Des hackers peuvent infiltrer un réseau à l’aide d’un simple fax


Mieux vaut prévenir que guérir et c’est aussi valable en informatique. Ce fut une bonne question de savoir si un fax peut se pirater. Une réponse qui permet de corriger la faille
Nuage

 

Des hackers peuvent infiltrer un réseau à l’aide d’un simple fax

 

Pour exploiter les failles existantes au niveau des protocoles de communication des fax, les hackers n’ont besoin que du numéro de fax de la société visée, lequel numéro est très souvent facile à obtenir. © getty.

Source: Belga

Les fax sont peut-être démodés mais de nombreuses entreprises en disposent encore d’un exemplaire. Et ces appareils représentent un risque en matière de sécurité informatique, selon une enquête menée par Check Point.

Les chercheurs de cette société américaine de sécurité informatique ont montré que des pirates informatiques peuvent infiltrer n’importe quel réseau d’une entreprise ou d’un domicile en utilisant une imprimante-fax.

Pour exploiter les failles existantes au niveau des protocoles de communication des fax, les hackers n’ont besoin que du numéro de fax de la société visée, lequel numéro est très souvent facile à obtenir.

Les chercheurs de Check Point sont parvenus à pirater un réseau au départ d’une imprimante-fax HP mais les mêmes protocoles de communication sont utilisés par des millions d’autres appareils de ce type d’autres marques, soulignent-ils.

Check Point dit encore avoir mis au point, en collaboration avec HP, un logiciel correcteur, sous la forme d’une mise à jour, permettant de supprimer ce risque de sécurité.

https://www.7sur7.be/

Le Saviez-Vous ► À vérifier avant de donner votre numéro de carte de crédit en ligne


Faire des achats en ligne peut être intéressant, il faut quand même être prudent. Malheureusement, il y a des arnaqueurs qui profitent de l’inattention des acheteurs sur le Web. Il y a quand même des indices qui comme par exemple si c’est HTTPS, sans le S, il faut se méfier et d’autres signes qu’il faut tenir compte
Nuage

 

À vérifier avant de donner votre numéro de carte de crédit en ligne

 

L’essor du commerce en ligne continue de progresser et de changer nos habitudes de consommation. Chaque année, le nombre de transactions effectuées sur des boutiques en ligne augmente, au détriment du commerce de détail traditionnel. Saviez-vous qu’au Québec seulement, il se dépense plus de 8 milliards de dollars sur le web ?!

Cette montée exponentielle entraîne cependant une augmentation des fraudes et des arnaques Internet. Les pirates informatiques sont rusés. Plus il y a de demandes pour des biens de consommation en ligne, plus ces personnes mal intentionnées en profitent.

Voici donc quelques trucs et vérifications à effectuer afin de détecter les sites et boutiques en ligne frauduleux:

URL louche

Jetez un œil à l’adresse internet (URL). Si vous pensez être sur le site de votre marque préférée, mais que l’adresse web n’y ressemble pas du tout, posez-vous des questions. Une bonne façon de contre-vérifier est d’aller sur la page d’accueil du site principal et de comparer les 2 URL.

HTTPS

Parlant d’URL, un site web dont l’adresse commence par HTTPS est considéré comme plus sûr. Le HTTPS est un gage de sécurité. Toute boutique en ligne devrait en avoir une puisqu’elle invite ses usagers à entrer des informations personnelles vitales comme son numéro de carte de crédit. Pas de HTTPS ? Pas de transaction.

site web fraude

Qualité générale

Observer la qualité des textes et des images. Est-ce que la littérature sur le site semble une traduction automatique douteuse ? Est-ce bourré de fautes d’orthographe ? Les images sont-elles de mauvaise qualité ? Est-ce que bon nombre d’hyperliens ne fonctionnent pas ? Ce sont d’autres indices à ajouter à l’équation avant de donner votre numéro de carte de crédit.

site web fraude

Un seul mode de paiement

Une boutique en ligne digne de ce nom propose généralement plusieurs modes de paiement. PayPal, cartes de crédit, Interac et même parfois sur réception. Si une boutique en ligne, dont quelques indices vous font déjà douter, ne propose qu’un seul mode de paiement… vaut mieux trouver une alternative.

https://www.francoischarron.com/

Le « typosquatting » revient en force


Il y a des pirates qui continue a utiliser un piratage qui n’est pas nouveau. Celui de faire un site fictif en donnant l’impression d’être sur un site de confiance. Il faut toujours faire attention sur des liens qui contiennent des fautes frappes.
Nuage

 

Le « typosquatting » revient en force

 

heso59

Les pirates informatiques redoublent d’ingéniosité pour détourner les fautes de frappe des Internautes.

