150 millions de données d’internautes français sont en vente

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 8347
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

2021-06-08_125600.png
RockYou2021 : la plus grande compilation de mots de passe de tous les temps divulguée en ligne avec..... 8,4 milliards d'entrées

La compilation elle-même a été surnommée "RockYou2021" par l'utilisateur d'un forum, probablement en référence à la tristement célèbre violation de données RockYou qui s'est produite en 2009, lorsque des acteurs malveillants ont piraté les serveurs du site Web de l'application sociale et ont mis la main sur plus de 32 millions d'utilisateurs. mots de passe stockés en texte brut.

Ce qui semble être la plus grande collection de mots de passe de tous les temps a été divulgué sur un forum de hackers populaire (pas la peine de chercher, le lien de téléchargement a été retiré)

On lit un peu partout (je résume) :

"Un utilisateur du forum a publié un énorme fichier TXT de 100 Go qui contient 8,4 milliards d'entrées de mots de passe, qui ont probablement été combinées à partir de fuites et de violations de données précédentes."
(En fait la base fait 92 Go et 12.8 Go une fois compressée en 7z)
2021-06-10_113904.png
En détail :

Code : Tout sélectionner

  -   Le dictionnaire CrackStation - Il s'agit d'une compilation de fuites de mots de passe connues et d'anciennes violations, des mots dans des articles de Wikipédia et quelques livres du projet Gutenberg.
   -   Daniel Meissler SecLists/Passwords de -  Il s'agit de mots courants, de permutations, d'informations d'identification par défaut, mots de passe capturés à partir de pots de miel, etc. - 
    -  Listes de mots probables de berzerk0 - mots de passe connus et dictionnaires utilisés dans les recherches de Ben sur les tendances des mots de passe les plus en vogue
    -  Mots de passe de Weakpass - principalement des listes de mots et de vrais mots de passe.
    -  COMB - la liste de combinaison de nombreuses violations (3,8 milliards d'enregistrements) du début de l'année . Il s'agit d'une complitation de mots de passe connus
On lit également :

"Selon l'auteur du message, tous les mots de passe inclus dans la fuite comportent 6 à 20 caractères, les caractères non ASCII et les espaces blancs étant supprimés.
Le même utilisateur affirme également que la compilation contient 82 milliards de mots de passe.
Cependant, le nombre réel s'est avéré être près de dix fois inférieur - à 8 459 060 239 entrées uniques : "

"Cette fuite est comparable à la Compilation of Many Breaches (COMB) , la plus grande compilation de violations de données jamais réalisée.
Ses 3,2 milliards de mots de passe divulgués, ainsi que les mots de passe de plusieurs autres bases de données divulguées, sont inclus dans la compilation RockYou2021 qui a été amassée par la personne derrière cette collection sur plusieurs années. "

"Compte tenu du fait que seulement environ 4,7 milliards de personnes sont en ligne, en termes de chiffres, la compilation RockYou2021 inclut potentiellement les mots de passe de l'ensemble de la population mondiale en ligne d'un facteur X2"


"Pour cette raison, il est recommandé aux utilisateurs de vérifier immédiatement si leurs mots de passe ont été inclus dans la fuite".





A CONSIDERER


Il faut "partiellement" relativiser car non seulement une grosse partie de cette base est déjà connue, et quand à la quantité, il ne faut pas oublier qu'on ne dispose pas que d'une adresse mail ou d'un seul mot de passe (normalement)
En plus les mots de passe "divulgués" sont périmés ou inventés
(Par contre certains ont téléchargé la base pour en refaire une autre avec les mots de passe testés.. Donc une nouvelle base devrait apparaitre d'ici quelques temps)



Pour résumer :

- rockyou2021 n'est pas : une violation, une liste de mots de passe volés, quelque chose de nouveau, ou une raison suffisante pour changer vos mots de passe ( seul ) mais cela a l'avantage de sensibiliser les gens aux vol de données et de revoir leur politique de changement de mots de passe, (pas le meme sur plusieurs sites etc) d'adopter de nouvelles méthodes (ex de Keepass XC), d'utiliser l'authentifcation à 2 facteurs si en place etc

- rockyou2021 est : Est une liste de mots qui comprend principalement des mots en anglais, des mots de passe "possibles" et des mots de passe connus volés. Tout cela était connu et accessible avant .


A savoir également :

L'auteur a supprimé tous les caractères non-ASCII et limité la longueur du mot de passe à 20 caractères.
Cela donne une liste très claire, contrairement à d'autres vols de mots de passe ou dictionnaires qui sont souvent très désordonnés ou non formatés, et peuvent prendre du temps à nettoyer avant d'être utilisables.
Cependant, cela rend également la liste beaucoup moins utile pour les cibles internationales - tout locuteur non anglophone peut préférer utiliser des caractères Unicode, et ces mots de passe ou éléments de dictionnaire ont été supprimés.


Cela limite donc l'usage à des fins malfaisantes


Je pense, mais ce n'est que mon avis, que le vol de données sur les sites FR, qu'ils soient marchands ou pas (je ne parle pas des "grands sites" comme Amazon etc) est plus problématique car pas connu, et surtout non référencé (voir l'actualité des mois précédents dans les pages précédentes du sujet) surtout dès lors qu'il y a autre chose que le login et mot de passe volés

J'ai contacté nombre de ces sites avec la procédure à suivre.. Pas de réponse ou alors un message automatique généré par un bot
Ceux qui ont répondu n'ont même pas contacté majoritairement leurs utilisateurs ou clients.



