~~ Nos Rappels de securité 5 ~~

Je te tague, tu me tagues par la barbichette….

18.04.2011
Vous vous souvenez de nos amis les Likejacks ? Et bien, nous vous présentons leurs cousins passionnés de photo : les Tagjacks. Il s’agit de la dernière trouvaille des scammers, destinée à améliorer leurs techniques de hijacking.

Tout commence avec l’album photos d’un ami dans lequel celui-ci vous a apparemment « tagué ».


Rien de bien inquiétant pour le moment, si ce n’est à quelques détails près. L’image affichée représente une fille sexy. Où est le mal ? Et bien, gardez toujours à l’esprit le risque que constitue les contenus scandaleux/choquants.

Si cela n’a pas éveillé chez vous de soupçons quant à la légitimité de cette application, jetez un coup d’œil aux petits caractères qui accompagnent la photo : « wow, ça marche>> vous pouvez maintenant savoir qui consulte le plus votre profil Facebook ! » Vraiment ? Ça n’a pourtant plus grand-chose de nouveau : cet argument a déjà été utilisé à de très nombreuses occasions.

Voyons ce qui se passe si vous décidez de cliquer sur le lien… Cela vous rappelle quelque chose ? L’étape suivante ? Cliquez sur « Login », bien consciencieusement.
http://www.malwarecity.com/images/en/1050/2.jpg

Ta-daaaaaaaaaaaaaaaam ! Voici les autorisations. Il n’y en a que deux, mais elles suffisent amplement. « Accéder à mes informations de base » permettra à l’application d’obtenir la liste des amis de l’utilisateur, alors que l’autorisation « Poster sur mon mur » lui permettra de publier des messages ET des photos sur son mur. Comme c’est pratique



Cliquez sur « Autoriser » et vous vous en mordrez les doigts.



Comme d’habitude, vous entrez dans un labyrinthe interminable d’actions pour débloquer du contenu.

Le bilan de tout cela ? Vous vous retrouvez avec une nouvelle photo dans votre galerie : celle de la fille sexy. De plus, tous vos contacts seront « tagués » sur cette photo afin d’apporter une plus grande visibilité au scam. Sans compter les messages publiés sur les murs de vos amis pour indiquer qu’ils ont été tagués.


Tout cela déclenchera un véritable effet boule de neige (voir les explications ci-dessous) :

L’ami A (a cliqué sur ce lien) -> L’ami B* (se retrouve avec une publication sur son mur indiquant qu’il a été « tagué » sur une photo, qu’il clique ou non sur le lien) -> L’ami C* (voit le post indiquant que B a été « tagué » et a accès au lien malveillant, même si B ne clique pas dessus).

* B est l’ami de A et C est l’ami de B

Un effet viral vous dites ? Précisément !

Les scammers en veulent toujours plus et leur arsenal s’appuie de plus en plus sur les fonctions légitimes du réseau social, soyez attentif au moindre signe de problème avant d’installer une application. Vous trouverez dans cet article des éléments pour débusquer les applications malveillantes.

Les points à toujours garder en tête :

- Aucune application légitime ne peut vous indiquer combien de fois votre profil a été consulté, qui sont les personnes qui le visitent le plus souvent, ni qui sont les personnes qui vous espionne sur le réseau social.

- Regardez attentivement la liste des autorisations requises par les applications.

- Les photos/vidéos douteuses partagées sont susceptibles de contenir toutes sortes de pièges.

Source : Malware City

Yahoo! fait volte-face et revient sur sa dernière politique initiée en 2008. Pour certains garants de la protection de la vie privée, Yahoo! faisait partie des très bons élèves. Alors que les CNIL européennes plaident par exemple pour une conservation des données personnelles enregistrées par les moteurs de recherche n'excédant pas un délai de 6 mois, Yahoo! avait décidé d'aller jusqu'à 3 mois.

