Rencontrez Sweetie, la fille qui attrape les prédateurs en ligne

Des chercheurs hollandais disent que 1 000 hommes du monde entier ont pris contact avec une fillette de 10 ans aux Philippines au cours d'une enquête de 10 semaines, dont beaucoup voulaient la payer pour enlever ses vêtements devant une webcam.

L'organisation des droits de l'enfant Terre des Hommes a mis en place le faux profil d'une fille nommée Sweetie dans un forum de discussion en ligne et ses chercheurs spécialement formés ont été stupéfaits par l'avalanche de réponses.

Un chercheur l'a décrit comme «pétrifiant», mais il a déclaré que le véritable problème était le nombre de filles de pays en développement qui avaient accès à Internet et que les parents et les criminels essayaient de gagner de l'argent.

Les informations recueillies au cours de l'enquête seront transmises à Interpol.

Angus Crawford de la BBC a été invité dans un endroit secret pour voir comment le travail est effectué.





REF.:

Un Hacker aurait divulgué des renseignements personnels sur plus de 100 policiers

C'est l'image qui a conduit le FBI à un hacker prolifique catch censé être responsable de la libération des informations personnelles de dizaines de policiers à travers les États-Unis.
Higinio O. Ochoa III a été accusé d'avoir piraté illégalement au moins quatre sites Web d'application de la loi aux États-Unis - des prouesses dont il se serait prétendument fait valoir sur tous les sites de réseaux sociaux.
Et c'est cette image - prise en Australie - de sa petite amie à peine vêtue qui tient un message pour narguer les autorités américaines qui ont capturé le programmeur informatique de 30 ans de Galveston, au Texas.Quelle bombe: Higinio Ochoa, connu sous le nom de w0rmer et travaillant avec le groupe de piratage CabinCr3w, a été accusé de piratage. Le FBI a été amené à lui par cette photo de sa copine sur un site vantant ses exploits
Quelle bombe: Higinio Ochoa, connu sous le nom de w0rmer et travaillant avec le groupe de piratage CabinCr3w, a été accusé de piratage. Le FBI a été amené à lui par cette photo de sa copine sur un site vantant ses exploits
La photo montre une femme du cou avec un signe attaché à son estomac, en lisant: «PwND by w0rmer & CabinCr3w <3 b="" br="" s="" u="">
Le FBI a déclaré qu'il confirmait l'identité d'Ochoa, qui s'appelle lui-même 'w0rmer' en ligne et est membre de 'CabinCr3w', une émanation du groupe de hacking Anonymous.


