Mark Zuckerberg, directeur général de Facebook. La société a déclaré que des millions de mots de passe de comptes d’utilisateurs avaient été stockés de manière non sécurisée.
Facebook a déclaré jeudi que des millions de mots de passe de comptes d’utilisateurs avaient été stockés de manière non sécurisée, permettant potentiellement aux employés d’accéder aux comptes des personnes à leur insu.
La société de la Silicon Valley a annoncé la défaillance de la sécurité à peu près au même moment où Brian Krebs, rédacteur en cybersécurité, avait signalé la vulnérabilité du mot de passe. M. Krebs a déclaré qu’un audit de Facebook avait révélé que des centaines de millions de mots de passe d’utilisateurs datant de 2012 étaient stockés dans un format appelé texte brut, ce qui rend les mots de passe lisibles par plus de 20 000 employés de l’entreprise.
Facebook a déclaré qu’il n’avait trouvé aucune preuve d’abus et qu’il commencerait à alerter des millions d’utilisateurs et des milliers d’utilisateurs Instagram du problème. La société a déclaré que les personnes ne seraient pas obligées de réinitialiser leurs mots de passe.
L’échec de la sécurité est un autre embarras pour Facebook, un colosse de 470 milliards de dollars qui emploie certains des experts en cybersécurité les plus recherchés du secteur. Cela s’ajoute à la liste croissante de scandales de données qui ont terni la réputation de Facebook au cours des dernières années. L’année dernière, parmi les révélations selon lesquelles un cabinet de conseil politique aurait eu indûment accès aux données de millions de personnes , Facebook a également révélé qu’une attaque sur son réseau avait révélé les informations personnelles de dizaines de millions d’utilisateurs .
En réponse, la société a déclaré à plusieurs reprises son intention d’améliorer la protection des données des personnes.
« Il n’y a rien de plus important pour nous que de protéger les informations des personnes, et nous continuerons à apporter des améliorations dans le cadre de nos efforts de sécurité en cours sur Facebook », a déclaré Pedro Canahuati, vice-président de l’ingénierie en sécurité et confidentialité de Facebook .
Voici un aperçu de ce que vous devez savoir sur la vulnérabilité du mot de passe et ce que vous pouvez faire.
Quel est le problème?
Stocker les mots de passe en texte brut est une pratique de sécurité médiocre. Cela laisse les mots de passe largement ouverts aux cyberattaques ou aux abus potentiels des employés. Une meilleure pratique de sécurité aurait été de conserver les mots de passe dans un format crypté et indéchiffrable.
Facebook a déclaré qu’il n’avait pas trouvé de preuve d’abus, mais cela ne veut pas dire que cela ne s’est pas produit. Citant un initié de Facebook, M. Krebs a déclaré que les enregistrements d’accès avaient révélé que 2 000 ingénieurs ou développeurs avaient effectué neuf millions de requêtes pour des données contenant des mots de passe utilisateur en texte brut.
Un employé de Facebook aurait pu partager votre mot de passe avec une autre personne qui aurait alors un accès inapproprié à votre compte, par exemple. Ou bien un employé aurait pu lire votre mot de passe et l’utiliser pour vous connecter à un autre site sur lequel vous utilisiez le même mot de passe. Il y a beaucoup de possibilités.
En fin de compte, une entreprise aussi grande, riche et dotée d’un personnel suffisant que Facebook aurait dû mieux se connaître.
Comment savoir si quelqu’un a eu accès à mon compte?
Il n’y a pas de moyen facile de savoir. Facebook enquête toujours et commencera à alerter les personnes dont le mot de passe aurait pu être stocké au format texte.
Que devrais-je faire?
Facebook ne demande pas aux utilisateurs de changer leurs mots de passe, mais vous devriez le faire quand même.
Il existe de nombreuses méthodes pour définir des mots de passe forts. Par exemple, n’utilisez pas le même mot de passe sur plusieurs sites et n’utilisez pas votre numéro de sécurité sociale en tant que nom d’utilisateur ou mot de passe. Vous pouvez également configurer des fonctionnalités de sécurité telles que la vérification en deux étapes.