QUE FAIRE ? (Procédure standard et pas spécialement en lien avec cette base)

- Déjà ne pas réutiliser les mêmes mots de passe sur plusieurs applications, sites Web, réseaux sociaux, plate formes de jeux, ...
- Eviter l'adresse mail unique, certains prestataires permettent la création d'alias que l'on peut utiliser suivant usage (famille, ami(es), achats sur sites habituels, achats sur d'autres sites etc)
Il faut savoir que Gmail est ciblé en priorité
Mailo (ex netcourrier) le propose par exemple https://www.malekal.com/meilleurs-alternatives-a-gmail/


- Utilisez https://www.malekal.com/haveibeenpwned- ... -de-passe/ (Se rappeler que même avec l'apport des bases du FBI incluses récemment, tout n'y figure pas)
La "news" est arrivée par le biais de Cybernews (situé en Lituanie) qui fait souvent dans le réchauffé et en profite surtout pour mettre en avant leur propre moteur de recherche
Lors de la dernière "révélation" en fevrier dernier, avec le sujet "COMB: largest breach of all time leaked online with 3.2 billion records" , on sait que la base circulait depuis au moins début décembre de l'année précédente
Le pire c'est qu'à l'époque ils citaient cette base, mais elle ne figurait pas pour alimenter leur propre moteur
Plus globalement, leur moteur n'indexe qu'une toute petite partie de ce que l'on peut trouve sur haveibeenpwned
Rien dans la policy n'indique ce qu'ils font avec ce moteur, si les données de recherche sont conservées ou pas, et si le tout ne va pas à des tiers
C'est déconseillé donc d'utiliser ce moteur cybernews (mais ce n'est que mon avis vu le peu de transparence)
Là où ils sont bons c'est dans le marketing, car leur dernière "info" a été diffusée partout et reprise en choeur par les medias FR dont des "spécialistes en cyber sécurité" (comme ceux qui sont apparus lors du vol de données médicales :-)

- Si vos données ont été compromises, assurez-vous de changer vos mots de passe sur vos comptes en ligne. Vous pouvez facilement générer des mots de passe complexes en utilisant d'utiliser un gestionnaire de mots de passe comme KeepassXc par exemple
https://www.malekal.com/keepassxc-le-ge ... piratages/

- Activez l'authentification à deux facteurs (2FA) sur tous vos comptes en ligne (si proposé, et en évitant la solution SMS)
https://www.malekal.com/la-double-authe ... ca-marche/

- Méfiez-vous des spams entrants, des SMS non sollicités et des messages de phishing.
Ne cliquez pas sur tout ce qui semble suspect, y compris les e-mails et les SMS d'expéditeurs que vous ne reconnaissez pas.
https://www.malekal.com/le-phishing-ham ... rotection/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8347
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

2021-06-11_113537.png


La news qui va faire le buzz, parce qu'elle tombe presque en meme temps que les infos de sortie du prochain Battlefield, c'est

Le vol de données chez EA (Electronic Arts)


- des codes sources de FIFA 21
- du moteur de jeu Frostbite (source et outils de débuggage)
- d'autres divers outils de débuggage, de développement dont les frameworks EA propriétaires pour divers jeux EA , clés API
- des kits de développement logiciel (SDK) et clés API, dont ceux de la XBOS et SONY
- le code du serveur de matchmaking de FIFA21
- XBOX, PS (Sony) & EA pfx & crt avec clé (actuellement utilisé)


EA ne donne pas trop de détails, mais il y aurait d'après eux PAS eu de vol de données concernant les joueurs (dont FR)
Dans ce qui est proposé à la vente en tous les cas cela n'apparait pas, mais vu la somme demandée cela va finir à la vente à la découpe d ici quelques temps et on en saura plus

Des comptes ORIGIN on en trouve, mais ce n'est pas le fait de failles ou vol de données chez EA (Origin), mais plutôt du fait de la faute de joueurs qui utilisent des hacks/Cracks, cheats, mais aussi qui utilisent les memes login et mot de passe pour divers sites, réseaux sociaux etc
En moyenne au niveau mondial cela tourne en gros à moins d'une centaine par mois
On trouve beaucoup plus de comptes Steam, ou de jeux spécifiques (Call Of Duty en tête) en circulation

Cependant les voleurs ont indiqué avoir volé également "les clients du jeu EA et les points utilisés comme monnaie dans le jeu. "
On ne sait si ils parlent du jeu FIFA21 (le plus probable) ou des autres jeux

EA a déclaré : "Aucune donnée de joueur n'a été consultée, et nous n'avons aucune raison de croire qu'il existe un risque pour la vie privée des joueurs. Suite à l'incident, nous avons déjà apporté des améliorations en matière de sécurité et ne nous attendons pas à un impact sur nos jeux ou nos activités. Nous travaillons activement avec des responsables de l'application des lois et d'autres experts dans le cadre de cette enquête criminelle en cours. "


EA se veut rassurant sur le vol en indiquant que "rien ne semble prouver qu'ils ont réellement partagé ou vendu les données volées"


Et complète avec un "Il ne s'agit pas d'une attaque de ransomware, une quantité limitée de code et d'outils associés ont été volés, et nous ne nous attendons à aucun impact sur nos jeux ou notre entreprise".


