Publié le

143 millions de personnes ont été victimes d’un piratage de grande ampleur aux États-Unis

Des millions de personnes ont été touchées par un piratage d’Equifax, une agence de renseignement de crédit.

Equifax est une agence de renseignement de crédit étasunienne. Celle-ci a indiqué qu’elle avait subi un piratage de grande ampleur entre mai et la fin du mois de juillet dernier. Les conséquences sont alarmantes : 143 millions d’utilisateurs sont touchés.

Les hackers ont pu avoir accès à de multiples données concernant les clients de l’entreprise : leurs noms, adresses, dates de naissance, numéros de sécurité sociale et permis de conduire. Equifax précise par ailleurs que les numéros de carte bancaire de 209 000 consommateurs ont été divulgués ainsi que des informations personnelles contenues dans des documents de contestation concernant 182 000 personnes supplémentaires.

Lien Youtube

Autant dire qu’il s’agit de l’un des plus gros piratages informatiques de l’histoire et qu’il peut engendrer de sérieux dommages. Avec les informations qu’ils ont récoltées, les pirates sont théoriquement en mesure de voler l’identité de leurs victimes pour ouvrir, par exemple, des comptes en banque ou accéder à des services sous un nom usurpé.

Rappelons que la population des États-Unis est estimée aux alentours de 320 millions d’habitants. Autrement dit, ce n’est pas loin de la moitié de la population qui est touchée.

Et pour ne rien arranger à la situation, on apprend que trois hauts responsables d’Equifax ont vendu l’équivalent de 1,8 million de dollars d’actions quelques jours après que la faille a été découverte, le 29 juillet. Ils n’auraient pas été mis au courant de la situation à temps si l’on en croit les explications de l’entreprise.

Equifax

Source: Frandroid

Publié le

Google Assistant, Amazon Alexa… des ultrasons peuvent pirater les assistants intelligents

Des chercheurs ont réussi à pirater des assistants intelligents tels que Google Assistant, Amazon Alexa ou Siri grâce à des ultrasons qui, par définition, sont inaudibles pour l’humain.

Google Assistant, Amazon Alexa, Microsoft Cortana, Apple Siri, Samsung Bixby… Toutes les grandes entreprises de la Tech proposent leurs propres assistants intelligents. Pour interagir avec ces derniers, il suffit de leur parler à haute voix. Ou on peut aussi leur envoyer des ultrasons.

Une équipe de chercheurs en Chine a en effet découvert une faille de sécurité dans ces assistants. Dans une étude (PDF), Les scientifiques expliquent avoir utilisé une technique baptisée « DolphinAttack », qui permet de retranscrire des commandes vocales en fréquences ultrasoniques. L’oreille humaine est incapable d’entendre celles-ci, mais les micros et les logiciels embarqués par les assistants de nos appareils les distinguent parfaitement.

Tous les appareils sont concernés

La traduction de ces commandes vocales en ultrasons ne semble pas particulièrement compliquée et permet donc de commander Google Assistant, Siri ou Alexa comme on l’entend. Les tests ont été menés sur divers appareils incluant des iPhone, des Google Nexus, l’enceinte Amazon Echo ou même des voitures connectées. On peut par ailleurs supposer que davantage de terminaux non cités ici souffrent de la même faille.

Les chercheurs ont non seulement pu activer les assistants avec les phrases clés « Hey Siri » ou « OK Google », mais ils ont également pu lancer des requêtes telles que « appelle le 1234567890 » ou demander à un iPad de lancer un FaceTime. Vous vous en doutez, ce genre de failles peut facilement mener à des piratages.

Un hacker pourrait ainsi, grâce aux ultrasons, demander à l’assistant d’ouvrir une URL infectée pour télécharger un virus. Les chercheurs ont d’ailleurs réussi à le faire avec un MacBook et une Nexus 7. Dans une maison connectée, ils ont réussi à demander à Alexa d’ouvrir la porte arrière. Sur une Audi Q3, ils ont pu parasiter le système de navigation pour changer la destination.

Lien Youtube

« Les commandes vocales inaudibles remettent en cause l’hypothèse courante selon laquelle les adversaires peuvent tout au plus essayer de manipuler un [assistant vocal] vocalement et être détecté par un utilisateur averti », écrivent les chercheurs. En d’autres termes, même les personnes les plus méfiantes peuvent se faire piéger. Même si on n’entend pas un hacker parler, nos machines, elles, le peuvent.

3 dollars d’équipement

Pour mener leurs attaques, les scientifiques ont utilisé un smartphone boosté par un peu de matériel hardware dont la somme ne dépasse pas les 3 dollars. Autrement dit, DolphinAttack nécessite très peu de moyens et quelques connaissances techniques.

Mais ne paniquons pas tout de suite non plus. Pour bien mener son attaque, le hacker a besoin de se trouver à proximité de l’appareil. Ainsi, pour ouvrir une porte de la maison avec Amazon Echo, le cambrioleur a besoin d’être déjà à l’intérieur du foyer. Cependant, si vous êtes ciblés par un pirate, celui-ci n’aura qu’à marcher près de vous dans une foule de personnes pour activer l’assistant intelligent de votre téléphone ou de votre montre connectée.

Si vous êtes un brin parano, vous pouvez toujours désactiver les paramètres always-on de votre assistant.

DolphinAttack: Inaudible Voice Commands

Source: Frandroid