Les News sur la securite informatiques

  • RĂ©ponses :29
  • OuverteNon stickyNon rĂ©pondu
  • Posts de Forum 8 138

16 oct. 2017 12:30:42 via site

image

🔾Bulletin D'ALERTE DU CERT-FR

RÉSUMÉ

Plusieurs vulnérabilités ont été découvertes dans WPA/WPA2. Il est possible lors de l'établissement d'une session de communication utilisant le protocole WPA/WPA2 d'interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges. Lors de cette phase d'initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d'accÚs Wi-fi, peut amener le client à réutiliser des paramÚtres entrant en compte dans le chiffrement des données échangées. Cela peut permettre à un attaquant de provoquer une atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS

La vulnérabilité affectant le protocole de sécurisation des échanges utilisant le mécanisme Wi-Fi Protected Access (WPA), de nombreux systÚmes sont impactés.

La vulnérabilité touche entre autres les systÚmes suivants:

  • Windows
  • Linux
  • Android
  • Apple

SOLUTION

Plusieurs éditeurs ont diffusé des correctifs pour ces vulnérabilités. Le CERT-FR recommande l'application de ceux-ci au plus vite.

— ModifiĂ© le 7 janv. 2018 20:29:04

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

17 oct. 2017 10:07:45 via site

C'est quoi ANSSI

Le Cert.FR qui a publié le bulletin d'alerte d'hier est l'agence qui publie les alertes pour l'ANSSI.

http://www.cert.ssi.gouv.fr/

đŸ”čL'ANSSI c'est quoi 💩

  • ANSSI c'est l' Agence Nationale de la SĂ©curitĂ© Informatique

L'Agence nationale de la sécurité des systÚmes d'information (ANSSI) est un service français créé par décret en juillet 20091. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matiÚre de défense et de sécurité nationale. 

Elle est chargée de la promotion des technologies, des produits et services de confiance, des systÚmes et des savoir-faire nationaux auprÚs des experts comme du grand public. Elle contribue ainsi au développement de la confiance dans les usages du numérique.

💡Elle contribue au dĂ©veloppement de la confiance

📝 Et vient de lancer la plateforme nationale contre la cybermalvaillance

AprĂšs une phase d’expĂ©rimentation, le dispositif d’aide aux victimes Cybermalveillance.gouv.fr sera lancĂ© sur l’ensemble du territoire national le mardi 17 octobre.

📝 Cybermalvaillance.Gouv.FR

image

C'est la solution vers laquelle peuvent dĂ©sormais se tourner les victimes de cybermalveillance. C’est un guichet unique qui met en relation ces victimes avec des prestataires de proximitĂ©, compĂ©tents et prĂ©sents sur l’ensemble du territoire national.

đŸ”čIl s’adresse aux particuliers, aux entreprises (PME/TPE) et collectivitĂ©s territoriales.

đŸ”č Ses missions :

‱ RĂ©fĂ©rencer et animer le rĂ©seau de prestataires de solutions prĂ©sents sur l’ensemble du territoire
‱ Lancer des campagnes d’information et de sensibilisation au niveau national sur la sĂ©curitĂ© numĂ©rique
‱ Mettre en place un observatoire du risque numĂ©rique

— ModifiĂ© le 17 oct. 2017 10:31:13

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

17 oct. 2017 12:00:47 via site

Et un de plus , un de plus

đŸ”čOne Plus💩

  • OnePlus espionne ses smartphones, la firme s’explique:

Les donnĂ©es collectĂ©es sont donc les suivantes : numĂ©ro IMEI, adresses MAC, nom des points d’accĂšs Wifi
 Et Ă©galement la liste des applications utilisĂ©es ainsi que les heures d’utilisation de ces derniĂšres. Chris D. Moore a alors cherchĂ© a contactĂ© OnePlus, qui a rĂ©pliquĂ© en lui proposant de rĂ©initialiser son smartphone aux paramĂštres d’usine
 Il a alors fait part de sa dĂ©couverte sur Twitter.

đŸ”čMais qui est le mouchard ?

OnePlus System Service et ne peut pas ĂȘtre complĂštement dĂ©sinstallĂ©e du systĂšme !