Ca c'est pour rassurer parce qu'en fait depuis le 6 juin les 780Go de données sont en vente et le Frosbite figure dans de nombreux jeux, que du reste EA impose à ses studios ou tiers pour développer des jeux


Le vol est estimé à 28 millions de dollars (du moins c'est qu'espère en tirer les voleurs)

Ce qui est paradoxal c'est que les données du serveur sur lequel cela a été volé, n'ont pas été cryptées et... sont toujours accessibles (sic un commentaire de forum)

En plus le vol daterait du mois de mai 2021 et non pas en juin

Extrait du forum Kickass
1-33.jpg


Espérons que cela ne va pas déboucher sur l'apparition de nouveaux programmes de cheats qui sont le gros soucis sur les Battelfield, et pour lesquels EA ne fait rien si ce n'est que des promesses à chaque sortie de jeu (d'autant plus que ces cheats se basent sur des failles du frosbite qui existent depuis les premières versions)

Analysé par Kaspersky

FIFA 21 est une cible très intéressante pour les cybercriminels, car ce jeu possède sa propre monnaie virtuelle très recherchée.
En 2015, le FBI américain a réussi à arrêter un groupe qui aurait extrait et vendu cette monnaie virtuelle pour un montant de 15 à 18 millions USD. Elle a réussi en raison des vulnérabilités que ce jeu contenait.

Le code source vous permet de pénétrer facilement toutes les fonctions du jeu et des serveurs de jeu, d'étudier la logique du jeu, les algorithmes secrets et la technologie anti-triche.
Ces connaissances peuvent ensuite être utilisées pour rechercher des vulnérabilités, créer des codes de triche et vous enrichir en exploitant et en vendant des devises dans le jeu en contournant les règles définies par le développeur du jeu.
L'analyse de la fonctionnalité du côté client du jeu est également possible en utilisant la rétro-ingénierie, mais elle est très difficile et laborieuse. En revanche, l'accès au code source facilite la lecture du code du jeu comme un livre ouvert.


Extrait d'un forum en libre accès qui a servi de base pour la news
2021-06-11_112218.png



Edit du 14/06/2021

Vu que l'info est passé dans les sources ouvertes, mais sans citer les détails, je vais faire de même
Tout ce que je peux dire c'est que ce qui est relaté ici est vrai et que ce qui est asséné en sécurité informatique :

"Les gens sont généralement le maillon le plus faible de la chaîne de sécurité. " est souvent la cause première des vols de données


"Selon des sources, le point de départ de la violation pourrait se trouver dans un compte Slack compromis, utilisé plus tard par des acteurs malveillants pour cibler d'autres segments de l'infrastructure réseau d'EA Games à l'aide de l'ingénierie sociale.



Sur un autre site (le lien a été mise à jour avec d'autres détails) :
https://www.vice.com/en/article/7kvkqb/ ... cked-slack

"un canal Slack utilisé par les employés d’EA. Puis en contactant un membre du support en mode : « nous avons perdu notre téléphone lors d'une fête hier soir », afin d'obtenir un jeton d'authentification multifacteur pour accéder à l'intranet d'EA.


A la base pour ce vol, ils ont juste acheté des cookies pour.... 10 $

"Les cookies peuvent enregistrer les informations de connexion d'utilisateurs particuliers et potentiellement permettre aux pirates de se connecter aux services en tant que cette personne. Dans ce cas, les pirates ont pu accéder à Slack d'EA en utilisant le cookie volé. (Bien qu'il ne soit pas nécessairement connecté, Motherboard a signalé en février 2020 qu'un groupe de chercheurs a découvert qu'un ancien ingénieur avait laissé une liste des noms des chaînes EA Slack dans un référentiel de code public)".


Il faut se rappeler qu'une liste de la chaine Slack pouvait être accessible depuis novembre 2019, mais EA disait avoir comblé la faille, mais rebelote en février 2020, puisque qu'un ancien ingénieur avait laissé un morceau de code exposé sur un dépôt Github
Un attaquant pouvait récupérer la liste complète des utilisateurs qui appartiennent aux anciens et nouveaux employés d'EA, à travers le monde,
Un attaquant pouvait également récupérer une liste complète de tous les canaux dans l'espace de travail Slack d'EA, ainsi que "le titre des projets sur lesquels ils travaillent, les descriptions des canaux contenant des URL vers des documents, des pages d'assurance qualité internes, etc.", a ajouté Hussein.
Au total, il a été trouvé 'environ 29 000 chaînes

Il faut savoir que sociétés de jeux vidéo sont tellement préoccupées par les détails de leurs jeux qui fuient avant leur stratégie marketing préparée, qu'elles utilisent souvent des noms de code pour en discuter en interne.
Même si les pirates informatiques mettaient la main sur une liste de chaînes Slack, il est possible qu'ils ne révèlent aucun nom de jeu non annoncé.

Et je peux confirmer que sur Slack, tout est soigneusement dosé en terme de communication, car meme les CM n'avaient pas toutes les infos, alors qu'on pouvait voir des fuites d'images, de détails de jeux ailleurs sur le net (twitter etc)
C'était pénible du reste car on n'avait pas de réponses aux questions posées par la communauté FR sur les jeux EA


Et pour en revenir au sujet

Les auteurs originels du vol ne sont pas contents
Des petits malins essaient de se faire passer pour des vendeurs (pour encaisser l'argent)

Comme je l'avais indiqué précédemment, la proposition de vente a commencé non pas en juin, mais... fin mai
Ce que je peux ajouter maintenant puisque l'info est publique, la vente initiale a été proposée par un membre de KickAss ayant le pseudo de "Cyberjagu"

Ce n'est que depuis juin que l'info du vol a circulé, (il y a une dizaine de jours maintenant) car les propositions de vente sont apparues sur des forums plus accessibles et visibles

Du coup les membres kickass donnent quelques indications sur ce qu'ils possèdent
Exemple :

Fifa.png


Où on trouve :
2021-06-14_113820.png

Sur les serveurs.. "moins publics" on peut trouver
fifa2.png



Edit du 25/06/2021

Dans le lien : https://www.01net.com/actualites/01hebd ... 45065.html

Apparait une émission 01.net, 01.tv
https://www.dailymotion.com/video/x827jbk

où prend la parole :

"Benoit Grunewald, expert en cyberattaque chez ESET France", qui nous explique en détail cet évènement.

