Sécurité de l'info

La paresse reste la norme en matière de sécurité en 2016

A l’heure où l’authentification forte se généralise au travers des services en ligne, il est étonnant de constater que Paypal n’offre toujours pas une telle solution en standard.

Published

5 ans ago

28 janvier 2016

Marc Barbezat

Voici encore un article qui confirme la nature paresseuse de l’humain et bien entendu de la sécurité qui l’accompagne. L’article fait référence en particulier à Paypal et la mésaventure qui est arrivée à Brian Krebs, un spécialiste de la sécurité:

️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

My PayPal account was hacked on Christmas Eve. The perpetrator tried to further stir up trouble by sending my PayPal funds to a hacker gang tied to the jihadist militant group ISIS. Although the intruder failed to siphon any funds, the successful takeover of the account speaks volumes about why most organizations — including many financial institutions — remain woefully behind the times in authenticating their customers and staying ahead of identity thieves.

A l’heure où l’authentification forte se généralise au travers des services en ligne, il est étonnant de constater que Paypal n’offre toujours pas une telle solution en standard. Voici donc ci-dessous les péripéties très instructives de Brian face aux multiples tentatives de hacking de son compte Paypal:

2016 Reality: Lazy Authentication Still the Norm
My PayPal account was hacked on Christmas Eve. The perpetrator tried to further stir up trouble by sending my PayPal funds to a hacker gang that recruits for the terrorist group ISIS. Although the intruder failed to siphon any funds, the successful takeover of the account speaks volumes about why most organizations — including many…

Related Topics:authentification hacking PayPal

Up Next

Qu’est-ce que le phishing? [vidéo]

Don't Miss

La fraude de A à Z selon Temenos et Netguardians

Marc Barbezat

Blogueur et spécialiste en cybersécurité

Click to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Carnet de veille

#veille #cyberSécurité (18 mars 18) – les données de 50 millions de comptes Facebook détournées pour les élections américaines et 5 millions d’Android avec des malwares préinstallés

Découvrez les actus qu’il ne fallait pas manquer cette semaine à propos de la sécurité (rapport de veille hebdo)

Published

3 ans ago

18 mars 2018

Marc Barbezat

La principale nouvelle de la semaine concerne la société Cambridge Analytica. Pour information, ce cabinet d’analyse de données qui a collaboré avec l’équipe électorale de Donald Trump et la campagne gagnante du Brexit a récolté des millions de profils Facebook des électeurs américains. Ainsi selon une enquête du Guardian, Facebook savait depuis deux ans que cette entreprise récoltait des données sur plus de 50 millions de profils d’électeurs américains sans leur permission et de n’aurait rien fait pour protéger leurs données. Facebook a reconnu avoir été manipulé et a maintenant bloqué cette société. A suivre.

La Russie a à nouveau droit à une ligne dans cette rubrique hebdomadaire. Cette fois-ci, les USA lui reproche d’avoir piraté plusieurs entités gouvernementales et sociétés nationales dans les secteurs de l’énergie, du nucléaire, des installations commerciales, de l’eau, de l’aviation entre autres.

Au Royaume Uni, c’est le groupe de piratage APT15, habituellement associé aux services de renseignement chinois, qui aurait volé des informations militaires via un de leur fournisseur. Toujours sur cette même île, une police locale se serait fait pirater et voler des rapports confidentiels déposés par 450 personnes ces deux dernières années.

En attendant les prochaines nouvelles #cybersec et #infosec, voici les actualités intéressantes sélectionnées pour ce rapport de veille :

