Le piratage de GoDaddy affecte 1,2 million de sites WordPress

La société d’infrastructure Internet GoDaddy a déclaré lundi dernier qu’un pirate informatique avait eu accès aux informations personnelles de plus de 1,2 million de clients de son service d’hébergement . Continuer la lecture de « Le piratage de GoDaddy affecte 1,2 million de sites WordPress »

Comment savoir si mon WhatsApp est surveillé ?

Étant l’une des plates-formes de messagerie instantanée les plus utilisées dans le monde, WhatsApp se vante de plus de 2 milliards d’utilisateurs.

Comment savoir si mon WhatsApp est surveillé ?

 

Bien que l’application, qui est maintenant détenue par , a fait des progrès significatifs en s’assurant que la vie privée des utilisateurs est respectée, il y a tout de même de quoi avoir peur avec l’émergence d’applications tels que GB , et, plus que jamais, la vie privée semble être menacée.

Comment savoir alors si votre vie privée est violée ? Ou si vous êtes espionnés, et donc surveillés via un tracker ? La réponse, bien qu’elle soit un coup dur pour de nombreux utilisateurs, c’est que vous ne pouvez pas. Du moins pour l’instant.

Cependant, ne perdez pas encore espoir, il y a quelques signes qui vous montrent que quelqu’un vous surveille, suit à la trace sur WhatsApp.

Après nos articles sur “Comment localiser vos contacts sur WhatsApp” et “Comment partager votre localisation en temps réel sur WhatsApp”, voici 6 signes cruciaux qui vous permettent de savoir si quelqu’un vous surveille sur WhatsApp.

  1. La personne qui vous suivrait est constamment en ligne lorsque vous êtes en ligne aussi.
  2. La personne vous envoie un message dès que vous allez en ligne.
  3. La personne remarque et commente systématiquement les modifications apportées à vos mises à jour de statut.
  4. La personne remarque et commente systématiquement les changements dans votre photo de profil.
  5. Le signe de coche devient immédiatement bleu après que vous envoyez un message à cette personne.
  6. La personne est la première à figurer sur la liste des « personnes qui ont consulté mon statut » sur les mises à jour de statut.

Cela dit, vous pourriez avoir besoin de savoir comment observer strictement les conseils mentionnés ci-dessus pour être en mesure de renforcer votre vie privée.

Bien qu’il semble impossible de déterminer qui a vu votre photo de profil, ce qui est possible, c’est que vous pouvez être en mesure de voir qui a vu votre statut WhatsApp et vous pouvez contrôler qui peut vous contacter sur WhatsApp.

Au moins, cela devrait compter pour quelque chose.

1. Comment voir qui a vu votre statut WhatsApp

Voir qui a vu votre statut WhatsApp est très certainement une tâche facile à accomplir. Cela peut être facilement fait en consultant simplement vos accusés-réceptions

  1. Accédez à votre onglet “Paramètres“ -> “Compte” -> “Confidentialité” 
  2. Allez en bas de la page et cliquez sur “Confirmations de lecture”.

Après avoir activé “Confirmations de lecture”, vous et l’autre personne qui avez activé les confirmations de lecture serez en mesure de voir la Story WhatsApp de l’autre.

Cela peut être pratique si vous êtes inquiets au sujet d’un harceleur parce que si l’autre personne a activé ses confirmations de lecture, vous pouvez voir combien de fois ils regardent votre Story.

Si vous désactivez les confirmations de lecture, vos confirmations de lecture ne seront pas envoyées. Vous ne pourrez pas non plus voir les confirmations de lecture des autres utilisateurs.

2. Comment contrôler qui peut vous contacter sur WhatsApp

La façon de base pour contrôler qui peut vous contacter sur WhatsApp est de garder votre numéro de téléphone privé.

Si une personne que vous ne souhaitez pas qu’elle vous contacte obtient votre numéro de téléphone en quelque sorte, vous pouvez la bloquer. C’est simple et fonctionne immédiatement.