Il est en revanche possible de passer par une ligne de commande (pm uninstall -k –user 0 net.oneplus.odm) afin de la supprimer dĂ©finitivement. Face Ă  la polĂ©mique, OnePlus a publiĂ© un communiquĂ© explicatif :

Nous transmettons de façon sĂ©curisĂ©e des analyses dans deux flux diffĂ©rents via HTTPS vers un serveur Amazon. Le premier flux est celui d’analyse de l’utilisation, que nous collectons pour ajuster avec prĂ©cision notre logiciel en fonction du comportement de l’utilisateur. Cette transmission de l’activitĂ© d’utilisation peut ĂȘtre dĂ©sactivĂ©e en accĂ©dant aux ‘ParamĂštres’ > ‘Avancé’ > ‘Rejoindre le programme d’expĂ©rience utilisateur’. Le second flux concerne les informations sur les pĂ©riphĂ©riques, que nous collectons afin de fournir un meilleur support aprĂšs-vente

💡 C'est oui pour Rooter son smartphone avec LineageOS.

🔾Le One plus 5 et les autres font parti de la liste des appareils pris en charge :

https://wiki.lineageos.org/devices/

— ModifiĂ© le 17 oct. 2017 12:04:47

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

17 oct. 2017 12:42:45 via site

Comment visualiser la sécurité de son compte Google

đŸ”čGoogle propose un outil officiel simplissime pour tester la sĂ©curitĂ© de votre compte.

Afin que vous puissiez savoir oĂč en est la sĂ©curitĂ© de votre compte et s’il n’est pas Ă©ventuellement vulnĂ©rable Ă  certaines intrusions, attaques, ou pire, Ă  sa prise de contrĂŽle par une personne ou une entitĂ© malveillante, Google met Ă  disposition un outil trĂšs simple qui vous fournit un instantanĂ© des failles potentielles qui pourraient vous valoir quelques dĂ©sagrĂ©ments.

đŸ”čComment : sĂ©curity chechup

image

— ModifiĂ© le 17 oct. 2017 12:47:09

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

19 oct. 2017 10:58:23 via site

La Maj de Chrome CleanUP

(thinking) Une application sur Windows pour rechercher et supprimer les logiciels qui peuvent causer des problĂšmes dans Chrome.

đŸ”čOui elle existe 💩

Chrome CleanUp Tool

Dans le cadre de ses efforts continus pour amĂ©liorer la sĂ©curitĂ© et la navigation sur Chrome, Google vient d’annoncer trois changements pour aider les utilisateurs de son navigateur sur Windows Ă  supprimer des infections de logiciels indĂ©sirable

đŸ”čIntĂ©grer Chrome CleanUp dans son navigateur.

Cette fonctionnalitĂ© dĂ©tecte les logiciels indĂ©sirables pouvant ĂȘtre associĂ©s Ă  des tĂ©lĂ©chargements et fournit une aide pour leur suppression. 

image

đŸ”čUne nouvelle interface plus simple

đŸ”čLa fonctionnalitĂ© Chrome Cleaner intĂ©grĂ©e va embarquer un moteur de dĂ©tection plus puissant : celui de la firme de sĂ©curitĂ© ESET. 

Google s’attaque Ă©galement au dĂ©tournement des paramĂštres des navigateurs

đŸ”čLes extensions❗

Les extensions peuvent aider Ă  rendre Chrome plus utile, par exemple en personnalisant la gestion des onglets.

Mais certaines extensions peuvent changer vos paramÚtres sans que vous le sachiez. Désormais, lorsque Chrome détecte que les paramÚtres de l'utilisateur ont été modifiés sans votre consentement, il vous proposera de restaurer les paramÚtres modifiés. 

image

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

26 oct. 2017 11:25:17 via site

.................Les News Du Forum...............