Un internaute suisse sur deux néglige ses paramètres de confidentialité
“Si les internautes suisses craignent les attaques cybercriminelles et se méfient des réseaux sociaux, plus de la moitié négligent les paramètres de confidentialité sur la Toile.”
tags:Sécurité données personnelles suisse
Hacking Team is back … probably it never stopped its activity. Watch Out!
“Security researchers at ESET have spotted in fourteen countries previously unreported samples of the Remote Control System (RCS), the surveillance software developed by the Italian Hacking Team, in fourteen countries.”
tags:Sécurité espionnage Hacking Team italie
Massive breach discovered in Florida Virtual School database
“Up to 368,000 students and 18,000 teachers may have had information exposed. A school spokesperson says that none of its financial information was exposed, but possibly names, birth dates, usernames, and passwords were.”
tags:Sécurité vol de données usa
Pre-installed malware on Android devices made $115k revenue in 10 days
“The malware is hidden in a System Wi-Fi service application that is already installed-by-default on countless models of smartphones manufactured by prominent companies including Honor, Huawei, GIONEE, Samsung, Oppo, Vivo, and Xiaomi.”
tags:Sécurité malware smartphone android wifi
Hackers allegedly steal confidential reports from Police server
“In normal circumstances, police are the investigating authority but Gwent County Police in the United Kingdom is in hot water and being investigated for not informing complainers that reports they filed have been stolen by hackers.”
tags:Sécurité vol de données police uk
APT15 Hackers Hit UK Govt Contractor to Steal Military Technology Secrets
“The APT15 hacking group has always been associated with Chinese intelligence and it has been part of quite a few, infamous hacking sprees. Now the same group has allegedly stolen information about UK’s military technology by compromising computer of a UK government contractor and launching a malware-based attack”
tags:Sécurité hacking APT Chine uk
Hackers continue to exploit hijacked MailChimp accounts in cybercrime campaigns
“MailChimp, a service that millions of people around the world use to send out email newsletters, is being abused by hackers to spam out malware.”
tags:Sécurité spam mailchimp
Russia Hacks Into U.S. Power Plants, But Nuclear Reactors Should Be Impervious
“According to an alert from the United States Computer Emergency Readiness Team yesterday, Russia has hacked into many of our government entities and domestic companies in the energy, nuclear, commercial facilities, water, aviation and critical manufacturing sectors – essentially most of what makes our country go.”
tags:Sécurité nucléaire usa russie
Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach
“The data analytics firm that worked with Donald Trump’s election team and the winning Brexit campaign harvested millions of Facebook profiles of US voters, in one of the tech giant’s biggest ever data breaches, and used them to build a powerful software program to predict and influence choices at the ballot box”
tags:Sécurité vol de données usa facebook
GitHub Paid $166,000 in Bug Bounties in 2017
“Git repository hosting service GitHub paid a total of $166,495 in rewards in 2017 to security researchers reporting vulnerabilities as part of its four year old bug bounty program.”
tags:Sécurité Bug Bounty GitHub
Hacker Adrian Lamo who turned in Chelsea Manning dies at the age of 37
“Adrian Lamo, a Colombian-American threat analyst and former hacker, has died at the age of 37. He was best known for passing on information that led to the arrest of Chelsea Manning”
tags:Sécurité Wikileaks usa
Un formulaire online pour signaler les cyberattaques à la police genevoise
“La police cantonale genevoise a mis en place un formulaire en ligne permettant aux PME et aux particuliers de signaler des cyber-incidents. L’Etat de Genève mène en outre une consultation publique en ligne pour améliorer ses services numériques.”
tags:Sécurité police suisse cyber-attaque genève
Piratage de CCleaner : il y avait une troisième charge utile malveillante
“Digne d’un roman d’espionnage, l’affaire du piratage de CCleaner en 2017 fait encore d’autres révélations. La piste d’attaquants chinois se confirme.”
tags:Sécurité hacking avast
Microsoft donne 250 000 $ aux découvreurs de failles semblables à Meltdown et Spectre
“Microsoft a lancé un programme de bug bounty doté d’une récompense maximale de 250 000 dollars afin de récompenser les personnes découvrant des vulnérabilités CPU d’exécution spéculative comparables à Meltdown et Spectre.”
tags:Sécurité microsoft récompense Bug Bounty

Posted from Diigo. The rest of my favorite links are here.

Sécurité de l'info

Plus d’un milliard de smartphones avec de la reconnaissance faciale en 2020

L’arrivée du dernier iPhone X anticipe la tendance. La facilité d’utilisation de la reconnaissance faciale pousse à une large adoption sur tous les smartphones

Published

3 ans ago

12 mars 2018

Marc Barbezat

L’arrivée du dernier iPhone X anticipe la tendance. La facilité d’utilisation de la reconnaissance faciale pousse à une large adoption sur tous les smartphones.