Il y a quelques autres mesures à prendre. Je recommande également de configurer votre compte Facebook pour recevoir des alertes dans le cas où un appareil non reconnu se connecte au compte. Pour ce faire, accédez aux paramètres de votre application Facebook, appuyez sur Sécurité et connexion, puis sur Recevoir des alertes concernant les connexions non reconnues. À partir de là, vous pouvez choisir de recevoir les alertes via des messages, des courriels ou des notifications.
Un audit des appareils connectés à votre compte peut également être en ordre, de sorte que vous sachiez quels ordinateurs portables, téléphones et autres gadgets ont déjà accès à votre compte. Sur la page Sécurité et connexion de Facebook , sous l’onglet « Où vous êtes connecté », vous pouvez voir une liste des appareils connectés à votre compte, ainsi que leurs emplacements.
Si vous voyez un gadget inconnu ou un appareil connecté depuis un emplacement étrange, vous pouvez cliquer sur le bouton “Supprimer” pour démarrer l’appareil à partir de votre compte.
Depuis 3 jours, 7 superordinateurs centraux de la CIA seraient en panne, et les satellites espions déconnectés.
Cette information provient de la radio américaine Hal Turner Radio Show. Nous ne l’avons trouvée nulle part ailleurs, et la radio ne cite aucune source, sinon pour dire qu’ils auraient téléphoné au Pentagone et que ce dernier n’a pas voulu faire de commentaires. Elle parle également de sources du Renseignement. Quoi qu’il en soit, cette information est à prendre avec prudence.
Sept ordinateurs centraux de la Central Intelligence Agency (CIA) sont maintenant en panne pour une raison inconnue.
La perte du réseau informatique a également entraîné la mise hors ligne d’un nombre important de satellites espions américains.
MISE À JOUR 8:33 PM EDT — DE NOMBREUX SATELLITES DE COMMUNICATION SONT EN TRAIN DE S’ÉTEINDRE.
Nous sommes en danger potentiel. J’espère que vos véhicules ont du carburant et que vous avez de la nourriture et de l’eau à portée de main. On ne sait pas qui a fait cela ni pourquoi…. et maintenant que certains de nos satellites sont hors service, Dieu seul sait ce qui pourrait nous tomber dessus.
MISE À JOUR 7:55 PM EDT —
Les ordinateurs principaux « Blanche-Neige » 3, 4, 6 et 7 sont hors ligne.
Satellites hors-ligne : Corona 1, 4, 8 et 16 sont éteints. (NOTE :LES SATS CORONA SONT LES REMPLAÇANTS NUMÉRIQUES DES « KEYHOLE » POUR LE PROGRAMME ORIGINAL DÉCLASSÉ DU MÊME NOM.
Autres Satellites Hors ligne : Big Bird 9 — « KH-9 (BYEMAN nom de code HEXAGON), communément appelé Big Bird[1] ou Keyhole-9, était une série de satellites de reconnaissance photographique lancés par les États-Unis entre 1971 et 1986.
MISE À JOUR 8:06 PM EDT —
Je viens de parler au Pentagone. La ligne « officielle » est la suivante: « Je n’ai aucune information sur un tel événement. Mais si un tel événement devait se produire, nous n’en discuterions pas publiquement. »
DES RENSEIGNEMENTS SUR LE CANAL DE RETOUR —
Des sources de la communauté du renseignement me confirment maintenant que plusieurs ordinateurs centraux sont, en fait, hors ligne et que plusieurs satellites espions sont aveugles. Les techniciens travaillent d’arrache-pied pour découvrir ce qui s’est passé et le réparer.
L’évaluation interne est que « Quelqu’un a ciblé spécifiquement nos systèmes de satellites espions. Quelqu’un déplace maintenant certaines choses qu’ils ne veulent pas que nous voyions. Cette éventualité inattendue est un problème majeur à tous les niveaux. »
MISE À JOUR 8:30 PM EDT —
GCHQ Bude a envoyé un signal de détresse 8:09 EST.
« Guerre des clics » (en référence à la Blitzkrieg allemande lors de la seconde guerre mondiale) « Lancement d’attaque sur les serveurs estoniens » Dessin de presse paru dans le Herald Tribune, quotidien américain en mai Pourquoi l’Estonie accuse l’Etat russe d’être à l’origine de cette cyber attaque? Celle-ci est-elle une illustration de relations particulièrement tendues entre les deux pays?
