Author Archives: cyraacom

  • -

Le Touch ID des smartphones leurré par une impression jet d’encre

Des chercheurs de l’université d’État du Michigan sont parvenus à déverrouiller un smartphone en leurrant le capteur d’empreintes digitales avec une simple impression 2D.

shutterstock_180858905-684x250Des chercheurs sont parvenus à déverrouiller un smartphone en trompant le capteur d’empreintes digitales de smartphones avec une simple imprimante jet d’encre, et ce en 15 minutes. Kai Cao et Anil K. Jain du département d’informatique et d’ingénierie de l’université d’État du Michigan (MSU) déclarent que leur méthode est plus simple encore que celle dévoilée en 2013 par le groupe de hackers européens Chaos Computer Club (C3) après la sortie du iPhone 5S. Celle-ci impliquait la création d’un moulage à partir de l’empreinte de l’utilisateur pour débloquer l’iPhone en question…

Dans un rapport technique, les chercheurs de MSU disent avoir utilisé pour leur expérience, en plus de smartphones, une imprimante à jet d’encre ordinaire, trois cartouches d’encre conductrice (AgIC), une cartouche d’encre noire normale et du papier spécial (AgIC). L’empreinte digitale du propriétaire d’un smartphone peut être scannée en 300 dpi, puis retournée (miroir horizontal) et imprimée sur le côté brillant du papier spécial AgIC. Une fois découpée l’empreinte copiée est placée sur le capteur d’empreintes digitales. Le smartphone la reconnaît et va alors se déverrouiller.

Samsung Galaxy S6 et Huawei Honor 7 sur le gril

Le test a été effectué avec succès en laboratoire avec un Samsung Galaxy S6 et un Huawei Honor 7. Le premier aurait été plus facile à déverrouiller avec cette méthode que le second (plusieurs essais ont été nécessaires pour y parvenir). Selon les scientifiques, l’authentification par empreintes digitales promue par les industriels de la biométrie a ses limites. « Cette expérience confirme en outre le besoin urgent de techniques anti-usurpation (anti-spoofing) pour les systèmes de reconnaissance d’empreintes digitales », ont commenté les chercheurs. « Spécialement pour les terminaux mobiles. Ces systèmes étant de plus en plus utilisés pour déverrouiller le téléphone et pour effectuer un paiement ».

Source: http://www.silicon.fr


  • -

Les cybercriminels ciblent l’humain plutôt que l’IT

sécurité clavier

Dans une étude réalisée par Proofpoint, les cybercriminels misent beaucoup plus sur l’erreur humaine plutôt que sur les vulnérabilités des systèmes d’information.

Plutôt que d’exploiter les faiblesses des systèmes informatiques, les cybercriminels s’appuient de plus en plus sur les erreurs humaines pour arriver à leurs fins. Proofpoint (fournisseur américain de solutions de sécurité IT) s’appuie depuis plusieurs années sur ce postulat pour élaborer son rapport « The Human Factor », dont l’édition 2016 est riche en enseignements sur l’évolution des menaces.

 

L’une des grandes tendances se nomme social engineering. Les pirates y ont recours pour faire réaliser à leurs cibles des actions auparavant déclenchées via des vulnérabilités logicielles.

En premier lieu, l’exécution de code. Dans ce scénario, l’e-mail est un canal privilégié, tout comme les médias sociaux et les applications mobiles. Les campagnes se déroulent généralement à grande échelle, avec un objectif : convaincre les victimes potentielles d’ouvrir des liens ou des documents, de télécharger des fichiers, de désactiver certaines fonctions de sécurité…

Le volume des campagnes est souvent plus restreint lorsqu’il s’agit de pousser les utilisateurs à fournir des informations telles qu’un identifiant et un mot de passe. Au sommet de la pyramide, il arrive qu’une seule personne soit ciblée dans une entreprise, notamment parce qu’elle est susceptible de transférer des fonds.

S’adapter au rythme de travail des salariés

Pour ce qui est des opérations massives de phishing (des millions de messages envoyés en quelques minutes depuis des milliers de serveurs compromis), elles sont plutôt organisées par régions géographiques que par secteurs d’activité des entreprises visées.

Elles sont surtout adaptées aux rythmes de travail, avec un pic d’envois entre 9 h et 10 h du matin, lorsque l’employé arrive au bureau et avant que l’équipe IT ait eu une chance de détecter la menace.

En 2015 comme en 2014, les pirates préfèrent envoyer leurs e-mails le mardi et plus globalement en première partie de semaine. C’est d’ailleurs sur cet intervalle de temps que les cibles tombent le plus dans le panneau. Même stratégie sur les réseaux sociaux, avec une montée en volume au cours de la matinée et un pic entre 13 h et 14 h, au moment où l’activité « légitime » est au plus haut.

Sur ce canal, les faux comptes au nom de marques sont très fréquemment exploités : 40 % de ceux prétendument ouverts sur Facebook par une société du Fortune 100 sont frauduleux (20 % sur Twitter).

