Les clés USB sont de petits supports de stockage mobiles. Elles sont très utiles pour leur capacité à sauvegarder des données et pour leur portabilité. Cependant, plusieurs problèmes peuvent rendre la lecture de votre clé sur votre ordinateur impossible. Par exemple, un port USB défectueux, une corruption des données ou encore des connecteurs cassés. Et comme vous ne pouvez pas ouvrir votre support USB, vous n’arrivez plus accéder à ses données. Découvrez comment récupérer les fichiers stockés sur une clé endommagée.

Dans ce tutoriel, nous vous présenterons 4 méthodes pour vous aider à récupérer les données d’une clé USB non reconnue. Nous vous partageons également les premiers réflexes à adopter si votre support de stockage n’est pas détecté par votre ordinateur. Puis, quelques conseils pour prévenir la perte de vos fichiers à cause d’une clé dysfonctionnelle. Partons à la recherche de vos données perdues !

Les bons réflexes en cas de clé USB non reconnue

Votre clé USB n’est pas reconnue par votre ordinateur, mais vous souhaitez récupérer des fichiers stockés dessus ? Parfois, les solutions les plus simples sont les plus efficaces. Commencez par vérifier un par un les éléments suivants. L’un d’entre eux sera peut-être suffisant pour accéder à votre appareil de stockage et retrouver vos fichiers bloqués dessus. Voici les bons réflexes à adopter :

1. Vérifiez les ports USB de votre ordinateur. Il est possible que la clé USB soit en parfait état, mais que le port USB sur lequel vous la branchez soit endommagé. Pour exclure cette possibilité, essayez la clé sur une autre prise de votre PC. Si elle est soudainement reconnue, alors le précédent port USB est défectueux.
2. Testez votre dispositif de stockage sur un autre ordinateur. Vous venez de tester toutes les prises USB de votre ordinateur, mais votre clé n’est toujours pas reconnue. Essayez-la sur une autre machine. Si elle détecte correctement votre clé USB, alors le problème doit venir de votre PC lui-même.
3. Évitez d’utiliser un hub USB (appelé aussi une multiprise USB). Si votre clé est branchée sur un hub, tentez de la connecter directement sur un port USB de votre PC. Certains ordinateurs ne peuvent fournir une alimentation électrique suffisante pour tous les périphériques branchés sur une multiprise USB.
4. Contrôlez le câble de votre disque dur externe. Si vous utilisez un disque dur, assurez-vous que son câble est en bon état. Connectez votre appareil en utilisant un nouveau fil sur votre ordinateur. Il détecte votre disque dur externe ? Il vous suffit alors de changer le câble.
5. Nettoyez vos équipements informatiques. De la saleté et de la poussière peuvent s’accumuler sur vos appareils empêchant la connexion entre les ports USB de votre ordinateur et votre support de stockage. Un nettoyage régulier de votre matériel informatique vous permettra d’éviter ce problème.
   ! Attention : nettoyez les prises USB de votre PC uniquement lorsque votre appareil est éteint. Sinon, vous risquez de l’endommager.
6. Redémarrez votre ordinateur. Si votre clé USB n’est toujours pas détectée par votre PC, essayez de le redémarrer. Laissez le temps à Windows de lancer ses services avant de brancher votre appareil de stockage sur l’un des ports USB.

Vous avez suivi chacune des étapes précédentes, mais le problème de détection de votre clé USB persiste ? Vous n’arrivez pas à récupérer vos données ? Poursuivez cet article. Dans la partie suivante, nous vous proposons plusieurs méthodes pour tenter de récupérer vos fichiers stockés dans votre périphérique USB mort, sans avoir besoin de le réparer.

Récupérer les données d’une clé USB non reconnue : 4 méthodes

Avec Sauvegarde de Windows [méthode 1]

Vous pouvez aussi vous tourner vers des espaces de stockage dans le cloud, comme OneDrive ou Google Drive. Si vous n’avez pas de copie de vos informations contenues dans la clé USB défectueuse, vérifiez ces options. Sinon, une autre solution consiste à restaurer vos données à partir de la Sauvegarde Windows. Cet outil vous permet d’enregistrer une copie de vos dossiers et vos documents sur un support externe. Cependant, vous devez avoir préalablement configuré l’outil pour accéder à des sauvegardes de vos données.

