Bienvenu sur la Particule.com

Toute l'actualités des geeks

Projet et fonctionnement du site la Particule.com

Les infos Bloc-Note du site la Particule.com

Nos différents partenaires

Suivre nos sponsors
Logo la particule.com
  




L'actualité
SECURITE


Des Hackers affirment avoir cracker la puce T2 d'apple

  Liste des news    Liste des new du mois  
macbook air t2

06

Octobre

En combinant deux exploits initialement développés pour les iPhone, des chercheurs en sécurité affirment qu'ils peuvent également jailbreaker les Mac et MacBook qui embarquent la dernière version de la puce de sécurité T2 d'Apple
. Bien que l'exploitation soit assez complexe, la technique consistant à combiner les deux exploits a été mentionnée sur Twitter et Reddit au cours des dernières semaines, après avoir été testée et confirmée par les meilleurs experts actuels en sécurité de l'écosystème Apple. Si elle est exploitée correctement, cette technique de jailbreaking permet à des attaquants de prendre le contrôle total d'appareils pour modifier le comportement du système d'exploitation ou récupérer des données sensibles ou chiffrées, et même implanter des logiciels malveillants. Pour ceux qui ne savent pas ce qu'est la puce T2, il s'agit d'un coprocesseur spécial, installé à côté du principal processeur Intel sur les ordinateurs de bureau (iMac, Mac Pro, Mac mini) et les ordinateurs portables (MacBook) modernes d'Apple. Les puces T2 ont été annoncées en 2017 et ont commencé à être livrées avec tous les appareils Apple vendus depuis 2018. Des chercheurs en sécurité ont trouvé un moyen de pénétrer dans les puces T2 et ont trouvé une façon d'exécuter le code à l'intérieur de la puce de sécurité pendant sa routine de démarrage et de modifier son comportement normal. Seelon un post de la société de sécurité belge ironPeak, le jailbreaking d'une puce de sécurité T2 implique la connexion à un Mac/MacBook via USB-C et l'exécution de la version 0.11.0 du logiciel de jailbreaking Checkra1n pendant le processus de démarrage du Mac. Selon IronPeak, cela fonctionne parce que « Apple a laissé une interface de débogage ouverte dans la puce de sécurité T2 livrée aux clients, permettant à n'importe qui d'entrer en mode de mise à jour du micrologiciel de l'appareil (DFU – Device Firmware Update) sans authentification ». Le danger de cette nouvelle technique d'attaque est assez évident. Tout Mac ou MacBook laissé sans surveillance peut être piraté par quelqu'un qui peut y connecter un câble USB-C, redémarrer l'appareil, puis lancer Checkra1n 0.11.0. Malheureusement, comme il s'agit d'un problème lié au matériel, toutes les puces T2 doivent être considérées comme non réparables. La seule façon dont les utilisateurs peuvent faire face aux conséquences d'une attaque est de réinstaller BridgeOS, le système d'exploitation qui fonctionne sur des puces T2. « Si vous pensez que votre système est T2 », comme décrit ici. « Si vous êtes une cible potentielle d'acteurs étatiques, vérifiez altéré, utilisez le configurateur Apple pour réinstaller bridgeOS sur votre puce l'intégrité de votre SMC en utilisant par exemple rickmark/smcutil et ne laissez pas votre appareil sans surveillance », a déclaré IronPeak. Apple n'a pas répondu à notre demande de commentaires.



Mozilla arrête Firefox send à cause des Malwares

  Liste des news    Liste des new du mois  
Firefox Send la fin

18

Septembre

Dans un court billet, Firefox raconte s’être attelé au renforcement de la sécurité de Firefox Send durant l’été. L’outil, très permissif et facile d’accès, permettait à quiconque de se partager des fichiers en ligne (jusqu’à 2,5 Go), le tout sans avoir à créer de compte. Une véritable perche saisie par des utilisateurs malveillants, qui en ont allègrement profité pour inonder le Web de malwares. Une aubaine : sous couvert d’une URL émanant d’un service Firefox, ceux-ci n’attiraient pas l’attention des programmes antivirus. Le défi était-il trop grand ? On l’ignore. Mais Mozilla relate avoir pesé le pour et le contre dans l’éventualité d’une remise en service de Firefox Send. Vous l’aurez compris : le « non » a finalement remporté les suffrages. Firefox Notes, qu’il s’agisse de l’extension pour le navigateur ou de l’application Android, subira le même sort le 1er novembre prochain. Ce service, qui permettait de prendre rapidement des notes chiffrées, sera également discontinué d’ici deux mois. Mozilla se garde bien de nous donner les raisons motivant ce choix. Mais à la lecture des quelques lignes du billet, nous comprenons que le retour sur investissement est trop faible pour l’entreprise qui, rappelons-le, ne se porte pas pour le mieux. Mozilla explique néanmoins sur un article annexe comment les utilisateurs peuvent exporter leurs notes existantes au format HTML. L’éditeur précise enfin que l’extension Web continuera de fonctionner pour les personnes qui l’ont déjà installée, mais qu’elle ne sera plus supportée par l’équipe de développement. Enfin, l’entreprise rappelle qu’elle est à pied d’œuvre pour améliorer l’expérience de ses autres services, à commencer par Mozilla VPN, Firefox Monitor et Firefox Private Network.



Razer perd des données de 100 000 clients

  Liste des news    Liste des new du mois  
razer perte de 100000 donnees de clients

16

Septembre

La marque Razer, bien connue pour ses claviers, ses PC portables ou ses écouteurs Pikachu, a exposé les données personnelles de plus de 100 000 clients pendant plusieurs semaines. Parmi les informations accessibles, des e-mails, des adresses personnelles ou en encore des numéros de téléphone. La découverte incombe à l’expert en cybersécurité Bob Diachenko. L’individu explique que ces données étaient accessibles depuis le 18 août dernier ; elles étaient même indexées par des moteurs de recherche. Selon Bob Diachenko, cette défaillance résultait d’un serveur Elasticsearch mal configuré. Razer n’a corrigé la faille que le 9 septembre dernier.



Une faille Bluetooth

  Liste des news    Liste des new du mois  
Faille Bluetooth

11

Septembre

Le consortium Bluetooth SIG vient de publier une alerte de sécurité pour les appareils « dual-mode » qui supportent concomitamment les standards Bluetooth Low Energy (BLE) et Bluetooth Basic Rate/Enhanced Data Rate (BBR/BEDR). Une faille baptisée « BLURtooth » dans la procédure d’appairage permettrait à un pirate de s’insérer entre deux appareils de ce type et d’intercepter leurs échanges en clair. Le bug se situe au niveau d’un algorithme baptisé Cross-Transport Key Derivation (CTKD). Celui-ci permet, à partir d’un calcul unique, de générer les clés de chiffrement pour les deux types de modes (LE et BBR/BEDR) à la fois. Supposons que deux appareils Bluetooth soient déjà en communication par l’un des modes et que l’autre mode ne demande aucune authentification. Dans ce cas, le pirate pourrait usurper l’identité des appareils et procéder à un double appairage sur l’autre mode. L’algorithme CTKD va générer de nouvelles clés et, surtout, remplacer celle qui était utilisée jusqu’à présent. Résultat : le pirate pourra créer une attaque de type « Man in the middle » et accéder à tous les échanges. De telles attaques ne sont pas possibles avec Bluetooth 5.1 et supérieur, car ces versions n’autorisent pas l’écrasement d’une clé de chiffrement dans un tel cas. Les versions 4.2 à 5.0, en revanche, sont vulnérables. Les fabricants sont invités à intégrer eux-mêmes les protections nécessaires pour éviter ce type d’attaque.



