FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Des comptes cloud Google sont piratés pour miner des cryptomonnaies

1 décembre 2021 à 10:45

Le dernier rapport des équipes de cybersécurité de Google sur leur Cloud révèle qu'une écrasante majorité des instances compromises sont utilisées pour miner des cryptomonnaies. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

The post Des comptes cloud Google sont piratés pour miner des cryptomonnaies appeared first on Cyberguerre.

« admin-password » : les mots de passe par défaut de vos appareils connectés sont une plaie

25 novembre 2021 à 11:17

Le Royaume-Uni va interdire l’utilisation de mots de passe par défaut trop faciles à deviner. Une idée plutôt intéressante qui pourrait, relativement simplement, limiter le risque d’attaques et de vol de données. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article « admin-password » : les mots de passe par défaut de vos appareils connectés sont une plaie est apparu en premier sur Numerama.

Mozilla délaisse son gestionnaire de mots de passe Lockwise, mais ce n'est pas si grave

24 novembre 2021 à 13:57

Firefox Mozilla Lockwise

L'application Lockwise va cesser de fonctionner. Le gestionnaire de mots de passe conçu par Mozilla sera abandonné le 13 décembre. Il existe néanmoins une solution de repli. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Mozilla délaisse son gestionnaire de mots de passe Lockwise, mais ce n’est pas si grave est apparu en premier sur Numerama.

Recherche CyberArk – Les risques des mots de passe Wi-Fi faibles pour la sécurité des consommateurs

26 octobre 2021 à 14:50
Par : UnderNews

Un chercheur de CyberArk, Ido Hoorvitch, s’est récemment livré à une activité pas comme les autres dans sa ville natale de Tel Aviv, pour évaluer le nombre de réseaux Wi-Fi qu’il pouvait hacker. Armé seulement d'un équipement d'une valeur de 50 $ et d'une technique de piratage simple, Ido a facilement déchiffré plus de 3 500 mots de passe Wi-Fi ; soit 70 % des réseaux Wi-Fi de la zone.

The post Recherche CyberArk – Les risques des mots de passe Wi-Fi faibles pour la sécurité des consommateurs first appeared on UnderNews.

Télécharger L0phtcrack et comment l’utiliser ?

18 octobre 2021 à 11:33
Par : Korben

L’histoire de L0phtcrack

L0pthcrack est sorti en novembre 1997. À l’époque, c’était l’un des premiers outils d’audit de mots de passe du système d’exploitation Windows. « Audit » pour ne pas dire « cracking » car à l’époque, il y avait quand même plus de hackers que d’experts en sécurités légaux. Ainsi, un mot de passe Windows de 8 caractères était facilement crackable en moins de 24h avec un petit PC de l’époque (genre un Pentium 100 Mhz) grâce a une technique de bruteforce.

À cause ou grâce à L0pthcrack, Microsoft a même changé son algorithme de hashage de passwords Windows de l’époque (LANMAN) pour passer à NTLM. Évidemment, L0phtcrack s’est ensuite adapté pour proposé également le support de NTLM. Au début de sa vie, le logiciel n’était qu’un proof of concept qui rassemblait un moteur de cracking développé par Mudge (Peter Zadko), une interface graphique développée par Weld Pond et des petits bouts de softs tiers comme PWDUMP de Jeremy Allison.

La version 1.5 de L0pthcrack sortie en décembre 1997 a été rapidement le tournant de quelque chose de plus commercial, de mieux finalisé. Enfin un outil de pentest tout-en-un avec une interface graphique ! Autant dire une révolution pour l’époque !

Une grosse nouveauté en 2001 a été de proposer du cracking distribué, c’est-à-dire utilisant la puissance de plusieurs machines. L0phtcrack a ensuite été décliné en plusieurs versions et vendu sous licence.

Ce fut vrai succès jusqu’en mai 2001 où L0pht Heavy Industries a fusionné avec la société de sécurité @Stake. À partir de là, les mises à jour ont été beaucoup plus espacées, jusqu’au rachat de la société @Stake par Symantec en 2004.

4 années passent et le 31 décembre 2008, L0phtcrack est racheté par ses créateurs Mudge (Peter Zatko), Chris Wysopal (Veracode), et Christien Rioux de Symantec. Le logiciel d’audit de mots de passe revient alors sous pavillon L0pht Heavy Industries. Puis en 2020, la société Terahash rachète L0phtCrack.

Comme vous pouvez vous en douter, ça se passe mal et L0phtCrack est alors racheté une nouvelle fois par ses fondateurs via une holding (L0pht Holdings). Les développements sont alors totalement gelés et L0phtcrack n’évoulue plus.