📝 Comment les entreprises surveillent notre quotidien

Comment des milliers d’entreprises surveillent, analysent et influencent la vie de milliards de personnes. Quels sont les principaux acteurs du pistage numĂ©rique aujourd’hui ? Que peuvent-ils dĂ©duire de nos achats, de nos appels tĂ©lĂ©phoniques, de nos recherches sur le Web, de nos Like sur Facebook ? Comment les plateformes en ligne, les entreprises technologiques et les courtiers en donnĂ©es font-ils pour collecter, commercialiser et exploiter nos donnĂ©es personnelles ?

Cracked Labs vient se sortir un rapport de 93 pages oĂč il a examinĂ© le fonctionnement interne et les pratiques en vigueur dans cette industrie des donnĂ©es personnelles.

S’appuyant sur des annĂ©es de recherche et sur un prĂ©cĂ©dent rapport de 2016, l’enquĂȘte donne Ă  voir la circulation cachĂ©e des donnĂ©es entre les entreprises. Elle cartographie la structure et l’étendue de l’écosystĂšme numĂ©rique de pistage et de profilage et explore tout ce qui s’y rapporte : les technologies, les plateformes, les matĂ©riels ainsi que les derniĂšres Ă©volutions marquantes.

📌Le rapport complet (93 pages, en anglais) est disponible en tĂ©lĂ©chargement au format PDF, et cette publication web en prĂ©sente un rĂ©sumé en dix parties.

đŸ”čSommaire

I. Analyser les individus

II. Analyser les individus dans la finance, les assurances et la santé

III. Collecte et utilisation massives de données client

IV. Les courtiers en données/ et le marché des données personnelles

V. La surveillance en temps réel des comportements quotidiens

VI. Relier, faire correspondre et combiner des profils numériques

VII. Gérer les clients et les comportements : personnalisation et contrÎle

VIII. Dans les mailles du filet : vie quotidienne, données commerciales et analyse du risque

IX. Cartographie de l’écosystĂšme du pistage et du profilage commercial

X. Vers une société du contrÎle social numérique généralisé ?

(cool) C'est le moment de se le partager !

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

7 nov. 2017 09:31:56 via site

📌 Caliopen : la messagerie libre sur la rampe de lancement

đŸ”čCaliopen c'est quoi ?

Caliopen vise Ă  convaincre un maximum d’utilisateurs de la valeur de leur vie privĂ©e. Et pour ça, il faut d’abord leur montrer, de maniĂšre Ă©vidente, que leurs conversations sont trĂšs majoritairement espionnables, sinon espionnĂ©es.
D’oĂč l’idĂ©e d’associer aux messages (mais aussi aux contacts, aux terminaux, et mĂȘme Ă  l’utilisateur lui-mĂȘme) un niveau de confidentialitĂ©. ReprĂ©sentĂ© par une icĂŽne, des couleurs, des chiffres.

📌 Car quand on voit le risque on agit autrement

💡 La carte postale

Avec Caliopen on va se rendre compte de la nature de nos messages.
Est ce qu'ils sont de type carte postale, c'est Ă  dire lisible par tout le monde
ou bien dans une enveloppe , une enveloppe cachetée.

đŸ”čMais pas seulement :

  • Caliopen va nous indiquer le niveau de confidentialitĂ© et choisir le plus Ă©levĂ©

À chaque fois qu’un utilisateur de Caliopen va vouloir Ă©crire Ă  un de ses contacts, c’est le protocole le plus sĂ©curisĂ© qui sera choisi par dĂ©faut pour transporter son message. Prenons un exemple et imaginons que tu m’ajoutes Ă  tes contacts dans Caliopen : tu vas renseigner mon adresse email, mon compte Twitter, mon compte Mastodon, mon Keybase
 plus tu ajouteras de moyens de contact plus Caliopen aura de choix pour m’envoyer ton message. Et il choisira le plus sĂ©curisĂ© par dĂ©faut (mais tu pourras dĂ©cider de ne pas suivre son choix).