  1. Dans WhatsApp, appuyez sur (les 3 points verticaux) -> “Paramètres” -> “Compte” -> “Confidentialité” -> “Contacts bloqués”.
  2. Appuyez sur “Ajouter”.
  3. Recherchez ou sélectionnez le contact que vous souhaitez bloquer.Voici deux autres moyens de bloquer un contact :
    • Ouvrez une discussion avec le contact, puis appuyez sur -> “Plus” -> “Bloquer” – > “BLOQUER”.
    • Ouvrez une discussion avec le contact et appuyez sur le nom du contact -> “Bloquer” – > “BLOQUER”.

Votre « Vu à », « En ligne », mises à jour de statut et tout changement de photo de profil ne seront plus visibles auprès des contacts que vous avez bloqués.

Bloquer un contact ne le supprimera pas de votre liste de contacts et ne vous retirera pas de sa liste de contacts. Pour supprimer un contact, vous devez supprimer le contact directement depuis le carnet d\adresses de votre téléphone.

3. Comment voir qui vérifie fréquemment votre “Vu à”

La seule façon pour vous de savoir si quelqu’un visite fréquemment votre profil WhatsApp et vérifie votre dernière mention “Vu à”, est d’utiliser la version WhatsApp modifiée, WhatsApp Plus Android.

Pour rappel, les mentions “Vu à” et  “En ligne”

« Vu à » fait référence à la dernière fois que votre contact a utilisé WhatsApp. Grâce aux paramètres de confidentialité, vous avez la possibilité de contrôler qui peut voir la mention « Vu à » vous concernant.

Veuillez noter que vous ne pouvez pas cacher votre statut en ligne. Cette application pour mais non-officielle et absente de Play Store permettrait aux utilisateurs de voir combien de fois leurs contacts regardent leur profil.

La fonctionnalité WhatsAppMD de cette appli vous permet d’obtenir un pop-up qui donne une notification indiquant que votre ami est en ligne et s’il vu votre profil dans les 30 dernières minutes.

Les utilisateurs devraient également activer la fonction “Contacts Online Toast”.

La fonctionnalité payante permet aux utilisateurs de voir le nombre de fois où quelqu’un a vu leur dernière vue. Un nombre de fois important serait alors une indication que votre contact surveille vos activité sur WhatsApp.

Source : Whatsappdownloadsandtips

Google et Bing s\'allient pour évincer les sites pirates qui copient films et musique

Les internautes auront de plus en plus de mal à trouver de la musique, des ebooks et des films piratés, ainsi que des matches de foot illégalement en direct, sur Google Search et Bing de .

Google et Bing s\'allient pour évincer les sites pirates qui copient vidéo, ebook et musique

Ces deux moteurs de recherche que sont et viennent de signer ensemble un code pratique ou de bonne conduite visant à empêcher les utilisateurs de visiter, depuis leurs résultats de recherche, des fournisseurs de contenus peu recommandables, ou tout des \ »voleurs\ » de contenus.

Ce nouveau partenariat entre les deux leaders du marché de la recherche internet devrait permettre d’accélérer la suppression des sites illégaux, dès réception d’une plainte des propriétaires des droits d’auteur.

Ce qui veut dire, selon The Guardian qui révèle l’information, que ceux qui cherchent du contenu tel que des films, des vidéos, des clips vidéo, des ebooks et des matches de footbal en direct seront désormais plus susceptibles de visiter les sites des fournisseurs originaux plutôt que les sites pirates qui copient ou usurpent ces types de documents.

Les sites pirates devraient donc disparaître des résultats de recherche de Google et Bing, de sorte qu’il y aura beaucoup moins d’utilisateurs pour les visiter.

Même si on sait que ce code de bonne pratique n’éradiquera pas le problème du piratage, nous pouvons tout de même espérer que cela aidera à protéger ceux qui sont involontairement redirigés vers des contenus piratés.

Se félicitant de l’accord, Eddy Leviten, directeur général de l’Alliance de la Propriété Intellectuelle (Alliance for Intellectual Property) en GB, a déclaré :

Parfois les gens vont chercher quelque chose et ils finissent involontairement par télécharger du contenu piraté. Ce que nous voulons, c’est que les premiers résultats de recherche, tout en haut des moteurs de recherche, soient ceux des vrais auteurs, et non ceux des copieurs.

