20180104 – News / Technologies – Apple : une faille de sécurité de plus de quinze ans découverte dans macOS

Un chercheur en sécurité a découvert une faille importante datant au moins de 2002. Depuis quelques mois Apple enchaîne les vulnérabilités sur son système d’exploitation.

La faille aurait beau avoir plus de quinze ans, elle n’en donne pas moins accès à tout le contrôle de macOS. C’est la découverte réalisée par le chercheur en sécurité Siguza qui a dévoilé la chose sur Twitter et GitHub. Cette vulnérabilité zero-day concerne directement le kernel de l’OS d’Apple. Consolation pour les potentielles victimes, il faut toutefois avoir accès à la machine pour pouvoir l’exploiter.

Le bug vient d’une vulnérabilité qui aboutit à une escalade dans les privilèges locaux (LPE). Elle peut permettre à un utilisateur sans privilèges d’obtenir un accès root sur le système et d’exécuter du code malicieux. Un malware codé spécifiquement pour exploiter cette faille peut alors s’installer sur le système à très bas niveau. Cette vulnérabilité du LPE se trouve dans IOHIDFamily, une extension du kernel conçue pour gérer les interfaces comme un clavier ou un écran tactile.

Enchaînement de failles sur macOS

Selon Siguza, la vulnérabilité semble dater de 2002, mais certains indices suggèrent que la faille pourrait avoir dix ans de plus, comme l’explique The Hacker News. Etant donné son ancienneté, elle est donc présente sur absolument toutes les versions de macOS.

Etant donné que la faille n’est exploitable que physiquement sur les machines et non à distance, Siguza a décidé de la rendre directement publique sur sa page GitHub. Nul doute…

Lire la suite sur 01net.com

Source : Apple : une faille de sécurité de plus de quinze ans découverte dans macOS

20160609 – News / Technologies : La double authentification, un geste simple pour se protéger du piratage

Ce processus de sécurité simple permet de protéger ses comptes sur les réseaux sociaux ou sa boîte mail grâce à son numéro de téléphone. Le Figaro vous donne le mode d’emploi.

Ce processus de sécurité simple permet de protéger ses comptes sur les réseaux sociaux ou sa boîte mail grâce à son numéro de téléphone. Le Figaro vous donne le mode d’emploi.

Même Mark Zuckerberg n’est pas à l’abri d’un piratage. Le PDG de Facebook s’est fait piraterplusieurs de ses comptes sur les réseaux sociaux la semaine dernière. Ses profils Pinterest, Twitter et LinkedIn partageaient tous les trois le même mot de passe: «dadada». Mark Zuckerberg aurait pu éviter cette situation en respectant quelques règles élémentaires de sécurité en ligne, comme avoir un mot de passe complexe et différent pour chaque compte. Il aurait surtout dû activer la double authentification. Le Figaro fait le point sur ce processus de sécurité simple et efficace pour se protéger des piratages en ligne. Car ce qui est bon pour Mark Zuckerberg l’est aussi pour vous.

● Qu’est-ce que la double authentification?

La double authentification est aussi appelée validation en deux étapes ou authentification à deux facteurs. Il s’agit d’un processus qui permet d’ajouter un niveau de sécurité supplémentaire à un compte sur un réseau social ou sur un site, généralement grâce à votre numéro de téléphone portable. Une fois activée, la double authentification protège vos données en deux fois: en vous demandant votre mot de passe, comme d’habitude, puis en vous demandant de renseigner un code unique que vous recevez directement sur votre téléphone.

Même si vous êtes piraté par des personnes ayant eu accès à votre mot de passe, elles ne pourront pas pénétrer dans votre compte sans renseigner cet élément supplémentaire. Cela signifie également qu’à chaque connexion à un nouvel appareil, vous devrez renseigner un code. En cas de tentative d’intrusion depuis une machine inconnue (par une personne ayant votre mot de passe mais pas de code), le site vous informe par mail ou par SMS et vous invite à changer votre mot de passe.

● Est-ce que cela m’évitera tous les piratages?