(CCM) — Le « typosquatting », ce n’est pas nouveau. Mais une étude vient remettre à l’honneur ce détournement des coquilles et autres fautes de frappe. En la matière, l’imagination des pirates n’a pas de limite…

Les experts en sécurité informatique de Menlo Security viennent de publier un rapport alarmiste sur la recrudescence du « typosquatting ». Pour les pirates, il suffit de rediriger les Internautes vers des sites fictifs, qui ressemblent comme deux gouttes d’eau au site original. Bien sûr, ces techniques utilisées sont extrêmement simples, voire simplistes, mais elles sont particulièrement redoutables selon l’étude. La raison d’une telle efficacité ? Tout simplement le fait que les Internautes croient être sur un site de confiance.

Comme le détaillent nos confrères du Figaro, les façons d’exploiter la crédulité des utilisateurs de pièges sont variées. Certaines copies de sites web se contentent de générer des revenus publicitaires, aux dépens des sites légitimes. D’autres pirates profitent du « typosquatting » pour installer des logiciels malveillants sur les ordinateurs de visiteurs. Mais selon Menlo Security, la principale exploitation de ce filon est la récupération des identifiants des visiteurs. En toute confiance, un Internaute croit se connecter à son compte Facebook, Amazon, Google ou des sites d’administrations, et se fait usurper son identité en ligne. Selon le rapport, 19 % des visiteurs des faux sites issus du « typosquatting » croient naviguer sur le véritable site web. Et une fois les informations confidentielles récupérées, les pirates peuvent s’en servir à leur guise.

http://www.commentcamarche.net

Les hackers, une tribu virtuelle à l’échelle de la planète


Nous avons probablement un très mauvais jugement envers les pirates informatique, pourtant plusieurs d’entre eux le font pour la bonne cause comme le plus connu Anonymous. D’autres pirates des entreprises pour trouver leurs failles et laissent le temps pour ces derniers de réagir avant de mettre à jour le problème. Mais comme on le sait, certains ne font que pour faire du tort
Nuage

 

Les hackers, une tribu virtuelle à l’échelle de la planète

 

Les hackers , une tribu virtuelle à l'échelle de la planète

Photo Fotolia

Glenn Chapman

 

SAN FRANCISCO – Geeks isolés cachés derrière des surnoms bizarres, les pirates informatiques constituent de nouvelles tribus à l’ère de l’internet, avec leur hiérarchie, leurs règles et leur éthique.

«Les gens pensent que les hackers sont des asociaux qui vivent dans un grenier. Ce n’est pas vrai du tout», dit Nico Sell, organisatrice de DEF CON, la plus grosse convention de hackers, dont la 23e édition aura lieu l’an prochain à Las Vegas.

«Pour être bon, il faut comprendre comment la société et les gens fonctionnent. Ce sont des geeks, mais pas des geeks comme les autres», ajoute la cofondatrice du service de messagerie cryptée Wickr.

Les tribus, dont les plus connues s’appellent Anonymous, LulzSec ou Lizard Squad, se divisent en deux groupes: les «chapeaux blancs», qui utilisent leurs talents avec de bonnes intentions, et les «chapeaux noirs», les pirates informatiques qui les détournent pour espionner ou voler.

Ils se racontent leurs exploits et échangent leurs tuyaux dans des forums comme DEF CON ou sur des chats internet comme 4Chan, indique Gabriella Coleman, spécialiste de cette communauté à l’Université McGill de Montréal.

«On peut parler de communauté», dit l’auteure de «Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of Anonymous» (Hacker, faussaire, lanceur d’alerte, espion: les nombreux visages d’Anonymous) qui sort en novembre.

«D’abord, ils ont un savoir-faire: ils construisent ou piratent. Et la technologie est tellement complexe que vous devez compter sur l’aide des autres pour que les choses soient faites sérieusement», dit-elle.

Dans des groupes comme celui d’Anonymous, les exploits informatiques sont révérés, mais s’en vanter pour la gloire personnelle est détesté, explique Mme Coleman.

L’étiquette de cette tribu virtuelle veut qu’on ne se proclame pas «pirate», on est reconnu pirate par les autres, dit-elle.

