Une très grosse faille de sécurité concernant Joomla, l’un des spécialistes de la gestion de contenu en ligne vient d’être rendue publique. En effet, elle est très facilement exploitable et permet d’accéder à l’interface d’administration de n’importe quel site utilisant ce CMS en version 3.2 à 3.4.

Cette faille permet des injections SQL. Autant dire qu’elle sont très graves. La meilleure solution pour contrer cette faille de sécurité est de mettre à jour votre site avec la version la plus récente proposée sur le site officiel : www.joomla.org

La faille a été découverte par deux chercheurs, l’un appartenant à la société Trustwave et l’autre à la société PerimeterX, deux sociétés spécialisées en cybersécurité.

Sur le site de Trustwave, on retrouve une analyse plus poussée de cette faille de sécurité. Cependant pour l’exploiter, il suffit d’injecter une formule SQL dans l’URL du site web cible (ajoutez l’adresse du site web au début) :

Ici on récupère les variables de session ID de l’administrateur du site.

Une session c’est quoi ? Une session est un mécanisme technique permettant de sauvegarder temporairement sur le serveur des informations relatives à l’authentification d’un internaute.

En collant la session ID qu’on a extraite, à la section du cookie dans la requête permettant d’accéder au dossier administrateur on peut disposer des droits d’administration et accéder au panneau de contrôle.

En résumé cette faille elle ne fonctionne que dans le cas ou un administrateur est connecté au site au moment de l’attaque, afin de permettre à l’attaquant de récupérer l’identifiant de sa session et de prendre sa place.

Enfin, si vous utilisez Joomla, je vous conseille de faire attention et de le mettre à jour rapidement.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Les 10 failles de sécurité les plus critiques en 2013
• Changer le mot de passe de session Windows sans le connaitre
• Joomscan: Comment detecter les failles d’un site joomla ?
• WPScan : Détecter les vulnérabilités d’un site WordPress
• Comment exploiter la faille 0day d’Internet Explorer avec Metasploit
• Pirater un site Web avec Kali Linux en moins de 4 minutes
• Comment exploiter une faille XSS avec le framework Beef ?
• Wifi Map: la solution pour avoir Internet gratuit partout dans le monde
• Auto-destruction de vos données avec Kali Linux
• Protéger votre site web contre les failles de sécurité
• Un hacker Palestinien a piraté le compte de Mark Zuckerberg
• 5 astuces pour garder vos données en toute sécurité
• Comment choisir un mot de passe sécurisé ?
• Que faire si mon site à été piraté ?
• Sécuriser votre pc avec une clé USB
• Vérifiez la sécurité d’un proxy avec de l’utiliser
• Vous n’êtes plus anonyme en utilisant un proxy ou un VPN
• Websecurify: Scanne votre site contre les dernières vulnérabilités
• Sortie de Kali Linux, le successeur de Backtrack 6
• Hacker un compte Facebook avec l’outil Reconnect

Vous connaissez tous WhatsApp, ce logiciel de messagerie instantanée utilisé par plus de 600 millions de personnes et propriété de Facebook ? Et bien il existe une alternative open source et sécurisé à cette application. Elle s’appelle Telegram.

Telegram c’est une application qui utilise le protocole sécurisé MTProto qui permet un chiffrement de bout en bout des messages. Les messages que vous envoyez à votre destinataire sont chiffrés localement avant même d’être envoyés sur le réseau. Le serveur lui ne fait rien d’autre que relayer le message chiffré et c’est le client du destinataire qui déchiffre le message. Donc il n’est pas possible d’intercepter en clair les messages via une attaque Man In The Middle.

Whatsapp intègre aussi le chiffrement de bout en bout avec le protocole de TextSecure sauf que le code n’étant pas open source, on n’a aucun moyen de le vérifier. C’est pour cela Telegram est l’alternative sécurisé par excellence à Whatsapp.

Telegram a été créé en 2013. Misant sur le respect de la vie privée pour attirer des utilisateurs, les conversations au sein de Telegram sont lourdement cryptées pour éviter qu’elles ne se retrouvent entre les mains des pirates informatique. Et pour les plus « paranoïaques », l’application propose aussi des conversations secrètes qui ne laissent aucune trace sur les serveurs et s’auto-détruisent une fois la discussion terminée. Grâce à cette option, le décryptage des données personnelles et l’accès aux communications est impossible, même pour les développeurs du logiciel.