6 Apps sur Play store Malveillantes

  Liste des news    Liste des new du mois  
android malware

01

Septembre

Pradeo vient d’identifier six applications malveillantes en libre circulation sur le Play Store. Infectées par le malware Joker, elles sont capables de vous abonner à des services obscurs sans votre consentement. Au total, ces six applications cumulent près de 200 000 téléchargements. Même si le Play Store dispose d’une sécurité, il arrive régulièrement que des applications malveillantes en libre circulation dans le magasin d’applications passent sous les radars de Google. C’est le cas de ces six nouvelles applications, fraîchement détectées par Pradeo. Téléchargées près de 200 000 fois au total, ces apps contiennent toutes le malware Joker, qui sévissait déjà il y a un an. Concrètement, ce malware appartenant à la famille des fleecewares a pour vocation d’inscrire les utilisateurs a des services payants contre leur gré. Pour ce faire, le malware s’immisce dans votre smartphone après l’installation de l’app infectée pour en intercepter les SMS, puis récupère les codes d’autorisation envoyés par ce biais. Cela lui permet de vous inscrire à des abonnements obscurs, sans même que vous ne vous en rendiez compte. Conçu de manière à générer la plus petite empreinte possible et donc extrêmement discret, ce malware est une vraie plaie qu’il convient d’éradiquer absolument de vos smartphones, sous peine de se voir facturer des services auxquels vous n’avez jamais souscrit. Il est possible que certaines de ces applications ne soient même pas affichées dans votre tiroir d’applications, c’est pourquoi il vous faudra vos rendre dans les réglages de votre appareil pour identifier toutes les applications suspectes et les effacer définitivement. Au nombre de six, ces applications ne semblent pas spécialement dangereuses, mais si elles sont présentes sur votre appareil, on ne saurait trop vous conseiller de les désinstaller de toute urgence. Voici la liste complète : Safety AppLock (applock.safety.protect.apps) téléchargée plus de 10 000 fois, Convenient Scanner 2 (com.convenient.scanner.tb) téléchargée plus de 100 000 fois, Push Message-Texting&SMS (sms.pushmessage.messaging) téléchargée plus de 10 000 fois, Emoji Wallpaper (tw.hdwallpaperthemes.emoji.wallpaper) téléchargée plus de 10 000 fois, Separate Doc Scanner (sk.pdf.separatedoc.scanner) téléchargée plus de 50 000 fois, Fingertip GameBox (com.theone.finger.games) téléchargée plus de 1 000 fois.



L'Europe dénonce les cybercriminels

  Liste des news    Liste des new du mois  
LEurope victime dinfiltration de pirates informatiques durant 3 ans

31

Juillet

Si les Etats-Unis nous ont habitués à une politique du "name and shame" (dénoncer et condamner) en matière de cybercriminalité, la Commission européenne se faisait plus discrète sur ce volet. Mais dans une décision publiée aujourd’hui, la Commission annonce la mise en place de sanctions visant « six individus et trois entités responsables ou impliqués dans diverses cyberattaques ». Le communiqué indique que les personnes visées par les sanctions sont responsables ou impliquées dans le cadre d’attaques ayant visé l’Organisation pour l’interdiction des armes chimiques, ainsi que dans les attaques WannaCry, NotPetya et enfin l’opération CloudHopper. La décision vise quatre citoyens russes, accusés d’avoir tenté d’attaquer l’organisation pour l’interdiction des armes chimiques (OIAC) en 2018. « La tentative de cyberattaque visait à pirater le réseau Wi-Fi de l'OIAC, ce qui, en cas de succès, aurait compromis la sécurité du réseau et les enquêtes en cours de l'OIAC. » Cette tentative a été désamorcée par les services secrets néerlandais. Ces quatre citoyens russes sont, selon la Commission européenne, tous membres de la direction générale des renseignements (GRU) de l’Etat-Major des Forces armées de la Fédération de Russie. Cette organisation est également visée par les sanctions de la Commission européenne, qui l’accuse également d’avoir été à l’origine de la diffusion du logiciel malveillant NotPetya en 2017, ainsi que d’avoir mené plusieurs attaques en 2015 et 2016, contre les infrastructures électriques ukrainiennes. Les accusations portées par la Commission européenne recoupent pour beaucoup celles annoncées auparavant par le gouvernement américain. L’un des citoyens chinois avait ainsi déjà été nommé par la justice américaine, tout comme c’était le cas pour l’organisation nord-coréenne Chosun Expo, dont les liens avec le groupe Lazarus avaient été mis en lumière en 2018. Les quatre citoyens russes visés par les sanctions étaient également tous connus de la justice américaine et sont tous répertoriés sur la liste Cyber’s Most Wanted du FBI. La Commission tient néanmoins à prendre ses distances avec la politique américaine en la matière et rappelle dans son communiqué que « les mesures restrictives ciblées ont un effet dissuasif et doivent être distinguées de l'attribution de la responsabilité à un Etat tiers ». En des termes plus clairs, la Commission se contente ici de nommer des individus et des structures, mais ne porte pas d’accusation directe sur d’autres pays. Les actes d’accusation américains n’ont pas cette subtilité diplomatique et leurs accusations visent clairement les gouvernements étrangers à l’origine des actes qui sont évoqués.



500 sites e-commerce piratés

  Liste des news    Liste des new du mois  
piratige de CB sites e commerce

09

Juillet

Une énorme arnaque sur plus de 500 sites de e-commerce vient d’être mise en lumière par des chercheurs en sécurité de Gemini Advisory. Ceux-ci ont dénombré pas moins de 570 sites de vente en ligne, dont 25 sites français, victimes d’un groupe de hackers nommé « Keeper ». Les pirates y ont dérobé de nombreux numéros de cartes bancaires pendant près de trois ans en utilisant une technique baptisée « Magecart », et qui consiste à utiliser un code JavaScript sur le site cible pour exflitrer les numéros d’une carte bancaire au moment du paiement. Ce code a été principalement utilisé sur des sites reposant sur Magento, une plateforme de commerce électronique libre utilisée par plus de 250 000 e-commerçants à travers le monde. Comme nous vous le disions, 25 sites français font partie des victimes de ce hack, si bien qu’on ne saurait trop vous conseiller de vérifier si votre carte bancaire est enregistrée sur l’un d’entre eux. Parmi ces sites, on retrouve des noms comme mauboussin.fr, yepnature.fr, maison-et-beaute.fr, mammafiore.fr, krea.fr, copat.fr ou encore gouttiere-expert.fr. Plus généralement, les sites touchés étaient des petites à moyennes entreprises, même si certains sites pouvaient attirer jusqu’à 1 000 000 de visiteurs par mois. Dans son rapport, Gemini Advisory estime que le groupe de hackers aurait collecté près de 700 000 cartes bancaires depuis avril 2017, mois où “Keeper” a commencé à agir. « Compte tenu du prix médian actuel, sur le dark web, de 10 dollars par carte compromise Card Not Present (CNP), ce groupe a probablement généré plus de 7 millions de dollars US en volant et en vendant des cartes de paiement compromises pendant toute sa durée de vie » précise finalement les chercheurs en sécurité.