«Spot the Fed»

Utiliser l’humour, faire des farces et même en intégrer dans des codes source, sont aussi monnaie courante.

«Ils adorent l’intelligence, le savoir-faire, c’est un marqueur qui les définit et qui les réunit», ajoute-t-elle.

En revanche, être un informateur est méprisé. DEF CON a ainsi depuis longtemps lancé un jeu, «Spot The Fed» (Trouve le flic fédéral), qui récompense ceux qui arrivent à débusquer les policiers infiltrés dans les rassemblements.

Travailler dans une entreprise de sécurité informatique n’est pas dénigré, mais faire du mauvais boulot l’est. Les hackers ont le savoir-faire élitiste.

Anonymous rassemble des gens de tous horizons, dont certains n’ont rien à voir avec le hacking mais qui twittent, font des vidéos ou organisent des manifestations.

«Ce sont des gens dont les parcours, les origines sociales ou ethniques sont divers, avec la règle scrupuleusement appliquée de ne pas chercher la gloire ou la reconnaissance personnelle», dit Mme Coleman.

La chercheuse fait remonter le groupe à 4Chan, où les liens se sont tissés entre hackers en entrant dans les systèmes, en lançant des trolls (polémiques) ou en militant.

«C’est un peu comme s’ils avaient fait la guerre ensemble», dit-elle.

La nébuleuse Anonymous est devenue une plateforme politique avec des objectifs d’envergure tels que la lutte contre la censure et la corruption ou pour le respect de la vie privée.

«Anonymous était connu pour mettre la pagaille, maintenant il est plus célèbre pour son militantisme», dit Mme Coleman.

Le groupe s’est fait une réputation en combinant son expertise informatique à un talent très hollywoodien de se présenter, les visages dissimulés sous les masques de Guy Fawkes, un personnage tiré d’une BD devenue film, V pour Vendetta.

Les hackeurs agissent souvent en groupes, avec des surnoms tels que «ninjas». Mais ils sont plutôt généreux de leur talent en aidant aussi bien à créer des jeux qu’à pirater une grande entreprise pour montrer les failles de son système informatique.

Les hackers de DEF CON ont pour éthique de ne pas faire du tort sans raison. Ils laissent d’ailleurs du temps aux fabricants de logiciels de réparer les failles de leurs systèmes avant de les rendre publiques.

«Les hackers ne suivent pas toujours les règles, mais cela ne signifie pas qu’ils n’ont pas d’éthique», dit Nico Sell.

Signe de l’intérêt pour cette tribu virtuelle, l’adresse du siège de Facebook à Menlo Park en Californie y fait même référence: «One, Hacker Way» (1, Chemin du Hacker).

Google Traduction

Un avion peut-être piraté par l’Internet sans fil, dit un chercheur


Les avions de ligne sont à la page de la technologie, mais qui dit technologie, Internet, dit aussi pirate informatique. Voyager en avion sera-t-il aussi un risque d’être en plein milieu d’un événement de piratage ? Les risques sont-ils réels ?
Nuage

 

Un avion peut-être piraté par l’Internet sans fil, dit un chercheur

 

Un homme utilise son ordinateur à bord d’un avion. Photo :  ? Lucas Jackson / Reuters

Le chercheur en cybersécurité Ruben Santamarta affirme qu’il a réussi à trouver un moyen de pirater les équipements servant aux communications satellites à bord d’un avion de ligne, en passant notamment par le réseau sans fil de l’aéronef.

Si sa recherche est confirmée par la communauté scientifique, elle pourrait soulever des questions importantes au sujet de la sécurité aérienne.

« Ces dispositifs sont complètement ouverts », se désole M. Santamarta, qui travaille pour la firme IOActive.

Le consultant en cybersécurité doit présenter les détails techniques de sa recherche cette semaine dans le cadre d’un congrès à Las Vegas. Le congrès annuel attire chaque année des pirates informatiques et des experts en sécurité informatique, afin de discuter des nouvelles formes de menaces. Les observateurs estiment que la présentation de M. Santamarta ne manquera pas d’attirer l’attention des participants, jeudi.

Le chercheur estime que le réseau d’Internet sans fil et les dispositifs permettant aux passagers de regarder des films à partir de leur siège dans l’avion ne sont pas sécurisés.

