Le monde des cryptomonnaies est une nouvelle fois secoué par un piratage massif. DMM Bitcoin, une plateforme d’échange de cryptomonnaies japonaise, a révélé ce vendredi avoir été la cible d’une cyberattaque ayant entraîné le vol de 4 502,9 Bitcoins, soit l’équivalent de 305 millions de dollars. Cette attaque figure parmi les plus importantes de l’histoire des cryptomonnaies et ... Lire plus
Une fausse dépêche apparue sur le service de l’agence de presse nationale polonaise Polska Agencja Prasowa (PAP), selon laquelle 200 000 Polonais seraient mobilisés pour aller combattre en Ukraine, était probablement le fruit d’une cyberattaque russe destinée à déstabiliser le pays, ont estimé les responsables polonais. « Le …
Le groupe de hackers ShinyHunters affirme avoir piraté Ticketmaster, service qui vend des places de concerts, et avoir collecté les données de 560 millions de clients. Cela inclut les noms, adresses, numéros de téléphone et une partie des informations des cartes bancaires utilisées. Le gouvernement australien a …
La prudence s'impose face à Anatsa, un cheval de Troie conçu pour siphonner le compte bancaire de ses victimes. Ce dangereux malware bancaire se balade via le Play Store, caché dans plus de 90 applications malveillantes.
Des utilisateurs de cryptomonnaie ont démasqué une extension nuisible de Google Chrome conçue pour dérober des fonds en manipulant les données des cookies des sites web. Comment pouvons-nous nous protéger contre de tels risques numériques ?
La Fédération française de tennis (FFT) a réussi à faire bloquer 12 services d’IPTV et sites pirates qui diffusent illégalement en streaming les rencontres de Roland-Garros. Blocage de sites pirates et d’IPTV pour Roland-Garros En France, les droits de diffusion de Roland-Garros sont détenus par France Télévisions (gratuit) …
Un événement choquant vient de secouer le monde de la cybersécurité. En effet, pcTattletale, une application de surveillance controversée basée aux États-Unis, a été la cible d’un piratage massif. Un hacker a revendiqué la responsabilité de cette intrusion qui a exposé les données internes de l’entreprise sur son propre site web. Apprenez-en plus ! Un hacker ... Lire plus
La Nouvelle-Calédonie a fait l’objet d’une cyberattaque cette semaine, mais les autorités sont plutôt confiantes sur la résolution. Elles invitent toutefois à une « extrême prudence ». Une cyberattaque a visé la Nouvelle-Calédonie Cette attaque, par déni de service (DDoS), a duré quelques heures contre l’opérateur télécoms de …
Votre repaire préféré Ygg (anciennement YggTorrent) vient de tirer le rideau et de passer en mode privé ! Fini le téléchargement à tout-va pour les passants, désormais il faudra montrer patte blanche et s’identifier pour accéder à la caverne d’Ali Baba du torrent made in France qui attire des millions de visites chaque mois.
Pourquoi ce revirement soudain ?
La pression des ayants droit et de la justice française devenait insoutenable pour ce site qui a pris la relève de l’iconique T411 en 2017. Entre les blocages DNS et IP, les injonctions judiciaires et les menaces de poursuites, les admins de Ygg ont préféré la jouer profil bas et verrouiller la boutique. La plateforme a même été récemment listée par la puissante Motion Picture Association (MPA) de Hollywood dans son bilan annuel des sites pirates les plus « notoires ». Désormais, seuls les 6 millions de membres enregistrés pourront profiter des torrents bien garnis, à l’abri des regards indiscrets.
Cette décision radicale témoigne de l’acharnement des autorités contre le partage non-autorisé. Mais est-ce vraiment efficace de traquer sans relâche les sites de P2P ? Pas sûr, car comme le soulignent avec malice les responsables de Ygg, les internautes ont plus d’un tour dans leur sac pour contourner la censure :
VPN : ces réseaux privés virtuels masquent votre adresse IP et chiffrent votre trafic, vous permettant de surfer incognito et d’accéder aux sites bloqués. Selon certaines statistiques, près d’un tiers des Français utiliseraient déjà un VPN !
Changement de DNS : en modifiant vos paramètres DNS, vous pouvez court-circuiter les blocages mis en place par votre fournisseur d’accès. Les serveurs alternatifs comme ceux de Google ou OpenDNS sont très prisés.
Sites miroirs et proxys : tel un château de cartes, à chaque domaine bloqué, dix autres réapparaissent pour prendre le relais. YggTorrent en a fait les frais, contraint de changer plusieurs fois d’adresse ces derniers mois.
