31.8.18

Instagram expands 2FA and account verification




The move is part of a three-pronged plan that is intended to bolster user trust and safety on the photo-sharing platform
Instagram has announced that its users will soon be able to secure their accounts with third-party authentication apps.
Prior to the announcement of this much-anticipated change, the photo-sharing platform supported only SMS-based two-factor authentication (2FA). Text messages are generally the most common second factor but, due to the vulnerability of SMS to a number of threats, users are better off relying on safer methods, such as a hardware device or an authenticator app.
The security enhancement comes on the heels of a recent wave of Instagram account hacks, some of which reportedly had 2FA enabled, obviously in its SMS-based variety. The photo-sharing platform is owned by Facebook, which itself rolled out support for 2FA apps like Google Authenticator or Duo Mobile in May of 2018.
To set up 2FA on Instagram, you need to go to your profile, open the menu, select “Settings,” and choose “Two-Factor Authentication.”
In addition, the platform is introducing two more enhancements that are designed to make it a safer – and more authentic – place to navigate.
One of them involves a new “About This Account” section that will be added to Instagram accounts with a large audience reach in a bid to help fellow users assess the authenticity of such a high-profile account. The section will display a bunch of information, including the date when the account was created, the country in which it is located, accounts with shared followers, recent username changes, and any ads that it is running.
A related improvement involves expanding access to the “verified” status to far more users than is currently the case. Users with large followings will be able to request the blue “verified” checkmark whereby Instagram will evaluate the account’s “authenticity, uniqueness, completeness and notability”.
“The blue verified badge is an important way for you to know that the account you are interacting with is the authentic presence of a notable public figure, celebrity, global brand or entity,” wrote Mike Krieger, Instagram co-founder and Chief Technology Officer. He also reasserted the company’s commitment to “continuing to build more tools” that “keep bad actors off Instagram”.


Superdrug ciblé par des cybercriminels affirmant avoir volé des données clients




Superdrug exhorte ses clients en ligne à changer leur mot de passe après avoir été contacté par des cybercriminels qui prétendent avoir obtenu toute une série de données personnelles appartenant à 20 000 clients de cette chaîne de magasins britannique de produits de santé et de beauté, rapporte le Huffington Post. Les données personnelles contiendraient
Superdrug exhorte ses clients en ligne à changer leur mot de passe après avoir été contacté par des cybercriminels qui prétendent avoir obtenu toute une série de données personnelles appartenant à 20 000 clients de cette chaîne de magasins britannique de produits de santé et de beauté, rapporte le Huffington Post.
Les données personnelles contiendraient des noms, des adresses, des dates de naissance et des numéros de téléphone. L’entreprise affirme cependant sur Twitter que les informations de paiement n’ont pas été compromises.
« Le soir du 20 août, nous avons été contactés par des pirates informatiques qui ont affirmé avoir obtenu un certain nombre d’informations sur les achats en ligne de nos clients », lit-on dans le courrier électronique de la société. Pour prouver l’authenticité de l’infraction, les criminels ont envoyé une partie du « butin » présumé à l’entreprise.
Cependant, la société a déclaré que des conseillers indépendants en sécurité informatique n’ont trouvé aucune preuve de violation de ses systèmes ou de « téléchargement ou extraction de données de masse ».
« Ils [les conseillers en sécurité informatique] ont également confirmé que les 386 comptes partagés par le cybercriminel comme preuve de l’attaque étaient des comptes obtenus lors de précédents piratages n’ayant pas de rapport avec Superdrug », comme indiqué dans le courrier électronique de la société.
« Nous pensons que le pirate a obtenu les adresses e-mail et les mots de passe des clients sur d’autres sites web, puis a utilisé ces informations pour accéder à des comptes sur notre propre site Web », a déclaré The Guardian. Ce type d’attaque, connu sous le nom de « credential stuffing » repose sur le fait que les internautes utilisent souvent le même mot de passe pour plusieurs comptes en ligne.
Superdrug a contacté la police et Action Fraud, qui supervise les cas de fraude et de cybercriminalité. Selon ZDNet, les pirates auraient également tenté de faire payer la société en échange de leur silence.
Il a par ailleurs également été signalé que lorsque les clients de Superdrug se sont rendus sur le site pour changer leurs mots de passe, leurs tentatives ont été entravées par une erreur de « serveur interne ». La société a reconnu le problème, déclarant que les difficultés de connexion étaient dues au nombre de personnes qui se connectaient au site web et s’excusait pour tout désagrément causé.

https://www.welivesecurity.com/fr/2018/08/30/superdrug-cybercriminels-vol/

27.8.18


Comment les victimes de violence familiale peuvent-elles protéger leur vie privée?