1. Pour récupérer vos fichiers grâce à la Sauvegarde Windows, accédez au menu Démarrer et rendez-vous dans les Paramètres ou faites directement Win ❖+ I pour ouvrir les Paramètres de Windows.
   
2. Entrez dans Mise à jour et sécurité.
   
3. Cliquez sur Sauvegarde.
    
4. Allez dans Accéder à l’outil de sauvegarde et de restauration de Windows 7.
   
5. Dans la fenêtre qui s’affiche, cliquez sur le bouton Restaurer les fichiers.
   
6. Par défaut, Windows choisit la dernière sauvegarde effectuée sur votre PC. Pour accéder à une version plus ancienne, faites Choisir une autre date.
   
7. Sélectionnez la sauvegarde que vous souhaitez restaurer en fonction de sa date et cliquez sur OK.
   
8. Vous souhaitez restaurer des fichiers ou des dossiers spécifiques ? Parcourez l’Explorateur de fichiers de votre sauvegarde, en cliquant sur Fichiers ou Dossiers. Vous connaissez le nom de l’élément que vous souhaitez récupérer ? Appuyez sur Rechercher.
   
9. De mon côté, j’ai accédé au bouton Dossiers. Sélectionnez le ou les éléments que vous souhaitez récupérer et faites Ajouter un dossier (ou OK ou Ajouter des fichiers, en fonction de votre action précédente).
   
10. Une fois votre ou vos fichiers ajoutés, appuyez sur Suivant.
    
11. Déterminez l’emplacement de vos documents que vous souhaitez récupérer. Puis, cliquez sur Restaurer.
    

Avec Disk Drill [méthode 2]

Une autre méthode consiste à accéder à vos fichiers bloqués dans votre support USB à l’aide de l’application Disk Drill. Ce logiciel permet de récupérer gratuitement vos données allant jusqu’à 500 Mo, que vous les ayez perdues ou effacées par erreur ou par accident. Même si votre clé ou votre disque dur externe ne s’ouvrent plus sur votre ordinateur, il est possible que votre machine l’ait enregistré.

Vérifier la visibilité de votre support USB

Cette condition est essentielle pour retrouver les informations stockées sur votre clé USB dysfonctionnelle avec Disk Drill. Pour que la récupération fonctionne avec ce logiciel, vérifiez la visibilité de votre périphérique USB au niveau de l’outil de Gestion des disques de votre PC. La démarche est simple et rapide !

1. Rendez-vous dans les Paramètres.
2. Au niveau de la barre de recherche, tapez Créer et formater des partitions de disque dur et cliquez dessus.
   
3. La fenêtre de Gestion des disques s’ouvre. Pour être visible, votre clé USB doit s’afficher en tant que support amovible. Si ce n’est pas le cas, vous ne pourrez pas retrouver vos informations bloquées avec cette méthode.
   

Récupérer vos données avec Disk Drill

1. Après avoir vérifié la visibilité de votre clé USB sur l’outil de Gestion des disques, téléchargez Disk Drill. Vous pouvez choisir entre la version pour macOS et pour Windows.
2. Choisissez l’emplacement de téléchargement du logiciel et faites Enregistrer.
   
3. Lancez le fichier exécutable disk-drill-win.exe.
   
4. Pour démarrer l’installation, faites Installer.
   
5. Une demande d’autorisation s’ouvre, cliquez sur Oui.
6. Une fois l’installation de Disk Drill réussie, appuyez sur Lancer.
   
7. Une nouvelle demande d’autorisation s’ouvre, cliquez sur Oui. Disk Drill s’ouvre.
8. Sélectionnez le support USB que vous souhaitez analyser. Pour moi, il s’agit de ma clé Lexar USB Flash Drive. Et faites Recherche de données perdues.
   
