Mes données ont été divulguées sur Collection #1. Que devrai-je faire ?

Mes données ont été divulguées sur Collection #1. Que devrai-je faire ?

Troy Hunt, expert en confidentialité et sécurité, a publié aujourd’hui un article sur son blog, au sujet de ladite Collection #1, une immense base de données qui contient plus de 700 millions d’adresses e-mails uniques, et plus de 1,1 milliards de paires identifiant/mot de passe uniques, récemment divulgués sur Internet. Dans cet article, nous vous expliquons comment vérifier si vous avez été affectés, et ce que vous pouvez y faire.

Il y a parfois des fuites et des brèches, ça arrive assez souvent d’ailleurs, et elles sont parfois très importantes. Les malfaiteurs collectent les informations divulguées, et créent des bases de données à partir des identifiants et des mots de passe. Certains d’entre eux essaient d’ajouter toutes les informations fuitées à ces bases de données, ce qui donne lieu à d’énormes bases de données, comme celle surnommée Collection #1, et que Troy Hunt a analysée.

Il ne s’agit pas seulement d’une fuite monstrueuse, comme celle dont Yahoo! a été victime avec le vol des identifiants de milliards d’utilisateurs. Dans ce cas, la collection recueille les données de plus de 2 000 fuites différentes, et certaines d’entre elles remontent à 2008, alors que d’autres sont plus récentes.

Contre toute attente, il semblerait que Collection #1 n’inclut pas les identifiants et mots de passe des fuites les plus célèbres comme celle de LinkedIn en 2012, et les deux de Yahoo ; voici l’article que nous avons rédigé sur la première fuite de Yahoo, et celui sur la seconde.

Comment savoir si vous avez été affecté par Collection #1 ?

Pour savoir si vos données se trouvent sur cette base de données, vous pouvez utiliser haveibeenpwned.com. Saisissez l’adresse e-mail associée à vos comptes, et vous pourrez voir si cette adresse figure dans une des bases de données divulguées, dont haveibeenpwned a connaissance.

Si votre e-mail fait partie de Collection #1, il y aura un registre à ce sujet sur haveibeenpwned. Si votre adresse n’en fait pas partie, alors vous avez de la chance, et vous n’avez rien à faire. Cependant, les choses se compliquent si elle apparaît.

Que devrai-je faire si mon compte figure dans la base de données Collection #1 ?

Si votre e-mail est mentionné, cela indique sûrement que vous devez faire quelque chose. Cependant, le service ne va pas vous dire quel compte associé à cet e-mail a été divulgué. Est-ce le compte d’un forum sur une crypto-monnaie, d’une bibliothèque en ligne, ou d’une communauté d’amoureux des chats ? Cela étant dit, deux options s’offrent désormais à vous, et cela dépend de si vous avez utilisé le même mot de passe pour plusieurs services ou non.

Option 1 : vous avez utilisé le même mot de passe pour plusieurs comptes associés à cette adresse e-mail. Les choses vont se compliquer parce que vous allez devoir vérifier tous ces comptes, et modifier chaque mot de passe pour garantir votre sécurité. N’oubliez pas que ces mots de passe doivent être longs et uniques. À mon avis, comme vous avez l’habitude de ne retenir qu’un seul mot de passe, il vous sera presqu’impossible de vous souvenir d’autant de nouveaux mots de passe ; utiliser un gestionnaire de mots de passe serait sûrement une bonne idée.

Option 2 : vous avez utilisé des mots de passe uniques pour chaque compte associé à cette adresse e-mail. Bonne nouvelle, ce sera un peu plus facile. Bien sûr, vous pouvez modifier tous vos mots de passe, mais ce n’est pas nécessaire. Vous pouvez essayer de trouver quel mot de passe a été révélé en utilisant une autre fonction de haveibeenpwned, appelée Pwned Passwords.

Vous pouvez y saisir le mot de passe d’un de vos comptes, et voir s’il apparaît dans la base de données des mots de passe divulgués de haveibeenpwned, que ce soit en texte clair, ou en hachage. Si vous voyez que tel ou tel mot de passe apparaît au moins une fois sur haveibeenpwned, vous devriez le modifier. Faites ensuite la même chose avec un autre mot de passe.