En février, le prétendu compte Twitter d'Ochoa, @ AnonW0rmer, a été relié à un site Web où les données extraites des sites Web d'application de la loi ont été affichées, a rapporté The Sydney Morning Herald.
Au bas du site, il y avait l'image de la femme portant le signe. Les données tirées de cette photo montrent qu'il a été pris par un iPhone, selon le FBI.Higinio O. Ochoa IIIPetite amie Kylie Gardner
Connexions: Ochoa, à gauche, aurait divulgué des renseignements personnels pour plus de 100 policiers. La photo de sa petite amie Kylie Gardner, à droite, contenait des informations montrant où elle avait été prise
Les coordonnées GPS intégrées dans la photo - comme on peut le voir sur toutes les photos prises par un smartphone - ont montré aux autorités la rue et la maison exactes à Wantirna South, Melbourne, où elles ont été prises.
Différents tweets de @ Anonw0rmer pointaient vers d'autres sites se référant à 'w0rmer', y compris celui qui portait le nom d'Ochoa et plus de photos de sa petite amie.
Les autorités ont alors trouvé la page Facebook d'Ochoa, sur laquelle il a nommé Kylie Gardner d'Australie comme sa petite amie. Le FBI était alors convaincu qu'elle était la femme sur la photo prise à South Wantirna.
Même si la photo des seins ne montre pas le visage de la femme, le FBI est convaincu que c'est la même femme. Ils ajoutent que c'est une preuve définitive que Ochoa est w0rmer.
Gardner n'a été accusé d'aucune activité criminelle. On pense qu'elle est actuellement aux Etats-Unis avec Ochoa, qui comparaîtra devant le tribunal cette semaine, a rapporté le Sydney Morning Herald.Risque: D'autres images de la femme légèrement vêtue ont été téléchargées sur sa page Twitter et ont inclus des messages qui ont raillé les autorités à la recherche de son petit ami
Risque: D'autres images de la femme légèrement vêtue ont été téléchargées sur sa page Twitter et ont inclus des messages qui ont raillé les autorités à la recherche de son petit ami
Après l'avoir dépisté et placé sous surveillance, les autorités ont pris d'assaut la maison d'Ochoa le 20 mars et l'ont arrêté.
Dans un post censément écrit par Ochoa sur Pastebin, il a dit "environ 8 agents du FBI ont pris d'assaut mon appartement". Il a été emmené dans un bureau du FBI à Houston où il a payé une caution de 50 000 $.
Ochoa a comparu devant le tribunal le 10 avril devant un magistrat, où la preuve photographique ci-dessus a été révélée dans l'affidavit du FBI.
Il arrive un mois après que l'ancien chef de Lulzsec et membre anonyme de Sabu a été révélé comme un informateur du FBI. Mais dans le post de Pastebin, Ochoa a prétendu qu'il n'était pas coupable de la même trahison.
Il a écrit: «J'ai dit au FBI que je participerais à la capture de mes coéquipiers, une pièce qui, sans aucun doute, a satisfait et embrouillé le FBI.Prolific: Ochoa a été identifié comme un membre de CabinCr3w, une ramification de hackers Anonymous (emblème sur la photo)
Prolific: Ochoa a été identifié comme un membre de CabinCr3w, une ramification d'Anonymous (emblème sur la photo)Defiant: Anonyme, dont les partisans portent des masques de Guy Fawkes, est le groupe parapluie pour différents collectifs de piratage causant des ravages en ligne. Des membres ont piraté des sites Web d'application de la loi et d'affaires
Defiant: Anonyme, dont les partisans portent des masques de Guy Fawkes, est le groupe parapluie pour différents collectifs de piratage causant des ravages en ligne. Des membres ont piraté des sites Web d'application de la loi et d'affaires
«Cependant, ceux qui me connaissent le mieux se porteraient indument pour moi, ce qui mettrait ce mouvement en danger.
"TOUTES les informations fournies au FBI ont simplement rendu MON cas plus faible et causé une confusion interne montrant la faiblesse inhérente du système."
Ochoa aurait piraté le site Web du comté de Houston en Alabama et «créé de faux événements sur leur ligne, des images postées représentant Anonymous et
CabinCr3w, a supprimé tous les comptes administrateur, sauf celui créé par l'attaquant.CabinCr3w était également responsable de la fuite d'adresse e-mail et des informations confidentielles des dirigeants de Goldman Sachs en Septembre 2011, Gizmodo report.En février, le groupe infiltré Base de données de l'association, et a divulgué des noms, des adresses et des numéros de téléphone de plus de 100 policiers.

REF.:

Auto: Le contrôle parental intelligent !

Auto: Le contrôle parental intelligent,........... partout !

Pour l'auto:

 Les nouvelles fonctionnalités de Teen Driver , ou SafeDrive: For Teen Drivers,de la Buick Envision 2017 ou autre voiture,rend la vie moins stressante pour les parents d'adolescents. Vous pouvez l'utiliser pour définir les contrôles parentaux, examiner les habitudes de conduite de votre adolescent et encourager votre fils ou votre fille à conduire prudemment, que vous soyez dans le véhicule.

 Teen Driver:

-Alertes personnalisées

Définir des avertissements sonores et visuels lorsque le véhicule roule à une vitesse présélectionnée.

-Limitation de vitesse

Définir des avertissements sonores et visuels lorsque le véhicule roule à une vitesse présélectionnée.

-Limite audio

Définir la limite sur le volume audio.

 
-Distance conduit

Tirez sur le bulletin de bord du véhicule pour voir à quelle distance le véhicule a voyagé.

