Atelier cybercriminalité

Comment se faire pirater en 5 étapes faciles

Vincent Poirier
Président de Magik Web
& Cybercriminel (ceci est une blague svp)

Trigger warning

Cette conférence pourrait contenir beaucoup d'anglicismes.

Pour public averti.

Connexion

Courriel:

Mot de passe:

Se connecter

Étape #1

Penser que la cybersécurité, c'est juste dans les films!

Download NOW!aka 'Lien super louche'

Étape #1

Penser que la cybersécurité, c'est juste dans les films!

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

En cliquant sur "Accepter", vous donnez la permission à notre entreprise ultra PAS sécurisée de partager vos informations personnelles à des multinationales, au gouvernement ou à quiconque ayant les moyens de les acheter afin qu'ils en fassent ce qu'ils veulent. 🙂

Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Cette offre est A.C.C.E.P.T.É.E

Étape #1

Penser que la cybersécurité, c'est juste dans les films!

La négligence:
Première cause de piratage

Accepter les politiques d'entreprise aveuglement

Assumer qu'on est en sécurité sans y réfléchir
(zone de confort)

Suivre une routine sans être alerte

Étape #2

Avoir l'attitude « Quossé tu veux qui fasse ak çâ? »

Pfff, j'te crois pas!

Étape #2

Avoir l'attitude « Quossé tu veux qui fasse ak çâ? »

"Life is short. Have an Affair."

30,100,934

comptes exposés lors d'une fuite de données en 2015

Dates de fête, courriels, origines ethnique, genres, noms, mots de passe, historiques de paiement, numéros de téléphone, adresses physiques, questions de sécurité et réponses, orientations sexuelles, noms d'utilisateurs, activités sur le site.

Source: haveibeenpwned.com

Étape #2

Avoir l'attitude « Quossé tu veux qui fasse ak çâ? »

Il y a des données plus compromettantes que d'autres...

Sites pornographiques
De la porno "traditionnelle" aux sites zoophiles...

Sites de rencontre
Sites pour gens mariés, préférences sexuelles exposées, photos compromettantes, etc.

Réseaux sociaux
Conversations, données personnelles, habitudes sur le Web, etc.

Quels sites ont été exposés!?(asking for a friend)

Étape #2

Avoir l'attitude « Quossé tu veux qui fasse ak çâ? »

Conseils judicieux:

Faire attention
à ce que vous publiez

Faire attention
aux données que vous divulguez

Veiller à varier
vos mots de passe

Étape #3

Bénéficier d'une maison intelligente / IoT

Voyagez tout en restant
chez vous!

Découvrez le Hackafrigo!

Étape #3

Bénéficier d'une maison intelligente / IoT

Joignez l'internet au communisme avec Hackafrigo, le réfrigérateur intelligent qui vous dira ce que vous voulez entendre.

Made in China. Live in China. (Hear in Russia.)

Étape #3

Bénéficier d'une maison intelligente / IoT

Home Depot en 2016

Jeep SUV en 2015

Casino en 2017

Étape #3

Bénéficier d'une maison intelligente / IoT

Le botnet
Mirai

Comment?
Via de petits appareils inoffensifs comme des routers, des caméras de surveillance personnelles et des purificateurs d'air.

Qui?
À l'origine, la cible était Minecraft, puis il y a eu
GitHub, Twitter, Reddit, Netflix, Airbnb, OVH, et plus...

Combien?
Plus de 65 000 appareils vulnérables infectés le premier jour
À son apogée, un total de 600 000 appareils étaient infectés par Mirai

Source: blog.cloudflare.com
Inside the infamous Mirai IoT Botnet: A Retrospective Analysis

Au delà de cette attaque, la problématique:

Mondialement, il n'y a aucune entité ou consensus qui définit
et fait appliquer une norme de sécurité IoT aux appareils

Les fabricants d'appareils n'ont aucun intérêt particulier
à investir dans la sécurité des appareils bon marché.

Les propriétaires d'appareils IoT n'ont pas les connaissances
ou la motivation nécessaire pour protéger leurs appareils.

Étape #3

Bénéficier d'une maison intelligente / IoT

Conseils judicieux:

Sécuriser son réseau sans-fil

Rester à jour

Conduire une voiture en 2035

Avec le pilote automatique

Sans le pilote automatique

Étape #4

Augmenter sa productivité en évitant le MFA
(Authentification multifacteur)

Accouche, batard!

Étape #4

Augmenter sa productivité en évitant le MFA
(Authentification multifacteur)

Pourquoi configurer l'authentification multifacteur?

Étape #4

Augmenter sa productivité en évitant le MFA
(Authentification multifacteur)

Une solution fiable
qui vous fera sauver
du temps:

LastPass
(ou 1Password/Bitwarden)

Étape #5

Jouer le jeu

Répondre

Étape #5

Jouer le jeu

Pourquoi ne pas se payer la tête des spammers?

James Veitch, écrivain et humoriste, a échangé des courriels hilarants avec un spammer pendant des semaines. À voir sur TED.

Étape #5

Jouer le jeu

Ce qu'ils savent sur vous...

...avant réponse:

Votre adresse courriel.

...après réponse:

Statut (en couple, marié, etc)
Numéro de téléphone
Adresse
Valeur de votre maison

Étape #5

Jouer le jeu

Conseils judicieux:

Ne pas jouer au plus malin

Ne pas répondre aux messages
provenant d'adresses inconnues

Bloquer, signaler comme indésirable
ou supprimer les messages

BONUS
Ne pas TOUT mettre sur Facebook & Instagram

En résumé

Comment se faire pirater en 5 étapes faciles

Penser que la cybersécurité,
c'est juste dans les films!

Avoir l'attitude
"Quossé tu veux qui fasse ak çâ?"

Bénéficier d'une maison
intelligente / IoT

Augmenter sa productivité en évitant
le MFA (Authentification multifacteur)

Jouer le jeu

C'est noté!

Atelier

Jouons à un jeu

Faites votre choix

Attaque par accès physique

Attaque par accès Web

Requiert un propriétaire de site Web

Discovery éclair (invasif)

Atelier

Jouons à un jeu

Attaque par accès physique

Atelier

Jouons à un jeu

Attaque par accès Web

Atelier

Jouons à un jeu

Discovery éclair
(invasif)

Comment se faire pirater en 5 étapes faciles

Vincent Poirier
Président de Magik Web
& Cybercriminel (ceci est une blague svp)