Cela signifie évidemment que vous faites confiance à haveibeenpwned, et la plupart des gens n’ont absolument aucune raison de le faire. C’est pourquoi vous pouvez également coller un hachage SHA-1 de votre mot de passe, et vous obtiendrez exactement le même résultat que si vous saisissez votre mot de passe. Plusieurs ressources sont disponibles en ligne pour créer des hachages SHA-1 à partir de n’importe quelle information que vous leur fournissez. J’ai fait une recherche sur Google pour vous. Vous évitez ainsi de révéler votre mot de passe à haveibeenpwned, et d’avoir plus de raisons d’être paranoïaque.

Quelques conseils généraux pour vous protéger, et ne pas être touché par la plupart des fuites de données

Nous avons constaté de nombreuses fuites ces dernières années, et on peut penser que beaucoup d’autres vont se produire dans le futur. C’est pourquoi de nouvelles immenses bases de données, comme Collection #1, vont apparaître de temps en temps, et les malfaiteurs vont volontiers les utiliser pour essayer d’accéder aux comptes des utilisateurs. Afin de réduire les risques d’être victime d’une telle fuite, je vous recommande de faire ce qui suit :

  • Utilisez des mots de passe longs et uniques pour chaque compte. Ainsi, si un service est en danger, vous n’aurez qu’à changer un seul mot de passe.
  • Autorisez l’authentification à deux facteurs dans la mesure du possible. Ce système empêche les pirates informatiques d’accéder à votre compte, même s’ils ont réussi à obtenir votre identifiant et votre mot de passe.
  • Utilisez des solutions de sécurité, comme Kaspersky Security Cloud, qui peuvent vous avertir des dernières brèches.
  • Utilisez un gestionnaire de mot de passe qui peut vous aider à créer de nombreux mots de passe uniques et forts, sans avoir besoin de les mémoriser. Les gestionnaires de mot de passe peuvent également vous aider à modifier plus rapidement vos mots de passe lorsque vous en avez besoin. Kaspersky Password Manager gère efficacement ces deux tâches.

Source: Antivirus

Acheter en ligne dans un autre pays de l'UE : mêmes conditions pour tous

Vous voulez acheter des vêtements sur un site web basé en Belgique, un réfrigérateur sur un site internet allemand ou encore un voyage pour un parc d’attractions italien ? Savez-vous que, depuis le 3 décembre 2018 (règlement UE 2018/302), vous pouvez acheter des biens et des services à un commerçant en ligne qui est basé dans un autre pays de l’Union européenne dans les mêmes conditions que des clients domiciliés dans ce pays ?

Source: Service Public

Un petit jouet sexuel avec de gros problèmes

Un petit jouet sexuel avec de gros problèmes

Werner Schober est chercheur chez SEC Consult, et étudiant en sciences appliquées dans une université autrichienne. Lors de sa cinquième année d’étude, il a dû faire face à un des problèmes que nous connaissons bien : choisir le sujet de sa thèse.

Il a commencé à créer un nuage de mots-clés en écrivant les sujets déjà sélectionné par les autres étudiants de sa promotion. Tous les mots basiques à la mode en informatique étaient là : bitcoin, RGPD, Cloud, etc. Mais, étrangement, il n’y avait rien sur l’Internet des Objets (IdO), un sujet pourtant d’actualité. C’était tout vu, surtout que le poste de Werner à SEC Consult lui donne une certaine expérience qu’il pourra utiliser dans ses recherches : pirater les dispositifs et les réseaux, puis détecter leurs vulnérabilités.

Cependant l’IdO est un concept très vaste qui inclut pratiquement tout, des feux de circulation aux stimulateurs cardiaques, en passant par les théières intelligentes. Il devait se centrer sur quelque chose de plus précis. Les infrastructures critiques de l’IdO, comme les feux de circulation ou les stimulateurs cardiaques que nous avons mentionnés, ont déjà fait l’objet de nombreuses recherches. Quant aux maisons intelligentes, avec leurs bouilloires et ampoules intelligentes, elles ont déjà été étudiées dans les moindres détails, et il n’y a pas vraiment de vulnérabilités critiques à mentionner. Et si votre tondeuse était victime d’une attaque par déni de service ? Coupez l’herbe vous-même pour une fois.

Werner a choisi une sous-catégorie de l’IdO qui n’a pas souvent été analysée, même s’il existe bien quelques études puisque les pirates informatiques aiment braver les interdits, et où les vulnérabilités peuvent avoir de véritables conséquences : les jouets sexuels intelligents.

Werner a testé trois appareils : deux chinois et un allemand. Devinez lequel présente le plus de vulnérabilités ? Attention spoiler : le dernier. Et comment ! Il s’avère qu’il y avait tant de vulnérabilités, et qu’elles étaient si critiques, que Werner a laissé de côté les dispositifs chinois pour consacrer toute sa thèse à l’appareil allemand. Il a présenté ses découvertes lors du 35ème Chaos Communication Congress (35C3).