Pour attirer les victimes, on leur propose généralement des cadeaux, des remises ou des points de fidélité. La dimension du service client joue aussi, avec le cas typique de personnes qui disent avoir perdu leur mot de passe. Pour devancer les « véritables » entreprises, les cybercriminels n’hésitent pas à agir en dehors des heures de bureau.

Le mobile et les apps bureautiques privilégiés

Les applications mobiles constituent un autre vecteur d’attaque. En examinant plusieurs marketplaces associées à Android, Proofpoint en a déniché plus de 12 000 (3 000 jeux, 2 200 dans la catégorie divertissement ; 1 000 dans l’éducation ; 400 dans les réseaux sociaux…) réunissant 2 milliards de téléchargements cumulés, précise ITespresso.fr.

Les terminaux Apple ne sont pas épargnés : 40 % des entreprises étudiées seraient touchées par au moins une application malveillante issue d’un kiosque tiers pour iOS, comme vShare, découvert en 2015 et qui fonctionne même avec des iPhone non « jailbreakés ».

En ce qui concerne les souches malveillantes liées aux campagnes de phishing avec pièces jointes, il s’agit, dans 74 % des cas, de chevaux de Troie bancaires. Ils se logent dans des macros (77 % de fichiers Word ; 22,5 % d’Excel ; 0,5 % pour le reste, dont PowerPoint et le PDF).

L’exploitation des macros avait nettement diminué depuis leur désactivation par défaut dans Office 2007. Mais les temps changent : grâce au social engineering, les pirates parviennent à mettre leurs cibles en confiance. Suffisamment en tout cas pour qu’elles acceptent de réactiver les macros.

Lorsque les e-mails de phishing contiennent une URL malveillante, celle-ci redirige le plus souvent – dans 74 % des cas en l’occurrence – vers de fausses pages de connexion. Les liens les plus cliqués sont ceux qui pointent vers des comptes Dropbox (23 %), Google Drive (22 %) et Adobe (18 %). Suivent Outlook Web Access et PayPal.

Sur la question du phishing ultra-ciblé, les e-mails semblent généralement provenir de hauts responsables de type DG ou directeur financier. Globalement, le phishing fonctionne mieux si l’e-mail a l’air d’être envoyé par un contact présent dans le carnet d’adresses du destinataire.
En savoir plus sur http://www.silicon.fr/les-cybercriminels-ciblent-lhumain-plutot-que-lit-140167.html#esKUhyJ25tFSHXEQ.99


  • -

Windows 10 : Microsoft presse les utilisateurs Windows 7 et 8.1 Pro à migrer

Après s’être fait la main sur les utilisateurs grand public, Microsoft s’apprête à étendre la dissémination de Windows 10 auprès des détenteurs de licences Windows 7 et 8.1 Pro. Les entreprises concernées doivent s’attendre à voir fleurir apps et messages les enjoignant à télécharger le dernier OS de l’éditeur.

Après le grand public, Microsoft s'attaque aux utilisateurs de licences Windows 7 et 8.1 Pro pour migrer vers Windows 10. (crédit : D.R.)

Près de six mois après la sortie de Windows 10, Microsoft commence à cibler un nouveau type d’utilisateurs, laissés de côté jusque-là. Hier, l’entreprise de Redmond a révélé que les utilisateurs tournant avec des systèmes Windows 7 Pro ou Windows 8.1 Pro verraient apparaître l’app « Télécharger Windows 10 » dans leur barre de tâches, indiquant une mise à niveau vers son dernier système. Ce changement de politique n’affectera que les terminaux connectés à un domaine Active Directory et acceptant les mises à jour en direct du service Windows Update.

AdTech AdLes utilisateurs dont les terminaux répondent à cette configuration verront bientôt surgir sur leur bureau des fenêtres pop-up ouvertes par l’app « Télécharger Windows 10 » les invitant à mettre à jour leur machine gratuitement. Ceux qui ont déjà un PC sous Windows paramétré ainsi à la maison ne seront probablement pas surpris par ce message, puisqu’il est identique à celui qu’ils ont pu voir sur le bureau de leur ordinateur personnel.

Les grandes entreprises pas concernées

Cette nouvelle incitation va de pair avec la politique de Microsoft qui cherche à pousser toujours plus de gens à faire la mise à jour vers Windows 10. L’éditeur veut aussi rappeler aux utilisateurs que la mise à jour vers le nouveau système est toujours gratuite, mais elle expirera en juillet. Les départements informatiques des petites entreprises et les utilisateurs qui ne veulent plus être harcelés par ces messages de mise à niveau peuvent suivre les instructions fournies pas Microsoft pour désactiver l’app « Télécharger Windows 10 ».

Par contre, les grandes entreprises n’ont pas d’inquiétude à se faire sur ce sujet-là pour une raison bien simple : les versions Enterprise de Windows 7 et 8.1 ne sont en effet pas éligibles à la gratuité… Les utilisateurs de ces versions ne seront donc pas ennuyés par les messages de mise à niveau envoyés par l’app « Télécharger Windows 10 ».