⏩ Et pour tester la version Alpha c'est maintenant âȘ

image

https://welcome.caliopen.org/demander-une-invitation-pour-tester-la-version-alpha-de-caliopen

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

8 nov. 2017 16:19:53 via site

📝La cybersĂ©curitĂ© Ă  son forum : le FIC

Le Forum International de la CybersĂ©curitĂ© s’inscrit dans une dĂ©marche de rĂ©flexions et d’échanges visant Ă  promouvoir une vision europĂ©enne de la cybersĂ©curitĂ©. Dans la continuitĂ© du marchĂ© unique numĂ©rique et du projet de rĂšglement sur la protection des donnĂ©es personnelles, le FIC est l’évĂšnement europĂ©en de rĂ©fĂ©rence rĂ©unissant tous les acteurs de la confiance numĂ©rique.
Pour animer cette dĂ©marche, le FIC s’appuie sur :

  • Un Salon, pour communiquer, se valoriser, recruter, nouer & entretenir des contacts

  • Un Forum, pour Ă©changer avec des experts, se perfectionner et partager les retours d’expĂ©rience

  • L’Observatoire pour poursuivre les Ă©changes tout au long de l’annĂ©e, approfondir les thĂ©matiques et faire vivre son rĂ©seau

💡 Et on s'inscrit à la newsletter pour ne rater aucune News :

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

14 nov. 2017 21:48:54 via site

Comment signaler un contenu illicite sur internet

📝Un contenu illicite c'est quoi :

C'est un contenu à caractÚre pédophile, frauduleux, une incitation à la haine raciale ou à la discrimination de personnes en fonction de leur origine, sexe ou handicap.

đŸ”čComment :

⏩Internet- Signalement.gouv.frâȘ

image

  • On remplit le formulaire et on valide.
  • C'est anonyme mĂȘme si on peut aussi donner son identitĂ©.

Vous avez la possibilité de rester anonyme, mais vous pouvez aussi vous identifier. 
Si vous choisissez de vous identifier, vous ne serez pas contacté (sauf cas particulier). Votre identité sera conservée confidentiellement. 

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

21 nov. 2017 09:00:38 via site

Objets connectés les recommendations de la DGCCRF

⏩Une vigilance nĂ©cessaire de la part des consommateursâȘ

Le développement des objets connectés expose principalement les consommateurs à deux types de risques :

đŸ”čL'utilisation commerciale des donnĂ©es personnelles et les atteintes Ă  la vie privĂ©e

Une des consĂ©quences de ce monde de rĂ©seau et de communication est que nous laissons de plus en plus de traces numĂ©riques. Au-delĂ  des progrĂšs technologiques, il s’agit dĂ©sormais de parvenir Ă  garantir l’anonymat des donnĂ©es. Les objets communicants reçoivent, interprĂštent et communiquent entre eux les donnĂ©es prĂ©alablement collectĂ©es.

 đŸ”čLes risques de piratage

DĂšs lors que «se connecter Ă  internet» devient une fonction intĂ©grante d’objets du quotidien les concepteurs de ces Ă©quipements doivent faire face aux risques des « cybers » attaques.

ıllıllı Que faire pour se protéger ıllıllı

  • ProcĂ©der rĂ©guliĂšrement aux mises Ă  jour pour limiter le nombre de vulnĂ©rabilitĂ©s connuues

  • Changer les mots de passes par dĂ©faut de chaque object connectĂ©.

  • Restreindre le rĂ©seau et isoler son accĂšs internet des autres Ă©lĂ©ments connectĂ©s au rĂ©seau ( il n'est pas nĂ©cessaire que l'imprimente soit connectĂ©e Ă  la TV par exemple )

📌Et bien sĂ»r un mot de passe fiable et diffĂ©rent pour chaque appareil

https://www.androidpit.fr/forum/750166/la-maison-connectee

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

22 nov. 2017 08:37:52 via site

⚠Aux lecteurs de musique gratuit ⚠

Un nouveau malware vient d'ĂȘtre signalĂ©.
Surnommé Grabos, par les chercheurs, le malware se cache derriÚre les applications de lecteur de musique gratuit . 

⏩Que Fait GrabosâȘ

image

  • Grabos comme d'autres logiciels malveillants vise Ă  voler les donnĂ©es personnelles des victimes et collecter des informations sur le pĂ©riphĂ©rique infectĂ© comme la version Android , le modĂšle de construction, le rĂ©seau, l'emplacement, le code pays, la carte SIM, le transporteur, la langue et le fuseau horaire. , etc.
  • Le logiciel malveillant vĂ©rifie Ă©galement les applications sociales et Google sur l'appareil. Une fois toutes les informations collectĂ©es, le logiciel malveillant l'envoie Ă  un serveur de commande et de contrĂŽle au format cryptĂ©.