Google retire 25 apps qui volent les ID Facebook

  Liste des news    Liste des new du mois  
Hack Facebook avec des Apps Android

02

Juillet

Ces applications malveillantes ont toutes été créées par le même développeur. Au total, elles cumulent plus de 2,3 millions de téléchargements. Les services proposés étaient toutefois différents : on retrouve des compteurs de pas, des éditeurs d’images ou de vidéos, des applications de fond d’écran ou encore de gestionnaire de fichiers. Pourtant, le principe est le même : subtiliser les identifications Facebook des utilisateurs, et lancer des campagnes de phishing par la suite. Pour ce faire, un code malveillant était inséré dans l’application téléchargée. Le malware était ensuite capable de détecter votre dernière application ouverte. S’il s’agissait de Facebook, la procédure s’enclenchait et une fausse page de connexion au célèbre réseau social invitait l'utilisateur à se connecter pour continuer de profiter de l’application. S’il tombait dans le piège, ses identifiants, récupérés par un script Java, étaient envoyés sur un serveur distant. La société française Evina déclare avoir signalé ces applications malveillantes à Google depuis la fin du mois de mai. Après un court examen, la firme de Mountain View les a retiré début juin. Vous pouvez retrouver la liste des applications en question ci-dessous. Si vous possédez l’une d’entre elles, nous vous conseillons de la désinstaller au plus vite.

- Super Wallpapers Flashlight
- Padenatef
- Wallpaper Level
- Contour Level Wallpaper
- iPlayer & iWallpaper
- Video Maker
- Color Wallpapers
- Pedometer
- Powerful Flashlight
- Super Bright Flashlight
- Super Flashlight
- Solitaire Game
- Accurate Scanning of QR Code
- Classic Card Game
- Junk File Cleaning
- Synthetic Z
- File Manager
- Composite Z
- Screenshot Capture
- Daily Horoscope Wallpapers
- Wuxia Reader
- Plus Weather
- Anime Live Wallpaper
- iHealth Step Counter
- com.tqyapp.fiction

Certaines d’entre elles étaient disponibles depuis plus d’un an sur le Play Store. En outre, la société de cybersécurité Evina recommande d’activer l’authentification à deux facteurs, et de ne télécharger que des applications réalisées par des développeurs de confiance.



Piratage de compte Amazon à 2 facteurs

  Liste des news    Liste des new du mois  
hqdefault

01

Juillet

C’est une faille zero day(a comblé d'urgence) qui inquiète. Des pirates seraient parvenus, selon toute vraisemblance et plusieurs témoignages, à franchir le système de vérification à deux facteurs de clients Amazon pour passer de fausses commandes en leur nom, et empocher le magot. Depuis le début du mois de juin, plusieurs internautes ont eu la désagréable surprise de découvrir que leur compte Amazon avait été piraté, et que l’opération avait permis à des individus malveillants de passer des commandes considérées comme étant déjà livrées, et aussitôt débitées. Cette vulnérabilité zero-day est d’autant plus inquiétante que les utilisateurs qui l’ont fait remonter bénéficiaient de l’authentification à deux facteurs (A2F), censée être inviolable. La faille dont nous parlons nous a été remontée par plusieurs internautes, preuves à l’appui. Il y a quelques jours, un client reçoit une notification sur son mobile provenant de l’application Amazon, qui lui signale une connexion effectuée depuis un Mac situé à Paris. Sauf que le client n’habite pas à Paris. Dans le doute, il coupe la connexion et change son mot de passe. Et le client fait partie des chanceux. Son voisin, client 2, a reçu une notification identique, évidemment suspecte. Sauf qu’en début de semaine, un autre client d’Amazon a reçu la fameuse notification indiquant une connexion tierce, et il n’aura pas eu autant de chance que les premiers Clients. Il lui, s’est aperçu qu’une commande avait été effectuée en son nom, sur son compte, avec le statut « Livré » rattaché à la commande qui était déjà dans la liste des commandes archivées. Bilan des courses : 400 € d’articles. Et il n’y a pas que la marketplace française qui serait concernée. Certaines boutiques trouvent leur déclinaison sur les domaines britannique, italien, espagnol, néerlandais ou allemand du géant américain. Et nous avons même retrouvé trace de certaines offres publiées sur Amazon du côté d’Aliexpress, avec un texte et un produit identiques à ceux appartenant aux boutiques frauduleuses. Sur Aliexpress, la page n’existe plus, même si celle-ci reste référencée dans les moteurs de recherche. Notons que selon nos informations, (qui seraient moins d'une dizaine connus à cette heure) ont à chaque fois été rapidement remboursés par Amazon, et le changement de mot de passe (que l'on vous conseille donc, en prévention) a permis de mettre fin au problème. On ne peut que vous conseiller, si vous avez enregistré un moyen de paiement par défaut sur Amazon ou autre, de le retirer.



Adobe demande de désinstaller Flash Player

  Liste des news    Liste des new du mois  
flash player mort.JPG

22

Juin

Dans un souci de sécurité des données personnelles, Adobe va informer tous les utilisateurs de son lecteur Flash Player qu’il est important de bien désinstaller le plug-in avant la fin de l’année pour éviter les risques de piratage des ordinateurs. Le fait qu’Adobe planifie depuis quelque temps de ne plus prendre en charge et supporter les mises à jour de Flash n’est pas une nouvelle incroyable. La société l’avait déjà annoncé. l’éditeur de Photoshop et de Flash Player va vous inviter à vraiment désinstaller le plug-in avant la fin de l’année. De plus, l’entreprise a annoncé qu’elle empêchera les contenus Flash de s’exécuter à partir de 2021. Paradoxalement, cet arrêt ferme et brutal de la prise en charge des mises à jour et de l’exploitation de Flash Player ne doit pas paraître choquant. Adobe le fait dans le but de protéger vos données personnelles face aux risques d’intrusion par des hackers. En effet, Flash Player a toujours été connu pour être un plug-in fragile et facile à exploiter de l’extérieur et s’introduire dans les PC. Ne pas inciter les utilisateurs à désinstaller le lecteur serait ainsi irresponsable. Les laisser utiliser un outil aussi fragile qui n’est plus supporté leur ferait prendre trop de risques. Preuve que le danger est bien réel, il est rare de voir un éditeur laisser tomber un de ses logiciels aussi vite et en demandant à ses utilisateurs de le désinstaller avec insistance. Ce changement de position vis-à-vis de Flash Player qui a contribué à la grande réputation d’Adobe semble être aujourd’hui un aveu de faiblesse. En effet, au début de Flash Player, l’éditeur critiquait la position d’Apple qui préférait le HTML5 à Flash sur ses iPhones et iPads pour la diffusion de contenus web.



Une faille dans la messagerie instantanée Signal

  Liste des news    Liste des new du mois  
Faille de localisation dans Messange

22

Mai

Alerté, Signal a été prompt à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger la nouvelle version de l’application sans plus attendre sur le Google Play Store et l’App Store. Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation. Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres). L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Mais Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte. D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.