"Il confirme la revente du code source de FIFA : 28 millions"

Ben non M.Grunwald ce prix demandé ne concerne pas QUE FiFA et il n'a pas été dit qu'il s'agissait du code source de FIFA mais de celui du FROSBITE (le moteur)
Pourtant il décrit bien ce qui a été volé au début de son intervention

Idem lorsqu'il parle de la revente à la concurrence : C'est impossible. Un éditeur qui utiliserait le code source du Frosbite serait de suite repéré
Idem lorsqu'il dit que EA n'a pas confirmé le mécanisme du vol ... (je ne peux donner d'autre détails, mais c'était discuté au sein meme de chez EA et j'ai indiqué ce qui est passé en source ouverte)

Par contre sur le danger des cookies, c'est assez bien expliqué



Edit du 02/08/2021 : Juste pour le suivi de l'affaire

Vu que personne ne veut acheter le code source de FIFA 21 et que les hackers ont tenté d’extorquer une rançon à l’éditeur, sans succès (En fait Ils affirment n’avoir reçu aucune réponse) ils ont mis le code source en libre accès via mega.nz
Pour le reste wait and see
Petite nouveauté : Ils ont joint des images qui semblent montrer des données liées aux Sims.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8347
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

2021-06-12_145850.png


UNE BASE DE 1,2 To de données compromises


La découverte émane de NordLocker (qui appartient à NordVPN)


DE QUOI S'AGIT -IL ?

Il s'agit d'un malware de type cheval de Troie qui a été transmis par e-mail et par des logiciels piratés
Le malware n'a pas encore été identifié à ce stade mais les soupçons portent sur Azorult et le Raccoon vu la période

Ce malware a réussi à se propager via des versions piratées de logiciels comme

Code : Tout sélectionner

-  (Identifiés) Programmes Adobe (dont les Photoshop)  - 
-  (Identifiés) Programmes de chez AutoDesk
.....  (en fait n'importe quel programme piraté/cracké puisque c'est modifiable à la demande)
-  Des jeux vidéo téléchargés illégalement (et crackés)
-  Des cheats de jeux et programmes complémentaires
-  Outils de crack pour windows (de type KMS) 
-  Des emails (phishing)
Le virus a attribué des identifiants de périphérique uniques aux données volées, afin qu'elles puissent être triées par périphérique source (cela permet de retrouver plus facilement une cible)



CE QUE L ON SAIT

Les données ont été collectées à partir de 3,25 millions d'ordinateurs.
La base au total fait 1.2To

Les captures d'écran réalisées par le malware révèlent que les données ont été volées entre 2018 et 2020.



Le malware a volé près de

Code : Tout sélectionner

- 26 millions d'identifiants de connexion (dont les principaux sont les toujours même Facebook, Twitter, Amazon et Gmail.contenant 1,1 million d'adresses e-mail uniques, 
- 2 milliards de cookies 
- 6,6 millions de fichiers.
Dans certains cas, les victimes stockaient les mots de passe dans des fichiers texte crées avec l'application Bloc-notes.

Il faut savoir que des chevaux de Troie (Trojan) sans nom ou personnalisés (le client exprime son souhait suivant le logiciel visé, sa cible) sont largement disponibles en ligne pour moins de 100 $ et sont rarement détectés par les AV

La solution de camouflage est souvent dans le PE (sur ce que bute les AV depuis une vingtaine d'années)
Les AV basés sur signature ne trouveront rien
Les packers peuvent crypter, compresser ou simplement modifier le format d'un fichier malveillant pour le faire ressembler à autre chose

Les packers (packer UPX par ex et ses variants) sont souvent utilisés pour échapper à la détection, c'est pour cela que souvent les AV par défaut indiquent une possible infection, que les gens sont rassurés parce qu'on leur dit qu'il s'agit d'un faux positif, que Virustotal "peut" ne rien voir etc

En conséquence, les logiciels malveillants peuvent rester dans un système sans être détectés par les logiciels antivirus, les produits anti-malware et autres logiciels de sécurité,


Il existe cependant des logiciels pour analyser comme

https://security.opentext.com/appDetail ... -Detection
Et si vous voulez vous lancer
https://resources.infosecinstitute.com/ ... are/#gref




LES DETAILS :



IDENTIFIANTS DE CONNEXION

26 millions d'identifiants de connexion (e-mails ou noms d'utilisateur accompagnés de mots de passe) sur près d'un million de sites Web. Les données ont été classées en 12 groupes différents en fonction du type de site Web.
Exemples (Je n'ai mis que le principal et le plus connu)


RESEAUX SOCIAUX

Code : Tout sélectionner

Facebook                   1 471 416
Twitter                            261,773
Instagram                      153 754
VKontakte                     148 653
LinkedIn                         113 013
Odnoklassniki                 71 687
Pinterest                          30 916
Tumblr                               21 773
Snapchat                           15 694
Badoo                                   9 659