 D'autres apps:

-DriveScribe

    Fonction: Surveille la conduite des adolescents et récompense les habitudes de conduite sécuritaires
    Compatibilité: Android et iPhone
    Prix: Gratuit
    À propos de: Baptisée «Safe Driving Coach», cette application primée surveille les techniques de conduite utilisées par votre ado et attribue un score de conduite sécuritaire et des points à la fin du voyage. Votre adolescent peut accumuler des points et les échanger contre Amazon ou d'autres grandes cartes-cadeaux des détaillants.- MamaBear

    Fonction: Vous permet de surveiller les actions de votre enfant et les vitesses de conduite
    Compatibilité: Android et iPhone
    Prix: Gratuit
    A propos de: Cette application est bon pour les parents qui souhaitent garder un œil sur leurs enfants et leur utilisation du téléphone cellulaire. Il permet aux parents de voir où se trouvent leurs enfants à tout moment grâce au suivi GPS. Il envoie des notifications lorsque les enfants arrivent ou quittent des lieux prédéfinis, et permet aux parents de voir les interactions des médias sociaux de leurs enfants. Il alerte également les parents si les enfants dépassent les vitesses prédéfinies pendant la conduite. Bien que plutôt intrusive, c'est une application utile, en particulier pour les parents d'enfants à risque.

Le contrôle parental intelligent

Protégez votre enfant sur tous ses appareils : ordinateur, smartphone, tablette. Pilotez ses usages, où que vous soyez.

Gestion à distance

Gardez un œil sur l’activité de vos enfants où que vous soyez, depuis votre propre ordinateur, smartphone ou tablette.



Filtrage Internet

Bloquez l’accès aux contenus choquants pour laisser votre enfant surfer sans crainte
sur Internet.



Gestion du temps

Instaurez des créneaux d’utilisation de l’appareil pour prévenir les connexions nocturnes
et l’usage du smartphone en classe.



Gestion des applications

Choisissez les applications que votre enfant pourra utiliser et bloquez celles inadaptées
à son âge ou trop addictives.



Cumul du temps passé par appareil

Appliquez des restrictions horaires qui s’appliqueront uniformément à tous les appareils
que votre enfant utilise.



Statistiques d’utilisation

Obtenez des informations détaillées sur les sites et applications consultés par votre enfant
et le temps qu’il a passé dessus.

REF.:

Les 10 pires marques selon Consumer Reports

Après avoir présenté le palmarès des 10 marques les plus fiables, nous partageons la liste des 10 marques les moins fiables dressée par Consumer Reports. Plusieurs surprises s’y retrouvent! 

10. Chevrolet

Chevrolet

Après avoir monté de trois places par rapport à l’année dernière, Chevrolet se trouve maintenant dans ce palmarès de la honte. Alors que la Camaro cause du tort à l’image de la marque en raison de sa mauvaise fiabilité, la Bolt est présentée comme le modèle étant le plus fiable de ce constructeur américain. 

 

9. Acura

Acura

Alors que Honda figure dans le palmarès des dix marques les plus fiables, il est étonnant de constater que sa division de luxe, Acura, se trouve dans ce palmarès bien moins prestigieux. Comparativement à l’année dernière, Acura a grimpé de sept positions. L’ILX est le modèle le plus problématique de la marque alors que le RDX s’avère le plus fiable. 

 

8. Jeep

Jeep

Du côté de Jeep, on note une certaine amélioration. En effet, le constructeur réputé pour la capacité hors-route de ses véhicules a perdu trois positions. Sans grande surprise, le Cherokee présente la meilleure cote de fiabilité du manufacturier, alors que c’est tout le contraire pour le Renegade. 

 

7. Tesla

Tesla

Soupir de soulagement chez Tesla. Le constructeur de voitures entièrement électriques a baissé de quatre positions. D’après Consumer Reports, le Model X connaît davantage de soucis que la Model S qui est présentée comme le véhicule le plus fiable de la marque. 

 

6. Lincoln

Lincoln

Chez Lincoln, il n’y a pas de quoi se réjouir, car on vient de monter de deux positions dans ce classement. Le MKX continue de faire des siennes alors que le MKZ est présenté comme étant le moins problématique de la marque. 

 

5. Volvo

Volvo

Du côté de Volvo, les choses ne s’améliorent pas. En effet, le constructeur détenu par Geely se trouve désormais en cinquième position, comparativement à la neuvième position l’année dernière. La V60 s’avère le véhicule le plus fiable chez Volvo, alors que XC90 est celui qui en arrache le plus. 

