Comptes Disney+ piratés: Comment vous protéger!

Alors que les utilisateurs perdent l'accès à leurs comptes par dizaines, nous vous offrons quelques conseils pour vous aider à sécuriser vos abonnements au service de streaming

Le très attendu service de streaming Disney+ a été accueilli avec des acclamations de la part de bien des familles. Mais ce lancement ne s’est pas fait sans problèmes techniques. Parmi ceux-ci, dans les heures qui ont suivi la mise en ligne du service, de nombreux utilisateurs ont signalé que leur compte avait été piraté, selon ZDNet. Les comptes piratés ont alors commencé à apparaître sur la toile noire et étaient disponibles pour des prix allant de 3 à 11 dollars US, voire gratuitement. Certes, ce détournement de compte n’est pas un incident isolé, et d’autres services de streaming populaires luttent contre de tels incidents depuis des années.

Néanmoins, vous pouvez prendre certaines mesures faciles pour réduire les risques d’avoir à passer par une épreuve similaire à l’avenir. Les conseils suivants devraient s’appliquer à la majorité des services de streaming largement utilisés.

Corrigez vos mots de passe

Aussi élémentaire que cette recommandation puisse paraître, un mot de passe ou une phrase de passe solide et unique peut faire toute la différence. Il est important de ne jamais recycler le même mot de passe pour plusieurs services, ni d’utiliser une variante du même mot de passe ou de la même phrase de passe (qui pourrait alors être facilement deviné). De plus, vous voudrez peut-être envisager d’utiliser un gestionnaire de mots de passe pour générer et stocker vos mots de passe. Ainsi, vous n’aurez plus qu’à retenir un seul mot de passe sécuritaire pour accéder à l’ensemble de vos comptes.

Nous vous conseillons également d’utiliser un service comme Have I Been Pwned, pour vérifier si l’une de vos informations d’identification a pu être compromise lors d’une violation de données antérieure. Vous pouvez également vous inscrire pour recevoir des notifications au cas où vos informations de connexion apparaîtraient dans de futures violations. Chrome et Firefox offrent leurs propres versions de vérification des mots de passe.

En général, l’authentification à deux facteurs (2FA) est un moyen efficace de renforcer la sécurité de votre compte mais, malheureusement, au moment d’écrire ces lignes, de nombreux services de streaming n’offrent pas cette option.

Ne mordez pas à l’hameçon

La devinette des mots de passe n’est pas la seule technique que les criminels utilisent pour détourner des comptes. Les acteurs malveillants  recourent souvent à l’ingénierie sociale et usurpent l’identité des canaux de communication officiels pour vous escroquer et vous inciter à leur transmettre vos informations personnelles. En effet, on peut dire sans grand risque de se tromper que tout le monde, des politiciens aux gens ordinaires, a reçu un courriel d’hameçonnage.

Bien que les fournisseurs de services de messagerie aient intensifié leurs mesures de sécurité et essaient d’attraper autant de tentatives que possible avant d’atteindre leurs cibles, certains de ces messages parviennent parfois à se frayer un chemin jusqu’à votre boîte de réception. En cas de doute, faites confiance à votre jugement. Rappelez-vous que de nombreuses attaques d’hameçonnage ne se démarquent plus par le nombre important d’erreurs de grammaire ou de syntaxe. Certaines peuvent paraître plutôt crédibles.

En règle générale, vous ne devriez jamais ouvrir une pièce jointe ou cliquer sur un lien à moins d’être sûr à 100 % que le message est authentique. Au besoin, communiquez avec l’expéditeur par d’autres canaux vérifiés pour vous assurer qu’il l’a envoyé.

Voici quelques articles qui présentent plus en profondeur le fonctionnement des attaques d’hameçonnage :

·         5 façons simples pour se protéger du phishing

·         Mordre à l’hameçon : Comment éviter d’être confondu avec un appât

·         Phishing anniversary: Here’s a free $50/month subscription

·         Phear of Phishing

Prévenir ces attaques

Avoir de saines habitudes de cybersécurité, adopter une approche de bon sens et utiliser une solution de sécurité de bonne réputation contribuera généralement beaucoup à votre sécurité dans le monde numérique. Comme le veut le vieil adage, « Vaut mieux prévenir que guérir ». C’est d’autant plus vrai en matière de cybersécurité.