JEUX EN LIGNE

Code : Tout sélectionner

Roblox                     197,166
Steam                      189,740
Epic Games               91,271
Minecraft                  70,789
Garena                       59,698
Electronic Arts        44,472
Battle                         42,589
Wargaming               42,265
Rockstar Games      36,716
Riot Games               26,945


SITES D'ACHATS

Code : Tout sélectionner

Amazon           209,534
eBay                 132,935
AliExpress         87,624
Mercado            58,745
Alibaba              38,953
Flipkart              34,221
Shopee              17,688
Walmart            12,288


SITES DE MARQUES ELECTRONIQUE

Code : Tout sélectionner

Apple             127,793
Sony                  67,976
Samsung          41,854
Xiaomi               32,001
Nintendo             6,753
BlackBerry          5,953


SITES DE STOCKAGE CLOUD ET PARTAGES

Code : Tout sélectionner

Mega                 123,416
Dropbox               87,282
4shared                59,804
MediaFire            31,835
SlideShare              9,963
iCloud                      8,916
Box                           7,925
Fshare                      7,881


SERVICES DE STREAMING

Code : Tout sélectionner

Netflix               170,067
Twitch                106,690
Spotify                 61,349
SoundCloud        16,007
YouTube                 7,237


COMMUNAUTE

Code : Tout sélectionner

Twitch                 106,690
Discord               101,956
Reddit                   23,025
DeviantArt           23,025

FINANCE

Code : Tout sélectionner

PayPal                 145,436
Qiwi                        21,146
Blockchain            19,736
PagSeguro            15,408
Coinbase                13,528
FreeBitco                11,926

SERVICES E-MAIL

Code : Tout sélectionner

Google Gmail           1,540,650
Outlook                        403,580
Yahoo                            224,961
Mail.ru                          167,044
Freemail.hu                167,044


COMMUNICATION/PRODUCTIVITE

Code : Tout sélectionner

Yandex                     91,907
Adobe                      47,010
Uber                         25,881
Autodesk                25,194
Skype                       24,792
WordPress              24,688
Wix                            22,016
Booking                   21,969
GitHub                     19,610
TeamViewer            14,747
On y trouve également un million d'images (696 000 fichiers .png et 224 000 fichiers .jpg)
La base de données contient également plus de 650 000 documents Word et fichiers .pdf.


Le malware ciblait également les fichiers que les utilisateurs stockaient sur leurs ordinateurs de bureau et dans les dossiers de téléchargement.

De plus, le logiciel malveillant a fait une capture d'écran après avoir infecté l'ordinateur et pris une photo à l'aide de la webcam de l'appareil.



SUR LES COOKIES

Les cookies volés sont classés en cinq groupes en fonction de la catégorie du site Web.


Cookies du marché en ligne (sites d'achats)
Les cookies d'achat en ligne sont utilisés pour stocker les données du panier d'achat pendant que l'utilisateur navigue dans une boutique. Cependant, ils peuvent être utilisés pour détourner la session d'un acheteur afin de pénétrer dans son compte où son adresse personnelle et les détails de sa carte de crédit peuvent être stockés
Coockie lmarche enb ligne.png


Cookies de jeux en ligne
Les cookies de jeu en ligne collectent des données de géolocalisation, le temps de jeu, les contacts de l'utilisateur, etc. Avec les cookies de jeu volés, les pirates peuvent s'emparer de comptes, vendre des objets de valeur ou utiliser les informations pour lancer une attaque plus ciblée.
Cookei jeux en ligne.png


Cookies du site de partage de fichiers
Les cookies des sites de partage de fichiers tels que Dropbox, Slideshare et MediaFire contiennent des identifiants de fichiers et peuvent permettre aux pirates d'accéder au stockage cloud de l'utilisateur si le service n'est pas crypté de bout en bout.
cookei partage.png


Cookies de réseaux sociaux
Les cookies de réseaux sociaux peuvent permettre aux pirates d'accéder aux comptes personnels et professionnels des personnes. Les pirates utiliseraient ensuite ces identités volées pour envoyer des messages de spam aux amis et aux clients de la victime.
cooki rese sociax.png


Services de diffusion vidéo
Les pirates peuvent utiliser des cookies de streaming vidéo pour accéder à leur emplacement, aux préférences du site et à l'historique de recherche. Ces cookies pourraient même servir de motif d'extorsion si les données révélaient que la personne avait regardé un contenu inapproprié pendant les heures de travail.

cooki dif viudeo.png


DONNEES LOGICIELLES


La base de données contient des cookies, des informations d'identification, des données de remplissage automatique et des informations de paiement provenant de 48 applications.

La recherche montre que les logiciels malveillants ciblaient les applications, principalement les navigateurs Web, pour voler la grande majorité des données.
Le malware a également volé des données à partir d'applications de messagerie, de clients de messagerie, de clients de partage de fichiers et de certains clients de jeux

Code : Tout sélectionner


Google Chrome                                    19,425,347
Mozilla FireFox                                       3,296,639
Opera                                                         2,000,042
Internet Explorer/Microsoft Edge    1,280,759
Chromium                                                 1,023,008
CocCoc                                                          451,962
Outlook                                                        111,732
Yandex Browser                                           79,530
Torch                                                                57,427
Thunderbird                                                   42,057
FileZilla                                                            38,610
Amigo                                                               37,965
Vivaldi                                                              25,826