« Le but de cette discussion, c’est d’aider à faire changer la situation. » — Ruben Santamarta, chercheur en cybersécurité

En théorie, un pirate informatique pourrait utiliser les systèmes d’Internet sans fil et de divertissement, afin de prendre le contrôle des appareils électroniques de l’avion et modifier les communications satellites de l’avion.

La recherche permettant de déceler les vulnérabilités soulevées par M. Santamarta a été effectuée dans un environnement contrôlé et il pourrait s’avérer difficile de la reproduire dans le monde réel.

M. Santamarta a indiqué que les appareils des avions fabriqués notamment par les compagnies Cobham, Harris, Hughes et Iridium présentent des failles de sécurité. Les représentants de ces compagnies ont confirmé plusieurs des découvertes du chercheur, mais ont minimisé les risques.

Dans le cas de Cobham, dont le système de communications satellites Aviation 700 a été au centre de la recherche de M. Santamarta, l’entreprise indique que les pirates ne peuvent pas utiliser l’Internet sans fil de l’avion pour avoir accès aux équipements de navigation et aux systèmes de sécurité. Le porte-parole de la firme Harris, Jim Burke, indique que sa compagnie a pris connaissance de l’analyse de M. Santamarta.

« Nous avons conclu que le risque de compromis est très minime », dit-il à Reuters.

De son côté, Iridium indique aussi que le risque est minime, mais que des mesures ont été prises pour protéger les utilisateurs, à titre préventif. Un des problèmes soulevés par M. Santamarta dans sa recherche est que les techniciens qui effectuent l’entretien des appareils fabriqués par ces compagnies utilisent souvent les mêmes mots de passe. Mais les pirates peuvent retrouver ces mots de passe en s’introduisant dans les systèmes informatiques des entreprises, selon le chercheur.

Un porte-parole de la compagnie Hughes a indiqué que l’utilisation de mots de passe identiques était nécessaire pour permettre aux techniciens d’assurer le service à la clientèle et que les pirates informatiques ne pouvaient, dans les faits, prendre le contrôle des appareils de l’avion.

http://ici.radio-canada.ca

Deux pirates informatiques donnent une leçon à BMO


Je souhaite que ces jeunes trouvent un travail à leur talent. Je trouve admirable qu’ils n’ont pas essayer de frauder vue cette facilité déconcertante pour eux, de pirater un guichet automatique mais qu’ils ont tout de suite aviser les responsables. Je trouve en plus que c’est une belle leçon de vie que ces jeunes viennent d’offrir aux adultes
Nuage

 

Piratage à 14 ans

Deux pirates informatiques donnent une leçon à BMO

 

QMI_bank_boys_2

Photo Chris Procaylo / Agence QMI

Sur la photo, Caleb Turon (gauche) et Matthew Hewlett(droite).Doug Lunney / Agence QMI

 

WINNIPEG – Deux garçons de Winnipeg férus d’informatique ont forcé la Banque de Montréal (BMO) à renforcer ses mesures de sécurité en piratant le guichet automatique d’une succursale de leur ville.

Matthew Hewlett et Caleb Turon, tous deux âgés de 14 ans, ont trouvé en ligne un ancien manuel de l’opérateur qui expliquait comment utiliser le guichet en mode opérateur.

Mercredi dernier, sur l’heure du midi, les deux comparses se sont rendus au guichet de la BMO, situé sur la rue Grant, à Winnipeg, pour voir s’ils seraient capables d’entrer dans le système.

«On croyait que ce serait amusant d’essayer, mais on ne pensait pas que ça allait marcher», a dit Matthew, en entrevue.

Non seulement ils ont réussi à accéder au mode opérateur, mais ils ont aussi trouvé le bon mot de passe à six chiffres à leur premier essai, en utilisant simplement un mot de passe par défaut fréquemment utilisé dans d’autres systèmes.

Après leur exploit, les garçons sont immédiatement entrés dans la banque pour avertir les responsables que le système n’était pas sécuritaire. Les employés ont d’abord cru que les jeunes rapportaient une fraude sur leurs cartes de débit. Les garçons ont alors expliqué qu’ils avaient réussi à accéder au mode opérateur du guichet. Personne ne les a crus.

«J’ai alors demandé à l’employé s’il nous permettait de le prouver. Il a répondu oui, en ajoutant qu’il ne croyait pas que nous allions être capables», a raconté Matthew.

Les jeunes pirates sont retournés au guichet et, sans difficulté, ils en ont repris le contrôle.