 

4. Dodge

Dodge

Chez Dodge, on constate une progression par rapport à l’année dernière. Rappelons que le constructeur se trouvait au deuxième rang du classement. Le Journey continuer de poser problème et la Grand Caravan peut se vanter d’être le véhicule le plus fiable de la marque. 

 

3. Ram

Ram

C’est sans surprise qu’on retrouve une des marques du groupe FCA sur le podium. On note tout de même une amélioration. Le 3500 est le moins fiable de manufacturier et le 1500, le plus fiable. 

 

2. GMC

GMC

GMC, qui a monté de deux places, se trouve maintenant au deuxième rang, une position très peu enviable. L’Acadia cause du tort au constructeur alors que Sierra 2500HD est le véhicule le plus fiable de cette division de General Motors. 

 

1. Cadillac

Cadillac

Cadillac a gagné six places par rapport à l’année dernière et occupe la place qu’aucun constructeur ne veut occuper. La CTS est présentée comme le véhicule le plus fiable de la marque alors que l’Escalade connaît d’importantes lacunes. Avant d’acheter une Cadillac, méfiez-vous sérieusement. 

 

Veuillez noter qu’Alfa Romeo, Fiat, Genesis, Jaguar, Land Rover, Maserati, Mini, Mitsubishi et Smart ne font pas partie du palmarès étant donné que ces constructeurs n’ont pas fourni suffisamment de données à Consumer Reports.  

 

 

REF.:

Microsoft tacle Google sur sa gestion d’une faille

Microsoft et Google ne cessent de se lancer des piques : les deux géants de la Silicon Valley ont des équipes spécialisées dans la recherche de failles dans leurs programmes ainsi que dans ceux de leurs concurrents ce qui permet de rendre, petit à petit, Internet un peu plus sûr face aux hackers. Sauf que les deux géants ont des visions très différentes de la meilleure façon de réagir face à la découverte d'une de ces failles.

Google, notamment, a pour habitude de publier les détails d'une faille qu'il a découverte une semaine après en avoir informé les intéressés. Une manière de leur mettre la pression à laquelle Microsoft a déjà dû faire face.

Microsoft découvre une faille dans Chrome

Dans le cadre de la recherche de failles, l'équipe Microsoft Offensive Security Research a identifié une faille critique permettant l'exécution de code à distance dans le navigateur de Google, Chrome. Microsoft a signalé la faille à Google le 14 septembre 2017, avec toute une série d'autres failles mineures, ce qui a permis à l'équipe de Microsoft de gagner très exactement 15.837 dollars dans le cadre du programme de Google.

Naturellement, Microsoft n'a pas touché l'argent : l'entreprise a désigné le centre pour l'éducation Denise Louie de Seattle comme bénéficiaire et Google lui a versé 30.000 dollars. Surtout, comme le signale Microsoft sur son blog le 18 octobre 2017, Google a créé un correctif en un temps record : 4 jours. La version téléchargeable du navigateur, elle, a été mise à jour en moins d'une semaine.

L'histoire de Google : comment une petite startup a fait trembler Microsoft

• video playing

  
• OnHub - La gestion du Wi-Fi vue par Google

  
• Clubic Week 2.0 : Microsoft, Google et...

  
• Qu'est-ce qui différencie Google Home Mini du...

  
• Extraits d'une conversion avec Google Home...

  
• Découvrons le design du Google Pixel 2 XL

  

Une mise à jour publiée sur Github avant le déploiement d'un patch

Que reproche Microsoft à Google sachant que ce dernier a résolu le problème en moins d'une semaine, soit le temps que Google donne à ses concurrents ? La publication, sur Github, du code source du patch pour la faille en question. Une publication qui n'aurait pas posé problème si elle n'avait pas été faite, précise Google, en amont du déploiement du correctif.

En fait, si Google a bien corrigé le build, le fichier téléchargeable de Chrome, les utilisateurs du navigateur n'ont pas eu de correctif pendant près d'un mois alors que le code source du correctif était publique. Ce n'est qu'un mois après qu'une mise à jour a été déployée. Pour Microsoft, Google a laissé aux hackers un mois pour identifier la faille et l'exploiter avant de corriger le problème chez ses utilisateurs.