Le Thunderbolt est vulnérable

  Liste des news    Liste des new du mois  
thunderbolt 3

12

Mai

Le port est issu dconnexion infor’une collaboration entre Intel et Apple>. C’est un format de matique à très haut débit. Les MacBook Pro commercialisés en 2011 étaient les premiers ordinateurs à bénéficier de ce port. Depuis, tous les MacBook (Air et Pro) ainsi que les iMac en sont munis. Apple, bien qu’il l’utilise davantage, n’est cependant pas le seul fabricant informatique à avoir recours à ce format de connexion. Björn Ruytenberg de l’université de la technologie d’Eindhoven aux Pays-Bas a découvert cette faille très sérieuse. La rapidité du port Thunderbolt est en fait sa vulnérabilité. Il est tellement rapide qu’il laisse un accès partiel direct à la mémoire de l’ordinateur. Et, tout accès à la mémoire représente une éventuelle vulnérabilité informatiquv. Afin de l’exploiter et de le démontrer, Björn Ruytenberg a donc mis au point une méthode appelée « Thunderspy ». Celle-ci permet de contourner l’écran de connexion de n’importe quel PC même s’il est verrouillé et que les données sont chiffrées. Thunderspy rend la machine totalement vulnérable au piratage des données. De plus, il suffit que l’attaquant ait un accès physique à l’ordinateur, un tournevis et du ». La faille utilise une fonctionnalité intégrée au firmware de Thunderbolt qui est le niveau de sécurité. Celle-ci permet d’interdim>« mre l’accès aux périphériques non approuvés et même de désactiver le port Thunderbolt si besoin. La méthode du chercheur néerlandais modifie en fait le firmware afin d’autoriser l’accès au port à n’importe quel appareil. Ce qui rend la vulnérabilité encore plus dangereuse est que le système d’exploitation ne se rend même pas compte de l’attaque. Björn Ruytenberg utilise un programmateur SPI (Serial Peripheral Interface) avec un clip SOP8 pour se connecter à l’ordinateur, en dévissant au préalable le panneau arrière. Il lui suffit ensuite d’exécuter le script pour modifier le firmware.



Un faille dans tous les Smartphones Samsung

  Liste des news    Liste des new du mois  
Smartphone Samsung vulnerable format Qimages

11

Mai

Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur. Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes). Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS. Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée. Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.



14 Failles Apple trouvées par Google Projet Zero

  Liste des news    Liste des new du mois  
Faille Apple Mail iOS 684x513

29

Avril

14 failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables. Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR. Cette moisson est d’autant plus remarquable que les vulnérabilités qui ont toutes été corrigées depuis avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.



Failles Zero-Day sur iOS

  Liste des news    Liste des new du mois  
Failles Zero Day Apple iOS Mail

23

Avril

Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite. Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail ou voir ce connecter directement en webmail.



Des comptes Nintendo piratés

  Liste des news    Liste des new du mois  
Piratage compte Nintendo

21

Avril

Au cours du mois dernier, les utilisateurs de Nintendo étaient nombreux à signaler le piratage de leurs comptes, et certains ont déclaré avoir perdu de l'argent à la suite de cette intrusion. Les détournements de comptes semblent avoir commencé à la mi-mars et ont atteint un pic le week-end dernier, lorsque de plus en plus d'utilisateurs ont commencé à recevoir des alertes par e-mail indiquant que des adresses IP inconnues avaient été vues en train d'accéder à leurs profils Nintendo. La manière dont les comptes sont piratés est actuellement inconnue. Il n'est pas clair si les pirates utilisent des mots de passe divulgués lors de fuites de données sur d'autres sites pour accéder également aux comptes Nintendo. Certains utilisateurs ont déclaré avoir utilisé des mots de passe complexes générés par un gestionnaire de mots de passe, des mots de passe qui étaient uniques et qui n'étaient utilisés nulle part ailleurs. Nintendo n'a pas encore publié de déclaration officielle concernant ces attaques ; cependant, la société a conseillé aux utilisateurs, au début du mois, sur Twitter et Reddit, d'activer la vérification à deux facteurs (A2F) pour leurs comptes, suggérant que cela pourrait empêcher les intrusions. Un grand nombre de ceux qui ont signalé un accès non autorisé à leur compte Nintendo ont également déclaré avoir perdu de l'argent. Dans certains cas, les pirates ont acheté d'autres jeux Nintendo, mais dans de nombreux cas, les victimes ont déclaré que les pirates avaient acheté de la monnaie sur Fortnite via une carte ou un compte PayPal lié au profil principal de Nintendo. On attend la réponse de Nintendo, si une enquête est en cours et voir comment elle vas dédommager les victimes du piratage.



Zoom sécurité et confidentialité toujours en doute

  Liste des news    Liste des new du mois  
App Zoom

09

Avril

L'application Zoom est l'une des plus populaires du moment et permet à de nombreuses équipes autour du globe de continuer à travailler et à échanger depuis leurs domiciles respectifs. L'action Zoom malmenée depuis les révélations sur son manque de sécurité. Seulement cette mise en lumière soudaine a révélé les nombreuses failles de sécurité du service de visioconférence. On peut citer pêle-mêle les données personnelles envoyées à Facebook dans le dos des utilisateurs ou encore le chiffrement des conversations qui n'est pas assuré de bout-en-bout malgré les affirmations de Zoom. C'en est trop pour Michael Drieu, l'un des actionnaires de l'entreprise qui vient de déposer une plainte en action collective devant le tribunal fédéral de San Francisco. L'investisseur explique que les fausses déclarations et les approximations de Zoom en matière de sécurité des données ont impacté le cours de bourse de l'entreprise. En effet, si l'action Zoom s'échangeait autour de 160 $ à la fin du mois de mars, son cours a chuté de plus de 28 % en ce début avril avec les premiers articles sur le manque de sécurité des appels passés avec le service. Zoom a pourtant tenté d'éteindre l'incendie et a multiplié les communiqués pour rassurer ses utilisateurs. Le 2 avril dernier, son PDG Eric Yuan avait annoncé un audit complet des pratiques de l'entreprise, un renforcement en matière de sécurité et plus de transparence. De bonnes intentions certes, mais apparemment pas suffisantes pour rassurer certaines entreprises et administrations qui interdisent à leurs employés d'utiliser Zoom pour leurs échanges. SpaceX et la NASA en font partie, et l'on apprend que Google a également interdit à ses équipes l'utilisation du logiciel en bloquant son accès sur leurs postes de travail et en les encourageant évidemment à utiliser Google Meet à la place.



Firefox corrige des failles en urgence

  Liste des news    Liste des new du mois  
Firefox

07

Avril

Parce qu'il n'y a pas que le pangolin qui nous pause problème mais également le panda roux !Un patch diffusé en urgence corrige deux failles de type « use after free ». Elles permettent de prendre le contrôle à distance d’un système. Mozilla vient de publier un patch en urgence pour Firefox. La version 74.0.1 colmate deux failles critiques dans le navigateur, permettant à des pirates de prendre le contrôle à distance d’un système. Or, c’est exactement ce qui est en train de se passer : ces deux failles sont actuellement utilisées dans des cyberattaques, sans qu'on ait pour l'instant plus de détails. Dans son alerte de sécurité, Mozilla donne quelques précisions sur les failles en question. Dans les deux cas, il s’agit d’un bug de type « use after free », qui peut être actionné dans certaines conditions temporelles (« race condition ») et qui permet d’accéder de façon non légitime à une zone mémoire qui a été libérée par une fonction. Et dans cette zone, les pirates peuvent probablement exécuter du code arbitraire, ce qui permet d’obtenir le contrôle de la machine.