Dans le centre d'information de Yahoo!, on peut ainsi toujours lire à la rubrique anonymisation des logs de que pour ces derniers ainsi que les recherches, publicités visualisées, clics effectués sur les publicités, pages vues et clics sur les pages, les données sous une forme identifiable sont conservées jusqu'à un délai de 90 jours. Pour des mesures de néanmoins ( détection de fraude financière, abus... ), un volume limité de logs de connexion est conservé sous forme identifiable jusqu'à 6 mois.

Stupeur, alors que cette question de la conservation des données personnelles n'a jamais été autant médiatisée, Yahoo! a décidé de repousser son délai à 18 mois. Rappelons qu'il est de 9 mois pour Google ( pour les adresses IP ; après 18 mois pour les cookies ), tandis que Bing a engagé une procédure pour tendre vers un délai de 6 mois.

Dans les 4 à 6 prochaines semaines, Yahoo! va commencer à communiquer plus largement sur sa nouvelle politique de confidentialité ( notifications ) qui devrait être mise en œuvre à partir de mi-juillet 2011.

Yahoo! justifie timidement cette nouvelle politique en évoquant une " expérience individuelle plus robuste " pour les utilisateurs. " Au cours des trois dernières années, la manière dont nous - et d'autres sociétés - offrons des services en ligne et la façon d'utiliser a considérablement changé ".

On comprend entre les lignes que Yahoo! juge désormais essentiel de conserver des données plus longtemps pour mieux personnaliser des résultats de recherche et autres . Pour mieux faire passer la pilule, Yahoo! souligne travailler à l'amélioration d'outils permettant aux utilisateurs de mieux contrôler leurs données personnelles, collaborer avec des éditeurs qui dans leurs navigateurs proposent des fonctionnalités contre le pistage sur le Web.

[quote="Yahoo!]" La protection de la vie privée a toujours été au cœur des préoccupations de notre compagnie "[/quote]

Source > http://www.generation-nt.com

Source : Malware City

clic sur la flèche :

Google a révélé la source présumée d´une attaque informatique à l´encontre de son service gMail. Eric Grosse, directeur de pôle sécurité informatique de Google, a déclaré dans un message sur le blog officiel du géant de l'Internet, que des centaines d'utilisateurs de gMail avaient été visés par une attaque informatique. "Grâce à notre sécurité informatique​ et nos systèmes de détection d'attaques, nous avons récemment découvert une campagne de collecte de mots de passe, probablement à la suite d'un phishing, explique Eric Grosse, Une attaque qui semble provenir de Jinan, en Chine".

Parmi les cibles, de hauts responsables du gouvernement américain, des militants Chinois, des fonctionnaires d'état basés en Corée du Sud, des militaires et des journalistes. "Le but de cette attaque semble avoir été de surveiller le contenu des comptes gMail de ces utilisateurs." Bref, pas besoin d'être un 007 du Tewu ou du Guoji Anquanbu pour viser ce type de services. Par contre, il serait bien de se poser la question à savoir pourquoi des fonctionnaires d'état s’évertuent à utiliser un service cloud qu'ils ne maîtrisent pas, laissant messages, contacts, etc à disposition de Google et du premier pirate qui réussira une intrusion grace à une technique aussi banale qu'est le phishing ! Pékin a réfuté les accusations de Google.

Source:
Zataz

L´option poker du site Internet du PMU souffre d´une potentialité pirate. Prudence, ne cliquez pas sur des liens extérieurs au Pari Mutuel Urbain. Le site Internet du PMU propose, en plus de parier sur les courses hippiques hexagonales, de jouer au poker. Il a été découvert par un lecteur de ZATAZ.COM une potentialité malveillante de type XSS. Un Cross Site Scripting qui pourrait, entre de mauvaises mains, permettre l'interception du cookie de connexion des parieurs, de créer une redirection pirate ou encore donner la possibilité de diffuser un code malveillant


Source:
Zataz