Il s’agit de protéger les personnes qui utilisent l’internet, mais aussi de protéger par la même occasion les créateurs des contenus originaux.

Certes, pour l’instant, cet accord est signé en Grande Bretagne, en association avec notre équivalent de la Sacem en France qui protège les droits d’auteur, mais ce code pratique pourrait être signé entre et Bing de Microsoft partout ailleurs dans le monde.

.

WordPress : 20 Pirates s\'amusent à infecter et supprimer des pages

WordPress qui n’ont pas encore appliqué le récent correctif concernant une vulnérabilité critique.

WordPress : 20 Pirates s\'amusent à infecter et supprimer des pages

Il s’agit d’une affaire tellement sérieuse que a commencé à avertir certains webmasters de blogs , via la Search Console et par email, qu’il a découvert une faille de sécurité sur leurs blogs WordPress, avant de leur conseiller de les mettre à jour.

Alors, de quoi s’agit-il ? Tout est en rapport avec la version 4.7.2 de WordPress récemment lancée.

Informations sur la vulnérabilité de l’API REST

Le 26 janvier dernier, WordPress publié la version 4.7.2 dans laquelle figurait un correctif de sécurité pour une vulnérabilité critique qui permet aux pirates de modifier le contenu sur un site WordPress.

Ils n’avaient pas en ce moment là annoncé l’existence d’un correctif très important afin que les pirates ne soient pas conscients de la vulnérabilité pendant que le mécanisme de mise à jour automatique de WordPress aient mis à à jour les sites vulnérables.

Le correctif de sécurité caché, jusque là, a finalement été révélé le 1er février 2017, soit 6 jours plus tard, une période au cours de laquelle les pirates avait déjà pris connaissance de l’exploit ou faille de sécurité.

À cette période là, un grand nombre de sites Web WordPress avait déjà migré vers la version 4.7.2 (la plus récente).

Et, comme il fallait s’y attendre, à compter du 3 Février, les services de sécurité informatique ont commencé à constater une multiplication des attaques ciblant la vulnérabilité de l’API REST.

Une API compatible REST, ou “RESTful”, est une interface de programmation d\’application qui fait appel à des requêtes HTTP pour obtenir (GET), placer (PUT), publier (POST) et supprimer (DELETE) des données.

La vulnérabilité, située dans l’API REST de la plateforme, permet donc, selon Computerworld.com, à des attaquants non authentifiés de modifier le contenu de n’importe quel article ou page d’un site WordPress.

La faille a été corrigée dans la version WordPress 4.7.2, sortie le 26 janvier, mais l’équipe de WordPress ne divulgue pas publiquement l’existence de la vulnérabilité avant une semaine plus tard, afin de permettre à un grand nombre d’utilisateurs d’avoir le temps de déployer la mise à jour.

Cependant, même après que la faille soit devenue publique, beaucoup de webmasters n’avaient pas encore décidé d’appliquer le patch. Et il s’en est suivi une vague impressionnante de piratages des sites et blogs WordPress non mis à jour.

Le lundi 6 Février, l’entreprise de sécurité Web dénommée Sucuri a signalé qu’environ 67.000 pages avaient été effacées dans les 4 vagues d’attaques distinctes contre des sites WordPress.

Depuis lors, le nombre de pages supprimées a augmenté de plus 1,5 millions et il y a 20 signatures d’attaques différentes, selon les de Feedjit, l’entreprise derrière le plugin WordPress de sécurité Wordfence.

Le nombre de sites uniques touchés était alors estimé à environ 40.000, en considérant toutefois qu’un site peut avoir plusieurs pages corrompues ou supprimées.

Le Jeudi 9 Février dernier, le PDG de Feedjit a publié un autre post pour dire :

En 48 heures, nous avons constaté plus de 800.000 attaques exploitant cette vulnérabilité spécifique à travers les sites WordPress que nous surveillons.

Bref, l’heure est grave. Vous devez donc comprendre que si WordPress vous propose une version récente, vous devez absolument migrer votre site vers cette nouvelle version.

Car, les pirates profitent justement du temps d’attente de nombreux webmasters, et donc de la mise à jour souvent tardive et non immédiate, pour sévir et compromettre les sites WordPress.

