3 étapes pour mieux préserver sa vie privée

Naked security nous rappelle dans l’article « Take the 3-step Privacy Plan Diet« , simples à respectées et nécessitant peu de sacrifice, qui permettent de grandement améliorer notre vie privée.

1) Couper la géolocalisation des services

Honnêtement, quels services nécessitent vraiment de connaître votre position géographique ? Mis à part les éventuels FourSquare dont je n’ai jamais compris l’intérêt… à part votre logiciel GPS je suis sûr que vous pouvez la géolocalisation sans regret.

2) Couper le WiFi quand nous n’en avons pas besoin

Je ne sais pas pour vous, mais mis à part à l’hôtel en déplacement, quand je suis chez moi, et lorsque je cherche mon chemin en ville pour augmenter la précision du GPS, je n’ai pas besoin du WiFi. Je le coupe donc dès que je sors de ces cas de figure, ce qui m’évite d’être pisté dans les magasins comme nous en avions déjà parlé dans un épisode du comptoir.

3) Déconnectez-vous d’un service quand vous ne l’utilisez plus

C’est sûrement l’étape la plus difficile. Rares sont ceux qui se déconnectent de Facebook après utilisation, encore moins de Google. Je dirais donc, à défaut de vous déconnecter, bloquez au maximum l’intervention de ces mouchards dans le reste de votre surf.

Cela commence par désactiver les options borderline de votre compte Google comme la sauvegarde de vos recherches. Cela passe aussi par l’utilisation d’extensions comme « Disconnect » qui permet de bloquer la publicité, mais aussi et surtout le tracking des réseaux sociaux et des outils d’analyse type Google analytics.

disconnect

Et vous, quelles étapes parmi ces 3 faites-vous déjà ? Lesquelles êtes-vous prêt à adopter pour l’année 2014 ?

Source : Naked Security by Sophos

Flattr this!

« How I lost my 50,000$ Twitter username » : Un parfait exemple de social engineering

Le Social engineering, ou ingénierie sociale, est une attaque ne se basant pas sur une vulnérabilité informatique mais sur une faiblesse dans un processus organisationnel ou sur la manipulation d’un être humain.

Naoki Hiroshima en a fait les frais il y a peu. Détenteur d’un compte Twitter très rare, @N, et qui vaut donc près de 50,000$, il est une cible de choix pour les attaques ciblées.

L’attaquant a mis en place une stratégie ingénieuse pour lui extorquer son compte :

  1. L’attaquant a réussi à obtenir de PayPal les 4 derniers numéros de la carte de crédit de Naoki
  2. Il a ensuite appelé le Registrar utilisé par Naoki, GoDaddy, pour prendre possession de son nom de domaine. Pour ça il a prétexté avoir perdu l’accès à ses mails, et a fourni pour prouver son identité… les 4 derniers numéros de la carte de crédit. Il lui ont aussi fait deviner les 2 premiers, qu’il a trouvés du premier coup. Pour information les 2 premiers chiffres sont conditionnés par le type de carte (Visa, MasterCard…) ce n’est donc pas un total hasard.
  3. prendre la main sur le compte GoDaddy lui a permis de prendre la main sur son email… Et oui Naoki utilisait une redirection pour son mail. Par exemple en possédant le domaine « monsite.fr », vous pouvez créer une adresse « contact@monsite.fr » qui n’est autre qu’une redirection vers « veritable-adresse@gmail.com » par exemple. L’attaquant a donc redirigé contact@monsite.fr vers « adresse-de-l-attaquant@gmail.com ».
  4. maintenant en possession de l’adresse utilisée par Naoki, il pouvait réinitialiser le mot de passe de n’importe quel compte souscrit par Naoki avec cette adresse.
  5. Naoki a eu le temps de changer le mail associé à son compte twitter, ce qui a empêché l’attaquant de le voler directement. Il a donc opté pour la prise du compte Facebook et a commencé à le faire chanter.
  6. Naoki a fini par céder, il a relâché le compte @N en échange de la restitution de ses comptes personnels.

Cette péripétie est une leçon importante. Nous l’avons déjà dit plusieurs fois, votre compte mail est le sésame ultime pour la quasi-totalité de vos comptes en ligne, car tous les services proposent une réinitialisation par envoi de mail. La subtilité supplémentaire ici était que l’adresse email dépendait du nom de domaine. La sécurité d’un système se résume à celle du maillon le plus faible. Dans ce cas c’était GoDaddy. Une authentification forte sur son compte Gmail ne l’aura pas protégé.

À l’heure actuelle, Naoki ne possède plus @N, Godaddy, PayPal et Twitter ont tous annoncé qu’une enquête était en cours auprès de leurs équipes. N’y voyez pas là la ferveur de dirigeants amoureux de la justice. L’article de Naoki a fait du bruit, ils cherchent juste à nettoyer leur réputation. Espérons que cela fonctionne pour Naoki.