Reconnaissance faciale de Smartphone – Prévisions d’expéditions de Smartphone (source Counterpoint)

Selon les estimations de Counterpoint, près de 60% de tous les smartphones à reconnaissance faciale utiliseront la technologie 3D en 2020. Les données collectées à partir de plusieurs capteurs 3D aideront les technologies émergentes telles que la réalité augmentée, la réalité virtuelle et l’intelligence artificielle.

Pour en savoir plus:

More than one billion smartphones to feature facial recognition in 2020 – Counterpoint Research
Seoul, Hong Kong, New Delhi, Beijing, London, Buenos Aires, San Diego February 7 th, 2018 Facial recognition solutions are expected to come to a wide range of handsets in 2018 following Apple’s FaceID and Samsung Galaxy Note 8’s Face & IRIS unlock technology.

Is Facial Recognition the New Smartphone Security Standard?
With the rise of facial recognition technology, our fingerprints may be supplanted as the convenient biometric of choice to save us from typing in passwords. There’s nothing new about the idea of using your face to unlock your phone or other devices, but when Apple made Face ID the star of its iPhone X reveal, facial recognition took a big step towards the mainstream consciousness.

Phone Trends to Expect in 2018: Facial Unlock, AR, AI
The last 12 months saw the release of some of the most desirable smartphones ever conceived. From Samsung’s curved Galaxy S8 to Apple’s face-tracking iPhone X, to Google’s astonishing Pixel 2 camera smarts – 2017 has been a very good year for smartphones. But there’s always more ahead.

Carnet de veille

#veille #cyberSécurité (4 mars 2018) – L’Allemagne et la Corée du Sud victimes de cyberattaques venues de Russie

Découvrez les actus qu’il ne fallait pas manquer cette semaine à propos de la sécurité (rapport de veille hebdo)

Published

3 ans ago

4 mars 2018

Marc Barbezat

La Russie est au coeur de plusieurs actualités cette semaine. La première concerne l’Allemagne qui a vu plusieurs de ces ministères attaqués par des pirates qui viendraient de la Russie. Le groupe de hacker APT28, aussi nommé les Fancy Bears, pourrait se cacher là-derrière. La 2ème attaques russes concernerait cette fois-ci les jeux olympiques de Corée du Sud. La cyber-attaque serait passée cette fois-ci par les lignes de la Corée du Nord.

Le magazine l’Express, quant à lui, ne semble pas encore prêt à la RGPD. Les données personnelles de 700’000 de ces lecteurs auraient été “en libre service” pendant plusieurs semaines.

L’autre principale nouvelle de la semaine est la super puissante attaque de déni de service qui a fait fléchir Github. Un nouveau vecteur d’amplification a été trouvé grâce à un protocole (Memcached) et surtout des systèmes non protégés accessibles sur Internet.

En attendant les prochaines nouvelles #cybersec et #infosec, voici les actualités intéressantes sélectionnées pour ce rapport de veille :