Il n’y a plus de NSA
GCHQ Bude, également connu sous le nom de GCHQ Composite Signals Organisation Station Morwenstow, en abrégé GCHQ CSO Morwenstow, est une station au sol et un centre d’écoute par satellite du gouvernement britannique situé sur la côte nord de Cornwallcoast au Cleave Camp, entre les petits villages de Morwenstow et Coombe. Il est exploité par le service de renseignement électromagnétique britannique, officiellement connu sous le nom de Government Communications Headquarters, communément appelé GCHQ. Il est situé sur une partie du site de l’ancien aérodrome de la RAF Cleave de la Seconde Guerre mondiale.
MISE À JOUR 8:33 PM EDT —
Toutes sortes de satellites d’imagerie et de communication ont été compromis…
MISE À JOUR 10:02 PM EDT —
Nous avons actuellement une panne presque complète de la plupart de nos satellites SIGINT (Black-Ops Signals Intelligence) et SATCOM (Satellite Communications).
La CIA n’est plus en mesure d’effectuer la surveillance des « key hole » et il y a maintenant des trous GIGANTESQUES dans notre capacité à intercepter certains signaux, c’est-à-dire certains téléphones, certaines radios, certaines communications Internet, etc.
En termes simples, certaines personnes qui pensaient auparavant diriger le monde (c’est-à-dire la communauté du renseignement au sein de la CIA et de la NSA) sont maintenant sourdes, muettes et partiellement aveugles. Il se passe quelque chose d’énorme. Ce genre de choses n’arrive pas comme ça.
Je ne sais pas trop où cela va nous mener, mais quoi que ce puisse être, ce sera gigantesque.
MISE À JOUR 10:12 PM EDT —
CinC NORAD vient de déclarer « DEFCON 4″.
MISE À JOUR 10:38 PM EDT VENDREDI 31 AOÛT. —
La CIA a essayé de redémarrer les superordinateurs. Ils ont réussi à en faire redémarrer trois – mais qui se se sont immédiatement planté à nouveau ! Quatre autres ne redémarrent tout simplement pas.
Les capacités de SIGINT et de SATCOM restent très COMPROMISES.
Cela fait maintenant un peu plus de 24 heures complètes qu’une grande partie de nos capacités de communication de la communauté du renseignement à l’échelle mondiale, RESTE INUTILISABLE.
***
Source : 7 CIA MAINFRAME SUPER-COMPUTERS DOWN – SPY SATELLITES OFFLINE
Et si on vous disait que 14 personnes dans le monde ont le contrôle total d’Internet ? L’histoire pourrait être tirée d’un roman de science-fiction, mais elle est pourtant bien vraie : la totalité de l’Internet mondial est contrôlé par 7 véritables clés « physiques ». Et leurs détenteurs se rassemblent régulièrement, lors de rituels ultra-sécurisés. James Ball, journaliste au Guardian, a eu la chance d’assister récemment à l’une de ces cérémonies secrètes baptisées Internet Corporation for Assigned Names and Numbers (ICANN). Cet organisme est « responsable de l’attribution d’adresses internet numériques aux sites Web et aux ordinateurs », comme le précise Bussiness Insider. Et pour garder les Internets, ICANN a sélectionné 7 personnes à qui ont été confiées les fameuses clés, et 7 personnes supplémentaires pour garder les clés de secours.
Ces 14 personnes peuvent donc potentiellement faire la pluie et le beau temps sur le web, et même le faire disparaître ! Les clés physiques ouvrent des coffres-forts dispersés dans le monde entier. À l’intérieur de ces coffres se trouvent des « cartes à clés » intelligentes. Lorsque les 7 cartes sont rassemblées, elles constituent une « clé maîtresse », qui est en fait un code informatique permettant d’accéder à l’ensemble des informations gardées par l’ICANN. Les 14 heureux élus se rassemblent 4 fois par an depuis 2010, afin de générer régulièrement une nouvelle « clé maîtresse » et ne pas risquer de fuite de ce code à l’importance capitale. De quoi inspirer les scénaristes d’Hollywood.
Cette Suédoise détient une clé d’Internet !
Anne-Marie Ecklund-Löwinder
Quatorze personnes dans le monde protègent les clés de chiffrement du système des adresses internet. Rencontre avec l’une d’entre elles, à Stockholm.