Ce qui est plus facile pour eux, d\’autant plus qu\’ils connaissent déjà la faille de sécurité que permet de corriger chaque nouvelle version de WordPress. Alors, il ne leur reste plus qu\’à chercher les sites non mis à jour.

Alors, si ce n’est pas encore fait, téléchargez la version 4.7.2 de WordPress et mettez à jour votre site ou blog.

Comment activer l\'authentification à deux étapes sur Instagram ?

Il était temps qu’Instagram fasse mieux pour sécuriser les comptes de ses 400 millions d’utilisateurs à travers le monde.

Instagram

C’est en tout cas le pas qu’il semble avoir franchi, à en croire la confirmation faite à Techcrunch.com, en adoptant à son tour la connexion aux comptes en deux temps.

Cette nouvelle double authentification va permettre aux utilisateurs d’ de vérifier dans un premier temps leur numéro de téléphone.

l’usurpateur devra à la fois voler les identifiants de connexion et le téléphone portable pour lire le deuxième code de vérification par SMS.

En principe…

C’est donc une couche de sécurité supplémentaire qu’Instgram ajoute désormais à son système de connexion après tous les déboires révélés en termes de piratage par le passé.

On se demande d’ailleurs pourquoi a-t-il tant tardé pour le faire alors que lui-même le propose depuis longtemps sur sa plateforme.

La connexion en deux temps est facultative et sera proposée en option via les paramètres de votre compte Instagram. A chaque utilisateur de l\’activer ou pas.

Toujours est-il que ce sera sûrement un soulagement pour les utilisateurs populaires plus enclins à voir leurs comptes souvent piratés.

Comment activer l’authentification à 2 facteurs sur Instagram ?

  1. Accédez à votre profil en tapant simplement sur votre photo de profil et appuyez sur la roue dentée (iPhone) ou sur les 3 points verticaux () en haut à droite, puis sur \ »Paramètres\ ».
  2. Faites défiler vers le bas et appuyez sur \ »Sécurité\ », puis sur\ »Authentification à deux facteurs\ »
  3. Appuyez sur \ »Démarrer\ » en bas de l\’écran.
  4. Choisissez la méthode d’authentification que vous souhaitez ajouter et suivez les instructions à l’écran.

Lorsque vous configurez l’authentification à deux facteurs sur Instagram, vous êtes invité(e) à choisir l’une des deux méthodes d’authentification suivantes :

  • Codes de connexion envoyés par une application d’authentification tierce (telle que Duo Mobile ou Authenticator).
  • Codes par texto sur votre téléphone mobile.

Vous devez configurer au moins l’une de ces deux méthodes pour utiliser l’authentification à deux facteurs.

Faut-il s’inquiéter du récent problème d’accès aux comptes sur Instagram ?

Le mercredi 2 Décembre dernier, de nombreux utilisateurs d’Instagram

Instagram logo

a donc publié un Tweet (voir ci-dessous) pour rassurer ses utilisateurs er leur demander de ne pas s’inquiéter outre mesure. Et qu’aucun compte n’avait été piraté.

Selon Instagram, il s’agirait d’un bug dû à un problème technique qui n’a en rien affecté les comptes des utilisateurs. Plus de peur que de mal ?

Espérons donc qu’il n’y a vraiment pas de problème de piratage des comptes comme par le passé. Et qu’Instagram ne cherche pas à minimiser le problème.

Toujours est-il que l’accès aux comptes a été rétabli quelques heures après pour tous.

Facebook bloque l\'accès à ses contenus publics aux non-membres de Belgique

Début Novembre, un juge belge avait sommé Facebook d’arrêter le tracking, à l’aide de cookies, des utilisateurs non membres de en Belgique. Et ce, sous 48 heures.

Facebook bloque l\'accès à ses contenus publics aux non-membres de Belgique

Au-delà, Facebook devait se voir signifier une amende de 250.000 euros par jour.

Ce délai étant passé, la réponse de Facebook à cette injonction du juge belge, suite à un rapport de la Commission de la protection de la vie privée, va consister à bloquer finalement l’accès aux contenus publics de sa plateformes aux utilisateurs non-connectés ou n’ayant pas de compte Facebook.