Entre Google et Microsoft, c'est certain, la hache de guerre n'est pas prête d'être enterrée.

• Microsoft encore pris à dissimuler une faille de sécurité
• Des failles de sécurité dans les firmwares Apple ?
• Faille critique : comment éviter de se faire pirater son WiFi ?
• Microsoft : les failles "Shadow Brokers" déjà comblées
• Google publie une faille encore active de Windows 
•  
• REF.:

Connaître l’adresse IP de quelqu’un, caché derrière un VPN ?

Daniel Roesler, un chercheur en sécurité informatique travaillant à Oakland, a publié hier une démo surprenante (31 janvier 2015). Si vous utilisez un VPN (hors CISCO) sur Windows et que vous surfez avec Chrome ou Firefox, votre IP réelle peut être découverte par n’importe quel site web sans même que vous ne le sachiez.

EDIT : la faille pourrait fonctionner sur les OS GNU/Linux. A confirmer, je n’ai pas encore pu essayer personnellement.

A l’heure où j’écris ces lignes, la faille est toujours opérationnelle. Si elle ne l’est plus au moment où vous lisez cet article, les explications que j’y donne reste valables et vous intéresseront si vous avez envie de comprendre un peu mieux le fonctionnement d’Internet.

Avant de détailler la faille, il est important de comprendre le principe du protocole STUN (RFC 5389). C’est assez simple vous allez voir.

A quoi sert un routeur ?

Vous utilisez sûrement une box Internet chez vous, pour vous connecter à Internet (une bbox, une livebox, etc…). Dans le jargon informatique, une box s’appelle un routeur. Pour faire simple, on peut dire qu’un routeur sert à connecter un réseau informatique à un autre réseau informatique.

Dans votre cas, votre box vous sert à connecter votre petit réseau local (c’est à dire tous les appareils de votre maison : téléphone, ordi, tablette, …) à un gros réseau qui s’appelle… Internet !

Venons en au fait ! Votre box, comme tout routeur qui se doit, a une mission importante : offrir à votre réseau local une adresse IP pour être identifiable sur Internet. C’est entre autre pour cela que vous payez votre fournisseur d’accès tous les mois une trentaine d’euros.

Votre maison ne peut pas être branchée à Internet si elle ne dispose pas d’une adresse IP publique. Ça serait comme rouler sur l’autoroute sans plaque d’immatriculation en quelques sortes.

Pour résumer en 2 mots : un routeur (votre box) sert à connecter votre maison à Internet. Cette box a une mission bien particulière : rendre votre petit réseau local visible sur le grand Internet, en lui attribuant une adresse IP.

A quoi sert le protocole STUN ?

Maintenant, passons à la faille à proprement dite.

Sans rentrer dans le fonctionnement d’un réseau informatique, vous devez savoir qu’un ordinateur à l’intérieur de votre maison n’est pas censé connaître l’IP publique qui l’identifiera sur Internet. Il n’en a pas besoin en fait…. enfin, presque pas besoin.

Je dis “presque”, parce que certaines applications comme la “voix sur IP (voIP)”, c’est à dire téléphoner en utilisant Internet, obligent votre ordinateur à connaître son adresse IP Internet. Le pauvre, il ne la connait pas et n’a aucun moyen de la connaître (même si ça peut paraître bizarre).

Pour palier à ce problème, les informaticiens ont inventé le serveur STUN. Il s’agit d’un système qui permet à un ordinateur de connaître sa propre adresse IP Internet (et pas mal d’autres trucs sympas) simplement en allant la demander à un serveur situé à l’autre bout de la planète. C’est le job des serveurs STUN. Ouf, heureusement qu’ils sont là.

La faille STUN / Web-RTC

Vous commencez à voir le lien avec l’histoire des VPN ? La majorité des navigateurs Internet utilisent cette technologie des serveurs STUN lorsqu’ils en ont besoin (encore une fois, dans des situations assez particulières).

Cependant, les versions Windows de Firefox et Chrome ont un gros problème : elles permettent à n’importe quel site web de récupérer l’adresse IP réelles des internautes, par l’intermédiaire d’une technologie que l’on appelle WebRTC, couplée au protocole STUN dont je vous ai parlé.