Anne-Marie Ecklund-Löwinder n’a pas le profil d’une femme d’affaires, ni celui d’une femme particulièrement secrète. On pourrait la croire un peu « allumée », sous ses airs de gourou de l’informatique. Cheveux courts, lunettes, large sourire et tee-shirt « I love Internet » sur les épaules, elle accueille volontiers les journalistes au siège de « .SE », l’administrateur de l’extension des noms de domaines suédois, dont elle est responsable de la sécurité. Pionnière dans ce domaine, elle est aujourd’hui la gardienne de l’une des clés de chiffrement les plus secrètes au monde, puisqu’elle permet de faire fonctionner Internet.
Comme les treize autres « gardiens d’Internet », Anne-Marie Ecklund-Löwinder participe quatre fois par an à une cérémonie quasi-religieuse aux Etats-Unis, avec l’Internet corporation for assigned names and numbers (Icann), l’organe de gestion des noms de domaine du monde entier, lié au Département du Commerce de Washington. Durant ces réunions, qui se déroulent dans des datacenters ultra-sécurisés, les clés de chiffrement des participants présents sont utilisées pour renouveler la clé principale. Puis des clés secondaires sont ensuite automatiquement distribuées aux serveurs de noms de domaine du monde entier, qui s’en servent pour renouveler leur système d’authentification. Cela permet de ne pas toujours garder la même clé, et donc de réduire la vulnérabilité du système. Puisqu’il est possible de « casser » une clé de chiffrement, mieux vaut la changer régulièrement, afin de ne pas laisser trop de temps aux pirates pour travailler sur une clé qui resterait valide des années.
« Je ne peux pas éteindre Internet »
Membre de l’équipe « côte Est », elle se rend plusieurs fois par an au datacenter Terramark, à Culpeper en Virginie. Ce véritable Fort Knox de l’Internet est protégé par des gardes armés. « Les membres de l’Icann sont les seuls à pouvoir nous faire entrer dans le bâtiment, mais les consultants de confiance en cryptographie, comme moi, sont les seuls à disposer des clés de chiffrement », explique-t-elle. « Ma clé reste enfermée dans un coffre-fort au sein de datacenter, ajoute-t-elle, et je dois systématiquement vérifier que l’emballage hermétique du support n’a pas été violé ». « Un second coffre-fort contient le matériel nécessaire pour générer de nouvelles clés », précise l’experte en sécurité, qui décrit le processus comme « proche d’une cérémonie religieuse ». « Je n’ai pas la clé de chiffrement chez moi, et c’est mieux comme ça : après une bouteille de vin un samedi soir, je ne peux pas éteindre Internet ! », plaisante-t-elle.
La Suédoise n’est pas une novice. Elle a promu dès 1997 la nouvelle norme de protection des adresses internet du monde entier, DNSSEC, adoptée mondialement en 2010. « Les serveurs de noms de domaines (DNS), c’est comme l’annuaire d’Internet », explique-t-elle : ils servent à lier un contenu à une adresse. Tous les serveurs centraux du réseau utilisent aujourd’hui ce système qu’elle a contribué à mettre au point, et qui repose sur une clé centrale et secrète de chiffrement, aussi protégée que les réserves d’une banque centrale. Celle-ci est destinée à chiffrer des sous-clés, qui sont distribuées aux serveurs de noms de domaines (DNS) dans le monde entier. Une telle sécurité en cascade permet de « ne pas exposer la clé principale », explique-t-elle.
Le but de DNSSEC, est d’éviter qu’un pirate puisse détourner une requête afin que, par exemple, en tapant l’adresse exacte du site de votre banque vous atterrissiez sur un faux site. On connaît bien le risque lié aux répliques de sites, hébergées en général sur des adresses proches (youtibe.com au lieu de youtube.com par exemple). Mais il ne faut pas perdre de vue qu’en contournant la sécurité des noms de domaine, il est techniquement possible de montrer un faux site à la bonne adresse. Une arme redoutable pour les pirates intéressés par l’argent, mais aussi pour les activistes politiques, les dictateurs ou encore les plaisantins. Un tel outil permet en effet de détourner non seulement le trafic web (les pages en elles-mêmes), mais aussi les échanges de courriels ou les transferts de fichiers. C’est l’arme absolue, car l’internaute lambda n’a aucun moyen de savoir qu’il est trompé. Heureusement, les clés de chiffrement veillent.