Cent Browser
22,172

Cyberfox
15,860

Chedot
14,938

WinSCP
12,327

Waterfox
11,830

Comodo Dragon
14,270

Kometa
7,680

Brave
7,356

PaleMoon
7,224

Orbitum
5,712

Elements Browser
4,944

Uran
4,199

IceDragon
3,715

GoBrowser
2,833

Epic
2,006

Default
1,305

InternetMailRu
918

360 Browser
857

Pidgin
816

Web Authentication Broker
730

UC Browser
661

Sputnik
522

SeaMonkey
456

Safer Browser
311

Browser
248

Login
238

Dragon
202

Nichrome
198

Bromium
186

Rockmelt
67

Old
62

Psi
53

Mustang
31

PsiPlus
24

Superbird
18



LA RELATIVE BONNE NOUVELLE :


Il a été constaté que sur le total de 2 milliards de cookies volés, seulement environ 22% étaient encore valides le jour de la découverte.
Les cookies aident les pirates à se faire une idée précise des habitudes et des intérêts de leur cible.
Pour le reste (identifiants de connexion etc) c'est à chacun de vérifier



CE QU'IL EST POSSIBLE DE FAIRE

Consulter le site https://haveibeenpwned.com/

car Troy HUNT a mis à jour les bases avec cette nouvelle source de données https://www.troyhunt.com/nameless-malwa ... een-pwned/

Pour rappel il s'agit de la seule base vraiment à jour et il faut se méfier des sites clones qui indiquent faire la même chose mais avec sûrement des motivations autres

Troy Hunt est bien connu depuis des années en tant que chercheur en sécurité, forme des professionnels dans ce domaine, a la confiance de plusieurs pays, associations, de divers services dont le FBI
Il exerce la fonction de directeur régional Microsoft et MVP et est maintenant conseiller stratégique pour NordVPN


AUTRE CONSEILS

Il n'est pas indispensable de revenir sur l'usage d'un Windows piraté, et des programmes et jeux crackés etc
Cela part du bon sens et de la logique


Sécuriser son PC
https://www.malekal.com/securiser-pc-windows-10/

Sécuriser sa navigation internet (en ex firefox)
https://www.malekal.com/securiser-le-na ... firefox-2/

Ne pas stocker ses login et mots de passe en clair ni utiliser les mêmes sur différents sites web, réseaux sociaux, comptes de jeux etc
https://www.malekal.com/les-meilleurs-g ... e-dossier/

Eviter les messageries ciblées comme Gmail
https://www.malekal.com/meilleurs-logic ... messagerie


Si vous souhaitez effacer vos données personnelles de navigation avec un "nettoyeur" axé vers la suppression des traces liées aux données personnelles qui pourraient être exploitées via la navigation internet ou divers programmes qui font de la télémétrie en rapport avec ces données

Je n'en conseille qu'un : PRIVAZER (stable, fiable, Français, et en versant son obole, on a droit à quelques fonctionnalités supplémentaires comme le nettoyage des shellbags ou un bouton permet de nettoyer les traces internet en "un clic"

En effet, les clés ShellBags peuvent contenir des informations concernant nos activités passées :
- les noms et chemins des dossiers que vous avez ouverts même si le dossier a été supprimé !
- des informations détaillées sur l'horodatage, date de création, date de modification, temps d'accès
Privazer s'occupe également des https://www.comptoir-hardware.com/actus ... tiers.html

Mais PRIVAZER ne traite pas toutes les données Steam et Origin qui font de la télémétrie et laissent des données en place. D'autres plus axés sur le nettoyage à l'ancienne (gain de place etc) le font (dont le décrié à juste titre, mais il faut bien le configurer CCleaner avec son extension CCenhancer)
https://www.malekal.com/alternative-ccl ... r-windows/

Sur les nettoyeurs dont de fichiers ET de registre :
Les conseils ici ont plus de 10 ans mais sont toujours d'actualité
viewtopic.php?t=26069

Sur les arnaques
https://www.malekal.com/logiciels-nettoyage-windows/

Ce lien met l'accent sur le business et l'efficacité, ce qu'ils font
https://www.malekal.com/logiciels-netto ... efficaces/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8347
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

2021-06-14_132832.png


Je n'ai pas le temps de tout indiquer (bis repetita) concernant les vols de données, qui apparaissent chaque jour, mais celle ci met en avant des données d'enfants mineurs, visiblement de la région Bretagne (il y a des villes citées comme PONTIVY, DOUARNENEZ) et qui sont au Lycée


Il y a 380 entrées tirées de PRONOTE (mais qui serait tirées du logiciel Libellule pour l’enseignement agricole).

Pour rappel : Pronote est un logiciel de gestion de vie scolaire créé en 1999 par Index Éducation, et utilisé dans plus de 10 000 collèges et lycées

Les données concerne donc les élèves MAIS AUSSI les parents avec des annotations "mère sans activité professionnelles" et si le père non plus "Autre personne sans activité professionnelle"