Une possibilité de retour arrière toujours possible

Mais, les actions entreprises par Microsoft pour pousser Windows 10 six mois après sa sortie revêtent aussi d’autres formes. L’éditeur a déjà annoncé qu’il envisageait également de s’appuyer sur Windows Update pour inciter les utilisateurs à aller vers Windows 10, ce qui signifie que de nombreux ordinateurs téléchargeront automatiquement le programme d’installation. Néanmoins, Microsoft laissera les utilisateurs décider s’ils veulent ou non franchir le pas. Pendant le premier mois après la mise à jour, ils gardent aussi la possibilité de revenir à leur ancien OS.

Aujourd’hui, il semble que Microsoft croit dans la fiabilité de son nouveau système d’exploitation et dans sa capacité à séduire de nouveaux utilisateurs, à condition qu’ils l’installent. Reste à savoir comment le grand public réagira à ces incitations de plus en plus agressives à les faire monter dans le wagon Windows 10.

 


  • 0

Le gouvernement allemand approuve les chevaux de Troie pour la surveillance

Un porte-parole du ministère de l’Intérieur a confirmé que le gouvernement avait approuvé l’utilisation de chevaux de Troie et autres malwares par les agences de renseignement après que ceci ait été autorisé par décision de justice.

La surveillance est de plus en plus à l’ordre du jour. Selon différents médias allemands, le gouvernement de Berlin aurait approuvé que soient utilisés des chevaux de Troie pour écouter les conversations de suspects dans le cas d’une enquête judiciaire et après accord de la justice. Baptisé Bundestrojaner, ce logiciel pourra être introduit subrepticement dans les ordinateurs et smartphones de personnes suspectées, ceci afin de pouvoir écouter leurs conversations. Il aurait été développé par FinFisher Gamma International, une entreprise spécialisée dans le développement de tels produits pour les gouvernements et agences de renseignements et qui serait peu regardante sur ses clients. L’entreprise aurait ainsi livré des logiciels de ce type à des régimes totalitaires afin de pouvoir surveiller les opposants.

Un cadre d’utilisation légal et strict

Peu de renseignements ont été livrés sur la manière dont comptent procéder les autorités fédérales mais le responsable de la commission fédérale de protection des données a indiqué que les tests s’étaient révélés satisfaisants et, dès lors, que le Bundestrojaner pouvait être utilisé pour suivre les faits et gestes de criminels et autres suspects.

Notons que le principe de ce projet a été approuvé dès 2008 par la cour constitutionnelle fédérale mais dans un cadre très limité, le Troyen devant être capable de repérer des termes ou des communications indiquant un véritable danger pour la vie ou la liberté d’autrui mais le même Troyen ne pouvant pas être utilisé pour écouter l’ensemble des messages et fichiers de la personne suspectée et infectée.

D’ores et déjà, plusieurs partis politiques et autres organisations se sont empressés de critiquer le projet.

Notons que l’Allemagne n’en est pas à son coup d’essai dans le domaine. En 2011, un programme similaire avait été lancé dans le plus grand secret. Le groupe de hackers Chaos Computer Club avait découvert le cheval de Troie et l’avait révélé au grand public, causant un assez retentissant scandale.

– : http://www.linformaticien.com/


  • -

Office 2016 incompatible avec les composants d’Office 2013

Encore une bourde de Microsoft, qui rend inopérants les composants de la suite Office 2013 lorsqu’Office 2016 ou Office 365 est installé sur un PC.

M. Wayne Rash d’eWeek s’est heurté à un problème important lors de la mise à jour d’Office sur son PC. Office 2016 ne peut en effet fonctionner en parallèle avec la précédente version de la suite bureautique de Microsoft, y compris avec des modules qu’elle ne propose pas.

Ainsi, lors du passage à Office 2016, Wayne Rash a eu la mauvaise surprise de constater que sa copie de Visio 2013 ne fonctionnait plus. Une nouvelle version d’Office qui rend inopérants d’anciens logiciels pourtant acquis légalement, voilà qui devrait faire bondir certains professionnels.

Microsoft est au courant de ce problème et cherche à la résoudre. La firme se borne à préciser qu’Office 365 et Office 2016 rendront inopérantes de nombreuses solutions de la gamme 2013. À savoir : Word 2013, Excel 2013, PowerPoint 2013, Outlook 2013, Publisher 2013, Access 2013, Project Standard 2013, Project Professional 2013, Visio Standard 2013, Visio Professional 2013, InfoPath 2013, SharePoint Designer 2013 et OneDrive for Business.

Microsoft propose aux utilisateurs de se rapprocher de son service de support pour une éventuelle migration gratuite vers les composants 2016 de la suite Office.

Office 365 VS Office 2016

Ce n’est pas le seul souci rencontré avec Office 2016 et Office 365. Suite à réception d’une licence d’Office 2016 piratée par le transporteur (une pratique visiblement en vogue), nous avons opté pour une version d’essai de 30 jours d’Office 365, dans l’attente d’une nouvelle clé de licence d’Office 2016.

Office 365 et Office 2016 sont obligatoirement liés à un compte Microsoft. Seulement voilà, il est impossible d’enregistrer une licence d’Office 2016 sur un compte Microsoft ou Office 365 est déjà actif. Qui passe à Office 365 doit donc y rester.