EN CONCLUSION
Cela ressemble presque à un roman de Dan Brown, mais ça ne l’est pas : tout Internet est sécurisé par sept clés ultra protégées, détenues par 14 personnes.
Une semaine avant, le monde avait reçu une bonne piqûre de rappel sur l’importance de l’organisation à laquelle ces gens appartiennent.
Une bonne partie d’Internet était HS pendant de longues heures parce que des hackers ont envoyé tellement de trafic à une entreprise appelée Dyn, que ses serveurs n’ont pas pu le gérer.
Dyn est un fournisseur important d’une chose qu’on appelle « le système de nom de domaine » (DNS), qui traduit les adresses web comme businessinsider.fr — que les êtres humains retiennent plus facilement — en adresses IP numériques que les ordinateurs utilisent pour identifier les pages web.
Dyn est juste un fournisseur de DNS. Et alors que des hackers n’ont jamais pris le contrôle de leur réseau, réussir à le mettre hors ligne pour même juste quelques heures via une attaque par déni de service décentralisée montre à quel point Internet repose sur les DNS.
Cette attaque a brièvement rendu inaccessibles de nombreux sites comme Business Insider.com, Amazon, Twitter, Github, Spotify, et bien d’autres.
Si vous contrôlez tous les DNS, vous pouvez contrôler tout Internet
A son plus haut niveau, le DNS est sécurisé par une poignée de personnes à travers le monde connues sous le nom d’agents crypto.
Tous les trois mois depuis 2010, certains d’entre eux — mais pas tous — se réunissent et organisent un rituel ultra sécurisé baptisé cérémonie de la clé, pendant laquelle les clés du métaphorique verrou ultime d’Internet sont vérifiées et mises à jour.
Les personnes en charge de la cérémonie font partie d’une organisation appelée Internet Corporation for Assigned Names and Numbers (ICANN). Elle a comme mission d’attribuer des adresses web numériques à des sites web et à des ordinateurs.
Si quelqu’un devait prendre le contrôle de la base de données de l’ICANN, cette personne contrôlerait en fait presque tout Internet. Par exemple, cette personne pourrait rediriger des personnes vers des faux sites de banques au lieu de vrais sites de ces dernières.
Pour protéger le DNS, l’ICANN a trouvé un moyen de le sécuriser sans confier trop de pouvoir à aucune de ces personnes. L’organisation a sélectionné sept personnes comme détenteurs de clé et a donné à chacune d’entre elles une vraie clé d’Internet.
Les personnes ayant participé à la cérémonie de clé de l’ICANN en août 2016
Elle a choisi sept autres personnes comme détenteurs de clé de secours, ce qui revient au total à 14 personnes. La cérémonie exige la présence d’au moins trois d’entre eux, avec leurs clés, car trois clés sont nécessaires pour déverrouiller l’installation qui protège le DNS.
Un rituel beaucoup préparé à l’avance
Les clés physiques déverrouillent des coffres-forts sécurisés. A l’intérieur, se trouvent des clés magnétiques intelligentes. Il faut plusieurs clés pour accéder au dispositif qui génère la clé maîtresse d’Internet.
La clé maîtresse est en fait un code informatique connu comme la clé de signature de la clé racine. Il s’agit plus d’un mot de passe qui peut donner accès à la base de données maîtresse de l’ICANN. Cette clé génère plus de clés qui s’injectent pour protéger différents bouts et pièces d’Internet, à différents endroits, utilisées par différentes organisations en charge de la sécurité sur Internet.
La sécurité autour des cérémonies avant et après est forte. Elle implique des participants qui passent à travers une série de portes verrouillées en utilisant des codes clés et des scanners portables avant de rentrer dans une pièce tellement sécurisée qu’aucune communication électronique ne peut passer à travers. A l’intérieur de cette pièce, les agents crypto se rassemblent avec les représentants de l’ICANN et quelques invités et observateurs.
Tout l’événement est très précisément écrit à l’avance, méticuleusement enregistré et audité. Les étapes exactes de la cérémonie sont planifiées et communiquées aux participants, pour que si on ne la respecte pas, toute la salle le sache.
Le groupe suit la cérémonie, comme décrit à l’avance, puis chaque personne sort de la salle, en file, une par une. Il parait qu’ils vont ensuite manger dans un restaurant local et faire la fête.