Les créateurs promettent que l’application restera toujours libre et gratuite. « Si l’application plaît aux utilisateurs, ils peuvent faire un don ou ajouter des options payantes « , indique le site Web consacré à l’application.

Telegram est disponible pour les appareils sous iOS et Android. Dès son installation vous allez valider votre terminal via SMS pour l’associer à votre ligne téléphonique. Ensuite tous les contacts enregistrés dans le terminal qui utilisent Telegram apparaîtront automatiquement dans votre liste d’amis.

J’ai testé Telegram sur mon Nexus 5 pendant quelques semaines et je peux dire que c’est l’application de messagerie la plus rapide du market car elle utilise une infrastructure décentralisée avec des data center situés tout autour de la planète.

Télécharger Telegram pour Android

Télécharger Telegram pour iOS

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• UTOX: une alternative chiffrée et libre à Skype
• 5 meilleures Apps pour sécuriser son smartphone Android en 2015
• Cryptez le contenu de vos SMS à la volée
• Booster son smartphone Android avec Avira Android Optimizer
• Installer et profiter des applications Android sur PC
• Désactiver les notifications d’une application Android
• Utiliser un compte e-mail chiffré avec Tutanota
• Comment bloquer la publicité sur votre smartphone Android ?
• Récupérer des fichiers supprimés sous Android
• Une alternative française et Open Source à uTorrent
• Des documents qui s’autodétruisent avec Digify
• Comment puis-je savoir si quelqu’un a lu mon mail ?
• Savoir qui lit vos SMS à votre insu
• Les 5 Meilleurs antivirus Android en 2015
• 7 applications Android tres utiles aux informaticiens
• Les outils nécessaires pour la création des applications Android
• Comment savoir si on est bloqué sur Whatsapp ?
• Faire le grand ménage sur votre mobile avec CCleaner pour Android
• Bloquer tous les appels inconnu et SMS des personnes indésirables
• Espionner les conversations téléphoniques d’une personne : est-ce possible ?

Recherches qui ont permis de trouver cet article:

conversations

Disponible pour Chrome et bientôt pour Firefox, Uglymail permet de savoir avant l’ouverture d’un e-mail si ce dernier sera utilisé pour vous tracker.

En effet certaines compagnies et certains réseaux sociaux intègrent des moyens de surveillance à leurs e-mails: heure d’ouverture, navigateur utilisé, votre adresse IP, systèmes d’exploitation, etc. (Je vous ai déjà parler de comment récupérer l’adresse IP d’une personne en envoyant un simple email).

Par exemple, si vous êtes abonnés à la mailing-list de FunInformatique, sachez que la société qui gère ce service utilisera un tracker pour savoir si vous avez bien ouvert l’e-mail ( cela me permet de savoir si ces derniers ne tombent pas trop souvent dans la boite de spam). Je peux ainsi déterminer quels utilisateurs ont consulté ce dernier et leur renvoyer par la suite d’autres tutoriels susceptibles de les intéresser.

Rien de bien méchant ici, mais si cette collecte de données vous gêne, Uglymail vous permettra de savoir les emails qui contient un tracker. N’ouvrez pas les e-mails ou s’affiche un petit œil noir dans votre boîte de réception.

Ugly Email est capable de détecter la présence les pixels espion avant que l’internaute n’ouvre le message. Si l’un d’entre eux est détecté, une icône représentant un œil précédera le sujet.