— ModifiĂ© le 22 nov. 2017 08:38:18

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

23 nov. 2017 22:58:01 via site

(thinking)Adobe, Skype, Spotify, Evernote, Asana, Easybib.....

⏩482 sites enregistrent tout ce que l'on tape au clavierâȘ

Selon une Ă©tude menĂ©e par des chercheurs de l’universitĂ© de Princeton, au moins 482 des 50.000 plus gros sites rĂ©fĂ©rencĂ©s par Alexa utilisent des prestataires de SRSc.
Quatre prestataires sur sept recueillent parmi les donnĂ©es personnelles adresses email, nom, numĂ©ro de tĂ©lĂ©phone, adresse, date de naissance ou encore numĂ©ro de sĂ©curitĂ© sociale. Des donnĂ©es que vous n’avez pas forcĂ©ment envie de partager. Pire encore, ces donnĂ©es sont transmises sans ĂȘtre anonymisĂ©es dans certains cas !

📍La liste complùte :

https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

— ModifiĂ© le 23 nov. 2017 23:03:15

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 39

24 nov. 2017 20:15:32 via site

Grabos comme d'autres logiciels malveillants vise à voler les données personnelles des victimes et collecter des informations sur le périphérique infecté comme la version Android , le modÚle de construction, le réseau, l'emplacement, le code pays, la carte SIM, le transporteur, la langue et le fuseau horaire. , etc.

Et tu proposes quoi comme Lecteur de musique plus sûr ?

  • Posts de Forum 8 138

24 nov. 2017 20:53:56 via site

Et tu proposes quoi comme Lecteur de musique plus sûr ?

ICICMusic, c'est une application  sur le Playstore pour écouter YouTube en arriÚre plan et avec en bonus sa Playliste disponible hors connexion :

https://www.androidpit.fr/forum/742737/app-icicmusic-youtube-sans-internet

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

29 nov. 2017 20:23:34 via app

⚠Attention aux contrĂŽles biomĂ©triques⚠

📌Pas fiable, ils ne doivent pas ĂȘtre utiliser pour dĂ©verrouiller notre smartphone

Le scanner d’iris sur le Samsung Galaxy S8, Face ID sur l'iPhone X et le scanner d'empreintes digitales sur tous les smartphones souffrent tous du mĂȘme dĂ©faut : la biomĂ©trie n'est pas sĂ©curisĂ©e.

ıllıllı La biométrie n'est pas sécurisée ıllıllı

Par exemple, lorsqu’un de mes collĂšgues a essayĂ© la fonction de reconnaissance faciale du LG Q6, il a pu le dĂ©verrouiller en tenant un autre smartphone dans la main avec une photo de lui-mĂȘme.
MĂȘme le plus sophistiquĂ© Face ID de l'iPhone X peut ĂȘtre dupĂ©. En moins d'une semaine, et pour moins de 150 dollars, les chercheurs d'une entreprise de cybersĂ©curitĂ© ont rĂ©ussi Ă  crĂ©er un masque (trĂšs effrayant) capable de piĂ©ger Face ID. MĂȘme sans le vouloir, les membres d’une famille peuvent dans certains cas accĂ©der aux iPhones des autres. Un garçon de 10 ans a rĂ©ussi Ă  dĂ©bloquer l'iPhone X de sa mĂšre en raison de leur forte ressemblance, et Face ID est facilement dupĂ© par des jumeaux identiques.

📌La meilleure alternative

La meilleure alternative est simplement un mot de passe fort. Cela signifie utiliser des lettres, des chiffres et des symboles, mais aussi ne jamais rĂ©utiliser le mĂȘme mot de passe.

— ModifiĂ© le 7 janv. 2018 13:55:34

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

5 déc. 2017 16:48:55 via app

La dissimulation de Cyber Attaque bientÎt Sanctionnée.