AMD le code source Navi 10,21 et Arden dérobé

  Liste des news    Liste des new du mois  
radeon navi

27

Mars

AMD a demandé à GitHub le retrait des codes sources des puces graphiques Navi et Arden récemment dérobées par un hacker qui avait d’abord demandé une rançon de 100 millions de dollars pour éviter leur mise en ligne, mais que le fabricant a refusé de payer. Cette pratique se généralise, on l’a vu récemment avec le fournisseur de Tesla et SpaceX. L’histoire a débuté en novembre 2019 quand une pirate informatique a découvert dans un ordinateur compromis les codes sources des processeurs graphiques Navi 10, Navi 21 et Arden. Comme pour tenter de justifier son action, elle explique que « l’utilisateur n’avait pris aucune mesure pour empêcher la fuite des sources ». Pour rappel, Navi 10 est le processeur graphique qui équipe les cartes graphiques des séries Radeon RX 5500 et 5600. Navi 21 est celui que l’on trouve sur les Radeon RX 5900 dont les fonctions de raytracing seront intégrées à DirectX 12 Ultimate. Arden est le GPU d’architecture RDNA 2.0 que l’on retrouvera dans la Xbox Series X. Sans expliquer sa méthode de calcul, la pirate a estimé le contenu des fichiers collectés à 100 millions de dollars et a déjà promis que si elle ne trouvait pas d’acheteur, elle mettrait simplement l’ensemble des fichiers en ligne. Pour prouver qu’elle dispose effectivement des fichiers en question, elle a alors publié une petite partie des sources. Il semble que ce soit ce qui ait été découvert sur GitHub et dont AMD a demandé le retrait. Depuis, le constructeur a confirmé sur son site Internet qu’il avait été « contacté en décembre par un individu qui dispose de fichiers de tests sur une partie ses produits graphiques actuels et à venir et dont une fraction a été mise en ligne avant d’être retirée ». Toutefois, AMD pense que ces fichiers ne sont ni au cœur de sa compétitivité ni une menace pour la sécurité des produits concernés et s’est donc tourné vers les forces de l’ordre pour déclencher une enquête. Microsoft n’a pas encore commenté. Toutefois, comme nous vous l’annoncions hier, le géant américain envisage un report de la sortie de sa Xbox Series X, ce délai supplémentaire serait utile à une investigation sur les failles de sécurité potentielles que cette fuite pourrait engendrer et peut être bénéficier à long terme après la sortie de la console à un Hacking de masse.



Microsoft annonce une faille dans W7,W8 et Windows 10, pas de panique !

  Liste des news    Liste des new du mois  
Windows 10 faille police Adobe

24

Mars

Microsoft s’illustre à nouveau en annonçant une faille de sécurité majeure qui touche toutes les versions de son OS à partir de Windows 7 et de Windows Server 2008. Dans une alerte de sécurité publiée hier, l’éditeur reconnait qu’un nombre limité d’attaques ont récemment été menées en exploitant une vulnérabilité identifiée qui n’a pas encore été corrigée. La faille se situe dans la librairie dynamique Adobe Type Manager du fichier atmfd.dll, et permet au système d’exploitation d’afficher les polices de type PostScript Type 1. La bibliothèque expose votre machine à l’exécution de code malicieux à distance, notamment pour installer un cheval de Troie ou tout autre logiciel malveillant. Le bug peut être exploité grâce à une police faite sur mesure, et se déclenche à l’ouverture ou à la prévisualisation d’un document qui l’utilise. Les équipes de Microsoft travaillent actuellement à la correction de la nouvelle faille de sécurité. Il faudra néanmoins attendre jusqu’à la livraison du prochain patch de sécurité pour être à l’abri. Habituellement, la firme les déploie le deuxième mardi de chaque mois, il faudra donc patienter jusqu’au 14 avril. Bien que Windows 7 soit également vulnérable, rien n’indique que Microsoft fournira un correctif pour un OS qu’il ne supporte plus depuis le 14 janvier. Si c’est le cas et que vous utilisez toujours cette version, sachez qu’il existe une méthode de contournement pour installer les mises à jour de sécurité sur Windows 7.

1/ Désactiver le panneau d’aperçu et de détails dans Windows Explorer
2/ Désactiver le service WebClient
3/ Renommer la DLL atmfd.dll
Le détail de la procédure à suivre en fonction de votre système d’exploitation est disponible en ligne sur le site de Microsoft .



Intel une faille très critique dans les CPU

  Liste des news    Liste des new du mois  
cpu Intel faille CSME

09

Mars

Intel est coutumier des failles de sécurité de grande ampleur. La dernière en date est particulièrement problématique : il est impossible de la corriger. Les chercheurs de Positive Technologies ont découvert une vulnérabilité qui affecte tous les processeurs Intel de ces cinq dernières années, exception faite des puces de la 10e génération. Elle touche le CSME, le moteur de gestion et de sécurité convergent d’Intel sur lequel repose de nombreuses fonctions de sécurité. Le CSME est un des premiers programmes à se lancer au démarrage d’un PC. Il est responsable du chargement du BIOS UEFI, du contrôleur de gestion de l’alimentation, les DRM reposent aussi sur ce moteur. En mai dernier, Intel a livré un correctif, mais c’est insuffisant : d’après un chercheur, la faille de sécurité permet à un pirate de récupérer la clé cryptographique du PC, c’est à dire le sésame qui lui donne accès à la machine. Bien que la faille ne nécessite pas forcément un accès physique à la machine, il n’est pas si facile de l’exploiter. Rien d’impossible toutefois pour un pirate compétent et bien équipé. Le hic, c’est que le bug est présent sur la ROM d’amorçage du CSME : la fameuse clé peut être récupérée au moment du démarrage. Et Intel ne peut rien corriger à ce niveau. L’entreprise se veut rassurante, malgré les explications de Positive Technologies elle indique que l’exploitation de la faille exige un accès physique. Les chercheurs donnent quant à eux la recette pour éviter tout problème : changer de processeur



Une faille Wifi touche des millions d'appareils

  Liste des news    Liste des new du mois  
Faille puce Wi Fi Krook

27

Fevrier

Une importante faille baptisée « Krook » vient d’être dévoilée dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP, qui sont encore les plus couramment utilisés aujourd’hui. À l’occasion de la conférence RSA 2020, les chercheurs en sécurité d’Eset ont montré que les puces Wi-Fi de Broadcom et Cypress ne géraient pas bien la phase dite de « dissociation », lorsqu’un terminal se trouve soudainement déconnecté du réseau sans fil. Cette dissociation arrive par exemple lorsque l’utilisateur éteint le module Wi-Fi de son terminal ou lorsqu’il sort de la zone de couverture. Avant de clore la session de connexion, les puces Broadcom et Cypress vont vider leur tampon de mémoire qui contient encore un reste du flux de données. Mais en raison d’un bug dans la gestion des clés de chiffrement, ces données sont envoyées de manière non chiffrée. Résultat : un pirate aux alentours peut les intercepter de manière passive. Il peut même provoquer cette fuite de données autant de fois qu’il le souhaite, car il suffit pour cela d’envoyer une trame de dissociation vers le terminal ciblé. Ces trames de dissociation sont ni chiffrées ni authentifiées. N’importe qui peut donc les générer. D’après les chercheurs, cette faille affecte largement plus d’un milliard d’équipements. En effet, les puces épinglées sont contenues dans des smartphones d’Apple, de Google, de Samsung ou de Xiaomi (Merci les grande marque !). On les trouve aussi dans les liseuses d’Amazon, ainsi que dans des points d’accès d’Asus et Huawei. La bonne nouvelle, c’est que les fabricants de puces ont d’ores et déjà développé un patch. Celui-ci a été diffusé aux constructeurs au dernier trimestre 2019. Apple, par exemple, a mis à jour ses systèmes iOS, iPadOS et macOS fin octobre dernier.