Encore des smartphones Android low cost avec cheval de Troie préinstallé
“L’éditeur Dr.Web a détecté une quarantaine de modèles dont le firmware est infecté par un malware et qui, par conséquent, peut prendre le contrôle de l’appareil. “
tags:Sécurité malware android
Deux ministères allemands victimes d’une cyberattaque venue de Russie
“Un groupe de hackers russes a réussi à s’introduire dans les ordinateurs des ministères allemands des Affaires étrangères et de la Défense. Ils sont parvenus à voler des données, rapportent mercredi des médias allemands.”
tags:Sécurité cyber-attaque vol de données allemagne russie
Les données de 693 000 lecteurs de l’Express exposées
“Les données personnelles de près de 700 000 lecteurs du magazine « L’Express » ont été accessibles et téléchargeables pendant plusieurs semaines, selon une enquête de ZDNet. Le magazine à parution hebdomadaire assure que ni mots de passe ni coordonnées bancaires n’étaient stockés dans la base de données exposée.”
tags:Sécurité perte de données France
German government confirms hackers blitzkrieged its servers to steal data
“The German Interior ministry has confirmed that it has identified a serious attack against its servers, amidst reports that the culprits were the Russian APT28 – aka Fancy Bear – hacking group.”
tags:Sécurité cyber-attaque allemagne russie
EU plans new laws to force companies to hand over data held outside the EU on request
“The European Commission isplanning new measures in forthcoming law enforcement legislation that would force technology and social media companies to hand over customer data held outside the EU. It claims that the measures, due to be unveiled before the end of March, will speed up legal investigations. “
tags:Sécurité juridique cloud-computing europe protection des données
La Russie aurait piraté les JO d’hiver… en se faisant passer pour la Corée du nord
“D’après les services secrets américains, le cybersabotage de la cérémonie d’ouverture de Pyeongchang serait l’œuvre du service de renseignement militaire de la Russie. Celui-ci aurait laisser de faux indices sur les ordinateurs piratés pour faire accuser le régime de Pyongyang.”
tags:Sécurité cyber-attaque russie Corée-du-Sud Corée-du-Nord jeux olympiques
SAML protocol bug let hackers log in as other users
“A vulnerability in how some products have implemented a single sign-on protocol that lets users log in to websites and services with a single username and password could let an attacker log in instead.”
tags:Sécurité faille SAML authentification fédération d’identité
Russians suspected of new German attack may ‘have been inside system for a year’
“Hackers — possibly Russian — have reportedly had access to the German government’s secure network for over a year. As first revealed by German news agency DPA, the hackers were able to steal data in the intrusion, which was apparently spotted in December.”
tags:Sécurité cyber-attaque allemagne
2% of Amazon S3 Public Buckets Aren’t Write-Protected, Exposed to Ransom Attacks
“New research published on Monday reveals that 5.8% of all Amazon S3 buckets are publicly readable, while 2% are publicly writeable —with the latter allowing anyone to add, edit, or delete data, and even hold a victim’s data for ransom.”
tags:Sécurité Amazon cloud-computing S3
Banking Trojan Found in Over 40 Models of Low-Cost Android Smartphones
“Over 40 models of low-cost Android smartphones are sold already infected with the Triada banking trojan, says Dr.Web, a Russia-based antivirus vendor. The security vendor published today a list of 42 Android models its researchers analyzed and found to be infected with the Android.Triada.231 trojan.”
tags:Sécurité malware android
23,000 Users Lose SSL Certificates in Trustico-DigiCert Spat
“Over 23,000 users will have their SSL certificates revoked by tomorrow morning, March 1, in an incident between two companies —Trustico and DigiCert— that is likely to have a huge impact on the CA (Certificate Authority) industry as a whole in the coming months.”
tags:Sécurité certificat Trustico-DigiCert
UK cyber risk picture: Emergency services at risk of a major cyber attack
“One of the most notable, in addition to the emergency services, is the Defence Equipment and Supply Organisation which presents a prime target for actors seeking to disrupt defence procurement.”
tags:Sécurité uk cyber-attaque gestion des risques
Germany says its government computers secure after ‘isolated’ hack
“Germany said on Wednesday hackers had breached its government computer network with an isolated attack that had been brought under control and which security officials were investigating.”
tags:Sécurité allemagne cyber-attaque hacking
UK and Aussie Governments Sign Up to Have I Been Pwned?
“The National Cyber Security Centre (NCSC) and Australian Cyber Security Centre (ACSC) will now avail themselves of centralized monitoring on Troy Hunt’s Have I Been Pwned? site.”
tags:Sécurité uk australie password vol d’identité
Zero-Day Attacks Major Concern in Hybrid Cloud
“Researchers at Enterprise Strategy Group (ESG) polled 450 IT and security pros in North America and Western Europe on hybrid cloud environments and containers. The results demonstrate concern around zero-day attacks and increased container adoption.”
tags:Sécurité cloud-computing
GitHub Among Victims of Massive DDoS Attack Wave
“GitHub has informed users of a distributed denial-of-service (DDoS) attack, which brought down the site from 17:21 to 17:26 UTC and made it sporadically unavailable from 17:26 to 17:30 UTC. The incident did not compromise the confidentiality or integrity of users’ data, it reports.”
tags:Sécurité GitHub ddos
Mueller May Indict Russians Who Hacked DNC
“Another shoe could soon drop: special counsel Robert Mueller reportedly is putting together a criminal case against Russian hackers behind the breach and leak of emails of the Democratic National Committee (DNC) and Clinton campaign chair John Podesta during the 2016 presidential campaign, according to an NBC News report.”
tags:Sécurité usa russie désinformation
Number of Sites Hosting Cryptocurrency Miners …
“A new report from security vendor Cyren this week confirms assumptions about the recent explosive growth in the number of websites that host cryptocurrency mining software. Cyren monitored a sample of 500,000 websites between September 2017 and January 2018 and found a 725% increase in the number of domains running cryptocurrency scripts on one or more pages over that period.”
tags:Sécurité cryptominer
Millions of Office 365 Accounts Hit with Password Stealers
“Phishing emails disguised as tax-related alerts aim to trick users into handing attackers their usernames and passwords.”
tags:Sécurité phishing O365
La reconnaissance faciale arrive sur Facebook
Introduite auprès des usagers américains en 2016, la reconnaissance faciale va être déployée progressivement en Europe à partir de la semaine prochaine. Elle demeurera une option qu’il sera possible ou non d’activer.
tags:Sécurité reconnaissance faciale facebook

Posted from Diigo. The rest of my favorite links are here.

Le décodeur suisse de cybersécurité

La paresse reste la norme en matière de sécurité en 2016

Sécurité de l'info

La paresse reste la norme en matière de sécurité en 2016

2016 Reality: Lazy Authentication Still the Norm

Leave a Reply

Carnet de veille

#veille #cyberSécurité (18 mars 18) – les données de 50 millions de comptes Facebook détournées pour les élections américaines et 5 millions d’Android avec des malwares préinstallés

Sécurité de l'info

Plus d’un milliard de smartphones avec de la reconnaissance faciale en 2020

More than one billion smartphones to feature facial recognition in 2020 – Counterpoint Research

Is Facial Recognition the New Smartphone Security Standard?

Phone Trends to Expect in 2018: Facial Unlock, AR, AI

Carnet de veille

#veille #cyberSécurité (4 mars 2018) – L’Allemagne et la Corée du Sud victimes de cyberattaques venues de Russie

Newsletter

Comment un journaliste s’est invité dans une vidéo-conférence secrète de l’UE?

Le fabricant de vaccins AstraZeneca pris pour cible par des hackers nord-coréens #veille (29 nov 2020)

Voici pourquoi il ne faut pas saisir ses mots de passe pendant une vidéoconférence

L’ONU et Europol mettent en garde contre la cyber-menace croissante de l’IA #veille (22 nov 2020)

Trois cyberattaques ont ciblé sept fabricants de vaccins COVID-19 #veille (15 nov 2020)

Sur le canal de Twitter

Le décodeur suisse de cybersécurité

La paresse reste la norme en matière de sécurité en 2016

La paresse reste la norme en matière de sécurité en 2016

You may like

Leave a Reply

#veille #cyberSécurité (18 mars 18) – les données de 50 millions de comptes Facebook détournées pour les élections américaines et 5 millions d’Android avec des malwares préinstallés

Plus d’un milliard de smartphones avec de la reconnaissance faciale en 2020

#veille #cyberSécurité (4 mars 2018) – L’Allemagne et la Corée du Sud victimes de cyberattaques venues de Russie

Newsletter

Comment un journaliste s’est invité dans une vidéo-conférence secrète de l’UE?

Le fabricant de vaccins AstraZeneca pris pour cible par des hackers nord-coréens #veille (29 nov 2020)

Voici pourquoi il ne faut pas saisir ses mots de passe pendant une vidéoconférence

L’ONU et Europol mettent en garde contre la cyber-menace croissante de l’IA #veille (22 nov 2020)

Trois cyberattaques ont ciblé sept fabricants de vaccins COVID-19 #veille (15 nov 2020)

Sur le canal de Twitter