Pour vous le prouver, il suffit d’aller sur cette page que j’ai hébergée ici. Si vous utilisez un VPN en visitant cette page ET que vous utilisez Chrome/Firefox sur Windows, vous verrez l’adresse IP que vous tentez de cacher. Si vous la voyez, cela veut dire je peux aussi l’enregistrer de mon côté pour vous identifier… pas top !

Comment vous protéger de la faille ?

Pour être tranquille, vous devez bloquer l’API WebRTC sur votre navigateur. Il s’agit du module de développement qui sert à interroger le serveur STUN qui communique votre IP réelle. Bloquer WebRTC peut rendre indisponible certaines applications qui l’utilisent.

• Pour vous protéger sur Chrome / Chromium / Opera, il suffit d’installer l’extension suivante qui désactive WebRTC : WebRTC Block.
• Pour vous protéger sur Firefox, tapez about:config dans votre barre d’adresse du navigateur. Cherchez le paramètre “media.peerconnection.enabled”, faîtes un clic droit dessus puis “inverser” (pour le passer à false).
• Pour vous protéger sur Internet Explorer et Safari : ces deux navigateurs n’utilisent pas WebRTC à l’origine de la faille. Vous n’avez donc rien à faire.
• Pour vous protéger sur TOR Browser : par défaut, TOR Browser désactive WebRTC. Là encore, aucun problème à signaler.

Pour en savoir plus

Si les notions de réseau que j’ai vulgarisées vous intéressent, voici quelques articles intéressants pour en savoir plus :

• Wiki : Network address translation (FR)
• Wiki : Routeur (FR)
• Wiki : l’API WebRTC (FR)
• Le site du chercheur qui a trouvé la faille (EN

REF.:

3 attaques de social-engineering auxquelles vous n’auriez jamais pensé

Le social-engineering (en français “ingénieurerie sociale”) consiste à obtenir des informations par un moyen déloyale, notamment grâce à la manipulation mentale. Le terme prend tout son sens dans le contexte du piratage informatique : au lieu d’exploiter des failles techniques (logiciel non mis à jour, crack d’un mot de passe), le pirate va piéger et manipuler une cible précise pour arriver à son but.

La souris piégée

La société Netragard est spécialisée dans l’audit de sécurité informatique. En d’autres termes, elle est payée par ses clients pour tenter de les pirater par n’importe quel moyen. Le but : vérifier les failles d’une entreprise.

Lorsque le patron de Netragard s’est fait embaucher par son client cette fois-ci, il savait qu’il allait devoir ruser comme jamais. L’entreprise cliente était très attentive à sa sécurité depuis des années.

Son idée : bricoler une souris d’ordinateur pour y intégrer un logiciel espion capable de prendre le contrôle de l’ordinateur sur lequel le périphérique est branché…. à l’insu de l’utilisateur évidemment. Je vous passe les détails techniques (plus d’informations ici).

D’un point de vue informatique, l’attaque est extrêmement sophistiquée. Mais sa particularité et son génie repose surtout sur son aspect social engineering.

Pour faire utiliser la souris truquée au sein de l’entreprise cliente, les hackers de Netragard ont du faire des recherches poussées sur chaque employé de la boite. Profils Facebook et compagnie : tout a été passé au crible. Finalement, le patron de Netragard s’est décidé à envoyer la souris à un employé en particulier, qui lui semblait plus apte à tomber dans le panneau.

Quand je vous dis qu’il ne faut pas raconter votre vie sur les réseaux sociaux…

Il a fait envoyer la souris directement dans le bureau de l’employé en question en se faisant passer pour un fournisseur qui organisait un évènement promotionnel. Quelques jours plus tard, la souris a été branché et le virus a fonctionné sans aucun problème.

Le patron trop sûr de lui

Comme d’habitude lorsque l’on a vent de ce genre d’histoire, le nom de l’entreprise “testée” n’est jamais connue. Encore une fois, cette histoire fait cas d’une société d’audit de sécurité qui a monté un plan génial pour pirater l’entreprise qui l’a embauchée. Le PDG avec prévenu : “il sera impossible de me pirater”, il en était sûr et certain.