La violence domestique n’est pas un sujet dont on discute beaucoup dans les cercles de sécurité de l’information. Néanmoins, peu de gens ont besoin de conseils pour assurer leur sécurité en ligne plus rapidement que les victimes de harcèlement criminel et de violence familiale. Que peuvent faire les gens pour se protéger face à une menace connue et persistante?
Ce n’est pas à tous les jours que nous couvrons un sujet dans un blog de sécurité informatique qui nécessite un trigger warning, mais aujourd’hui est l’un de ces jours. Le blog suivant traite d’informations potentiellement difficiles, concernant la protection des personnes qui ont été victimes de violence familiale ou de harcèlement criminel, et pourrait déclencher une réaction extrême chez les personnes qui ont été traumatisées par de telles expériences.
La violence conjugale n’est pas un sujet dont on discute beaucoup dans les cercles de sécurité de l’information, pour diverses raisons possibles. Cependant, il y a peu de personnes qui ont besoin de conseils plus urgents pour assurer leur sécurité en ligne que les victimes de harcèlement criminel et de violence conjugale. En quoi les besoins particuliers en matière de sécurité de l’information des personnes se trouvant dans ces situations diffèrent-ils de la norme? Que peuvent faire ces personnes pour se protéger lorsqu’il y a une menace connue et persistante? Après avoir examiné la question, je me retrouve face à autant de questions que de réponses.
Avant de rentrer dans le vif du sujet, permettez-moi de définir un cadre de référence. Dans cet article, je me concentrerai sur les victimes de violence familiale et de harcèlement criminel qui ont échappé à la situation et qui cherchent maintenant à éviter tout contact avec leurs agresseurs. Les subtilités d’obtenir une protection dans l’environnementoù la violence familiale se produit sont beaucoup plus complexes que les « simples » préoccupations relevant de la sécurité informatique. Et parce que ce sujet est bien plus vaste, considérez cet article non pas comme étant prescriptif, mais plutôt comme une discussion ouverte. Si vous avez de l’expérience sur ce sujet, je vous invite à ajouter votre voix en commentaires, pour m’éduquer ainsi que nos lecteurs.
Protection de la vie privée
Avant de discuter des recommandations de sécurité spécifiques, il est important de souligner que tous les dispositifs informatiques (c’est-à-dire les ordinateurs portables et les ordinateurs de bureau ainsi que les téléphones et les tablettes) qui datent d’avant la sortie de la situation de violence domestique devraient être considérés comme compromis et, idéalement, devraient être remplacés, ou du moins restaurés à « défaut d’usine » si possible. Cela diminuera les risques que des logiciels espions ou d’autres logiciels de traçage ne se trouvent sur les appareils. Vous pouvez décider de sauvegarder (et chiffrer) vos données sur un disque dur externe ou un emplacement distant en premier, surtout si vous essayez de conserver des preuves ou des enregistrements à des fins légales. Gardez cependant à l’esprit que les sauvegardes peuvent conserver des traces de logiciels espions. Traitez-les donc avec prudence et maintenez-les à l’écart des appareils qui pourraient être utilisées pour révéler votre emplacement.
De même, il est important que vous créiez une nouvelle adresse de courrier électronique inconnue de l’attaquant. Vous pouvez également décider de garder vos adresses courriel précédentes opérationnelles, mais faites attention au moment et à la manière dont vous accédez à ces comptes, afin que l’attaquant ne puisse pas glaner d’informations sur le moment et l’endroit où vous êtes à la maison, à votre bureau ou à d’autres endroits que vous visitez fréquemment. Assurez-vous que vous mettez à jour les références liées à cette ancienne adresse e-mail, en particulier les entreprises ou les services qui pourraient fournir des indices sur votre emplacement actuel ou envoyer des avis de réinitialisation de mot de passe à votre compte.
Il est également important de ne pas partager votre adresse e-mail ou toute autre information de contact ou d’emplacement sur les médias sociaux. Idéalement, vous devriez garder autant d’informations que possible hors de ces sites, même dans des messages privés. Le partage de ces données par voie électronique devrait, dans la mesure du possible, passer exclusivement par des méthodes de communication chiffrées.
Il est évident que tout ce que les conseils que les apôtres de la sécurité ont l’habitude de dire pour aider les gens à protéger leurs données s’appliquent encore plus aux personnes qui tentent de se cacher d’une personne déterminée et potentiellement violente. Couvrons rapidement les éléments de base de la sécurité qui sont encore plus essentiels aux victimes d’abus :
·         Effectuez régulièrement les mises à jour des logiciels
La plupart des installations de logiciels espions exploitent maintenant les vulnérabilités des logiciels pour les installer plus silencieusement, mais vous pouvez aider à combattre ce phénomène en mettant à jour et en corrigeant votre système d’exploitation et toute application sur votre ordinateur ou appareil mobile dès que possible. Les dernières versions des principaux systèmes d’exploitation sont réglées par défaut pour au moins vous avertir des mises à jour des applications et du système d’exploitation. Et avec le temps, les systèmes d’exploitation intègrent de plus en plus de fonctions de sécurité pour vous alerter ou combattre les attaques.