Puis, surprise ! Le 17 octobre 2021, L0phtcrack passe en open source ! L’outil utilise toujours du brute force et des dictionnaires (tables rainbow) et peut coupler les 2 méthodes pour mener à bien des attaques hybrides (hybrid attacks) sur des mots de passe Windows et des mots de passe Linux. Évidemment, vous pouvez sélectionner les méthodes dont vous avez besoin.

Où télécharger L0phtcrack ? Download gratuit et pas besoin de crack !

Pour télécharger et installer L0phtcrack, vous devez être équipé d’un ordinateur sous Windows et vous rendre sur cette URL.

Vous y trouverez le code source de L0phtcrack, mais également des versions compilées (.exe) pour Windows 32 bits et 64 bits. Comme l’outil est distribué en open source, il est devenu gratuit et vous n’avez plus besoin de crack pour L0phtcrack 😉 .

D’ailleurs, les sources sont ici sur Gitlab (un concurrent de Github dont j’ai déjà parlé ici.)

Comment utiliser Lophtcrack sous Windows 7, 10 et 11 ? Le tutoriel !

Pour utiliser L0phtcrack, rien de plus simple. Lancez l’outil et cliquez sur le bouton « Password Auditing Wizard ».

Le Wizard est tout simplement un assistant qui vous guidera étape par étape pour vous permettre d’auditer / cracker les mots de passe Windows d’une machine.

La première question qui vous sera posée c’est sur quel système d’exploitation vous voulez récupérer les hashs de mots de passe. Car oui, avec L0phtcrack, vous pouvez également audit des mots de passe Unix / Linux en plus de Windows.

Pour ce tutoriel L0phtcrack, j’ai choisi une machine Windows. Sélectionnez ensuite la machine sur laquelle vous voulez procéder à l’attaque. Ça peut être la machine locale, mais également une machine distante sur laquelle vous pouvez agir (vous devez être admin et la machine doit être dans un domaine).

Vous pouvez également porter l’attaque sur un dump réalisé avec PWDump, FGDump…etc.

À ce moment-là vous devez indiquer un compte Windows capable de procéder à l’extraction des hash du Windows. C’est un compte admin local ou distant.

À vous ensuite de choisir le type d’audit que vous voulez mener. Soit un audit rapide avec un petit dictionnaire ou des audits de plus en plus complexes avec bruteforce et attaques hybrides.

Pour le rapport, vous pouvez choisir un export en CSV, HTML ou XML et surtout indiquer si vous voulez ou non que les mots de passe découverts et leurs hashs soient affichés.

Il ne reste plus qu’à lancer l’attaque ou à programmer son lancement à plus tard. Par exemple la nuit quand vous n’utilisez pas votre machine.

Et voilà ! L0phtcrack lancera alors le cracking de mot de passe Windows / Unix. Le reste n’est plus qu’une question de temps et de puissance machine.

J’espère que ce tutoriel vous aura plu.

Fuite Twitch : les mots de passe ne sont pas en danger à ce stade, annonce la plateforme

7 octobre 2021 à 10:25

twitch

Twitch fait savoir qu'il n'a aucun élément qui lui fait dire que les identifiants et les mots de passe sur le site ont été exposés par l'importante fuite de données. Les informations de paiement ne sont pas plus compromises. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

The post Fuite Twitch : les mots de passe ne sont pas en danger à ce stade, annonce la plateforme appeared first on Cyberguerre.

Mois européen de la cybersécurité : le mot de passe est mort, vive la biométrie !

6 octobre 2021 à 14:44
Par : UnderNews

La 9ème édition du mois européen de la cybersécurité (ECSM) vient de débuter, l’occasion pour de nombreux acteurs du secteur de délivrer des recommandations actualisées afin de susciter la confiance d’aider les citoyens à protéger leurs données à caractère personnel, financier et professionnel en ligne.

The post Mois européen de la cybersécurité : le mot de passe est mort, vive la biométrie ! first appeared on UnderNews.

GitHub passe au sans mot de passe pour une 2FA plus forte, comme avec les YubiKeys

17 août 2021 à 14:38
Par : UnderNews

GitHub a annoncé hier que la plateforme n'accepte plus les mots de passe pour l'authentification des opérations Git CLI, et nécessitera donc l'utilisation d’identifiants plus forts pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clés SSH (pour les développeurs), les tokens d'installation OAuth ou GitHub App (pour les intégrateurs) ou une clé de sécurité matérielle, telle qu'une YubiKey.

The post GitHub passe au sans mot de passe pour une 2FA plus forte, comme avec les YubiKeys first appeared on UnderNews.
❌