Le GDPR: le rÚglement général sur la protection des données

Uber avait dissimulé une importante cyberattaque dont il a Ă©tĂ© victime fin 2016 en versant 100.000 dollars aux pirates
 en Ă©change de leur silence. C’est la rĂ©vĂ©lation que  Dara Khosrowshahi, PDG de la sociĂ©tĂ© a fait mardi. ArrivĂ© en aoĂ»t, il assure n’avoir Ă©tĂ© informĂ© que trĂšs rĂ©cemment de cette attaque menĂ© par deux employĂ©s qui avaient Ă  l’époque Ă©tĂ© chargĂ©s de s’occuper de l’incident. Selon Uber, les deux pirates ont tĂ©lĂ©chargĂ© une base de donnĂ©es Ă  partir de serveurs utilisĂ©s par la sociĂ©tĂ©.

📌L’attaque a permis le vol d’informations personnelles appartenant Ă  57 millions d’utilisateurs. Les hackers ont surtout rĂ©ussi Ă  obtenir les noms, courriels et numĂ©ros de tĂ©lĂ©phone mobiles de ses clients, a expliquĂ© la sociĂ©tĂ© californienne.

la faute aux pĂ©nalitĂ©s dĂ©risoires qui n’incitent pas suffisamment les entreprises Ă  protĂ©ger leurs donnĂ©es.

Ainsi, il est importante de noter que, lorsque le RGPD (RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es) entrera en vigueur en mai prochain, les entreprises qui manipuleront les donnĂ©es des citoyens de l’UE seront confrontĂ©es Ă  des sanctions beaucoup plus sĂ©vĂšres et Ă  l’obligation de respecter une pĂ©riode de divulgation de 72 heures aprĂšs la dĂ©couverte d’une violation de donnĂ©es.

Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait ĂȘtre condamnĂ© Ă  une amende pouvant atteindre 260 000 000 $ pour cette infraction.

Vivement le mois de mai.....

— ModifiĂ© le 5 dĂ©c. 2017 18:18:27

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

9 déc. 2017 11:07:37 via site

Vulnérabilité dans TeamViewer

🚹Les correctifs arrivent

Récemment, un utilisateur de GitHub utilisant le handle en ligne de "Gellin" a découvert une vulnérabilité critique dans TeamViewer qui permet à un attaquant ou à un client de prendre à distance un ordinateur sans le consentement ou la connaissance de son propriétaire.

📌La vulnĂ©rabilitĂ© affecte TeamViewer sur les systĂšmes macOS, Linux et Windows

  • Un correctif pour les versions Linux et macOS de TeamViewer sera disponible  mardi  ou  mercredi
  • Un correctif pour Windows a dĂ©jĂ  Ă©tĂ© publié  mardi.

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

12 déc. 2017 09:43:12 via site

Bulletin d'alerte de l'ANSSI

⏩VulnĂ©rabilitĂ© d’usurpation d’identitĂ© dans plusieurs clients de messagerieâȘ

📌 Mailsploit.

Cette vulnérabilité permet lors de l'envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d'usurper potentiellement une identité expéditeur.

  • En effet, il est possible de tirer parti de la reprĂ©sentation des caractĂšres et de leur encodage dans le champs "From" de l'entĂȘte d'un courriel pour amener un client de messagerie Ă  n'interprĂ©ter qu'une partie des informations fournies. La diffĂ©rence entre la valeur du champ "From" et ce qui est affichĂ© peut alors permettre Ă  un utilisateur malveillant de falsifier les informations sur l'Ă©metteur qui seront prĂ©sentĂ©es au destinataire.

  • D'autre part, la vulnĂ©rabilité mailsploit rend possible l'injection de code dans le champ "From" qui pourra dans certains cas ĂȘtre interprĂ©tĂ© par le client de messagerie.

🚹 Pour quelles messageries ?

image

sur Android

  • Proton mail
  • Yahoo Mail
  • BlueMail
  • Type Mail
  • Aqua Mail
  • Newton
  • Email exchange
  • AOL mail
  • K9 mail
  • Nine Mail

🚹Le CERT-FR met en garde contre les risques de hameçonnages liĂ©s Ă  l'utilisation de cette vulnĂ©rabilitĂ©.