·         Utiliser une suite de sécurité complète
Les logiciels espions sont faciles à trouver ou à acheter en ligne, et permettent à l’attaquant de visualiser les frappes, l’historique de navigation sur le Web et même, éventuellement, d’écouter les capacités audio ou vidéo sur l’ordinateur ou l’appareil mobile d’une victime. Un produit anti logiciel malveillant réputé est une bonne idée, mais il est également conseillé d’avoir au moins un parefeu logiciel ou matériel, quel que soit le système d’exploitation que vous utilisez. Vous pouvez également envisager de compléter votre suite de sécurité par une liste blanche (whitelist) d’applications, qui limite les applications autorisées à une liste spécifique de logiciels approuvés.
·         Chiffrez votre réseau et disque dur
La meilleure façon de protéger vos données contre les regards indiscrets est de les rendre illisibles à autrui. Et la meilleure façon de le faire est de les chiffrer autant que possible. Ceci vaut autant pour les fichiers qui sont sauvegardés sur votre disque dur que les données que vous envoyez à partir de votre machine, que ce soit par courrier électronique, par Internet ou par d’autres méthodes. Assurez-vous de choisir un mot de passe fort et unique (ou mieux encore, une phrase de chiffrement) pour protéger ce chiffrement. Le site Web de l’Electronic Frontier Foundation (EFF) contient d’excellents guides et outils pour vous aider à procéder sur tous les principaux systèmes d’exploitation et pour une grande variété de plates-formes de communication. Vous pouvez utiliser cette extension de navigateur pour vous assurer qu’un plus grand nombre de vos sessions Web sont chiffrées et utiliser un client VPN pour vous munir d’une couche de sécurité supplémentaire pour vos communications. Plusieurs de ces outils sont disponibles gratuitement ou à faible coût.
·         Adoptez une bonne hygiène d’authentification
Une grande partie de nos vies numériques tourne autour de la connexion à divers sites et services. C’est aussi l’un des éléments les plus faciles à atteindre de notre identité numérique pour les cybercriminels. Que vous utilisiez ou non un gestionnaire de mots de passe ou un système pour créer un mot de passe solide, mémorable et unique pour chacun de vos divers comptes en ligne, assurez-vous de changer tous vos mots de passe lorsque vous quittez une situation de violence conjugale ou lorsque vous avez des raisons de vous inquiéter de la sécurité de vos comptes. Les victimes peuvent également opter pour l’authentification à deux facteurs (2FA), ce qui empêchera les agresseurs d’accéder aux comptes des victimes même s’ils parviennent à deviner leurs mots de passe.
Les activités quotidiennes peuvent être lourdes de conséquences
Que la motivation d’un intrus soit financière ou personnelle – comme dans le cas de la violence familiale – quiconque cherche à avoir accès aux données d’une autre personne procéder de deux façons : par la force ou par l’ingénierie sociale. L’acquisition de données par la force inclurait des approches comme les attaques directes (physiques ou numériques), comme l’utilisation de logiciels malveillants ou le piratage de comptes en ligne. L’ingénierie sociale est un terme parfois appliqué à n’importe quelle façon dont les attaquants peuvent convaincre quelqu’un de lui donner accès aux données. La cible peut être soit la victime elle-même, soit un tiers.
Les conseils donnés plus haut visent principalement à vous protéger contre les attaques directes comme les logiciels malveillants, le piratage et, dans une moindre mesure, l’hameçonnage. La technologie et votre bon jugement ne vous protégeront pas nécessairement contre toutes sortes d’attaques directes, mais cela peut réduire considérablement le risque et rendre la tâche beaucoup plus difficile et plus longue pour l’attaquant.
Cependant, toutes nos données ne sont pas sous notre contrôle. C’est ici que les choses se corsent et peuvent devenir plus problématiques et compliquées. Nous sommes tous tenus de fournir une variété de renseignements personnels dans notre vie quotidienne – partout, du centre de service automobile à notre comptable. Malheureusement, une fois hors de nos mains, celles-ci se retrouvent également hors de notre contrôle. De nombreuses entreprises ont des politiques de conservation des données et sont strictes quant à la communication des informations sur les clients. Plusieurs autres organisations ne le font pas. Heureusement, les endroits qui doivent le plus impérativement conserver des informations à jour à notre endroit sont aussi ceux qui sont les plus susceptibles d’avoir adopté des politiques strictes.
Nous nous trouvons ici face à plus de questions que de réponses. Il existe de nombreux conseils à l’intention des personnes qui cherchent à se protéger après avoir été victimes de violence familiale. La variété des conseils et des techniques sont apparemment sans fin. Nous pouvons cependant les résumer et les regrouper autour de quelques idées de base :
Voici quelques ressources supplémentaires, pour plus d’informations sur le sujet :
·         http://www.thehotline.org
·         https://www.techsafety.org
·         http://www.smartsafe.org.au/
(NDLT : Les ressources suivantes correspondent à des services spécifiques au Canada, la France et la Belgique. D’autres ressources couvrant davantage de régions francophones seront ajoutées régulièrement)