Facebook va donc désormais exiger des internautes belges de se connecter à Facebook avant de pouvoir accéder aux contenus publics sur son site.

Selon le site de la BBC qui rapporte l’information, Facebook s’attend maintenant à recevoir un commandement d’exécution qu’il prévoit d\’avance de contester. Pendant ce temps, les cookies ne seront plus envoyés aux utilisateurs non membres et seuls les utilisateurs belges ayant un compte pourront visiter le site.

Facebook a soutenu que les cookies fournissent une meilleure sécurité pour les membres du site en empêchant la création de faux comptes, en réduisant aussi le risque de piratage des comptes, et en assurant une meilleure protection du contenu des utilisateurs contre le vol, tout en dissuadant les attaques par déni de service.

Facebook se dit désolé de ne pas pouvoir arriver à un accord amiable avec la Commission de la protection de la vie privée belge. Par conséquent, il se trouve obligé d’exiger des utilisateurs belges de se connecter ou de s’inscrire à Facebook afin de pouvoir consulter le contenu public disponible.

Let\'s Encrypt s’apprête à sécuriser gratuitement tous les sites web via HTTPS

L’organisation Let’s Encrypt annonce que ses certificats de sécurité gratuits ont maintenant été approuvés par tous les principaux navigateurs web.

Let\'s Encrypt s’apprête à sécuriser gratuitement tous les sites web avec HTTPS

Il s’agit donc de l’ultime étape qui va permettre à cette organisation d’assurer sa mission de sécurisation gratuite à l\’aide du protocole HTTPS tous les sites web.

En tant qu’autorité de certification ouverte proposée par Internet Security Research Group (ISRG) et sponsorisée par des entreprises telles que Mozilla et Automattic (.com), Let’s Encrypt vise à équiper les sites web légitimes de toute taille avec des certificats TLS/SSL permettant aux navigateurs de les identifier correctement et de chiffrer (cryptage) les données, activités et transactions des utilisateurs afin de les protéger contre tout piratage.

Let’s Encrypt a a publié son premier certificat en Septembre dernier et a maintenant reçu les signatures du fournisseur de certificats SSL “IdenTrust”. Il peut donc commencer à les distribuer plus largement aux sites web et permettre ainsi aux utilisateurs de naviguer en toute sécurité sur ces sites.

Let\'s Encrypt s’apprête à sécuriser gratuitement tous les sites web avec des certificats HTTPS

Let’s Encrypt commencera à délivrer des certificats SSL gratuits à partir du mois de Novembre 2015. Ce qui devrait aider les sites à adopter plus facilement le chiffrement tout en réduisant de façon significative les coûts d’installation.

Rappelons que a déjà déclaré l’hébergement sécurisé HTTPS comme facteur de référencement et que cette annonce pourrait bientôt le pousser à déclarer ce critère comme globalement effectif pour accélérer son adoption.

D’ailleurs, Google procède actuellement à la migration des sites de sa plateforme Blogger vers le HTTPS .

1 Milliard de dollars : c\'est le coût de la fraude publicitaire dans les applis mobiles

La fraude publicitaire en ligne est désormais un fléau qui commence à préoccuper sérieusement les annonceurs et surtout les plateformes publicitaires.

Je vous annonçais d’ailleurs ici que les géants du Net tels que , et étaient en train de s’associer pour faire face en commun à ces clics frauduleux qui pénalisent les annonceurs et pourraient donc remettre en cause la crédibilité des factures qui leur sont présentées par les plateformes publicitaires.

Chiffres de la fraude publicitaire dans les applis mobiles

Une nouvelle étude de la société Forensiq vient de tirer la sonnette d’alarme en révélant que les applications mobiles seraient aussi une cible des fraudeurs.

Mais, dans le cas des appareils mobiles, il s’agit dans un premier temps du piratage desdits appareils afin d’afficher des publicités masquées et de simuler des activités humaines similaires aux traditionnels robots ou bots rencontrés sur les ordinateurs.

Forensiq dit que sa plateforme de détection de fraudes a identifié plus de 5.000 applications mobiles commettant la fraude publicitaire tout en surveillant tous les types de trafic irrégulier suites à ces impressions publicitaires fictives.

