Google

Campagne de hameçonnage par courriel via « Google Docs »

Depuis mercredi après-midi, plusieurs utilisateurs de Google rapportent avoir reçu un courriel contenant un lien vers un fichier « Google Docs » de la part d’une connaissance… du moins en apparence. Ces courriels se sont avérés malicieux et ont permis à l’émetteur d’avoir accès aux comptes Gmail des utilisateurs, incluant tous leurs messages dans les dossiers classés, envoyés et supprimés, ainsi qu’à leur liste de contacts. Tout cela dans l’objectif de se servir de ces accès afin d’infecter d’autres comptes.

En cliquant sur ce lien, l’adresse vous redirige vers une page légitime appartenant à Google (apps.googleusercontent.com), mais vous demande l’autorisation d’accéder à une application nommée « Google Docs », qui elle, est d’origine frauduleuse (l’application légitime étant Google Drive).

Un des points communs de ces courriels est la présence de l’adresse hhhhhhhhhhhhhhhh@mailinator.com dans la liste d’envoi. Cette attaque semble cibler particulièrement le milieu des journalistes, mais peut potentiellement toucher divers milieux et individus.

@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX

— Zach Latta (@zachlatta) 3 mai 2017

Que faire si vous recevez ce type de courriel ?

En premier lieu, il importe de ne pas cliquer sur les liens provenant d’adresses inconnues ou de fichiers qui vous semblent suspects (un fichier sans titre, par exemple).

Si vous recevez ce type de lien vers un fichier de la part d’une personne que vous connaissez, vérifiez la validité du courriel avec cette personne au préalable (par téléphone, par exemple).

Que faire si vous avez cliqué sur le lien ?

Avoir cliqué sur le lien ne suffit pas à la propagation du ver; il faut avoir autorisé le fonctionnement de l’application malicieuse « Google Docs ». Si c’est le cas, on vous invite à suivre les démarches suivantes pour retirer l’autorisation à l’application « Google Docs » dans « Applications connectées à mon compte »:

Rendez-vous sur la page des autorisations votre compte Google.
Localisez la section concernant l’application « Google Docs »: bien que tout semble légitime, ce n’est pas le cas, il s’agit de l’application frauduleuse. Il suffit alors de simplement retirer l’autorisation pour cette application.

Google aurait prit les initiatives nécessaires pour limiter la propagation du ver en supprimant la page frauduleuse et en bloquant le compte de l’émetteur, mais nous invite tout de même à signaler les courriels frauduleux à cette adresse de support.

Crypto.Québec vous rappelle qu’en tout temps, il est préférable de redoubler de prudence avant de cliquer sur un lien suspect ou provenant de personnes inconnues.

Les Chiens de garde #32 – Giuliani en cybersécurité, la connexion Trump-Russie selon Chris Steele et la sécurité de WhatsApp versus l’expérience utilisateur

La 32e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 18 janvier 2017.

Type de fichier : OGG / MP3 – Taille : 29,21MB – Durée : 31:54 m (128 kbps 44100 Hz)

Notes de l’émission

Annonces:
- Camp FACiL ce week-end.
- Nouveau podcast en sécurité: La French Connection.
- Chelsea Manning sortira de prison en mai.
Politique:
- Rudy Giuliani est nommé conseiller en cyber-sécurité pour la future administration Trump. Personne ne sait exactement ce que sa compagnie, Giuliani Security, fait mais chose certaine, ça sent mauvais.
- Christopher Steele, un ancien du MI6, aurait tenté d’aviser le FBI de liens entre Trump et la Russie depuis l’automne. Depuis, l’actualité fourmille de désinformation, tandis que le FBI n’a que très peu et tardivement réagi… Est-ce même déchiffrable? Est-il crédible de dire que la Russie a hacké le DNC?
- Pendant ce temps, en Italie, la franc-maçonnerie ciblée par un hack peu habituel.
Sécurité:
- The Guardian prétend qu’une porte dérobée dans le logiciel de messagerie WhatsApp permettrait un changement de clé de chiffrage lorsque hors-ligne. Avec les paramètres par défaut de l’application, ce changement est complètement transparent. Open Whispers Systems dément complètement les accusations.
- Google lance Key Transparency, un système “sécuritaire et ouvert” pour le partage de clés publiques. Allez voir sur GitHub, et gardez en tête que la sécurité d’un tel système dépend de tiers qui vérifient que les données sont intègres. :)
- Cloudflare au front avec l’EFF contre une “NSL” (National Security Letter- lettre de sécurité nationale) depuis 2013.
- BadUSB version 2017, ou comment prendre le contrôle de certains processeurs Intel par simple accès au port USB. Pour aller plus loin : la présentation au 33c3.
Résolutions de 2016:
- Les mots de passe les plus populaires en 2016 nous apprennent une chose : vous avez des efforts à faire… et les bots sont parmi nous.