9. Une fois l’analyse de votre clé ou de votre disque dur externe terminée, appuyez sur Examiner objets trouvés pour afficher la liste de tous les éléments récupérables. Vous souhaitez récupérer toutes les données disponibles sur votre support USB ? Cliquez sur Tout récupérer.
   
10. Choisissez les éléments que vous voulez récupérer et faites Récupérer. Par exemple, je récupère tous les fichiers stockés dans le dossier Partitions perdues Lexar.
    
    i Note : pour prévisualiser des fichiers avant de les restaurer, vous pouvez simplement double-cliquer dessus.
11. Déterminez un emplacement fiable pour enregistrer vos données récupérées. Et cliquez sur Suivant.
    
12. Une fenêtre s’ouvre indiquant le processus de récupération de vos données. Vous pouvez maintenant accéder aux fichiers retrouvés en appuyant sur Afficher les données récupérées dans l’Explorateur.
    

Avec l’Historique des fichiers de Windows [méthode 3]

Votre système d’exploitation Windows est équipé d’un Historique des fichiers. Cette fonction native peut vous aider à récupérer des fichiers perdus ou supprimés par erreur ou par accident, mais aussi de retrouver des versions antérieures de vos documents. En effet, l’outil enregistre vos fichiers à intervalle régulier permettant d’enregistrer plusieurs versions de chaque document.

La récupération de vos données avec cette méthode est possible, si vous avez activé cette fonction au préalable. Pour accéder à l’Historique de vos fichiers et récupérer vos fichiers involontairement effacés ou perdus, suivez les instructions suivantes.

1. Ouvrez les Paramètres.
2. Cliquez sur Mise à jour et sécurité.
3. Faites Sauvegarde.
   
4. Pour récupérer vos documents avec cette méthode, vérifiez que la fonction de Sauvegarde à l’aide de l’historique des fichiers soit bien activée. Son interrupteur doit apparaître en bleu et précéder la mention « Activé ».
   
5. L’historique des fichiers est activé ? Ouvrez Recherche, tapez Restaurer vos fichiers à l’aide de l’Historique des fichiers et cliquez sur Ouvrir.
   
6. La sauvegarde la plus récente s’affiche. Cliquez sur les éléments que vous souhaitez récupérer. Par exemple, je veux restaurer mon dossier intitulé Le Crabe Info. Une fois votre sélection faite, appuyez sur le bouton vert avec la flèche blanche pour Restaurer à l’emplacement initial. Les fichiers se téléchargent immédiatement sur votre ordinateur.
   
   i Note : pour prévisualiser des fichiers avant de les restaurer, vous pouvez simplement double-cliquer dessus. Et pour en sélectionner plusieurs, vous devez maintenir la touche Ctrl enfoncée.

Avec un laboratoire de récupération des données [méthode 4]

Malgré les tentatives précédentes, vous n’avez pas réussi à récupérer les données stockées dans votre clé USB non reconnue ? Si elles sont suffisamment importantes pour vous, contactez un service informatique spécialisé dans la restauration des données tel que Databack ou le leader français Recoveo, par exemple. Ces professionnels disposent de l’expérience et des équipements nécessaires pour récupérer vos fichiers effacés ou perdus par erreur ou par accident.

Perte de données et clé USB non reconnue : 3 conseils

Vous avez pu récupérer vos données stockées sur une clé USB non reconnue ? Félicitations, c’est une très bonne nouvelle. Sinon, nous sommes désolés que ça n’ait pas fonctionné. Dans tous les cas, assurez-vous que c’est bien la dernière fois que vous perdez ou risquez de perdre des fichiers à cause d’une panne de votre clé ! Pour éviter de vous retrouver une nouvelle fois dans cette situation, suivez les conseils suivants :