Alors, blocage ou pas blocage, les aficionados du téléchargement trouveront toujours un moyen de gruger le système. Un éternel jeu du chat et de la souris qui ne semble pas prêt de s’arrêter, au grand dam des majors et des artistes. Mais au fond, est-ce si étonnant dans un pays champion du monde du piratage ? À bon entendeur…
Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.
Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.
Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.
En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.
Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…
Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.
En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^
Mardi dernier, les autorités fédérales ont appréhendé deux frères, Anton Peraire-Bueno et James Peraire-Bueno. La raison ? Ces derniers sont impliqués dans un vol de cryptomonnaies sans précédent d’une valeur d’environ 25 millions de dollars ! Les frères, qui ont étudié les mathématiques et l’informatique au MIT, auraient utilisé leurs connaissances avancées pour manipuler l’intégrité ... Lire plus
Lors de sa conférence annuelle Google I/O, Google a annoncé le lancement prochain d’un nouveau service de détection des malwares sur Android. Baptisé “Google Play Protect’s live threat detection service”, ce système exploite la puissance de l’IA embarquée pour analyser en temps réel le comportement des applications. Cette initiative audacieuse offrant aux utilisateurs une protection ... Lire plus
Grosse panique sur la blockchain Ethereum ! Alors qu’on pensait la technologie des registres distribués imparable, voilà qu’elle se fait braquer en un clin d’œil par deux petits génies de l’informatique. Anton et James Peraire-Bueno, deux frérots qui ont étudié au MIT, une des facs les plus prestigieuses des States, ont mis au point un plan diabolique pour s’enrichir sur le réseau Ethereum.
Les frangins ont bien travaillé et ont réussi à exploiter une vulnérabilité dans le protocole mev-boost, qui permet aux validateurs de vendre leur espace de bloc à un marché ouvert d’acteurs spécialisés appelés « builders ». En se faisant passer pour des validateurs légitimes, les frères ont pu accéder au contenu des blocs avant leur publication et en extraire des transactions lucratives !
Résultat des courses : 20 millions de dollars de cryptos qui s’envolent en quelques secondes chrono. Un casse éclair daté du 3 avril 2023, qui en laisse plus d’un sur le carreau et qui pourrait bien faire trembler tout l’écosystème. C’est que la confiance, c’est la base des échanges sur ces réseaux !
Mais attention, les frères Peraire-Bueno sont loin d’être des enfants de chœur. Pour planquer leur magot, ces petits malins ont tout prévu : des sociétés-écrans, des comptes dans tous les sens et même un plan d’attaque en règle pour brouiller les pistes. Sauf que c’était sans compter sur les fins limiers du fisc américain, qui ont flairé l’embrouille et décortiqué tout le stratagème. Parce que bon, faire des recherches sur Google pour savoir comment blanchir du pognon, c’est un peu cramé comme technique… Bref, les frangins risquent maintenant 20 ans à l’ombre pour chaque chef d’accusation. Pas sûr que ça valait le coup !
Mais au-delà de l’histoire rocambolesque, c’est toute la sécurité des blockchains qui est remise en question. Si même le sacro-saint Ethereum peut se faire dépouiller en deux temps trois mouvements, où va-t-on ? Les experts s’écharpent déjà sur les forums pour savoir si c’est un bug isolé ou une faille béante dans le système de « proposer-builder separation » (PBS) utilisé par mev-boost.
Heureusement, la communauté Ethereum réagit rapidement. Un patch a été déployé dès le 3 avril pour colmater la brèche exploitée par les frères Peraire-Bueno. D’autres vulnérabilités potentielles ont aussi été identifiées et des contre-mesures mises en place, comme l’ajout d’un délai limite pour empêcher les validateurs malveillants de demander un bloc trop tard.
Mais bon, il reste encore du boulot alors on espère que les développeurs, chercheurs en sécurité, opérateurs de relais mev-boost… travailleront main dans la main pour renforcer le protocole mev-boost et les futures implémentations de PBS.
Dans un mouvement significatif pour renforcer la protection de la vie privée, Apple et Google ont annoncé ce lundi que les utilisateurs d’iPhone et d’Android recevront bientôt des alertes lorsqu’un appareil Bluetooth inconnu semble être utilisé pour les traquer. Cette fonctionnalité devrait être déployée dans les prochaines mises à jour logicielles des deux géants de ... Lire plus
Connexion