Hadnagy, le hacker en charge de tester la sécurité de la boite, déclara à la presse : “Le patron imaginait que quelqu’un allait lui téléphoner pour lui demander son mot de passe ou quelque chose comme ça… il se préparait à quelque chose dans le genre.”

Pour débuter, Hadnagy se mit à chercher la location des serveurs de l’entreprise, les adresses IP des serveurs, les e-mails des employés, les numéros de téléphone, le nom des employés et leurs titres, et bien plus. Mais le gros-lot était ailleurs : le hacker découvrit qu’un membre de la famille du PDG s’était battu contre le cancer, et avait survécu.

De par le fait, le patron s’était rapproché d’une fondation participant à la recherche contre le cancer. Parallèlement, le hacker découvrit aussi le restaurant préféré et l’équipe de foot préférée du PDG.

Grâce à toutes ces informations, il était prêt à frapper. Il a appelé le patron en se faisant passer pour la fondation à laquelle il s’était intéressé par le passé. Il l’informa que la fondation organisait une loterie en échange de donation et que l’un des prix était une place pour un match de foot auquel participait son équipe préférée… Il y avait d’autres lots hypothétiques, comme… une soirée offerte dans divers restaurants, dont son préféré !

Le patron semblait très intéressé. Hadnagy lui demanda son adresse e-mail pour lui envoyer un PDF d’inscription. Tout se passait sans problème. Le hacker pu même demander au PDG la version d’Adobe Reader qu’il utilisait “pour être sûr qu’il voyait bien le document correctement”.

Où est le piège ? Le PDF d’inscription à la loterie était évidemment piégé. Adobe Reader est une véritable passoire (en témoignent les millions de mises à jour quasi-quotidiennes que nous impose Adobe sur Windows). L’affaire était dans le sac : le hacker avait le contrôle du PC du patron.

Le journaliste dont la vie entière a été piratée

Cette histoire date de mi-2012 et a fait pas mal de bruit en France.

Un journaliste américain s’est vu pirater “de A à Z” tous ses appareils Apple, son compte mail, ses comptes de stockage de données et son compte Amazon. Le piratage à l’origine de l’attaque n’a utilisé aucun moyen “technique” pour parvenir à cela. Comment a-t-il fait ?

Première étape : appeler le service client Amazon en se faisant passer pour Mat Honan, le journaliste victime de l’attaque. La stratégie du pirate est ingénieuse au possible. Lors de son premier appel à Amazon, il demande à rajouter une carte de crédit à son compte. C’est une procédure classique qu’Amazon accepte d’honorer par téléphone. Il suffit de donner son nom, son adresse et le code de sa carte bancaire.

Deuxième étape : le hacker rappelle Amazon mais cette fois, il explique qu’il a perdu l’accès à son compte. Devinez ce que demande Amazon pour vérifier l’identité de l’appelant ? Les 4 derniers chiffres d’une carte bancaire associée au compte…. le hacker a simplement donné les 4 derniers chiffres de la carte qu’il venait d’ajouter. A ce moment précis, le pirate obtenait un accès total au compte Amazon du journaliste.

Troisième étape : obtenir un accès au compte iCloud de la victime. L’accès à ce compte donne immédiatement accès à son iPhone, son MacBookAir, son compte Twitter et son compte Gmail (qui est le compte de secours). Pour cela, rien de plus simple.

Lors de la réinitialisation des identifiants d’un compte iCloud, Apple ne demande que 3 informations : l’e-mail du compte, une adresse de facturation, et les quatre derniers chiffres de la carte bancaire associée au compte. Rappelez-vous : le pirate venait d’obtenir un accès entier au compte Amazon de sa victime. Il avait donc accès aux 4 derniers chiffres de sa véritable carte bancaire par la même occasion.

Quatrième étape : piratage en règle avec suppression de toutes les données. Le journaliste victime de l’attaque la raconte entièrement sur son blog (en anglais). C’est très intéressant.

Conclusion

Ces 3 attaques sont toutes les 3 très différentes. Et pour cause, c’est là toute la puissance du social engineering. Le pirate s’adapte à sa cible, au contexte de l’attaque et aux possibilités qui s’offrent à lui.

N’oubliez jamais une chose : en informatique, rien n’est jamais sûr. Rien. Jamais.

REF.: