Les meilleurs posts du mois de Mai
En mai, nous vous avons présenté toute une panoplie de nouveaux articles traitant des dernières histoires et conseils de sécurité, des périls de Facebook au dernier partenariat de Kaspersky Lab. Si vous avez manqué certaines nouvelles, pas d’inquiétude ! Nous vous avons préparé un résumé des posts du mois, afin que vous soyez au courant de toutes les nouveautés en matière de cybersécurité.
Les 5 pires erreurs que vous pouvez faire sur Facebook
Bien que Facebook peut parfois être une réseau social divertissant, il présente également toute une liste de dangers. Il existe toute une série d’erreurs typiques que les gens font sur le réseau et chacune d’elles pourrait bien vous coûter de l’argent, votre réputation et même vos relations avec des personnes auxquelles vous tenez. Évitez donc ces dangers : ne publiez jamais votre biographie en ligne, surtout votre date de naissance. De plus, avant de publier, assurez-vous que vos mises à jour de statut sont visibles uniquement pour vos amis et assurez-vous que ces amis sont bien de vraies connexions. Quand vous partagez ces mises à jour, évitez également de communiquer votre situation géographique, car cela pourrait permettre aux cybercriminels de vous suivre bien plus facilement. Enfin, assurez-vous de choisir un mot de passe compliqué afin de réduire les risques d’attaque.
Étude : La majorité des maisons intelligentes sont vulnérables au piratage
Les maisons intelligentes sont exactement ce que vous pensez qu’elles sont (pensez également aux smartphones, au Smart TV, aux voitures intelligentes, etc.) : ils s’agit de maisons dans lesquelles les appareils, les systèmes de chauffage et de refroidissement, la lumière, les détecteurs de fumée et/ou les serrures des portes sont tous connectés au réseau de la maison puis à Internet et donc aux ordinateurs, tablettes, téléphones mobiles et à tout autre appareil connecté à Internet. Elles sont peut-être maisons du futur mais certains chercheurs ont récemment détecté des failles dans leurs systèmes de sécurité. D’ailleurs, nos amis chez AV-Test.org ont testé la sécurité de sept de ces systèmes et ont constaté que quatre d’entre eux n’étaient pas sécurisés. Les appareils vulnérables dans cette étude pourraient être exploités par des attaques internes ou externes ciblant le réseau du domicile et les appareils qui y sont connectés ou la maison elle-même et les biens qu’elle contient. AV-Test a cherché à savoir si les communications entre les appareils étaient chiffrées et trois de ces produits n’utilisaient même pas le chiffrement. En bref, un pirate pourrait manipuler ces systèmes connectés afin de les endommager mais puisque la plupart des criminels recherchent l’argent, les attaques les plus probables sont celles qui utilisent ces faiblesses comme des points d’accès pour ensuite obtenir des données de valeur stockées dans le réseau du domicile en question. Voici la bonne nouvelle : AV-Test pense que si les fabricants de ces produits prennent le temps de développer un concept complètement sécurisé au lieu de s’empresser de sortir leurs produits sur le marché, il sera alors possible de voir apparaitre des systèmes sécurisés pour votre domicile. Et voici l’autre bonne nouvelle si vous pensez à acheter l’un de ces systèmes, AV-Test vous indique ce que vous devez rechercher : des systèmes qui requièrent toujours une authentification et qui chiffrent toujours leurs communications.
Kaspersky Lab aide les développeurs du jeu Watch_Dogs
La confidentialité et la surveillance invasive sont désormais des sujets qui vont bien au-delà du monde des technologies. Les citoyens moyens n’ont pas beaucoup de solutions pour combattre la propagation des technologies de surveillance, mais le nouveau jeu vidéo de Ubisoft, Watch_Dogs, donne aux joueurs la possibilité de combattre une infrastructure de surveillance omniprésente dans la peau de son personnage principal, Aiden Pearce. Le jeu a été développé avec l’aide des experts en sécurité de Kaspersky Lab après que le script du jeu leur ait été envoyé afin d’être certain qu’il représente bien la réalité. Il est arrivé dans les mains de Vitaly Kamluk, chercheur en sécurité chez Kaspersky Lab, qui l’a lu et a plutôt apprécié ce qu’il a découvert. » J’ai seulement fait quelques suggestions « , explique Kamluk pendant une interview dans les bureaux de Ubisoft, situés à San Francisco, lors de la première de Watch_Dogs en avril. » Ils ont fait du bon travail. Tout était correct et le jeu restait tout de même divertissant. Les gens n’aiment pas que la réalité entrave leur imagination mais Watch_Dogs a réussi à intégrer l’utilisation d’exploits et du piratage de la CCTV dans l’univers du jeu. » Il ne s’agit pas de piratage hollywoodien. C’est la réalité « , a déclaré Kamluk.