Décathlon à l'origine de fuite de données personnelles

  Liste des news    Liste des new du mois  
DECATHLON fuite de donnees en Espagne

26

Fevrier

Décathlon est la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Les données personnelles des salariés de Décathlon Espagne en accès libre sur le web. C'est plus précisément la branche espagnole de la société qui vient de laisser fuiter pas moins de 9 Go de données, soit 123 millions d'enregistrements au total. Parmi les informations égarées sur le web, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. C'est une équipe du service vpnMentor qui a découvert cette base de données sur un serveur non-sécurisé. « La base de données de Décathlon Espagne, qui a fait l'objet d'une fuite, contient un véritable trésor de données à propos des employés et plus encore. Elle contient tout ce qu'un pirate informatique malveillant devrait, en théorie, utiliser pour s'emparer de comptes et accéder à des informations privées et même propriétaires », explique t-elle. L'entreprise a colmaté la brèche et explique qu'il n'y pas de risque pour ses clients. Des hackers en possession de tels renseignements pouvaient effectivement mener plusieurs actions, du phishing à l'espionnage industriel, grâce aux mots de passe administrateur retrouvés dans les différents fichiers disponibles. Décathlon a été prévenu le 16 février de la fuite de ces informations, quatre jours après la découverte de la base de données. L'entreprise a depuis fait le nécessaire pour retirer du web les données sensibles et se veut rassurante. « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne », explique un porte-parole de la filiale.



Faille de sécurité du Bluetooth Android

  Liste des news    Liste des new du mois  
android securite

10

Fevrier

La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants. Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion. Google a publié un correctif dans sa mise à jour de sécurité de février. Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne, il est donc primordial de télécharger le patch au plus vite. Si la mise à jour n’est pas encore disponible sur votre smartphone, il est fortement conseillé de prendre des précautions quant à l’utilisation de votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.



Encore des Malware sur le Play Store

  Liste des news    Liste des new du mois  
Google Play Store

07

Fevrier

Des chercheurs en cybersécurité viennent de révéler que 24 applications distribuées sur le Play Store contiendraient divers malwares. Si Google les a d’ores et déjà supprimés de son Store, celles-ci peuvent encore se trouver sur votre smartphone. Ces apps, qui cumulent 382 millions de téléchargements, contiendraient des malwares publicitaires et/ou des logiciels espions. « Elles demandent aussi une énorme quantité d’autorisations dangereuses, mettant potentiellement en danger les données privées des utilisateurs », tout en ayant « la possibilité de faire des appels, de prendre des photos et d’enregistrer des vidéos, et d’enregistrer du son », expliquent les chercheurs en cybersécurité de VPN Pro, à l’origine de cette découverte. Alerté par VPN Pro, Google a pris les mesures nécessaires et a immédiatement banni toutes ces applications de son store d’application. Toutefois, si vous les aviez téléchargées précédemment, celles-ci sont, logiquement, toujours sur votre smartphone. Ni une ni deux, on vous conseille bien évidemment de les désinstaller aussi vite que possible si elles se trouvent sur votre smartphone. Les voici : Sound Recorder, Super Cleaner, Virus Cleaner 2019, File Manager, Joy Launcher, Turbo Browser, Weather Forecast, Candy Selfie Camera, Hi VPN, Free VPN, Candy Gallery, Calendar Lite, Super Battery, Hi Security 2019, Net Master, Puzzle Box, Private Browser, Hi VPN Pro, World Zoo Word Crossy!, Soccer Pinball, Dig it, Laser Break, Music Roam, Word Crush. Comme le note VPN Pro, ces applications peuvent aussi bien collecter des données et les envoyer vers un serveur en Chine, qu’abonner les utilisateurs à des numéros surtaxés. Surtout, elles bafouent clairement la confidentialité de leurs utilisateurs. Toutes ces applications seraient liées à Shenzhen HAWK Internet Co, une société basée en Chine, et qui appartiendrait à TCL. Certaines d’entre elles auraient même été installées par défaut sur des smartphones de la marque Alcatel



Avast ferme sa filiale pas très honnête !

  Liste des news    Liste des new du mois  
Avast Securite ferme sa filiale jumpshot

03

Fevrier

Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot. Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast. Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast. Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données. Lors de l'installation de l'antivirus, les utilisateurs qui cochaient l' option, acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques. Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven. En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les options avant de les avoir lus ! A présent il est temps pour Avast de ce racheté une nouvelle image surtout pour des logiciel de sécurité qui doivent à l'origine protégé la vie privé.



Avast et AVG vendent vos données

  Liste des news    Liste des new du mois  
avast spyware jumpshot

29

Janvier

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité. Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google. La solution antivirus gratuite surveille toute votre activité sur internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».



Avast collecte vos informations de navigations

  Liste des news    Liste des new du mois  
Logo antivirus Avast

28

Janvier

Un antivirus gratuit qui collecte les données de ses utilisateurs pour les revendre ? Mégasurprise ! Comme c’était déjà le cas en décembre, Avast est une nouvelle fois accusé d’espionner les personnes qui ont installé son extension dans leur navigateur. Dans une enquête menée conjointement, Vice et PC Mag expliquent les détails de cette collecte. Grâce à cette extension, Avast peut absolument tout savoir de la navigation de ses 435 millions d’utilisateurs : leurs recherches Google, leur géolocalisation, les vidéos YouTube visionnées, mais aussi le détail de leurs visites sur des sites pornographiques (recherches effectuées, vidéos vues, etc.). Ces données de navigation sont compilées et revendues par Jumpshot, une filiale d’Avast. Google, Microsoft, TripAdvisor, Yelp ou encore Pepsi font partie des clients de la société. Ces montagnes de données leur permettent d’analyser les comportements des internautes et de perfectionner ainsi leurs produits. On peut, par exemple, prendre connaissance du produit recherché par une personne sur Google et son processus d’achat. Est-elle allée directement sur Amazon ? A-t-elle consulté d’autres sites d’e-commerce ? A-t-elle acheté le produit tout de suite ou remis son achat à plus tard ? Pour sa défense, comme en décembre dernier, Avast explique que les données transmises à ses clients sont toutes anonymisées. Impossible pour eux de les relier à un nom, une adresse e-mail ou un numéro de téléphone. Malgré tout, des doutes persistent quant à cette anonymisation des données. Comme l’explique à Vice Eric Goldman, professeur à l’université de Santa Clara : « Il est presque impossible d’anonymiser des données. Quand ils promettent de le faire, je ne les crois pas du tout ». Enfin, les utilisateurs de la version gratuite peuvent depuis l’été dernier refuser de transmettre leurs données en ne cochant pas la case idoine lors de l’installation du logiciel. Suffisant pour convaincre les clients d'Avast d’utiliser sa solution ?



Grosse fuite de données chez Microsoft suite à une M.àj. de serveurs

  Liste des news    Liste des new du mois  
logo microsoft ege allemand

24

Janvier

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche. Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder. Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019. Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente. Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles », sans plus de précision. Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft. Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.