• ☞ Changez votre support de stockage défectueux. Vous avez réussi à retrouver vos données après la panne de votre clé ? Nous vous recommandons de changer de support USB pour éviter de vous retrouver une nouvelle fois dans cette situation. Sauf si vous connaissez l’origine du dysfonctionnement et que vous avez la certitude d’avoir résolu son problème.
• ☞ Prévoyez des copies de vos sauvegardes. Sauvegarder régulièrement ses données, c’est très bien, mais le faire à différents endroits, c’est mieux. Pour garantir la sauvegarde de vos fichiers, pensez à les stocker sur plusieurs clés USB, CD ou disques durs externes. Vous pouvez aussi les enregistrer dans le cloud, les sauvegarder localement sur votre ordinateur ou utiliser la Sauvegarde automatique de Windows.
• ☞ Prenez soin de vos périphériques USB. Outre le risque de perte et de vol, la plupart des clés et disques durs externes sont fragiles. Pour éviter de vous retrouver avec un support USB non reconnu car dysfonctionnel, évitez les chocs et les liquides. De plus, ne branchez pas votre appareil de stockage sur n’importe quelle prise. Il peut être infecté par un logiciel malveillant que vous n’allez pas repérer tout de suite. Vous pouvez perdre les données stockées dessus et infecter les ordinateurs sur lesquels vous allez tenter de brancher votre périphérique.

Vous souhaitez protéger votre clé ou votre disque dur externe contre l’intrusion et le vol ? Découvrez comment chiffrer votre support USB avec BitLocker.

Clé USB : autres liens utiles

• Démarrer son PC à partir d’une clé USB ou d’un CD/DVD
• Créer une clé USB multiboot UEFI avec Easy2Boot
• Créer une clé USB multiboot avec Ventoy
• Créer une clé USB rétrocompatible de Windows 11 (CPU, TPM 2.0, Secure Boot…)
• PlayStation 2 : lire des jeux PS2 depuis une clé USB avec OPL
• MediCat : créer une clé USB de dépannage et de secours
• Créer une clé USB d’installation de Windows 11 [11, 10, 8,1, 7]

Source

Le gang de pirates ALPHV / Blackcat a mis la pression sur les dirigeants VF Corporation (North Face, Vans, Timberland) après une négociation ratée à cause du montant de la rançon. Le groupe a subi une cyberattaque mettant à mal de nombreuses opérations commerciales.

La cyberattaque menée contre VF Corp, groupe propriétaire de célèbres marques comme Vans, Supreme et The North Face, a permis aux hackers de dérober les données de millions de clients.

Un collectif de hackers ukrainiens a publié une base de données provenant du ministère de la Défense russe. Les fichiers publiés contiendraient les plans de plus de 500 bases militaires en Russie.

A l’approche de la journée européenne de la protection des données qui aura lieu le 28 janvier prochain, de nombreux dirigeants sont amenés à réfléchir à la sécurité de leur entreprise. Cette journée souligne l’intérêt de mettre en place des mesures réglementaires pour protéger aux mieux les données personnelles. Tribune – Gaetan Fron, Directeur commercial […]

Le géant américain du test ADN commercial a admis auprès des autorités américaines que les données dérobées par des hackers pouvaient comprendre des informations génétiques.

Le kill switch est un bouton d’arrêt d’urgence. Dans les VPN, la fonction kill switch sert à ajouter une deuxième couche de protection de l’utilisateur, assurant que son adresse IP ne soit jamais visible, même si la connexion du VPN venait à faillir.

Cinq jours après Viamedis, un autre spécialiste du tiers payant, Almerys déclare être victime d'une cyberattaque, exposant des données d'assurés sociaux. Le numéro de sécurité sociale est une de vos données personnelles les plus précieuses, mais savez-exactement pourquoi ?

Source

Sur Windows 10 ou Windows 11, vous souhaitez protéger l’accès à un dossier.
Le but est que certains utilisateurs ne puissent consulter, ouvrir et enfin modifier ce dernier.
Cela est tout à fait possible à travers les sécurités et autorisations.

Le but ici est de modifier les permissions afin que certains utilisateurs ne puisse ouvrir.

Ce tutoriel vous guide pas à pas pour protéger l’accès à un dossier sur Windows 10/11.

Comment protéger l’accès à un dossier sur Windows 10/11

Ce tutoriel se base sur les comptes administrateurs Windows et les autorisations de fichiers ou dossier.
Le but est de modifier les autorisations d’un dossier afin qu’un utilisateur Windows ne possède plus les autorisations dessus.