De maniĂšre gĂ©nĂ©rale, le CERT-FR recommande la plus grande prĂ©caution quant aux liens ou piĂšces jointes accompagnant un courriel non sollicitĂ© ou dont la provenance peut sembler suspicieuse. Dans le cas prĂ©sent, il faut faire preuve d'une vigilance accrue mĂȘme si l'Ă©metteur annoncĂ© du courriel est considĂ©rĂ© digne de confiance.

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 8 138

15 déc. 2017 12:44:56 via site

🚹Piratage de Cdiscount : les donnĂ©es bancaires de centaines de clients ont Ă©tĂ© dĂ©tournĂ©es

L’affaire est loin d’ĂȘtre glorieuse pour le site Cdiscount. Selon les informations du Point, la sĂ©curitĂ© de la plateforme spĂ©cialisĂ©e dans le commerce Ă©lectronique a Ă©tĂ© mise en dĂ©faut par un ou plusieurs individus au cours des derniers mois, afin de rĂ©cupĂ©rer des informations sensibles bien prĂ©cises. En effet, il s’agissait de donnĂ©es bancaires enregistrĂ©es par les clients pour des achats futurs.

📌 La manƓuvre a dĂ©butĂ© en juin et a affectĂ© prĂšs de 500 clients de l’entreprise française. Le prĂ©judice est Ă©valuĂ© Ă  plus de 350 000 euros, Ă©tant donnĂ© que la manƓuvre visait des produits de valeur, comme des smartphones ou de l’électromĂ©nager.

ıllıllı Gare à sa carte ıllıllı

L’incident, manifestement assez limitĂ© par son ampleur, donne en tout cas du grain Ă  moudre Ă  ceux et celles qui prĂ©fĂšrent ne jamais enregistrer leurs coordonnĂ©es bancaires sur un site de vente en ligne, mĂȘme en prĂ©vision d’autres achats. Si elle est proposĂ©e Ă  des fins de commoditĂ©, cette option peut Ă  terme reprĂ©senter un risque de sĂ©curitĂ© si un accĂšs frauduleux survient dans la base de donnĂ©es du site.

Soutenons tous le forum !
Venez participer
Ne laissez pas les Admins fermer notre espace.

  • Posts de Forum 22

19 déc. 2017 21:41:05 via site

Concernant la faille WPA

Helas,
on parle ici surtout des systÚmes android, qui eux sont des laissés pour compte des mises à jours par les constructeurs ou distributeurs de produits OEM, customisé à une marque X ou Y .
Donc la faille étant présente, il faut faire en y pensant tout le temps.

Je ne rentre pas de données login/passowrd, si je ne suis pas sur un site avec une connexion HTTPS, qui crypte les données au niveau application et non pas au niveau réseau.

Car il faut bien comprendre que cette faille permet Ă  un pirate de lire les donnĂ©es des Ă©changes entre un objet et la borne. Donc si on Ă©change en connexion simple, http par exemple, tout deviendra capturable en clair. On se retrouve dans la mĂȘme situation que sur les hub ethernet des annĂ©es 1990, ou n'importe qui connectĂ© sur un des ports du HUB pouvait rĂ©cupĂ©rer toutes les trames ethernet circulant sur le rĂ©seau.
Si celles ci ne véhiculent pas des données cryptées, tout est récupérables.

En gardant Ă  l'esprit que les android non mis a jour depuis longtemps (> 4ans), on peut ĂȘtre aussi les failles SSL, qui ont Ă©tĂ© corrigĂ©e dans TLS v1.1, et qui permettait d'aller dĂ©coder le contenu de flus HTTPS ! Mais ça c'est une autre histoire.

Cependant le site lanceur de l'alerte, référencé par le CERT-FR en premiÚre référence:
https://www.krackattacks.com/
n'omet pas de le signaler
= = =
Ce qui est agaçant , c'est le fait qu'on ne puissent pas utiliser une connexion filaire de bout en bout, depuis son appareil android, alors qu'on dispose d'un réseau filaire fourni par sa box !
Surtout en zone d'habitation haute densitĂ© oĂč le signal wi-fi des appareils dans les appartements voisins, est suffisemment fort pour ĂȘtre exploitable !