Je ne mets pas les données, seulement les indicatifs du tableau

Code : Tout sélectionner

Id_propre_a_Libellule,
Pays_de_naissance,
Dept_naissance,
Motif_de_sortie,
Identifiant_EN_INE,
Nom,
Prenom,
Sexe,
Date_de_naissance,
Lieu_de_naissance,
Eleve_email,
Eleve_Tel_Portable,
Annee_d_arrivee,
Date_de_demission,
Eleve_Adresse_1,
Eleve_Adresse_2,
Eleve_Adresse_3,
Eleve_Code_Postal,
Eleve_Commune,
Eleve_Tel_domicile,
Etablissement_d_origine,
Redouble,
Libelle_Section,
Code_division,
Libelle_division,
LV_1,
LV_2,
Regime,
Resp1_lien_elvresp,
Resp1_Civilite,
Resp1_Csp_Niv1,
Resp1_Nom,
Resp1_Prenom,
Resp1_Email,
Resp1_num_du_tel,
Resp1_num_tel_du_portable,
Resp1_Adresse_1,
Resp1_Adresse_2,
Resp1_Code_Postal,
Resp1_commune,
Resp1_tel_du_domicile,
Resp1_indicatif_du_tel_autre,
Resp2_lien_elv_resp,
Resp2_Civilite,
Resp2_Nom,
Resp2_Prenom,
Resp2_Email,
Resp2_num_de_tel,
Resp2_Tel_du_Portable,
Resp2_Adresse_1
,Resp2_
Adresse_2,
Resp2_Adresse_3,
Resp2_Code_Postal,
Resp2_commune,
Resp2_tel_du_domicile
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8347
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

2021-06-23_115847.png



DOCTOLIB et les données médicales


Là il ne s'agit pas de vol de données (du moins par le fait d'un tiers) mais de transfert de données médicales

Pour rappel :

Doctolib collabore avec 135 000 professionnels et 3 000 établissements de santé
La plateforme enregistre chaque mois plus de 60 millions de visites de patients.

Les inquiétudes liées au "giron américain" se confirment (le lien ci dessous évoque également les données de santé en hébergement du Health Data Hub, chez Microsoft)

"La problématique tient en une phrase : Doctolib passe par l’entreprise américaine Amazon Web Services pour héberger ses activités, alors même que la société française joue un rôle central dans l’activité des centres de vaccination (deux autres sociétés françaises sont aussi impliquées, Maiia et Keldoc)."

https://www.numerama.com/tech/692317-po ... mique.html


Ce que dit Doctolib :

« Pour DOCTOLIB, la sécurité et la confidentialité des données personnelles de ses utilisateurs sont une priorité absolue. Par conséquent, DOCTOLIB s'engage à respecter toutes les réglementations allemandes et européennes en matière de protection des données personnelles. DOCTOLIB adhère aux règles professionnelles des médecins et des professionnels de santé édictées par les chambres et associations respectives. »


Voila pour la vitrine (1)

Se rappeler que le marché des données médicales est estimé en Europe à 400 milliards d'euros
Vu l'estimation et la manne que cela représente, les stés sont prêtes à tout, quitte à mentir (les amendes étant ridicules)
C'est pour cela aussi que les hackers s'y intéressent



Comme l'indique le site Allemand, source de l'info

"Vous cherchez un rendez-vous chez le médecin avec « Doctolib » ces derniers temps ?
Il est fort possible que les sociétés Facebook et Outbrain le sachent déjà. Même avec des questions sensibles telles que les conseils d'incontinence de l'urologue ou la consultation des filles chez le gynécologue. "


La version allemande de Doctolib intégrait des mouchards qui transmettaient tous les mots-clés saisis par les utilisateurs.

Chez Doctolib, la confidentialité des données médicales n’est pas toujours de mise.
En effectuant une analyse de la version allemande de l’application, le site Mobilsicher.de a découvert, avec stupeur, que les recherches effectuées sur la plateforme de réservation étaient envoyées à Facebook et Outbrain.

Extrait de https://mobilsicher.de/ratgeber/verstoe ... d-outbrain
-------------------------------------

Lors du test, nous nous sommes connectés à Doctolib, avons recherché un urologue et indiqué "consultation d'un homme de stérilisation par vasectomie" comme motif de réservation. Nous avons également sélectionné un médecin, demandé un rendez-vous et spécifié "assuré privé" comme statut d'assurance.

Le dernier lien via lequel cette demande a été effectuée ressemblait à ceci dans le test :

Code : Tout sélectionner

https://tr.outbrain.com/unifiedPixel? marketerId = 0077195aa0d6c59afbe8f9690e36deb48a & obApiVersion = 1.1 & obtpVersion = 1.4.1 & name = PAGE_VIEW et dl = https% 3A% 2F% 2F www.doctolib.de % 2F Urologie % 2Fberlin% 2Freimar-Domnitz% 2Fbooking% 2Favailabilities% 3FinsuranceEventsEnabled% 3Dtrue% 26 insuranceSector % 3 D privé %26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motifKey %3D Vorgespr%25C3%25A4ch %2520 Vasektomie %2520%2528 Stérilisation %2520 Mann %2529-1336 %26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526 
Emballé dans le lien de demande, nous voyons les informations suivantes:

- un marketerID d'Outbrain
- que le lien vient de doctolib.de
- le mot de recherche urologie
- sous "secteur d'assurance = privé", il est noté que nous prétendons être assurés en privé
- et enfin le traitement souhaité, "motiveKey = entretien préalable vasectomie/stérilisation homme".

La demande à Facebook contient les mêmes informations, uniquement avec l'identifiant Facebook initialement attribué.

En dehors de cela, les deux services reçoivent naturellement aussi leur propre adresse IP. Les informations transmises peuvent donc difficilement être considérées comme anonymes.
-------------------------------

Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). Évidemment, l’adresse IP était également transmise, de sorte que ces acteurs pouvaient assez aisément cibler l'utilisateur. Merci pour le secret médical.


Depuis la "découverte" , DoctoLib a rétropédalé, mais la raison de ce transfert n’est pas très claire.