Des Hackers affirment avoir cracker la puce T2 d'apple

  Liste des news    Liste des new du mois  
macbook air t2

06

Octobre

En combinant deux exploits initialement développés pour les iPhone, des chercheurs en sécurité affirment qu'ils peuvent également jailbreaker les Mac et MacBook qui embarquent la dernière version de la puce de sécurité T2 d'Apple
. Bien que l'exploitation soit assez complexe, la technique consistant à combiner les deux exploits a été mentionnée sur Twitter et Reddit au cours des dernières semaines, après avoir été testée et confirmée par les meilleurs experts actuels en sécurité de l'écosystème Apple. Si elle est exploitée correctement, cette technique de jailbreaking permet à des attaquants de prendre le contrôle total d'appareils pour modifier le comportement du système d'exploitation ou récupérer des données sensibles ou chiffrées, et même implanter des logiciels malveillants. Pour ceux qui ne savent pas ce qu'est la puce T2, il s'agit d'un coprocesseur spécial, installé à côté du principal processeur Intel sur les ordinateurs de bureau (iMac, Mac Pro, Mac mini) et les ordinateurs portables (MacBook) modernes d'Apple. Les puces T2 ont été annoncées en 2017 et ont commencé à être livrées avec tous les appareils Apple vendus depuis 2018. Des chercheurs en sécurité ont trouvé un moyen de pénétrer dans les puces T2 et ont trouvé une façon d'exécuter le code à l'intérieur de la puce de sécurité pendant sa routine de démarrage et de modifier son comportement normal. Seelon un post de la société de sécurité belge ironPeak, le jailbreaking d'une puce de sécurité T2 implique la connexion à un Mac/MacBook via USB-C et l'exécution de la version 0.11.0 du logiciel de jailbreaking Checkra1n pendant le processus de démarrage du Mac. Selon IronPeak, cela fonctionne parce que « Apple a laissé une interface de débogage ouverte dans la puce de sécurité T2 livrée aux clients, permettant à n'importe qui d'entrer en mode de mise à jour du micrologiciel de l'appareil (DFU – Device Firmware Update) sans authentification ». Le danger de cette nouvelle technique d'attaque est assez évident. Tout Mac ou MacBook laissé sans surveillance peut être piraté par quelqu'un qui peut y connecter un câble USB-C, redémarrer l'appareil, puis lancer Checkra1n 0.11.0. Malheureusement, comme il s'agit d'un problème lié au matériel, toutes les puces T2 doivent être considérées comme non réparables. La seule façon dont les utilisateurs peuvent faire face aux conséquences d'une attaque est de réinstaller BridgeOS, le système d'exploitation qui fonctionne sur des puces T2. « Si vous pensez que votre système est T2 », comme décrit ici. « Si vous êtes une cible potentielle d'acteurs étatiques, vérifiez altéré, utilisez le configurateur Apple pour réinstaller bridgeOS sur votre puce l'intégrité de votre SMC en utilisant par exemple rickmark/smcutil et ne laissez pas votre appareil sans surveillance », a déclaré IronPeak. Apple n'a pas répondu à notre demande de commentaires.



Mozilla arrête Firefox send à cause des Malwares

  Liste des news    Liste des new du mois  
Firefox Send la fin

18

Septembre

Dans un court billet, Firefox raconte s’être attelé au renforcement de la sécurité de Firefox Send durant l’été. L’outil, très permissif et facile d’accès, permettait à quiconque de se partager des fichiers en ligne (jusqu’à 2,5 Go), le tout sans avoir à créer de compte. Une véritable perche saisie par des utilisateurs malveillants, qui en ont allègrement profité pour inonder le Web de malwares. Une aubaine : sous couvert d’une URL émanant d’un service Firefox, ceux-ci n’attiraient pas l’attention des programmes antivirus. Le défi était-il trop grand ? On l’ignore. Mais Mozilla relate avoir pesé le pour et le contre dans l’éventualité d’une remise en service de Firefox Send. Vous l’aurez compris : le « non » a finalement remporté les suffrages. Firefox Notes, qu’il s’agisse de l’extension pour le navigateur ou de l’application Android, subira le même sort le 1er novembre prochain. Ce service, qui permettait de prendre rapidement des notes chiffrées, sera également discontinué d’ici deux mois. Mozilla se garde bien de nous donner les raisons motivant ce choix. Mais à la lecture des quelques lignes du billet, nous comprenons que le retour sur investissement est trop faible pour l’entreprise qui, rappelons-le, ne se porte pas pour le mieux. Mozilla explique néanmoins sur un article annexe comment les utilisateurs peuvent exporter leurs notes existantes au format HTML. L’éditeur précise enfin que l’extension Web continuera de fonctionner pour les personnes qui l’ont déjà installée, mais qu’elle ne sera plus supportée par l’équipe de développement. Enfin, l’entreprise rappelle qu’elle est à pied d’œuvre pour améliorer l’expérience de ses autres services, à commencer par Mozilla VPN, Firefox Monitor et Firefox Private Network.



Razer perd des données de 100 000 clients

  Liste des news    Liste des new du mois  
razer perte de 100000 donnees de clients

16

Septembre

La marque Razer, bien connue pour ses claviers, ses PC portables ou ses écouteurs Pikachu, a exposé les données personnelles de plus de 100 000 clients pendant plusieurs semaines. Parmi les informations accessibles, des e-mails, des adresses personnelles ou en encore des numéros de téléphone. La découverte incombe à l’expert en cybersécurité Bob Diachenko. L’individu explique que ces données étaient accessibles depuis le 18 août dernier ; elles étaient même indexées par des moteurs de recherche. Selon Bob Diachenko, cette défaillance résultait d’un serveur Elasticsearch mal configuré. Razer n’a corrigé la faille que le 9 septembre dernier.



Une faille Bluetooth

  Liste des news    Liste des new du mois  
Faille Bluetooth

11

Septembre

Le consortium Bluetooth SIG vient de publier une alerte de sécurité pour les appareils « dual-mode » qui supportent concomitamment les standards Bluetooth Low Energy (BLE) et Bluetooth Basic Rate/Enhanced Data Rate (BBR/BEDR). Une faille baptisée « BLURtooth » dans la procédure d’appairage permettrait à un pirate de s’insérer entre deux appareils de ce type et d’intercepter leurs échanges en clair. Le bug se situe au niveau d’un algorithme baptisé Cross-Transport Key Derivation (CTKD). Celui-ci permet, à partir d’un calcul unique, de générer les clés de chiffrement pour les deux types de modes (LE et BBR/BEDR) à la fois. Supposons que deux appareils Bluetooth soient déjà en communication par l’un des modes et que l’autre mode ne demande aucune authentification. Dans ce cas, le pirate pourrait usurper l’identité des appareils et procéder à un double appairage sur l’autre mode. L’algorithme CTKD va générer de nouvelles clés et, surtout, remplacer celle qui était utilisée jusqu’à présent. Résultat : le pirate pourra créer une attaque de type « Man in the middle » et accéder à tous les échanges. De telles attaques ne sont pas possibles avec Bluetooth 5.1 et supérieur, car ces versions n’autorisent pas l’écrasement d’une clé de chiffrement dans un tel cas. Les versions 4.2 à 5.0, en revanche, sont vulnérables. Les fabricants sont invités à intégrer eux-mêmes les protections nécessaires pour éviter ce type d’attaque.