L’appareil allemand s’appelle Vibratissimo PantyBuster. Il se connecte par Bluetooth à un smartphone Android ou iOS, et est contrôlé à partir d’une application spéciale, soit sur place soit à distance, par un autre smartphone. Cependant, les capacités de l’application vont beaucoup plus loin, et comprennent essentiellement un réseau social complet avec des conversations de groupe (!), une galerie photos (!!), des listes d’amis (!!!), et bien d’autres.

Logiciel : faites connaissance avec les autres utilisateurs de ce jouet sexuel

Parlons d’abord des vulnérabilités du logiciel. Il s’avère que le répertoire racine du site Internet de Vibratissimo contient un fichier .DS_Store, c’est-à-dire une liste de tous les dossiers et fichiers du répertoire en question, ainsi que des paramètres supplémentaires que macOS crée pour afficher correctement les icônes des fichiers, et leur disposition. Werner a pu déchiffrer ce fichier, et donc révéler les noms de tous les dossiers et fichiers du répertoire racine.

Le dossier Config était particulièrement intéressant, puisqu’il contenait un autre fichier du même nom avec les identifiants de connexion, non chiffrés, permettant d’accéder à la base de données. Werner a pu trouver une interface pour se connecter à la base de données, saisir les identifiants de connexion, et avoir accès aux données de tous les utilisateurs du produit Vibratissimo, y compris leurs noms d’utilisateurs et mots de passe (là encore non chiffrés), ainsi que leurs conversations, images, et vidéos. Quel genre de conversations et d’images pouvez-vous trouver sur le réseau social d’un jouet sexuel ? Elles ont certainement un caractère privé.

Un autre problème : lorsque l’utilisateur crée une galerie dans l’application, un identifiant lui est attribué. Lorsque vous souhaitez visionner la galerie, l’application vous envoie une demande où figure cet identifiant. Pour réaliser quelques tests, Werner a créé une galerie avec deux photos de chats, a obtenu l’identifiant, et s’est ensuite dit : que se passerait-il si je modifiais légèrement l’identifiant fourni dans la demande, en enlevant 1 par exemple ? Il a ainsi pu accéder à la galerie d’une autre personne, et cette fois ce n’était pas des photos de chats.

L’application permet également aux utilisateurs de créer un lien rapide de contrôle pour allumer le dispositif à distance, ce qui permet aux propriétaires de le partager avec d’autres, notamment lorsqu’il s’agit d’une relation à distance, ou de toute autre situation similaire. Une confirmation n’est pas exigée lorsque quelqu’un suit le lien ; le dispositif s’allume immédiatement. Le lien contient également un identifiant. Devinez ce qui se passe si vous soustrayez 1 à cet identifiant ? Vous avez deviné, l’appareil d’une autre personne s’allume sur-le-champ.

De plus, lorsque vous vous authentifiez en vous connectant depuis votre téléphone, l’application envoie une demande au serveur avec le nom d’utilisateur et le mot de passe en texte clair, non chiffré, ce qui signifie que n’importe qui peut les intercepter si vous utilisez un réseau public ; pas vraiment une sécurité dernier cri. D’autres vulnérabilités du logiciel ont été détectées, mais elles n’étaient pas aussi importantes. D’autres parties présentaient d’importants problèmes, notamment aux niveaux du transport (la communication de l’appareil), et du hardware.

L’interface : connectez-vous avec de parfaits inconnus

Comme nous l’avons déjà dit, Vibratissimo PantyBuster se connecte au smartphone par Bluetooth. Il utilise plus précisément le Bluetooth à basse consommation, qui permet à l’utilisateur de se connecter grâce à une des cinq méthodes de jumelage (un échange de clés permettant d’établir la connexion entre les dispositifs). La clé à saisir sur le smartphone peut être écrite sur le dispositif, affichée sur l’écran, ou connue en avance (par exemple 0 ou 1234). De plus, les appareils peuvent échanger les clés en utilisant la technologie NFC, ou en ne se jumelant pas.

PantyBuster n’a pas d’écran, et n’est pas équipé de la technologie NFC, donc vous pouvez éliminer ces options. Deux des options restantes sont assez sécurisées (assez), mais les fabricants de ce dispositif font passer la simplicité avant tout, et ils ont adopté une approche simple et dangereuse : aucun jumelage. Cela signifie que si quelqu’un le sait, et envoie l’ordre d’activer l’appareil, tous les PantyBuster qui se trouvent à proximité vont commencer à vibrer en cœur. N’importe quelle personne ayant l’application activée peut se promener dans le métro, par exemple, et surprendre agréablement les propriétaires « chanceux » qui voyagent avec leur appareil.