Ces applications mobiles identifiées établiraient en moyenne 1.100 connexions par minute et communiqueraient avec 320 réseaux publicitaires, serveurs publicitaires, Ads-exchanges et des fournisseurs de données au cours d\’une heure de durée.

La société Forensiq affirme qu\’elle a observé, pendant 10 jours,  plus de 12 millions de dispositifs uniques avec des applications \ »infectées\ », touchant environ 1 % des appareils mobiles qu\’elle a observés aux États-Unis et 2 à 3 % en Europe et en Asie.

Suivant l\’activité qu\’elle a observée, Forensiq estime qu’il y aurait une perte annuelle de plus 857 millions de dollars au niveau mondial sur les CPM (Coûts Par Mille affichages) de 1 dollar sur et Mobile et 1,25 dollar sur les plateformes .

Tout comme les botnets (réseaux de bots) qui infectent les ordinateurs des utilisateurs non avertis, beaucoup de ces applications auraient tendance à s’exécuter en permanence en arrière-plan sur les smartphones et à servir des milliers d\’annonces par jour qui ne sont jamais vues par les utilisateurs.

Lorsqu\’une application est exécutée par l’utilisateur au premier plan, seules 10 à 20 % des annonces mobiles sont visibles.

Dans certains cas, les applications ont été conçues pour frauder les publicités. Dans d\’autres cas, Forensiq a vu que l\’activité programmatique des applications ne supportaient pas la publicité.

Images via Marketingland.com

La société Forensiq estime que les applications sont \ »victimes d\’usurpation d\’applications” qui nécessitent que les éditeurs ou les plateformes publicitaires mobiles modifient les headers des applis.

Parce que ces applications diffusent des annonces, souvent au rythme de 20 annonces par minute et peuvent aussi récupérer des données.

Selon Forensiq, ces applications malveillantes demandent souvent des autorisations suspectes, et sont notamment en mesure d’empêcher les mobiles de se mettre en veille, de s’exécuter au démarrage, de modifier et supprimer du contenu sur la carte SD et accéder aux services de localisation lors de l\’exécution en arrière-plan.

Beaucoup de ces autorisations sont requises même si les véritables caractéristiques de l\’application ne les exigent pas réellement.

Forensiq dit aussi avoir constaté que quelques applications installaient un script pour simuler des clics aléatoires et charger la page de destination de l\’annonceur à l\’insu de l\’utilisateur.

Tandis que d\’autres applications redirigeaient automatiquement des utilisateurs par le biais de liens d\’affiliation vers des sites Web demandant aux utilisateurs d\’acheter des objets ou autres applications sur l\’app store.

Google Search Console va mieux cibler les destinataires de ses messages d\'alerte

+Gary Illyes, Webmaster Trends Analyst chez , vient de publier le post ci-dessous pour annoncer un changement à venir dans Google Search Console (ex Google webmaster Tools).

Selon Gary Illyes, dans les toutes prochaines semaines, va changer comment et à qui il envoie les messages d’alerte et les notifications concernant les sites web validés.

Google Search Console

Gary Illyes annonce donc que les propriétaires de ces plateformes ne recevront plus de messages, concernant des ou virus par exemple, à propos des sites ou blogs qu’ils hébergent à titre gratuit ou payant en sous-domaine.

Pour ma part, je pense que cela éviterait que les administrateurs de ces sites soient dorénavant surpris par une pénalité manuelle ou une quelconque désactivation de la part de Google. N’ayant pas reçu de message d’alerte, ils ne peuvent agir rapidement.

Ainsi, avec comme exemple de site en sous-domaine “wordpress.com/monsite”, ce n’est plus “Wordpress.com” qui recevra les messages d’alerte provenant de Console, mais bel et bien le propriétaire de “monsite” hébergé par wordpress.com qui recevra les messages.

Mais, Gary Illyes précise que bien que cette modification s\’appliquera à la plupart des messages, des messages critiques (par exemple, une alerte concernant le piratage d’un site) peuvent encore être envoyés à tous les propriétaires de plateformes d’hébergement web en sous-domaine.