MC Geek !
Des chercheurs ont découvert une vulnérabilité dans le système d'exploitation Windows 10, qui tire parti de l'assistant vocal de Microsoft.
Paramétrer un mot de passe sur Windows 10 pour accéder à une session utilisateur, après l'avoir verrouillée manuellement ou automatiquement à la suite d'une période d'inactivité, n'est plus suffisant pour protéger l'ordinateur. Deux chercheurs israéliens indépendants ont découvert que l'assistant vocal de Microsoft, Cortana, pouvait jouer le rôle de cheval de Troie.
Tal Be'ery et Amichai Shulman ont remarqué que le logiciel est capable de répondre à certaines commandes vocales même lorsque l'ordinateur est verrouillé ou en mode veille, rapporte le site Motherboard. Cela permet à une personne malintentionnée qui a un accès physique au PC de brancher à l'un de ses ports USB un adaptateur réseau. Il est ensuite possible de demander à Cortana de lancer le navigateur web et de visiter une adresse qui n'utilise pas le protocole sécurisé https. L'adaptateur réseau intercepte ensuite la session web pour renvoyer sur un site malveillant qui va permettre d'installer des virus sur la machine.
Connexion via wi-fi
« Nous avons encore cette mauvaise habitude d'introduire de nouvelles interfaces sur les machines sans analyser complètement leurs implications en matière de sécurité », ont commenté les chercheurs. Ils expliquent par ailleurs qu'un pirate peut aussi connecter l'ordinateur de la victime à un réseau wi-fi qu'il contrôle. Il suffit de cliquer sur le réseau en question avec la souris, même si l'ordinateur est verrouillé.
Les chercheurs sont censés parler de leur découverte lors du Kaspersky Analyst Security Summit de Cancun, au Mexique, ce vendredi. Ils ont averti le géant des logiciels de Redmond qui a déjà en partie corrigé le tir. Microsoft fait désormais en sorte que les requêtes vocales demandant de visiter un site soient déroutées sur le moteur de recherche Bing pour un contrôle de sécurité. Les chercheurs expliquent néanmoins que Cortana est en mesure de répondre à d'autres commandes qui peuvent poser problème.
Le code à 7 caractères (précédé de « @ ») à côté du Nom est le Code MediaCongo de l’utilisateur. Par exemple « Jeanne243 @AB25CDF ». Ce code est unique à chaque utilisateur. Il permet de différencier les utilisateurs.
Les plus commentés
Politique Les graves accusations du cardinal Ambongo contre le gouvernement congolais !
20.04.2024, 31 commentairesPolitique Primaires à l'Union sacrée : ''Une manière planifiée d'écarter Vital Kamerhe de la course à la tête de l'Assemblée nationale'' (UNC)
22.04.2024, 9 commentairesPolitique «Soutenir Tshisekedi pendant la campagne de 2023 ne signifie pas donner un chèque blanc à son entourage des binationaux pour piller le pays »(A-Daniel Shekomba)
22.04.2024, 8 commentairesPolitique Présidence de l'Assemblée nationale : Kamerhe, Bahati et Mboso s'affrontent ce mardi 23 avril aux primaires pour le compte de l'Union sacrée !
22.04.2024, 6 commentaires
Ils nous font confiance