Créer un nouvel utilisateur Windows

Ainsi pour que cela fonctionne, vous devez créer un nouvel utilisateur Windows.
Sauf bien entendu si cela est déjà fait.

En effet, sinon il pourra modifier les permissions pour se donner les droits sur le dossier protégé.
Pour ce faire, vous pouvez suivre notre article dédié.

Dans ce tutoriel, nous avons les comptes suivants :

• MaK le compte administrateur
• Démo le compte utilisateur NON administrateur

Pour obtenir cet écran :

• Sur votre clavier appuyez sur la touche + R
• Puis dans la fenêtre exécutez, saisissez netplwiz puis OK

Le but est de faire en sorte que le compte utilisateur Démo ne puisse pas accéder au dossier SuperDossier.
L’utilisateur Mak, lui administrateur, continue d’avoir accès à ce dossier.
Bien sûr sur votre PC, l’utilisateur qui ne doit pas avoir accès au dossier protégé porte un autre nom.

Modifier les permissions pour protéger l’accès à un dossier

En vidéo

Protéger l’accès à vos fichiers avec le coffre-fort de OneDrive

Le coffre-fort personnel est un dossier sécurisé dans votre OneDrive auquel on ne peut accéder qu’avec une méthode d’authentification forte ou un deuxième facteur de vérification de l’identité, comme votre empreinte digitale, votre visage, votre code PIN ou un code que vous recevez par SMS ou que vous générez dans l’application Microsoft Authenticator.
Vous pouvez l’utiliser pour stocker vos fichiers importants et sensibles.

Protéger l’accès à un dossier par un mot de passe

D’autres méthodes existent pour bloquer et protéger l’accès à un dossier.
Par exemple, on peut faire en sorte de demander un mot de passe lorsque vous ouvrez le dossier.

L’article suivant donne plusieurs méthodes.

Sécuriser l’accès à un dossier avec le chiffrement de fichiers de Windows 10/11

Enfin on rappelle que les éditions professionnelles de Windows 10/11 ont une fonction pour protéger les dossiers.
Il s’agit de la technologie EFS.

On en parle dans l’article suivant.

L’article Protéger l’accès à un dossier sur Windows 10/11 est apparu en premier sur malekal.com.

Dans quelques années, un ordinateur quantique ultra-puissant pourrait être en mesure de déchiffrer nos conversations privées. Pour éviter d'être pris de court, Apple annonce être reparti à zéro avec iMessage. Début mars, l'application de messagerie instantanée basculera vers « un protocole cryptographique post-quantique ».

Une vaste base de données a été diffusée, révélant l'activité d'une entreprise chinoise d'espionnage. Des outils de surveillances, des programmes d'infiltrations ainsi que des cibles, dont deux françaises, ont été dévoilés.

Le piratage de Viamedis et Almerys est lourd de conséquences : moins d'un mois après ces deux incidents de sécurité, il y a déjà plus de 217 000 cas d'usurpations d'identité recensés ! Une donnée effrayante.

Rappel des faits

Le 1er février 2024, l'organisme de tiers-payant de santé Viamedis a subi une cyberattaque lors de laquelle les pirates sont parvenus à voler des documents et des informations au sujet des clients. Puis, quelques jours plus tard, c'est Almerys qui a subi le même sort.

En effet, le lundi 5 février 2024, un second organisme de tiers-payant de santé a subi une cyberattaque : Almerys. Les cybercriminels ont pu accéder au portail Almerys dédié aux professionnels de santé grâce à des identifiants et mots de passe de certains comptes de professionnels de santé clients d'Almerys.

Résultats, 33 millions de citoyens français sont plus ou moins impactés par ces incidents de sécurité, notamment, car parmi les clients de Viamedis et Almerys, il y a des mutuelles populaires.

• Les cyberattaques de Viamedis et Almerys exposent les données personnelles de millions de Français

Une vague d'usurpations d'identité

Les escrocs et les pirates sont bien décidés à tirer profit de ces incidents de sécurité. Pour eux, c'est une aubaine car il y a 33 millions de cibles potentielles... D'après l'outil de surveillance FranceVerif, ils sont déjà passés à l'action parce que dès le 16 février, il y avait déjà 96 000 usurpations d'identités recensées. Jour après jour, ce chiffre ne cesse d'augmenter. En date du 26 février 2024, FranceVerif recensait 217 000 usurpations.