Source : Naoki Hiroshima (Medium)

Flattr this!

Vous pensez être protégé de l’espion Facebook connect ? Peut-être pas..

J’ai découvert avec dégoût cette capture d’écran sur Twitter.

facebook-connect

En résumé, cela ressemble à une documentation de l’api fourni aux « clients » (les vrais, ceux qui payent) de Facebook.

Lorsque vous vous connectez à un site avec Facebook comme intermédiaire, Facebook connect, le site sur lequel vous vous authentifiez a accès via cette API à une grande quantité d’informations sur vous. Je suis d’ailleurs étonné de voir des données assez sensibles comme l’adresse figurer dans la liste.

Jusque là, on pourrait se dire « bien fait pour les naïfs qui utilisent Facebook pour se connecter à tout et n’importe quoi. Ce n’est pas mon cas et en plus je bloque les mouchards avec une extension de type Disconnect donc ils ne peuvent rien savoir sur moi ».

… Et là, vous lisez la fin de l’API décrite dans l’image et vous découvrez que vos « amis » Facebook vous vendent sans le savoir…

Qui parmi nous peut dire sereinement qu’aucun de ses amis Facebook n’utilise Facebook connect ?

Flattr this!

Tri-PIN : Une solution ingénieuse contre le shoulder surfing ?

Je suis tombé récemment sur une présentation du « futur » du code PIN.

Le problème d’un code PIN est que le pavé numérique est statique. La disposition des chiffres est toujours la même. Ainsi, si vous jetez un coup d’oeil par dessus l’épaule de quelqu’un tapant un code PIN sur son téléphone ou sur un distributeur automatique de billets (DAB), il est enfantin de voir le code saisi et de le retenir. C’est ce qu’on appelle une attaque par « shoulder surfing ».

Dans le monde numérique, le problème n’est pas l’attaquant qui regarde par-dessus votre épaule, mais plutôt le keylogger qui enregistre les touches pressées sur votre clavier. C’est pourquoi les banques en lignes essayent de corser le travail des cybercriminels en vous obligeant à taper votre code sur un clavier virtuel dans lequel l’ordre des touches aura été mélangé de façon aléatoire.

Cela n’est malheureusement pas encore suffisant, des malwares de plus en plus malins (appelés « bankers ») vont jusqu’à prendre une capture d’écran à chaque clic de souris réalisé dans la page web d’un site de banque en ligne. L’analyse manuelle des captures d’écran permet de retrouver le code PIN.

Une dernière étape consiste donc à vous donner un code PIN beaucoup plus long, disons 8 chiffres. Mais au lieu de vous demander les 8 à chaque fois, de n’en demandez que 4 au hasard parmi les 8. Le malware aura maintenant besoin de plusieurs séances d’espionnage pour avoir une chance de voir passer l’intégralité des 8 chiffres. Cela ne fait que retarder l’échéance, mais c’est toujours une bonne chose !

Tri-PIN est une variante de ce concept. Au lieu de demander 4 chiffres parmi 8, chaque touche peut correspondre à 3 informations. En effet chaque touche est une combinaison entre :

  1. un chiffre
  2. une couleur
  3. un symbole

Votre code PIN n’est plus 1418, mais par exemple « Rouge », 3, « Rond », 0. À chaque nouvelle connexion, les couleurs et symboles sont mélangés et disposés aléatoirement sur le clavier.

J’aime le concept, et le trouve suffisamment simple pour être accepté par la majorité des utilisateurs. Je ne comprends pas trop pourquoi par contre les chiffres ne sont pas également redistribués aléatoirement. J’imagine que c’est pour rester agréable à utiliser après l’authentification dans le cas d’un DAB lorsque l’on fait un retrait avec une somme non disponible par défaut sur l’écran.

Le (très) gros problème de cette méthode est qu’il implique :

  1. un changement des codes PIN des usagers
  2. un changement des distributeurs de billets ! Il faut un pavé numérique avec un écran LCD dans les touches ou bien un pavé tactile pour le remplacer.

C’est pourquoi je doute que l’on retrouve cette technologie implémentée de si tôt pour le grand publique. D’autant plus qu’il faudrait imposer une mise à jour globale. En effet, imaginons que Société Générale adopte le système et mette à jour tous ses DAB, ce qui est déjà improbable. Comment allez-vous faire pour retirer de l’argent dans un distributeur Caisse-D’épargne qui ne possède pas ce dispositif ?

Par contre, je serai ravi de voir ce genre de dispositif mis en place sur nos terminaux mobiles. Cela est facile à mettre en oeuvre, une simple mise à jour logicielle suffit. Le « shoulder surfing » et « screen nudging » (retrouver le code ou le schéma grâce aux traces de doigt sur l’écran) sont des problèmes courant sur ce type d’appareil.

Et vous, qu’en pensez-vous ?

Source: Gizmodo

Flattr this!