Google se fâche contre la Chine. L’entreprise menace même de quitter le pays.

Dans un billet publié mardi sur le blog officiel, David Drummon, VP de la société, a révélé que Gmail avait été l’objet d’attaques. « A la mi-décembre, notre infrastructure a été victime d’une attaque très sophistiquée et très ciblée venant de Chine. (…) Nous détenons la preuve que l’objectif premier des assaillants était d’accéder aux comptes Gmail de militants chinois des droits de l’homme. » Seuls 2 comptes auraient été atteints, précise Google, et les pirates n’auraient eu accès qu’à l’objet des e-mails.

Lire le reste de cet article »

Combien de mots de passe dans la nature ? 10 000, 20 000, 30 000 ? Davantage ? Depuis qu’on a appris, hier, que des dizaines de milliers d’adresses e-mail et leur mot de passe avaient été publiés sur Pastebin.com, un site utilisé par les développeurs informatiques pour s’échanger des morceaux de code, le chiffre grimpe d’heure en heure.

On a d’abord cru que l’alerte ne concernait que des comptes Hotmail, d’extension hotmail.com, msn.com ou live.com principalement basés en Europe. Microsoft a d’ailleurs confirmé ce matin que plus de 20 000 comptes avaient été victimes de cette attaque. Mais il semblerait que plusieurs comptes Gmail aient également été hackés. Selon la BBC, au moins 2 listes de 30 000 noms et mots de passe auraient été publiées sur Pastebin.com. Yahoo!, de son côté, a confirmé à Clubic qu’il n’ avait pas été épargné par l’opération. Certains rapports mentionnent également la présence sur ces listes de comptes AOL, Comcast et Earthlink.

Tous les opérateurs précisent que ce piratage massif n’est en rien le résultat d’une faille de sécurité de leurs serveurs, mais bien d’attaques par phishing, bien qu’ils n’aient encore aucune idée du procédé mis en oeuvre. Plusieurs d’entre eux ont mis en place des mesures de protection, en forçant par exemple la mise à jour du mot de passe sur les comptes affectés. Tous les utilisateurs sont invités, par prudence, à changer régulièrement leurs mots de passe.

Avez-vous été piraté ? Exprimez-vous dans les commentaires !

Sources : Clubic, Neowin.net, BBC News

MàJ 14/10/2009 : un site (sérieux) permet désormais de vérifier si votre boîte fait partie des comptes attaqués : Serversniff.net.

Sur Arobase.org : bien choisir son mot de passe, le phishing

Moins d’une semaine après le faux e-mail des impôts (voir l’actu Remboursement d’impôts : ne vous laissez pas abuser par les faux courriels), c’est aux tour de la Caisse d’allocations familiales de faire l’objet d’e-mails frauduleux.

Sur son site Web, la CAF signale ainsi la circulation d’un courriel piégé visant à escroquer ses allocataires. Utilisant le logo de la Caisse, il invite ces derniers à transmettre leur numéro de carte bancaire pour se voir verser la somme de 325,54 euros.

Le procédé est exactement celui utilisé pour les impôts la semaine dernière. Et les règles de prudence n’ont pas changé : ne jamais communiquer de numéro de carte bancaire sur le Net et jeter directement à la poubelle ce genre de messages.

J’espère que vous savez quoi faire maintenant si vous recevez dans les prochains jours un e-mail de (au hasard) l’Assurance maladie vous faisant miroiter un remboursement, hein ?

Comment être sûr que les salariés d’une entreprise ont une une pratique sécuritaire du courrier électronique ? En leur envoyant de faux e-mails piégés ! C’est ce que propose la société Jetmetric, avec son outil SocialPET, présenté récemment sur Atelier.fr.

Cet outil d’évaluation permet aux administrateurs réseaux d’initier de fausses campagnes de phishing, puis de visualiser les résultats et  les progrès des utilisateurs. Selon Jetmetric, les pratiques s’amélioreraient sensiblement après une seule de ces fausses campagnes. Preuve que la méthode est efficace dans le cadre d’une sensibilisation et d’une formation à la sécurité.

A Atelier.fr, un consultant en sécurité rappelle cependant qu’en France « ce type de contrôle demande l’accord préalable des représentants du personnel » et que « les résultats ne doivent être exploités qu’anonymement ».