En principe, ce chiffre devrait énormément augmenter dans les semaines et mois à venir puisque les enchères sont toujours en cours sur le Dark Web. Autrement dit, il reste toujours des données à vendredi. À ce sujet, FranceVerif précise : « Et nous ne sommes que sur la vente des données d’environ 300 000 personnes... il reste encore 32,7 millions de personnes dont les données n’ont pas encore été vendues. »

Dans le cas présent, l'usurpation d'identité est envisageable car les pirates disposent de presque toutes les informations nécessaires pour le faire : nom, prénom(s), date de naissance, rang de naissance, numéro de Sécurité sociale, nom de l'assureur santé et numéro de contrat de l'assureur. Tout dépend des contrôles effectués par l'opérateur que vous avez au bout du fil, car il peut manquer l'adresse e-mail et le numéro de téléphone...

D'ailleurs, le numéro de Sécurité sociale est une mine d'or car il révèle des informations sur le titulaire : sexe, année de naissance ou encore le département de naissance. En complément, n'oublions pas que les cybercriminels ont toujours la possibilité de croiser les informations entre plusieurs fuites de données, afin d'obtenir les pièces manquantes du puzzle.

Source

The post Piratage de Viamedis et Almerys : déjà 217 000 usurpations d’identité recensées ! first appeared on IT-Connect.

Un nouveau rapport publié par GitGuardian met en lumière les problèmes de sécurité associés aux dépôts GitHub. En 2023, les utilisateurs ont exposé 12,8 millions de secrets d'authentification dans un total de 3 millions de dépôts publics !

Les experts en sécurité de GitGuardian ont mis en ligne un nouveau rapport qui permet de se rendre compte à quel point les dépôts GitHub sont susceptibles de contenir des données sensibles pouvant mettre en péril la sécurité d'une organisation. En l'occurrence, il s'agit d'informations d'authentifications disponibles en libre accès au sein de millions de dépôts GitHub publics.

En 2023, GitGuardian a détecté près de 12,8 millions de secrets dans répartis dans 3 millions de dépôts publics, ce qui représente une augmentation de 28% vis-à-vis de l'année précédente. Au total, il est question de près de 3,7 millions de secrets uniques. Pour essayer d'améliorer la situation, GitGuardian a émis 1,8 million d'alertes par e-mail afin d'alerter certains utilisateurs ayant divulgué des secrets sur GitHub. Néanmoins, seul 1,8 % des utilisateurs contactés ont fait le nécessaire dans les jours suivant la notification.

À quoi correspondent ces secrets ?

Il s'agit de mots de passe de comptes, de clés d'API, de certificats SSL/TLS, de clés de chiffrement, de jetons OAuth, ou d'autres identifiants. Autrement dit, ce sont des informations pouvant permettre à un tiers d'obtenir un accès à des ressources privées.

Grâce à un algorithme de machine learning, GitGuardian est capable de différencier les secrets basiques de ceux un peu plus spécifiques. Si l'on s'intéresse plus particulièrement à des secrets spécifiques, nous avons trouvé plus de 1 million de secrets d'API Google valides (occurrences), 250 000 secrets Google Cloud et 140 000 secrets AWS IAM.", peut-on lire.

La très forte augmentation de l'utilisation de plusieurs intelligences artificielles se traduit par la fuite de clés d'API : "En 2023, GitGuardian a observé une multiplication par 1212 du nombre de fuites de clés API OpenAI par rapport à l'année précédente, ce qui en fait sans surprise le détecteur ayant connu la plus forte croissance." - OpenAI étant la société créatrice de ChatGPT. Dans une moindre mesure, ceci s'applique à d'autres IA comme Google Bard, Claude, ou Cohere.

À qui appartiennent ces secrets ?