Mais aussi sécurisé que tout cela puisse être, Internet est une pièce technologique ouverte, qui n’appartient à aucune entité. Internet a été inventé aux Etats-Unis, mais ils ont renoncé à des décennies de gérance du DNS. L’ICANN a officiellement pris le relais.
Profondément conscient de son rôle international et de la confiance mondiale qui lui est donnée, l’ICANN laisse n’importe qui suivre cette cérémonie, en fournissant un livestream sur Internet. Elle publie aussi tous les compte-rendus des cérémonies.
Le 27 octobre 2016, l’ICANN tient une nouvelle cérémonie — et celle-ci est historique aussi. Pour la première fois, elle va changer de clé maîtresse elle-même. Techniquement, elle va changer de « paire de clés » sur laquelle toute la sécurité du DNS est construite, connue sous le nom de clé de signature de la zone racine.
« Si vous avez cette clé et êtes capable de, par exemple, générer votre propre version de la zone racine, vous serez en mesure de rediriger une quantité phénoménale de trafic », dit Matt Larson, vice-président de la recherche à l’ICANN, à Motherboard.
Voici une description en détail de la cérémonie par CloudFlare.
Voici une vidéo de la toute première cérémonie de clé, qui a eu lieu en 2010. Commencez à 1:58.
Il y a 1 an,en effet,un réseau de grand banditisme a réussi le casse du siècle : en seulement 3 heures, ils ont réussi à voler pour plus de 11 millions d’euros en utilisant des cartes bancaires clonées. Preuve s’il en est que la sécurité des données bancaires doit rester une priorité absolue.
Les pirates malintentionnés passent leurs vies à profiter des nombreuses failles des systèmes informatiques afin de trouver quoi que ce soit dont ils puissent profiter : les données privées des utilisateurs, les mots de passe de leurs comptes en banques, et tout type d’informations monnayables…
Ce qui ne veut pas nécessairement dire que les systèmes les plus classiques sont épargnés. Nous apprenions par exemple récemment qu’un nouveau malware permettait de prendre le contrôle des distributeurs de billets et commençait à sévir en Russie et en Europe.
Cette fois-ci, il s’agit pour autant d’une arnaque bien plus simple : en ayant réussi à prendre possession des données bancaires d’une société basée en Afrique du Sud, des centaines de membres d’un syndicat du crime international ont réussi à retirer, entre 5 et 8 heures du matin le 15 mai, pour plus de 11 millions d’euros via pas moins de 14 000 retraits au Japon.
Très organisé, le syndicat a depuis disparu du pays avec cette somme. Aucun individu n’a en effet été interpellé, le crime aura été parfait. De quoi rappeler à tous l’importance de bien protéger non seulement ses comptes en ligne, mais aussi sa simple carte qui pourrait être utilisée à des fins malicieuses.
La lutte contre ce genre de pratique a toutefois désormais deux fronts : les arnaques « classiques », comme celle présentée ci-dessus, et les grandes attaques à base de malware qui ont déjà permis de voler jusqu’à un milliard de dollars aux banques début 2015.
Depuis cette affaire,le travail de sécurisation des systèmes bancaires n’en finit plus de se complexifier pour réussir à tenir la cadence des voleurs, à tel point qu’en tant que consommateur on serait tenté de revenir à l’ancien temps : sous le matelas, bien au chaud.
En utilisant le moteur de recherche Shodan, l’expert en cybersécurité Bob Diachenko de Kromtech Security Research Center a découvert qu’il existe une base de données MongoDB regroupant plus de 560 millions d’adresses mail et de mots de passe volés lors d’anciennes fuites de données, compilés par un mystérieux individu.
Qu’advient-il des identifiants (adresses mail et mots de passe) dérobés lors des cyberattaques mondiales comme Wannacry ? Où vont ces coordonnées subtilisées par des hackers malveillants ? Bob Diachenko de Kromtech a découvert un début de réponse à ces questions.
L’expert en cybersécurité a découvert qu’une base de données compilée par un anonyme regroupe plus de 560 millions d’adresses mail et de mots de passe volés. Cette base de données MongoDB de 75Go, structurée au format JSON, hébergée sur une adresse IP virtuelle par service cloud, a été alimentée au fil des précédentes fuites de données.