Cryptolocker désormais sur Android ?
Une nouvelle variante du ransomware cible Android et se présente comme associée à CryptoLocker qui est connu pour chiffrer les fichiers informatiques critiques et demander des rançons pour les déchiffrer. Dans ce cas, un groupe de criminels responsable d’une variété de ransomwares – connu sous le nom de Reveton – est en train de promouvoir un malware capable d’infecter les appareils mobiles Android. Un chercheur en sécurité célèbre qui travaille sous le nom de « Kafeine » a découvert ce nouveau virus et en parle dans son blog « Malware don’t need coffee ». Il a pu constater que quand les victimes connectent leurs appareils Android à un domaine infecté par ce malware, ils sont redirigés vers un site pornographique qui déploie un système d’ingénierie sociale afin de piéger les utilisateurs et de les conduire à ouvrir une application qui contient le malware. Cependant, vous devez installer le malware vous-même pour être infecté, c’est pourquoi nous vous recommandons d’installer uniquement des applications légitimes provenant du Google Play Store. Il est pour le moment impossible de déterminer si le ransomware est réellement lié à CryptoLocker, mais celui qui l’a créé a clairement profité du succès du bon vieux Cryptolocker pour se faire de la publicité. C’est intéressant car cela démontre comment les cybercriminels utilisent les mêmes pratiques que les entreprises légitimes pour maximiser leurs profits, mais nous aborderons ce thème un autre jour.
Des vulnérabilités pour les boutons types « S’identifier avec Facebook »…
Quelques semaines seulement après la découverte du bug Heartbleed, les utilisateurs moyens comme vous et moi pourraient s’inquiéter d’un autre problème très répandu qui ne sera pas facile à réparer. Le problème a été détecté au sein des célèbres protocoles Internet OpenID et OAuth. Le premier est utilisé quand vous vous identifiez dans des sites qui utilisent vos profils Google, Facebook, LinkedIn, etc. et le deuxième est utilisé quand vous vous autorisez des sites, des applications ou des services avec Facebook/G+/etc., sans révéler pour autant votre mot de passe à ces sites externes. Ces deux protocoles sont utilisés ensemble et vous pourriez bien être en train de communiquer vos informations aux mauvaises personnes. Vous pourrez trouver une explication plus technique sur Threatpost mais cela fonctionne plus ou moins ainsi : premièrement, un utilisateur visite un site d’hameçonnage qui utilise le bouton » S’identifier avec Facebook « . Après avoir cliqué sur le bouton, une vraie fenêtre Facebook/G+/LinkedIn s’ouvrira, demandant à l’utilisateur de rentrer son nom d’utilisateur et son mot de passe afin d’autoriser le service à accéder au profil de l’utilisateur. Enfin, l’autorisation d’utiliser le profil est envoyée au mauvais site (d’hameçonnage) en utilisant une redirection incorrecte et un criminel reçoit la vraie autorisation (jeton OAuth) pour accéder à votre profil avec toutes les permissions que ce dernier avait à l’origine. Pour les plus prudents, la solution infaillible serait d’abandonner l’utilisation d’OpenID et ces fameux boutons » S’identifier avec… » pendant quelques mois. Pour éviter d’avoir à mémoriser différents identifiants sur tous ces sites, commencez à utiliser un gestionnaire de mots de passe efficace. Néanmoins, si vous avez l’intention de continuer à utiliser l’autorisation OpenID, il n’y a pas de danger immédiat. Vous devez juste faire attention et éviter les arnaques d’hameçonnage. Si vous vous authentifiez dans un service utilisant Facebook/Google/etc., assurez-vous que vous accédez au site de ce service en tapant l’adresse manuellement ou en utilisant un marque page, et non pas le lien contenu dans vos e-mails ou votre messagerie. Vérifiez bien la barre d’adresse afin de ne pas vous rendre sur des sites louches et ne souscrivez pas de nouveaux services avec OpenID, sauf si vous êtes certain à 100% que le service est réputé et qu’il s’agit bien du bon site. De plus, nous vous conseillons d’utiliser une solution de navigation sécurisée telle que Kaspersky Internet Security – Multi-Device qui empêchera votre navigateur de visiter des endroits dangereux tels que des sites d’hameçonnage.