Une réaction immédiate

Cette analyse a été réalisée le 18 juin dernier.
Le 21 juin, ces échanges n’existaient plus.

Alerté par Mobilsicher.de, Doctolib a donc promptement rétropédalé et supprimé ces deux mouchards.

L’explication donnée par la direction de l’éditeur est assez nébuleuse. Ces deux trackers auraient servi à « mesurer le succès » d’une campagne marketing.

En revanche, l’éditeur n’explique pas pourquoi il a fallu alors transmettre autant d’informations sensibles.

Il n’est pas clair si ces transferts ne concernaient que doctolib.de ou également doctolib.fr. Nous avons vérifié les échanges HTTP pour la version française et n’avons pas pu trouver de connexions vers Facebook ou Outbrain.

Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs.

L’éditeur ne cesse de garantir la protection absolue de ces informations, mais comme on peut le voir, on n’est jamais à l’abri d’une mauvaise surprise.

D’ailleurs, l’association allemande Digitalcourage a récemment décerné à Doctolib le prix « Big Brother 2021 » pour la gestion peu transparente des données des patients.
Quand l’éditeur accueille un nouveau professionnel de santé comme client, la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair.



QU'EN EST IL DE GOOGLE ? (via Android)

https://www.zeit.de/digital/datenschutz ... ntendaten

dans un article daté du 23 juin 2021 à propos de Doctolib ZEIT.DE souligne que Google recevait également des informations du service.
Cela a été confirmé

Lors de notre test du vendredi 18 juin 2021, l'application Android a contacté le service publicitaire de Google et transmis les informations concernant le médecin sur lequel nous avions cliqué :

Code : Tout sélectionner

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/953811499/?random=1623920547973&cv=9&fst=1623920547973&num=1&bg=ffffff&guid=ON&resp=GooglemKTybQhCsO&eid=2505059651&u_h=732&u_w=412&u_ah=732&u_aw=412&u_cd=24&u_his=5&u_tz=120&u_java=false&u_nplug=0&u_nmime=0&gtm=2oa690&sendb=1&ig=1&data=event%3Dgtag.config&frm=0&url=https%3A%2F%2Fwww.doctolib.de%2F frauenarzt %2Fhalle-saale%2F heidi-pia-schmidt &tiba=Heidi-Pia%20Schmidt%2C%20Frauenarzt%20%2F%20Gyn%C3%A4kologe%20in%20 Halle %20 (Saale) &hn=www.googleadservices.com&async=1&rfmt=3&fmt=4
Étant donné que le système d'exploitation Android transfère naturellement beaucoup de données vers Google, nous avons d'abord négligé ces données dans notre évaluation du test du 18 juin 2021. Lorsque nous l'avons testé à nouveau le 23 juin 2021, nous ne pouvions plus observer le comportement décrit.

Doctolib utilise toujours les services Google, dont Firebase Crashlytics (analyse de crash), Firebase Installations (comptabilise les installations) et Google Maps, si vous pouvez afficher les médecins à proximité.
Google saura que vous utilisez l'application Doctolib et quand.
Cependant, Google le découvrira dès que vous téléchargerez l'application sur le Play Store. Nous n'avons pas pu observer une transmission de processus de recherche ou d'autres événements d'utilisation.

----------------------

LES REACTIONS

Facebook nous a contactés et a fait une déclaration au sujet de notre enquête.

Un porte-parole de Facebook : « Les utilisateurs de nos outils commerciaux ne sont pas autorisés à partager des données de santé personnelles avec nous.
Si des entreprises partagent ces données avec nous par inadvertance, nos mécanismes de filtrage sont conçus de manière à pouvoir reconnaître les informations relatives à la santé et supprimer les des données reconnues avant qu'elles ne soient stockées dans nos systèmes de publicité.
Nous sommes en contact avec Doctolib pour assurer la bonne mise en œuvre de nos outils à l'avenir.
" Les données sensibles provenant de Doctolib avaient donc été interceptées et filtrées par les systèmes de Facebook avant la publication de notre rapport.



Le Ministère de Santé de Berlin à répondu à notre demande.

Lorsqu'on lui a demandé si le consentement pour le comportement décrit du service est considéré comme suffisant et si l'on en avait connaissance, le service de presse écrit :

« Nous avons la confirmation de Doctolib que toutes les applications sont exploitées conformément au RGPD.

Une analyse exacte de ce cas particulier n'a pas été réalisée.
Lorsqu'on lui a demandé si le site Web ou l'application avaient fait l'objet d'un contrôle technique préalable : « Un contrôle technique plus approfondi de tous les aspects de la sécurité et de la protection des données n'a pas pu être effectué à l'époque et, compte tenu des documents et déclarations présentés, il Il n'y avait pas de raison impérieuse de le faire.
Cela devrait être le cas. Si l'occasion se présente, le département sénatorial de la Santé, des Soins infirmiers et de l'Égalité prendra les mesures nécessaires. »





Pour rappel :

À la mi-2020, un ensemble de données de 150 millions de rendez-vous a été librement accessible aux personnes non autorisées sur Internet. Dans certains cas, les heures de bureau remontent à 1990.
Les membres du Chaos Computer Club ont divulgué ces données et informations sur la faille de sécurité de manière anonyme.


Sources :

https://www.01net.com/actualites/doctol ... 44923.html
https://www.zeit.de/digital/datenschutz ... entendaten
https://mobilsicher.de/ratgeber/verstoe ... d-outbrain

A lire

(1) https://bigbrotherawards.de/2021/gesundheit-doctolib
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »