un répertoire étrange, nommé « Baidu ». Ce répertoire est créé automatiquement, sans demander votre permission et il n’est pas possible de le supprimer (si vous le supprimez, il reviendra automatiquement). Un utilisateur de Reddit précise : « A peine mon Sony Z3 Compact déballé, je n’ai pas installé d’application et il s’est connecté en Chine. Je ne suis pas concerné par le répertoire mais mon téléphone a maintenant une connexion constante sur une adresse IP à Beijing ». Visiblement, le répertoire Baidu est utilisé par le service « my Xperia » à chaque fois que des pings sont envoyés à destination de la Chine. Par ailleurs, il s’avère que certains utilisateurs

Lire cet article

Actu Cybersécurité

Samsung Find My Mobile : Une faille zero day découverte !

28/10/2014 Florian BURNEL 0 commentaire Samsung, Sécurité

Le NIST (National Institute of Standards and Technology) met en garde les utilisateurs du service Samsung Find My Mobile car il contient une vulnérabilité Zero-Day. Ce service offert par Samsung sur ses appareils, est accessible en ligne et permet aux utilisateurs de localiser leurs appareils, de jouer une alerte sur un appareil à distance, et de verrouiller le smartphone à distance dans le but que personne ne puisse accéder au périphérique perdu. Mohamed Abdelbaset Elnoby, un expert en sécurité Égyptien, est l’auteur de cette découverte. La faille est de type CSRF (Cross-Site Request Forgery) qui permet à un attaquant de verrouiller ou déverrouiller un appareil à distance, et même déclencher l’alarme. Un mot sur la méthode CSRF : L’utilisateur charge une page HTML contenant du code malveillant nécessaire à l’exploit. Le lien malicieux dispose des mêmes privilèges que l’utilisateur qui l’a autorisé, il est donc possible de réaliser des tâches indésirables comme le changement de l’adresse e-mail, du mot de

Lire cet article

Actu Cybersécurité

Koler : Un ransomware Android qui se propage par SMS

27/10/2014 Florian BURNEL 0 commentaire Android, Sécurité

Une nouvelle variante de ransomware qui vise les appareils sous Android se propage actuellement par SMS. Les victimes, une fois infectées par Koler, sont invitées à payer une somme pour retrouver l’accès à leur appareil. Les chercheurs en sécurité l’ont observé pour la première fois en Mai, lorsqu’il fût distribué par des sites pornographiques en le proposant sous forme d’application légitime. Les chercheurs de chez AdaptiveMobile ont découvert une nouvelle variante nommée Worm.Koler, qui se propage par SMS et qui invite les utilisateurs à cliquer sur un lien raccourci Bit.ly. Périphérique infecté : Que se passe-t-il ? Un périphérique infecté par Koler, commencera par envoyer un SMS à tous les contacts enregistrés dans le carnet d’adresses de l’appareil. « Quelqu’un a créé un profil nommé [nom du contact] et il a envoyé des photos de vous! Est-ce que c’est toi ? » A la fin de ce SMS, on trouve un lien Bitly. Si la personne qui reçoit le SMS, clic sur

Lire cet article

Actu Cybersécurité

Poodle : Une vulnérabilité critique dans SSL 3.0

16/10/2014 Florian BURNEL 0 commentaire Poodle, Sécurité, SSL

Une nouvelle vulnérabilité semblable à Heartbleed a été découverte dans un vieux protocole, mais encore utilisée à l’échelle mondiale : le protocole de chiffrement SSL 3.0. Cette vulnérabilité permettrait à l’attaquant de déchiffrer le contenu des connexions chiffrées entre les clients et les sites internet. Nommé POODLE (Padding Oracle On Downgraded Legacy Encryption – CVE-2014-3566), cette vulnérabilité est la découverte de l’équipe de sécurité de chez Google. Découverte il y a un mois, elle touche tous les produits qui intègre l’utilisation du SSL version 3, notamment les navigateurs (Chrome, Firefox et Internet Explorer). L’attaque POODLE permet à un attaquant de réaliser un man-in-the-middle dans le but déchiffrer les cookies HTTP, de dérober des données personnelles, des mots de passe, préférences de sites, etc. De plus, l’attaque POODLE peut forcer une connexion en SSL 3.0 ! La documentation SSL POODLE Il est recommandé de désactiver le SSLv3 sur les clients et les serveurs. De son côté, Google annonce que le support