«J’ai imprimé des documents indiquant la somme d’argent que contient le guichet, le nombre de transactions qui ont été effectuées pendant la journée, la somme que le guichet a gagnée en frais supplémentaires, a expliqué Matthew. J’ai ensuite trafiqué les chiffres et j’ai changé la somme des frais supplémentaire à un cent.»

Les garçons ont poussé la plaisanterie jusqu’à changer le message d’accueil «Bienvenue au guichet BMO» par «Allez-vous-en! Ce guichet a été piraté!»

Avec leurs documents en main, les deux ados ont été reçus par le directeur de la banque. Ce dernier, après avoir lu les documents, a contacté le bureau central de sécurité.

Avant de retourner à l’école, les jeunes ont obtenu du banquier une lettre officielle justifiant leur retard en classe.

«Veuillez excuser le retard de MM. Hewlett et Turon, car pendant leur heure de dîner, ils ont aidé la sécurité de notre établissement», a écrit un des gestionnaires de BMO.

Dans un courriel adressé à l’Agence QMI vendredi, le directeur des relations médias de BMO, Ralph Marranca, a expliqué que la haute direction était au courant de ce qui s’était passé dans la succursale de Winnipeg et que des nouvelles mesures avaient été mises en place pour renforcer la sécurité des guichets.

«La sécurité protégeant les informations liées aux comptes des clients et à l’argent qu’ils contiennent n’a jamais été compromise», a précisé M. Marranca.

http://www.journaldequebec.com

Heartbleed, une faille de sécurité parmi tant d’autres


Avec la faille informatique Heartbleed, cela remet en question la sécurité sur nos données personnelles sur le web. Qui sont les plus à risque ? Avons-nous, ou aurons-nous une technologie fiable ?
Nuage

 

Heartbleed, une faille de sécurité parmi tant d’autres

 

Heartbleed, une faille de sécurité parmi tant d'autres

Photo Fotolia

Patrick Georges

MONTRÉAL – Au moment où les numéros d’assurance sociale de près d’un millier de contribuables ont été dérobés à l’Agence du revenu du Canada en raison de la faille informatique Heartbleed, les experts en sécurité informatique lancent un avertissement préoccupant: il y aura «certainement» d’autres failles à venir.

Lundi, Revenu Canada a rapporté que les numéros d’assurance sociale d’environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.

«L’Agence du revenu du Canada est l’un de nombreux organismes qui, malgré leurs contrôles hautement sophistiqués, étaient vulnérables à la faille Heartbleed», a déclaré le commissaire Andrew Treusch, par voie de communiqué.

Ce dernier affirme qu’en plus des données personnelles qui ont été volées, «d’autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».

«IL Y EN AURA D’AUTRES»

Étant donné qu’il est actuellement impossible de déterminer avec certitude les informations dérobées par les pirates, il est donc difficile d’évaluer le potentiel de vol d’identité, a expliqué José M. Fernandez, professeur adjoint au département de génie informatique à l’École Polytechnique de Montréal.

«Dans le pire des scénarios, les numéros d’assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n’ont pas nécessairement eu suffisamment d’information pour faire du vol d’identité», a mentionné le spécialiste.

Il estime d’ailleurs que bien plus de 900 personnes pourraient avoir été touchées au Canada.

Pour M. Fernandez, une chose est claire : il y aura éventuellement d’autres défaillances informatiques majeures dans un avenir rapproché.

«Va-t-il y avoir d’autres failles? Certainement, répond sans détour l’expert. Il s’agit de la cinquième ou sixième faille majeure dans les trois ou quatre dernières années. Et il va y en avoir d’autres.»

AUCUN MOYEN EFFICACE DE PROTECTION

Selon lui, l’état «pitoyable» de la sécurité sur internet engendre un problème généralisé.

«Aujourd’hui, on fait tout et n’importe quoi sur le « world wide web », mais la technologie n’est pas faite pour ça», a précisé M. Fernandez.

Fait inquiétant, il affirme que le citoyen moyen n’a aucun moyen pour se protéger des failles informatiques telles que Heartbleed.

«On ne peut rien faire. Le problème n’est pas votre machine à la maison, mais bien celle des banques et des compagnies», a indiqué le professeur.

Il ajoute qu’il faut maintenant accentuer la pression sur les députés afin qu’ils prennent des mesures appropriées pour garantir la vie privée des citoyens et que les fournisseurs informatiques soient redevables de leurs erreurs.

http://fr.canoe.ca/