Cybersécurité : 75 Go d’identifiants volés lors des piratages de LinkedIn, Myspace, Tumblr, Badoo…
Les identifiants proviennent de célèbres fuites historiques de services comme LinkedIn, Dropbox, Lastfm, MySpace, Adobe, Tumblr, ou encore le site de rencontre Badoo. Autant dire que cette liste ne date pas d’hier. C’est la preuve que les mots de passe dérobés restent à tout jamais accessibles.
Parmi les 560 millions d’identifiants qui constituent cette base de données, environ 243,7 millions d’adresses mail sont répertoriées sur le service de recherche Have I Been Pwned? créé par l’expert en sécurité Troy Hunt de Microsoft. Toutefois, contrairement à la liste découverte par Diachenko, HIBP ne divulgue pas les mots de passe associés aux adresses mail, et ne présente donc pas de danger.
Selon Diachenko, il s’agit de « la mère de toutes les fuites de données ». À elle seule, l’existence de cette base de données démontre qu’il est indispensable de changer tous ses mots de passe à chaque cyberattaque. Les personnes malfaisantes peuvent très bien retrouver vos identifiants des années après une attaque et s’en servir pour pirater votre compte. Vous voilà prévenus.
Pirater une voix n’est plus de l’ordre de la science-fiction. Un simple enregistrement d’une minute suffit désormais pour copier la voix de n’importe quel individu et de s’en servir à volonté. Présidents et célébrités comme personnes lambdas ne sont donc pas à l’abri d’être victimes de fausses déclarations. La technologie soulève un grand nombre de questions d’ordre éthique et légal.
S’ils peuvent être à l’origine de canulars hilarants, les logiciels permettant de recréer les voixde personnes existantes peuvent aussi représenter un risque majeur pour les individus. Imaginez par exemple qu’une personne mal-intentionnée se serve de votre voix pour produire un faux témoignage. Comment prouveriez-vous votre innocence ?
Pirater votre voix en une minute chrono
C’est la question que s’est posée Lyrebird. Cette entreprise canadienne a en effet donné naissance à une technologie capable de pirater la voix de n’importe qui sur la base d’un enregistrement d’une minute seulement. Autrement dit dès aujourd’hui, une simple conversation téléphonique suffirait à un pirate pour créer de faux documents audio.
Pour prouver son efficacité, Lyrebird a mis en ligne plusieurs fichiers sur Soundcloud, dans lesquels on peut notamment entendre Barrack Obama, Donald Trump et Hillary Clinton discuter au cours d’une conversation montée de toutes pièces. Selon la société, le logiciel est même capable de reproduire certaines émotions telles que la colère ou la joie. Fascinant et terrifiant.
La prouesse est impressionnante, et ce genre de piratage éclair n’est pas sans rappeler celui de d’Alexandre Korznikov, qui permettait de pirater un compte Windows dans des délais similaires. Pour Lyrebird, cependant, il ne s’agit pas de faciliter la tâche à de potentiels pirates. Au contraire, on peut lire sur son site officiel :
En révélant l’existence de cette technologie et en la rendant disponible, nous souhaitons conjurer l’apparition de tels risques. Nous espérons que le public prendra conscience qu’imiter une voix est devenu possible et que cela doit relativiser à l’avenir la valeur de preuve accordée aux enregistrements audio.
La vocation de Lyrebird est donc avant tout de prévenir le public de l’émergence de ce genre de détournements. Dans un futur très proche, le témoignage audio n’aura peut-être plus la même puissance et utilité qu’aujourd’hui.
Vous pensez avoir tout contrôlé sur votre profil Facebook ? Il n’y a donc aucune publication gênante vous concernant sur ce réseau social ? Repensez-y après avoir fait un tour sur le nouveau site d’Inti De Ceukelaire, spécialisé en cybersécurité. Le principe est tout simple, comme le rapportent nos confrères du quotidien flamand Het […]
Bienvenue à tous et à toutes:Nous venons de lancer une nouvelle boutique indépendante du site afin de nous aider à rentabiliser notre site Michelduchaine.com
Vous trouverez de nombreux articles vintage et de collection diverses au fil des jours.
Elle vous permettra d'acquérir des articles venant directement de Michel...D'aille elle s'appelle "Vintage par Michel que vous trouverez sur ce lien:https://www.etsy.com/ca-fr/shop/VintageParMichel?ref=seller-platform-mcnav Ignorer