Disney+ accounts hacked – How to protect yourself

As users are losing access to their accounts by the dozens, we offer a few tips to help keep your streaming subscriptions safe

by Amer Owaida 

The long-awaited streaming service Disney+ was launched to the cheers of many. But it wasn’t without technical issues; in addition, within hours of the service going online many users were reporting that their accounts had been hijacked, writes ZDNet. The hacked accounts then started to appear on the dark web and were up for grabs for prices ranging from US$3-11, or even for free. To be sure, this account hijacking spree is not an isolated incident, and other popular streaming services have been battling such incidents for years.

Nevertheless, there are a few easy steps you can take to lower the chances of having to go through a similar ordeal in the future. The following advice should apply to a majority of widely used streaming services.

Fix your passwords

As basic as this recommendation may sound, a strong and unique password or passphrase can make a world of difference. Importantly, you should never recycle your password across various services or even use any variation of the same password or passphrase, as that can be easily guessed, too. Also, you may want to consider using a password manager to generate and store your passwords, which will require you to remember just one master password.

Another good precaution is to use a service such as Have I Been Pwned to check if any of your credentials may have been compromised in a past data breach. You can also sign up for notifications in case your login details show up in future breaches. Both Chrome and Firefox offer their own versions of password checkups.

Generally speaking, two-factor authentication (2FA) is an efficient way of bolstering your account security but, sadly, as of the time of writing many streaming services don’t offer this option.

Something smells phishy

Password-guessing isn’t the only technique that criminals leverage to hijack accounts. Bad actors often resort to social engineering and impersonate official channels of communication to hoodwink you into surrendering your personal data. Indeed, it may be safe to say that everyone from politicians to regular people has received a phishing email.

Although email service providers have ramped up their security measures and try to catch as many attempts as possible before they reach their targets, some wriggle through their nets from time to time. In these cases, you must rely on your wits – especially as many phishing attacks are no longer riddled with grammar mistakes and may overall look believable.

As a rule of thumb, you should never open any attachment or click on any link unless you are 100% sure that the message is authentic. If needed, contact the sender through other verified channels to make sure that they sent it. You can check out our earlier article that deals with phishing attacks in greater detail.

Prevent

Having healthy cybersecurity habits, taking a common-sense approach and using a reputable security solution will generally go a long way towards keeping you safe in the digital realm. In the words of Benjamin Franklin “An ounce of prevention is worth a pound of cure” – and that applies a thousand-fold for cybersecurity.

Microsoft publie un correctif pour une vulnérabilité jour‑zéro visant Internet Explorer

La vulnérabilité critique peut également être exploitée via un document Microsoft Office malveillant.

Tomáš Foltýn 

Microsoft a livré un correctif pour une faille critique dans Internet Explorer (IE) qui est exploitée à l’état sauvage. Suivi sous la référence CVE-2019-1429, cette vulnérabilité fait partie du lot de mises à jour de sécurité régulières de ce mois-ci, connu sous le nom de Patch Tuesday.

l’exécution du code à distance qui, selon l’avertissement émis par Microsoft, concerne la façon dont le moteur de script du navigateur gère les objets en mémoire. La faille de sécurité affecte toutes les versions actuelles d’IE et pourrait être exploitée par un acteur de la menace pour inciter les victimes à visiter un site Web malveillant via le navigateur.

« Un attaquant ayant exploité avec succès la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’administrateur, un attaquant qui a exploité avec succès la vulnérabilité pourrait prendre le contrôle d’un système affecté », souligne le géant technologique. A partir de là, les attaquants pouvaient installer des programmes, falsifier des données et créer de nouveaux comptes avec tous les droits d’utilisateur.

Il est important de noter qu’un autre vecteur d’attaque potentiel existe. Pis encore, ce vecteur n’exige même pas que vous utilisiez IE pour vos besoins de navigation sur le Web. « Un attaquant pourrait également intégrer un contrôle ActiveX marqué comme étant « safe for initialization » » dans une application ou un document Microsoft Office qui héberge le moteur de rendu IE », explique Microsoft.