Werner a écrit un programme simple qui recherche les appareils Bluetooth à basse consommation qui se trouvent dans les environs, vérifie qu’il s’agit de jouets sexuels, et si c’est le cas, les active à pleine puissance. Au cas où quelqu’un se poserait la question, ce genre d’action n’est pas considéré comme une violation par les lois autrichiennes, mais le code pénal du pays contient bien un paragraphe relatif aux « actes sexuels non désirés », ce pourrait également être le cas dans d’autres régions.

Hardware : ce qu’il contient

Tout d’abord, il est impossible de mettre à jour le micrologiciel. En d’autres termes, le fabricant peut le faire, mais pas l’utilisateur. Lorsque le fabricant a eu connaissance des recherches de Werner, il a conseillé aux utilisateurs de renvoyer leurs appareils pour qu’ils soient mis à jour, puis de leur retourner. Mais il est peu probable qu’une personne veuille envoyer à ce service un jouet sexuel qui a servi.

Ensuite, si le dispositif est ouvert, vous pouvez trouver les interfaces que le fabricant a utilisé pour corriger les bugs, et oublié de fermer. Ces interfaces peuvent servir à extraire et analyser le micrologiciel de l’appareil.

Les ennuis avec l’IdO ne cessent d’apparaître

Le discours d’une demi-heure de Werner a mentionné beaucoup de problèmes mais peu de solutions, principalement parce qu’il n’y en a pas. Bien sûr, Werner a contacté le fabricant, et ils ont résolu ensemble la plupart des problèmes qui se trouvent dans l’application et les nouveaux appareils. Cependant, les vulnérabilités présentes au niveau du hardware des appareils déjà vendus vont persister.

Désormais, nous n’avons plus qu’à vous répéter les conseils que nous donnons dans la plupart de nos articles relatifs aux objets intelligents : informez-vous en ligne avant d’acheter un appareil intelligent. Vérifiez (au moins dix fois) si vous avez vraiment besoin de ces fonctions intelligentes. Peut-être est-ce suffisant d’utiliser la version standard du dispositif, sans qu’il soit connecté à Internet ou contrôlé à partir d’une application ? Ce serait moins cher, et beaucoup plus sûr.

Source: Antivirus

Bientôt le remboursement intégral de certaines lunettes, prothèses dentaires et aides auditives

Lunettes, prothèses dentaires, aides auditives. Dans le cadre de la réforme dite « 100 santé », un décret publié au Journal officiel du 12 janvier 2019 précise les modalités de la mise en place progressive du remboursement intégral (reste à charge zéro) par la Sécurité sociale et les complémentaires santé de certaines lunettes, prothèses dentaires et aides auditives grâce notamment à la fixation de tarifs plafonds.

Source: Service Public

Rappel de lots de médicaments à base d'irbésartan : un numéro vert pour s'informer

Après la découverte d’un défaut de qualité dans certains médicaments appartenant à la classe des sartans à l’été 2018 et le retour de lots à base de valsartan, ce sont maintenant des médicaments à base d’irbésartan qui sont rappelés. Afin d’aider les patients à y voir plus clair, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) met à la disposition des patients le numéro vert 0 800 97 14 03 joignable gratuitement du lundi au vendredi de 9h à 19h.

Source: Service Public

De multiples vulnérabilités zéro day découvertes dans les technologies d’accès aux bâtiments

Un attaquant pourrait prendre le contrôle sur des bâtiments en exploitant des failles non corrigées pour créer des badges frauduleux et désactiver les serrures des bâtiments. La société de « Cyber Exposure » Tenable, annonce avoir découvert plusieurs vulnérabilités du système de contrôle d’accès PremiSys™ développé par IDenticard. Lorsqu’elle est exploitée, la vulnérabilité la plus grave donne […]
Source: sécurité informatique

Prison pour un vendeur de DDoS

Un tribunal de Londres vient de condamner un pirate informatique Israélo-Britannique. Il vendait des attaques de DDoS. Daniel Kaye, 30 ans, qui se faisait appeler dans l’underground « BestBuy » et « Popopret » vient d’écoper de deux ans et huit mois de prison ferme pour avoir lancé des attaques de type DDoS. Des Dénis Distribués de Service qui […]
Source: sécurité informatique