Collaborateurs

Animation : Geneviève Lajeunesse
Sonorisation : Mathieu Tessier
Chroniqueurs : Jean-Philippe Décarie-Mathieu et Sophie Thériault
Médias sociaux : Sophie Thériault
Identité graphique : Bonhomme
Indicatif sonore : Danny Provencher / Under Electric Light
Autres remerciements : Vues & voix pour les locaux

Pokémon Go bouffe vos données… personnelles

Nous sommes très fiers de vous annoncer et de vous présenter le premier article de Crypto.Québec en tant que collaborateurs à L’Actualité. Nous écrirons sur la sécurité informatique, la vie privée (ce qu’il en reste) et la surveillance de masse pour ce journal.

Pour mon premier article, j’ai épluché les termes d’utilisation de Pokémon Go pour savoir ce que Niantic récolte comme données privées sur ses joueurs et ce qu’elle en fait. Un extrait:

« Force est de constater que l’utilisation de Pokémon Go contribue à la société de surveillance, en plus de créer une couche supplémentaire d’espionnage orwellien. Le pistage d’informations devient non seulement socialement acceptable, mais attrayant, puisqu’il s’accompagne d’une récompense instantanée. L’ensemble des déplacements d’un joueur, son âge, ses habitudes Web valent leur pesant d’or dans l’univers de la publicité ciblée.

Pas étonnant que Pokémon Go soit gratuit. Le produit, ici, n’est pas le jeu. C’est le joueur. »

Lisez la suite sur le site web de l’Actualité.

Les Chiens de garde #09 – La collecte de données en Europe, l’avenir sombre des mots de passe et la bataille des hackbots

La neuvième émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le lundi 11 juillet 2016.

Type de fichier : OGG / MP3 – Taille : 36,88MB – Durée : 32:58 m (156 kbps 44100 Hz)

Notes de l’émission

Invitation: nous présentons la première émission de la deuxième saison de Mr. Robot le mercredi 20 juillet à 21h au Yïsst. Venez nous voir!
Irlande: “law to allow snooping on social media defies European court ruling”
Facebook Messenger supportera bientôt le protocole de cryptage point-à-point Signal.
Les mots de passe sont en voie de disparition et devraient être remplacés par la reconnaissance biométrique et l’authentification à deux facteurs (2FA) d’ici 2025… ou même un “score de confiance”, du moins du côté de Google, d’ici la fin de l’année.
La peur de l’État pousse certaine compagnies à RÉDUIRE les données recueillies sur leurs usagers.
Plan numérique AKA “Plan Merd” – “Aucune mobilisation sérieuse en vue sur le numérique”. Plus sur le plan numérique ici.
DARPA : Battle of the Hackbots!
Chelsea Manning aurait tenté de se suicider. Voici les dernières nouvelles provenant de son entourage.

Collaborateurs

Animation et sonorisation : Geneviève Lajeunesse
Chroniqueurs : Jean-Philippe Décarie-Mathieu, Luc Lefebvre et Sophie Thériault
Médias sociaux : Sophie Thériault
Identité graphique : Bonhomme
Indicatif sonore : Danny Provencher / Under Electric Light
Autres remerciements : L’Actualité, pour les locaux

Les Chiens de garde #07 – Collecte de l’identité numérique aux frontières et automatisation de la censure sur les médias sociaux

La septième itération des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est maintenant disponible. L’épisode a été enregistré le lundi 27 juin 2016.

Type de fichier : OGG / MP3 – Taille : 27,28MB – Durée : 24:44 m (154 kbps 44100 Hz)

Notes de l’émission

La présence en ligne bientôt collectée aux frontières américaines?
Facebook et YouTube automatisent la censure de contenu dit “extrémiste”
Géolocalisation et suggestion d’amis Facebook: un dangereux précédent aux ramifications inquiétantes.
La pétition demandant un nouveau vote sur le Brexit est un coup fumant (et automatisé) de 4chan.
Le blocage des communications du SPVM dénoncé par la FPJQ.

Collaborateurs

Animation et infrastructure: Jean-Philippe Décarie-Mathieu
Chronique et médias sociaux: Sophie Thériault
Sonorisation : Geneviève Lajeunesse
Identité graphique : Bonhomme
Indicatif sonore : Danny Provencher / Under Electric Light
Autres remerciements : L’Actualité, pour les locaux, et Luc Lefebvre qui est finalement sur le décalage horaire