Les détails sur la nature des attaques exploitant la vulnérabilité, qui a été découverte indépendamment par des chercheurs de Google, Resecurity et iDefense Labs, sont rares. Resecurity souligne cependant que la faille a probablement été exploitée en conjonction avec une vulnérabilité découverte précédemment répertoriée comme CVE-2019-0880. La société n’a pas attribué les attaques à un groupe APT en particulier, mais a déclaré qu’elle pensait que les attaques avaient été menées par un groupe de cyberespionnage pour cibler un éventail de victimes dans diverses parties du monde.

Il n’y a pas de facteurs atténuants ou de solutions de rechange connus pour les utilisateurs qui ne peuvent pas mettre en œuvre le correctif rapidement. Certes, la faille jour-zéro n’est qu’un autre rappel de l’importance de corriger rapidement les failles de sécurité, en particulier celles qui ne nécessitent que peu d’interaction de la part de l’utilisateur.

Ce tableau réalisé par le SANS Technology Institute, résume bien l’ensemble des correctifs de sécurité apportés au cours du mois. On y liste des patchs pour 74 failles sur différents produits et services, dont Microsoft Edge, Office, Exchange Server et Windows Hyper-V. Quinze des vulnérabilités ont été classées parmi les plus graves par Microsoft comme « critiques », les autres ayant été classées comme « importantes ».

Self-taught vs. university-educated?

By Juan Manuel Haran

Are you considering a career in cybersecurity? What learning path(s) should you take? Does formal education matter? ESET experts share their insights.

With cyberthreats on the rise, cybersecurity professionals are, unsurprisingly, a hot commodity. According to a recent study by Cybersecurity Ventures, there will be 350% growth in open cybersecurity positions from 2013 to 2021 and it is estimated that, due to the talent crunch, there will be 3.5 million job openings in the industry by 2021.

With that in mind, one of our articles to mark this year’s Antimalware Day features insights from several ESET security researchers. We asked them a series of questions to learn how they built their expertise and to gather their thoughts about the usefulness of formal education versus self-study for becoming a security practitioner.

Learn all by yourself?

While more and more colleges and universities worldwide offer degree programs in computer security, far from all academic institutions have launched such programs. Indeed, many experts in the field are self-taught and/or have acquired their skills through various non-academic courses and certifications.

ESET Distinguished Researcher Aryeh Goretsky, who embarked on a career in IT security in the late 1980s, notes that back then there weren’t actually any courses or certifications specifically focused on computer security.

“Computer security was taught, but it was largely in terms of models for access control, and I think tended to focus more on the concept of securing multiple-user computer systems and users’ access to them being seen as more of an atomic model than as bits and pieces of a larger, more globally-interconnected system. So, the people who were interested in the concept of cybersecurity, of how disparate computers and networks might behave towards each other, kind of had to self-teach. Some of that might come from reading standard computer science and engineering and reference tomes, and learning about computer and network operations, but some of that knowledge came from… shall we say, unofficial and very hands-on experimentation,” he explains.

This is echoed by Marc-Etienne M.Léveillé, a malware researcher at ESET’s lab in Canada who studied software development and computer engineering. “The things I have learned in college or university aren’t directly relevant for my position as a security researcher. I had to learn about many aspects of security on my own,” he says.

This is no doubt also the case with many other experts. There are a multitude of online learning resources these days, including countless massive open online courses (MOOCs) for people with various levels of skills and experience. Also, social networks, notably Twitter, and many other online services, including YouTube, offer great opportunities for people keen to exchange knowledge and experience, ultimately enabling them to learn from one another.

“It is true that the technology and security community is growing and many people are happy to share their knowledge, which allows newcomers to get support from established professionals,” says ESET Brazil researcher Daniel Cunha Barbosa. “While self-learning is a possible path and it is how many experts in the industry received their training, it is not the only option,” he adds.

Indeed, while security professionals need to continue to learn on their own and sharpen their skills almost daily, many will agree that there’s an undeniable value in academic training.

“If I had to do it again, I’d still choose to go through college and university. Both gave me the opportunity to meet people and participate in extra-curricular activities such as competitions and security conferences that I enjoyed so much. Some schools also offer internships, which also helps getting started in the field,” says Léveillé.

Complete article:

https://www.welivesecurity.com/2019/11/14/getting-into-cybersecurity-selftaught-university/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29