Vous pouvez télécharger Ugly Mail ici.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Planifier l’envoi de vos e-mails avec SndLatr
• Trouver l’adresse IP d’une personne facilement
• Comment puis-je savoir si quelqu’un a lu mon mail ?
• Comment envoyer un email anonyme ?
• Utiliser un compte e-mail chiffré avec Tutanota
• Créer une adresse email jetable et anonyme en moins d’une minute
• Détectez les squatteurs de Wifi avec votre Smartphone Android
• Comment annuler un email envoyé sur Gmail ?
• Les différents types de Malwares et comment s’en protéger
• Savoir qui utilise votre réseau wifi à votre insu
• Extraire les adresses email d’une page web
• Savoir qui lit vos SMS à votre insu
• Tout savoir sur les Torrents: infos et conseils
• Comment savoir si vous êtes sous cybersurveillance ?
• Comment assurer votre sécurité dans les jeux ligne ?
• Les différents techniques du hacking
• Détecter le nombre de machines sur un réseau avec Nmap
• Virus Android: Comment les détecter, les éliminer et s’en protéger ?
• 5 meilleures Apps pour sécuriser son smartphone Android en 2015
• Comment désactiver la notification vu sur le chat Facebook ?

Archive.org est un service web qui permet de retrouver les anciennes versions d’un site web et donc de voyager dans le passé ! oui oui c’est possible !

Cela peut servir à récupérer l’ancien contenu de votre site. Mais il peut aussi servir à trouver des informations confidentielles d’un site web.

Imaginez un vieux site Web mal conçu, mal protégé et contenant des failles web. Au fil des années la société à décider  refaire le site et s’est faite une peau neuve. Seulement, les failles sont toujours là ! :)

Peut-être que l’information confidentielle trouvée il y deux ans n’a jamais été modifiée et reste toujours disponible à l’heure actuelle dans le code source. Un mot de passe laissé par mégarde à une certaine époque, est peut-être toujours valide aujourd’hui !

Pour utiliser archive.org, il suffit de taper l’ancienne URL ou l’URL d’un site à votre choix, et de chercher des versions il y a plusieurs d’années :

Archive.org a archivé près de 86 milliards, correspondant à 65 millions de sites Web, en 37 langues. Sa base de données pèse près de 2 pétaoctets, soit 2 millions de gigaoctets, l’équivalent de deux cents fois le contenu de la Bibliothèque du Congrès américain.

Ce qui est également amusant avec cet outil, c’est de regarder à quoi ressemblait  Digg le 28 mai 2005 ou Apple en 1997 ou encore Google le 08 Mai 1999.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Trouver le mot de passe d’une archive RAR
• Surfer sur le web sans connexion internet, c’est possible !
• DPScan: Le scanner de sécurité Drupal
• Les 10 failles de sécurité les plus critiques en 2013
• 5 astuces pour garder vos données en toute sécurité
• Faille XSS, comment l’exploiter et s’en protéger
• Créer une adresse email jetable et anonyme en moins d’une minute
• Auto-destruction de vos données avec Kali Linux
• Cryptez une clé USB avec BitLocker
• Comment exploiter le cookie d’une victime ?
• Protéger votre site web contre les failles de sécurité
• PunkSpider: un moteur de recherche des sites web vulnérables
• Stéganographie : Cacher un fichier ZIP dans une image
• Savoir si vous avez été hacké avec Indexeus
• Détecter la modification d’un fichier par un pirate sur votre serveur
• TOP 5 certifications en Sécurité Informatique
• Comment garder un bon ratio de téléchargement sur t411 ?
• Comment débloquer un fichier PDF verrouillé ?
• Des outils pratiques pour les hackers
• Comment sauvegarder et restaurer toutes les données de votre PC ?

Ici c’est la suite des « Réponses aux questions des lecteurs postées sur notre page Facebook » .

Chaque semaine, je réponds à vos questions en relation avec le monde informatique. Qu’elles soit normal ou totalement Wtf, je vais vous fournir des réponses adaptées à vos questions. Donc n’hésitez pas à utiliser notre page Facebook pour me faire part de vos interrogations sur les problèmes liés à la sécurité informatique, logiciels Windows, téléphone mobile, réseaux…

Question de Yannick Assoumou: Salut moi c’est yannick, je viens juste d’acheter mon ordinateur. C’est vrai que je vais sur les réseaux sociaux mais cela m’ennuie. Mon rêve c’est de maîtriser l’outil informatique et devenir un grand hacker pour venir en aide aux personnes qui en ont besoin. J’espère pouvoir trouver cette aide ici.

Réponse: Bonjour Yannick, C’est difficile de répondre à votre question en précision. Je vais essayer de vous donner les principaux éléments que vous devez apprendre pour devenir un bon hacker.

Tout d’abord, je vous conseille de commencer par apprendre l’anglais pour savoir lire les articles qui sont relié à ce domaine, car la plupart de ces guides et eBook sont en anglais. Ensuite vous devrez connaître au moins les principaux composants qui constituent votre ordinateur, et réussir à remplacer un disque dur ou autre sans problème.

Après il faut apprendre un langage de programmation. Commencez par HTML (langage permettant de décrire la mise en page). Il est très simple. Après apprenez à utiliser des langages comme C, PHP, SQL.

Ensuite étudiez les systèmes de sécurité, de cryptographie et les différentes architectures réseaux.

Enfin, installer le système d’exploitation Linux sur votre ordinateur. Il est préférable d’installer la distribution Kali Linux. Et commencer à étudier et tester les différents outils qui se trouvent dans cette distribution Linux.

---

Question de Mat Fassinou: Salut à tous. Ou je peux facilement télécharger kali linux et havij ?

Réponse: Pour télécharger Kali linux, je vous invite a voir cet article: Sortie de Kali Linux 2.0.Ensuite pour télécharger Havij, c’est par ICI

---

Question de Catherine Camilli: Comment déceler « rapidement » « facilement » un logiciel espion sur un PC ?

Réponse: Pour déceler rapidement un logiciel espion sur un PC, il faut installer Detekt. Detekt est un outil gratuit qui permet de savoir si un ordinateur Windows à un logiciel espion. Il effectue une analyse sur votre ordinateur pour y trouver la trace de logiciels espions. Ensuite je vous conseille d’installer AdwCleaner pour neutraliser les adwares qui se contente de modifier la page de démarrage de votre navigateur internet, ce qui provoque ensuite un affichage de liens publicitaires contextuels, bandeaux, pop-ups, etc.

Néanmoins mieux vaut prévenir que guérir parce que les pirates informatiques ont toujours un coup d’avance dans la bataille mondiale de la cybersécurité. C’est pour ça, je vous conseille lire cet article pour connaitre les différents malwares et apprendre à se défendre.

---

Question Akli Mansour: Svp, comment changer un mot de passe wifi pour une connexion domestique ? Merci.

Réponse: Pour changer le mot de passe de votre réseau wifi, suivez les étapes ci dessous:

• Ouvrez votre navigateur Internet et saisissez http://192.168.0.1 dans la barre d’adresse.
• Entrez le login et le mot de passe de votre routeur( essayez le login admin et le mot de passe admin, s’il ne marche pas alors il faut voir dans le document qui vient avec votre routeur)
• Arrivez sur l’interface de votre routeur, cliquez sur « Wireless »
• Chercher et cliquez sur « Configure ». Votre mot de passe se trouve au niveau de « WPA-PSK Encryption key.
• Entrez un nouveau mot de passe Wifi de 8 caractères minimum.
• Enfin Cliquez sur « Apply » et attendez 30 seconde.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

• Fern wifi cracker: Comment cracker le wifi de son voisin ?
• Savoir qui utilise votre réseau wifi à votre insu
• Auto-destruction de vos données avec Kali Linux
• Récupérer votre mot de passe wifi sous windows facilement
• Sortie de Kali Linux, le successeur de Backtrack 6
• Ce qu’il faut maîtriser pour devenir un bon hacker
• Comment cracker le Wifi avec son smartphone Android ?
• Pirater un site Web avec Kali Linux en moins de 4 minutes
• ARP cache poisoning: Comment sniffer un reseau avec Ettercap
• 5 outils utilisés par les hackers pour cracker les mot de passe
• Top 5 outils pour détecter la vulnérabilité d’un réseau wifi
• Comment créer une clé USB Multiboot de plusieurs systèmes ?
• Transformez votre Smartphone Android en outil de Hacking
• Comment trouver tous les sous-domaines associés à un domaine ?
• Comment vraiment pirater un compte Facebook ?
• Wifi Map: la solution pour avoir Internet gratuit partout dans le monde
• Répondre aux messages Facebook automatiquement
• Convertir une page Web en PDF sans rien installer
• Les différents techniques du hacking
• Tuto Hack: Récupération du mot de passe des routeurs Sagem Fast