D'après le rapport de GitGuardian, le secteur de l'IT est le plus impacté et arrive en tête avec 65,9 %, suivi par le secteur de l'éducation avec 20,1 %. Pour le reste, ce qui représente 14%, GitGuardian ne fait pas la distinction et regroupe tous les autres secteurs.

Parlons maintenant de la provenance géographique de ces secrets. Et, ce n'est pas rassurant, car la France se classe 5ème dans le "Top 10" des pays avec le plus de leaks de secrets dans GitHub (GitGuardian s'appuie sur la localisation précisée sur le profil GitHub des utilisateurs). Surtout, le classement de la France a progressé, de façon négative, vis-à-vis de l'année précédente.

Comment se protéger ?

Tout cela est effrayant quand on sait que de nombreuses attaques et fuites de données sont souvent associées à la compromission d'un compte... Pour lutter contre ce problème, GitGuardian a mis en ligne un outil gratuit nommé "Has My Secret Leaked?". Nous en avions parlé dans cet article :

• Avec le service gratuit "Has My Secret Leaked?", vérifiez si vos secrets ont fuité sur GitHub !

En complément, sachez que le mois dernier, GitHub a activé par défaut une protection pour éviter l'exposition accidentelle de secrets lors d'un push vers un dépôt GitHub.

Source

The post En 2023, près de 12,8 millions de secrets d’authentification ont été divulgués sur GitHub ! first appeared on IT-Connect.

Une cyberattaque contre France Travail, anciennement Pôle emploi, aurait permis à des pirates de dérober les données personnelles de près de 43 millions de personnes. Des informations qui peuvent servir à des fins malveillantes.

Parmi les questions qui se posent autour de la fuite ayant frappé France Travail figure celle de la durée de conservation des données personnelles. Celle-ci peut s'étendre jusqu'à vingt ans, ce qui est tout à fait inhabituel. Ce constat a provoqué une incompréhension et un mécontentement. Mais des explications peuvent être avancées.

Des chercheurs en sécurité sont parvenus à mettre la main sur 19 millions de mots de passe en clair exposés au sein d'instances Firebase mal configurées ! Accessibles publiques, n'importe qui pouvait accéder à ces informations sensibles. Faisons le point sur cette découverte !

Firebase est une plateforme proposée par Google permettant le développement d'applications web et mobile, ainsi que la création de bases de données. Comme tous les services, une mauvaise configuration peut être lourde de conséquence... Ceci est l'occasion de rappeler que les incidents de sécurité ne sont pas systématiquement associés à une vulnérabilité.

D'ailleurs, trois chercheurs en sécurité ont pris l'initiative d'analyser plus de cinq millions de domaines à la recherche d'instances mal configurées ou sans règles de sécurité. S'ils ont mené ces travaux, ce n'est pas par hasard. En effet, récemment, ils sont parvenus à obtenir des droits d'administrateur, puis de super-administrateur sur une instance de Firebase utilisée par la solution Chattr. Cette découverte a poussé les chercheurs à analyser les serveurs exposés sur Internet.

Des noms, des e-mails, des mots de passe, des factures, etc.

Ce scan, qui aura nécessité environ 1 mois, a permis d'identifier 916 sites web vulnérables, avec certaines bases de données Firestore accessibles en écriture. Sur ces instances vulnérables, les chercheurs sont parvenus à collecter plus de 125 millions d'enregistrements avec des données associés à des utilisateurs, avec notamment des adresses e-mail, des noms, des mots de passe, des numéros de téléphone et des informations de facturation avec des coordonnées bancaires.

• Noms : 84 221 169
• Emails : 106 266 766
• Numéros de téléphone : 33 559 863
• Mots de passe : 20 185 831
• Informations de facturation (coordonnées bancaires, factures, etc.) : 27 487 924

Le pire, c'est que 98% des mots de passe découverts sont en texte clair (soit 19 867 627 mots de passe). Ceci est regrettable, car Firebase propose toutes les options nécessaires pour éviter d'exposer les mots de passe. Il s'agit clairement d'une mauvaise configuration.