Lire cet article

Actu Cybersécurité

Russie : Une faille Zero-day pour espionner l’OTAN

15/10/2014 Florian BURNEL 0 commentaire Sécurité, ZeroDay

Une fois encore un groupe de cyber-espionnage Russe a attiré l’attention des médias en exploitant une vulnérabilité Zero-Day, contenue dans les OS Windows. Grâce à l’exploitation de cette faille, ils ont pu espionner l’OTAN (Organisation du traité de l’Atlantique Nord), les agences gouvernementales ukrainienne et polonaise, ainsi que des industries européennes. Les chercheurs de chez iSight Partners ont découvert cette vulnérabilité Zero-Day (CVE-2014-4114). Elle touche toutes les versions de Windows, aussi bien client que serveur, depuis Windows Vista et Windows Server 2008. Qu’est-ce que cette faille Zero-Day ? Référencée sous CVE-2014-4114, on apprend dans un rapport que cette vulnérabilité est contenue dans le gestionnaire OLE dans Windows. Ceci permet d’autoriser un hacker à exécuter du code arbitraire à distance. iSight précise également que : « La vulnérabilité existe parce que Windows autorise le gestionnaire OLE à télécharger et exécuter des fichiers INF. » Ce fichier INF, fourni par le hacker pourra contenir des commandes à exécuter par le gestionnaire OLE, ce dernier

Lire cet article

Actu Cybersécurité

PayPal : Une faille permet d’accéder à un compte bloqué

13/10/2014 Florian BURNEL 0 commentaire PayPal, Sécurité

Le service de paiement PayPal est vulnérable à une faille qui permet d’outrepasser une restriction d’authentification, cela permet de passer le blocage sur un compte lorsque ce dernier est bloqué. Cette faille de sécurité réside dans l’API mobile au sein de la procédure d’authentification sur le service PayPal, qui ne vérifie pas si le compte est bloqué et restreint. Comment ça marche ? Lorsqu’un utilisateur tente de se connecte avec une mauvaise combinaison utilisateur/mot de passe plusieurs fois, par sécurité, PayPal restreint l’accès au compte de cet utilisateur tant que les réponses secrètes de quelques questions de sécurité ne sont pas données. Cependant, si ce même utilisateur, passe sur son smartphone au sein de l’application PayPal et tente d’accéder à son compte, il pourra accéder à son compte sans aucun problème et ce sans avoir à fournir les réponses aux questions de sécurité. Toujours pas de correctif apporté ! Reportée il y a un an par Benjamin Kunz Mejri de

Lire cet article

Actu Cybersécurité

Bugzilla révèle les bugs à cause d’une faille Zero-Day

08/10/2014 Florian BURNEL 0 commentaire Bugzilla, Sécurité

Un bug dans BugZilla, ou plutôt, une vulnérabilité Zero-Day dans BugZilla, permet de consulter la liste des vulnérabilités non corrigées au sein d’un logiciel. Ce qui peut fortement faciliter le travail de recherche des pirates… Bugzilla : Logiciel libre, écrit en Perl et développé par l’organisation Mozilla, il permet le suivi de bugs au sein d’une application ou de demande d’amélioration. Il est très utilisé dans le suivi du développement de logiciels. En temps normal, les failles non corrigées ne sont pas accessibles publiquement pour éviter qu’un exploit soit mis au point rapidement et, que la vulnérabilité soit utilisée à grande échelle. En effet, les développeurs du projet concerné sont les seuls informés puisque ce sont eux qui doivent les corriger. Concernant cette faille, elle permet d’outrepasser la vérification de l’e-mail lors d’une inscription. La conséquence c’est que cela permet d’obtenir des droits d’administration sur l’application. Pour accéder à un projet en particulier, il suffit d’indiquer que l’on possède une

Lire cet article

Actu Cybersécurité

BadUSB : Une vulnérabilité USB impatchable !

07/10/2014 Florian BURNEL 1 commentaire BadUSB, Sécurité

Cet été lors de la conférence Black Hat, des chercheurs allemands avaient présenté une vulnérabilité dans l’ensemble des périphériques USB, et, qui permettrait à un attaquant d’exécuter du code sur une machine. Comment ? Seulement en modifiant le firmware d’une banale clé USB de stockage. Ces mêmes chercheurs ont déclarés que cette vulnérabilité est « impatchable », car pour la corriger il faudrait repenser la conception des périphériques USB… BadUSB Proof of Concept La seule Proof of Concept de cette attaque était uniquement une version qui affectait les terminaux Android. Ça c’était avant. Désormais deux chercheurs américains : Adam Caudill et Brandon Wilson en ont décidés autrement. En effet, lors de la dernière DerbyCon qui a eu lieue la semaine dernière au Kentucky, ils ont présentés leurs travaux sur cette faille de l’USB. Avec eux c’est différent, notamment car le code source de leur attaque est disponible sur GitHub (GitHub BadUSB). Cela permet entre autre d’obtenir des détails sur outils développés pour

Lire cet article