Que pensez-vous de cet outil ?

Source : Atelier.fr, Jetmetric (en anglais)

Question : que faire devant un e-mail de la direction des impôts, rédigé en très mauvais français, regorgeant de fautes d’orthographe et de références anglo-saxonnes, qui vous demande votre numéro de carte bancaire pour rembourser un trop-perçu d’impôts de 178, 25 euros ? Réponse : le jeter sans hésiter à la poubelle !

Depuis quelques jours circule en effet un mail destiné à abuser la crédulité des contribuables. Un formulaire PDF, destiné à collecter identité et numéro de carte bancaire, renvoie bien  l’internaute sur le site officiel www.impots.gouv.fr, mais ce n’est qu’un leurre. Il s’agit bien d’une grossière tentative de phishing.

La direction générale des impôts a lancé hier un avertissement sur son site internet. « Nous vous informons que la direction générale des finances publiques est totalement étrangère à cet envoi, qui porte gravement atteinte à son image, et qu’en aucun cas, le numéro de carte bancaire n’est exigé pour le paiement d’un impôt ou le remboursement d’un crédit d’impôt. ». Avant d’ajouter : « D’un point de vue général, nous vous recommandons de ne jamais communiquer par courrier électronique de données personnelles et surtout pas votre numéro de carte bancaire ».

Source : Impots.gouv.fr, Zataz, LeParisien.fr

Etonnant que ça ne soit pas arrivé plus tôt ! Un porte-parole de Facebook a révélé que, jeudi dernier, une attaque de phishing par e-mail avait ciblé les utilisateurs de Facebook. Une attaque qui a ensuite servi d’amorce à un assaut de plus grande ampleur.

Première étape : Les pirates envoient en grand nombre des e-mails dont la présentation laisse croire qu’ils sont adressés par Facebook. Ces e-mails demandent aux destinataires de se connecter à leur compte Facebook pour mettre à jour leurs données. Mais le lien contenu dans l’e-mail les redirige vers une fausse page Facebook, via laquelle les pirates récupèrent leurs codes d’accès.

Seconde étape : connectés sur les comptes des victimes, les pirates envoient des messages piégés à leurs amis référencés. S’ils manquent de vigilance, ces derniers se font piéger à leur tour et subtiliser leurs codes d’accès…

Facebook affirme avoir bloqué les liens vers les sites de phishing identifiés, nettoyé les messages frauduleux et réinitialisé les identifiants des utilisateurs victimes de cette attaque.

Mais la vigilance reste de mise. Ne cliquez jamais sur un lien douteux, que ce soit dans un e-mail ou depuis votre compte Facebook. Pour rappel, Facebook n’envoie jamais de mail demandant de rappeler vos identifiants. En cas de doute, tapez directement l’adresse de Facebook dans la barre d’adresse de votre navigateur.

Source : ZDNet.fr, AFP

Sur Arobase.org : le phishing

Avec la multiplication des faillites et des rachats d’établissements financiers, les escrocs s’en donnent à coeur joie.  La FTC (Federal Trade Commission), l’organisme américain de protection des consommateurs, vient de publier un bulletin d’alerte prévenant de la recrudescence de campagnes de phishing visant les clients de ces établissements.

Les escrocs se font ainsi passer ces jours-ci pour les repreneurs des établissements en déconfiture (Bears Stern, AIG et autres Lehman Brothers). Et invitent leurs nouveaux clients à se rendre sur leur site Web pour vérifier l’état de leur compte.

La FTC livre pour exemple un courrier type : « Nous avons récemment racheté la banque ABC. Par mesure de précaution et d’intégrité pour nos nouveaux clients à la banque en ligne, nous vous adressons ce message d’avertissement… Merci de suivre le lien ci-dessous pour actualiser vos données de compte« .

Bien entendu, les sites pointés dans les courriels sont piégés et permettent aux escrocs de récupérer les identifiants et mots de passe personnels des clients, avec lesquels ils iront ensuite réaliser des opérations frauduleuses.

La FTC conseille de faire preuve de prudence et de ne pas répondre à des e-mails ou à des fenêtres pop-up sur le Web demandant des renseignements financiers personnels. Même si ces communications semblent officielles…

Source : l’alerte de la FTC (en anglais)