Ensuite, les chercheurs ont pris le temps d'identifier et de contacter toutes les entreprises concernées afin de les notifier. Au total, en 13 jours, ils ont envoyé 842 e-mails. Même s'ils n'ont pas obtenu de réponse, il est à noter que 25% des entreprises notifiées ont fait le nécessaire pour sécuriser leur instance Firebase.

Source

The post 19 millions de mots de passe en clair exposés dans des instances Firebase mal configurées ! first appeared on IT-Connect.

Êtes vous correctement sécurisé ?

Enfin, je parle de vous mais surtout de vos données et de votre vie privée.

Alors vous allez me dire « Oui, oui, t’inquiète, je t’ai pas attendu pour mettre un long mot de passe » mais en réalité, vous ignorez peut-être certaines mesures de sécurité qu’il seraient également bon de mettre en place.

Heureusement, l’outil Personal Security Checklist est là pour vous aider à sécuriser votre vie numérique. C’est un site que vous pourrez traduire et proposer pourquoi pas dans votre entreprise. Maintenant, pour le tester, le mieux c’est d’aller sur le site Digital Defense qui propose une version en ligne.

Vous pourrez y naviguer entre des listes thématiques et cocher les contre-mesures que vous avez adoptées. Cerise sur le gâteau, vous verrez de jolis graphiques qui vous motiveront pour progresser sur votre hygiène numérique.

Un autre point fort de cette initiative est la mise à disposition d’une API gratuite pour accéder à toutes les données de la liste de vérification. Comme ça vous pourrez intégrer cette liste dans vos outils.

La Personal Security Checklist est un projet collaboratif et il y a pas mal de documentations et de liens avec des bons petits outils comme je les aime tant.

Pour finir, la Personal Security Checklist est sous licence MIT. C’est un excellent point de départ pour renforcer la sécurité de votre vie numérique. A vous de voir si vous pouvez cocher toutes les cases !

Merci à Lorenper

Saviez vous que les fichiers Parquet se prenaient pour des bombes ? Alors pas des bombes latines mais plutôt des bombes zip.

Alors, pour ceux qui débarquent de la planète Mars, il faut savoir que Parquet est devenu le format de prédilection pour échanger des données tabulaires. Très utilisé dans tout ce qui est Big Data et qui met une claque à ce bon vieux CSV tout pourri, Parquet, c’est binaire, c’est colonnaire, c’est compressé, c’est top !

Mais attention, derrière cette apparente perfection se cache un danger mortel pour vos disques durs et autres SSD ! En effet, même un fichier Parquet parfaitement valide peut mettre un sacré bordel et faire planter tous vos services.

Comment ? Et bien simplement avec ce fichier de seulement 42 Ko qui contient… tenez-vous bien… plus de 4 PÉTAOCTETS de données !! Oui, on parle bien de 4 millions de gigaoctets dans un malheureux fichier de 42 Ko, fallait oser.

On appelle ça une bombe de décompression ! Alors comment ça fonctionne ?

Eh bien c’est grâce à un petit tour de passe-passe démoniaque appelé « encodage par dictionnaire« . En gros, on lui donne un dictionnaire avec une seule valeur, et ensuite on fait référence à cette valeur en boucle, environ 2 milliards de fois. Résultat, on obtient un fichier minuscule car compressable au maximum mais qui une fois dézippé représente une table monstrueusement gigantesque.

C’est subtil… mais c’est vicieux ! 😈

Imaginez un peu le carnage si vous balancez ce fichier innocent dans votre pipeline Big Data sans faire gaffe… Boom ! 💥 Plantage général, crash systémique, apocalypse nucléaire ! Vos services vont tenter de lire ce fichier en pensant que c’est un gentil petit fichier Parquet de rien du tout, et là… Surprise ! C’est le chaos total. Votre cluster va fondre comme neige au soleil en essayant d’avaler ces pétaoctets de données.

Morale de l’histoire, faites attention à tout, même à ce que vous dézippez.

Et si vous avez un peu de place sur votre disque dur, vous pouvez toujours tenter l’aventure en téléchargeant 42.zip ici. (NON, NE DEZIPPEZ PAS CE TRUC !! MAUVAISE IDEE !!) (le mot de passe du zip est : 42)

Source