Il n’existe aucune mesure de sécurité en ligne complètement sûre. Il est possible qu’un pirate puisse accéder à votre compte protégé par une double authentification, en récupérant à la fois votre mot de passe et en prenant le contrôle de votre smartphone. Ce genre d’attaque est complexe, mais possible: en 2012, le bloggueur spécialiste en cybersécurité Brian Krebs décrivait le cas d’une boîte mail hackée suite au piratage de la boîte vocale de son propriétaire. Néanmoins, il est plus efficace de protéger votre compte de deux barrières que d’une seule.

● Comment la mettre en place?

La validation en deux étapes se généralise petit à petit sur les grandes plateformes en ligne. Elle est disponible pour les services de Google, de Microsoft ou d’Apple, Facebook, Tumblr, Amazon, Twitter, Dropbox … La plupart du temps, cette option se trouve dans les paramètres du compte concerné. Voici un mode d’emploi précis pour l’activer sur Google, Apple et Facebook.

Sur Google:

Rendez-vous sur votre compte Google. Il est accessible via l’URL myaccount.google.com. Cliquez sur la catégorie «Connexion et sécurité». Dans le chapitre «se connecter à Google», choisissez «validation en deux étapes». Renseignez votre mot de passe puis votre numéro de téléphone. Vous pouvez choisir d’obtenir vos codes par SMS ou par appel téléphonique. Une fois cette étape passée, Google teste le service en vous envoyant un message ou en vous appelant. Il vous invite ensuite à choisir une option de secours, au cas où vous n’auriez pas votre téléphone sur vous. Vous pouvez choisir d’imprimer des codes de secours, d’utiliser une application dédiée, de renseigner un numéro de téléphone secondaire ou d’utiliser une clé de sécurité.

Sur Apple iCloud:

Apple propose une authentification en deux étapes lors des connexions sur ses services (iCloud, iMessage, Game Center, FaceTime, iTunes Store, Apple Store et iBooks Store) depuis un mobile ou un ordinateur. Pour l’activer, connectez-vous sur la page de votre identifiant Apple, disponible à l’adresse appleid.apple.com et cliquez sur le lien «Modifier» dans la section «Sécurité» pour dérouler les options disponibles, et les réglages de validation en deux étapes, tout en bas. Avant de valider l’opération, Apple demande de répondre aux questions de sécurité préalablement renseignées. Le code de validation de quatre chiffres sera ensuite envoyé sur l’appareil de confiance Apple que vous utilisez, ou par SMS. Il est conseillé d’imprimer et de conserver en lieu sûr la clé de secours de 14 caractères fournie par ailleurs, qui permettra d’accéder à son compte en cas, si vous ne pouvez plus mettre la main sur ces appareils.

Sur Facebook:

Rendez-vous dans vos paramètres puis dans rubrique sécurité. Cliquez sur «approbations de connexion» puis sur «demander un code de sécurité lors de l’accès à mon compte à partir de navigateurs non reconnus». Renseignez votre numéro de téléphone puis le code d’essai envoyé sur votre téléphone. Vous disposez de deux autres options si vous n’avez pas votre téléphone ou que vous ne recevez pas le SMS: des codes temporaires que vous pouvez imprimer ou un générateur automatique. Ce dernier se trouve sur l’application mobile de Facebook, dans les paramètres.

● Je n’ai pas envie de donner mon numéro de téléphone à une entreprise…

Les sites utilisant la double authentification précisent dans leurs règles qu’ils n’exploiteront pas votre numéro à d’autres fins que celui de l’envoi de code. La réception de ces messages est par ailleurs gratuite. Surtout, on gardera en tête que ces plateformes n’ont pas besoin de ces numéros de mobile pour tout savoir ou presque de nos contacts. Leurs applications mobile demandent généralement l’accès à notre répertoire avant de les télécharger. Elles peuvent aussi nous contacter grâce à des notifications ou des alertes. Donner son numéro pour améliorer la sécurité de son compte est certes une concession à faire, mais plutôt faible au regard de tous les désagréments qu‘elle peut éviter.

Article pour le Figaro de  :

La rédaction vous conseille :

Source : La double authentification, un geste simple pour se protéger du piratage