= = =
En effet le partage de connexion via cable USB, n'as été prévu que dans le sens:
J'utilise mon téléphone comme routeur vers internet pour mon PC, quand celui ci utilise le réseau mobile pour accéder à internet:

donc
.....................Réseau privé ................. smartphone ....... Réseau public 3G/4G
. . . . . . . . . . ( cable USB)
|- - - - -| . . . . . . . . . . . . . . . . . . . . . . . . . . . |- - - -|
| . PC .|----------------------------------------------|- - - -| ) ) . ) . . ) . . . ) . . . . . . . ) FAI
|- - - - -| . . . . . . . . . . . . . . . . . . . . . . . . . .. |- - - -|
@IP: - - 192.168.42.X . . . . .192.168.42.129 . . . . @IP publique

DĂšs qu'on met en Ɠuvre cette fonction, une interface RNDIS avec l'adresse 192.168.42.129 est crĂ©e cotĂ© smartphone, et une nouvelle interface apparait aussi cotĂ© PC,( le cable USB doit ĂȘtre branchĂ© AVANT d'activer le partage USB dans les paramĂštres rĂ©seaux)
Coté smartphone, un serveur DHCP est activé et distribue des adresses en 192.168.42.X/24
X commence à 175 d'aprÚs ce que j'ai constaté !
Et si la connexion 3G ou 4G est active, le smartphone joue le rĂŽle de routeur/Nat,pour votre PC comme votre BOX sur cĂąble ou ADSL !

Mais on pourrait aussi songer Ă  l'inverse
S'il n'y a pas de connexion 3G ou 4G possible (ou qu'on ne veut pas utiliser cette connexion, car on atteint la limite de son forfait), et qu'on ne veut pas justement utiliser la connexion Wi-Fi pour des raisons de sécurité, il suffirait de faire jouer à votre PC (qui lui est connecté en filaire à la BOX) le rÎle de routeur!

Il faut alors mettre une adresse IP fixe sur cette interface RNDIS sur le PC, par exemple 192.168.42.1/255.255.255.0
et pas de routeur par défaut sur cette interface,
Puisque c'est l'interface Ethernet standard du PC qui est sur le LAN de la box, qui a déjà un routeur par défaut: l'adresse IP de la BOX sur le LAN)

Mais pour que ça marche, il faudrait à minima, qu'on puisse rentre une @IP de default gateway "exceptionelle" sur le smartphone. en l'occurence : 192.168.42.1, quand on exploite cette fonction
Or cette option n'existe pas
Et si on passe en mode commande, avec un terminal comme Termux, ou via
adb shell (sur un PC Linux ou Windows), dÚs qu'on a activer le mode développeur sur son android
Les commandes :
ifconfig
ip
ou route

permettent de voir les configurations,
mais pas de faire de modif car on n'est pas l'administrateur : root
Donc
$ route add default gw 192.168.42.1
ne passe pas , android dit qu'on n'a pas les droits.

On est revenu au problĂšme de rooter son android: qui n'a plus de solution "utilisateur" sur Android 7 ou au delĂ .
Car toutes les techniques utilisées jusqu'ici étaient basées sur des failles de sécurité du noyaux ou des librairies, consistant a exécuté du code jusqu'à ce qu'on soit sous un shell, dont le propriétaire est 0:0 (donc root), ce qui permet en suite:
de remonter le file system principal en mode RW (Read/Write) alors qu'il l'est en mode RO(Read Only)
et d'aller copier la commande su sous /system/bin
Et ça c'est plus possible puisque Android 7 et 8 sont réputés corrigés de tous ces BUG

Avec en plus les ROM des rĂ©cents smartphones, qui ne permettent mĂȘme plus de changer la partie boot du smarphone, on reste sans solutions !!!
Et vive les systĂšmes ouverts "PROPRIETAIRES" !

— ModifiĂ© le 19 dĂ©c. 2017 21:42:25