6 Apps sur Play store Malveillantes

  Liste des news    Liste des new du mois  
android malware

01

Septembre

Pradeo vient d’identifier six applications malveillantes en libre circulation sur le Play Store. Infectées par le malware Joker, elles sont capables de vous abonner à des services obscurs sans votre consentement. Au total, ces six applications cumulent près de 200 000 téléchargements. Même si le Play Store dispose d’une sécurité, il arrive régulièrement que des applications malveillantes en libre circulation dans le magasin d’applications passent sous les radars de Google. C’est le cas de ces six nouvelles applications, fraîchement détectées par Pradeo. Téléchargées près de 200 000 fois au total, ces apps contiennent toutes le malware Joker, qui sévissait déjà il y a un an. Concrètement, ce malware appartenant à la famille des fleecewares a pour vocation d’inscrire les utilisateurs a des services payants contre leur gré. Pour ce faire, le malware s’immisce dans votre smartphone après l’installation de l’app infectée pour en intercepter les SMS, puis récupère les codes d’autorisation envoyés par ce biais. Cela lui permet de vous inscrire à des abonnements obscurs, sans même que vous ne vous en rendiez compte. Conçu de manière à générer la plus petite empreinte possible et donc extrêmement discret, ce malware est une vraie plaie qu’il convient d’éradiquer absolument de vos smartphones, sous peine de se voir facturer des services auxquels vous n’avez jamais souscrit. Il est possible que certaines de ces applications ne soient même pas affichées dans votre tiroir d’applications, c’est pourquoi il vous faudra vos rendre dans les réglages de votre appareil pour identifier toutes les applications suspectes et les effacer définitivement. Au nombre de six, ces applications ne semblent pas spécialement dangereuses, mais si elles sont présentes sur votre appareil, on ne saurait trop vous conseiller de les désinstaller de toute urgence. Voici la liste complète : Safety AppLock (applock.safety.protect.apps) téléchargée plus de 10 000 fois, Convenient Scanner 2 (com.convenient.scanner.tb) téléchargée plus de 100 000 fois, Push Message-Texting&SMS (sms.pushmessage.messaging) téléchargée plus de 10 000 fois, Emoji Wallpaper (tw.hdwallpaperthemes.emoji.wallpaper) téléchargée plus de 10 000 fois, Separate Doc Scanner (sk.pdf.separatedoc.scanner) téléchargée plus de 50 000 fois, Fingertip GameBox (com.theone.finger.games) téléchargée plus de 1 000 fois.



L'Europe dénonce les cybercriminels

  Liste des news    Liste des new du mois  
LEurope victime dinfiltration de pirates informatiques durant 3 ans

31

Juillet

Si les Etats-Unis nous ont habitués à une politique du "name and shame" (dénoncer et condamner) en matière de cybercriminalité, la Commission européenne se faisait plus discrète sur ce volet. Mais dans une décision publiée aujourd’hui, la Commission annonce la mise en place de sanctions visant « six individus et trois entités responsables ou impliqués dans diverses cyberattaques ». Le communiqué indique que les personnes visées par les sanctions sont responsables ou impliquées dans le cadre d’attaques ayant visé l’Organisation pour l’interdiction des armes chimiques, ainsi que dans les attaques WannaCry, NotPetya et enfin l’opération CloudHopper. La décision vise quatre citoyens russes, accusés d’avoir tenté d’attaquer l’organisation pour l’interdiction des armes chimiques (OIAC) en 2018. « La tentative de cyberattaque visait à pirater le réseau Wi-Fi de l'OIAC, ce qui, en cas de succès, aurait compromis la sécurité du réseau et les enquêtes en cours de l'OIAC. » Cette tentative a été désamorcée par les services secrets néerlandais. Ces quatre citoyens russes sont, selon la Commission européenne, tous membres de la direction générale des renseignements (GRU) de l’Etat-Major des Forces armées de la Fédération de Russie. Cette organisation est également visée par les sanctions de la Commission européenne, qui l’accuse également d’avoir été à l’origine de la diffusion du logiciel malveillant NotPetya en 2017, ainsi que d’avoir mené plusieurs attaques en 2015 et 2016, contre les infrastructures électriques ukrainiennes. Les accusations portées par la Commission européenne recoupent pour beaucoup celles annoncées auparavant par le gouvernement américain. L’un des citoyens chinois avait ainsi déjà été nommé par la justice américaine, tout comme c’était le cas pour l’organisation nord-coréenne Chosun Expo, dont les liens avec le groupe Lazarus avaient été mis en lumière en 2018. Les quatre citoyens russes visés par les sanctions étaient également tous connus de la justice américaine et sont tous répertoriés sur la liste Cyber’s Most Wanted du FBI. La Commission tient néanmoins à prendre ses distances avec la politique américaine en la matière et rappelle dans son communiqué que « les mesures restrictives ciblées ont un effet dissuasif et doivent être distinguées de l'attribution de la responsabilité à un Etat tiers ». En des termes plus clairs, la Commission se contente ici de nommer des individus et des structures, mais ne porte pas d’accusation directe sur d’autres pays. Les actes d’accusation américains n’ont pas cette subtilité diplomatique et leurs accusations visent clairement les gouvernements étrangers à l’origine des actes qui sont évoqués.



500 sites e-commerce piratés

  Liste des news    Liste des new du mois  
piratige de CB sites e commerce

09

Juillet

Une énorme arnaque sur plus de 500 sites de e-commerce vient d’être mise en lumière par des chercheurs en sécurité de Gemini Advisory. Ceux-ci ont dénombré pas moins de 570 sites de vente en ligne, dont 25 sites français, victimes d’un groupe de hackers nommé « Keeper ». Les pirates y ont dérobé de nombreux numéros de cartes bancaires pendant près de trois ans en utilisant une technique baptisée « Magecart », et qui consiste à utiliser un code JavaScript sur le site cible pour exflitrer les numéros d’une carte bancaire au moment du paiement. Ce code a été principalement utilisé sur des sites reposant sur Magento, une plateforme de commerce électronique libre utilisée par plus de 250 000 e-commerçants à travers le monde. Comme nous vous le disions, 25 sites français font partie des victimes de ce hack, si bien qu’on ne saurait trop vous conseiller de vérifier si votre carte bancaire est enregistrée sur l’un d’entre eux. Parmi ces sites, on retrouve des noms comme mauboussin.fr, yepnature.fr, maison-et-beaute.fr, mammafiore.fr, krea.fr, copat.fr ou encore gouttiere-expert.fr. Plus généralement, les sites touchés étaient des petites à moyennes entreprises, même si certains sites pouvaient attirer jusqu’à 1 000 000 de visiteurs par mois. Dans son rapport, Gemini Advisory estime que le groupe de hackers aurait collecté près de 700 000 cartes bancaires depuis avril 2017, mois où “Keeper” a commencé à agir. « Compte tenu du prix médian actuel, sur le dark web, de 10 dollars par carte compromise Card Not Present (CNP), ce groupe a probablement généré plus de 7 millions de dollars US en volant et en vendant des cartes de paiement compromises pendant toute sa durée de vie » précise finalement les chercheurs en sécurité.



Google retire 25 apps qui volent les ID Facebook

  Liste des news    Liste des new du mois  
Hack Facebook avec des Apps Android

02

Juillet

Ces applications malveillantes ont toutes été créées par le même développeur. Au total, elles cumulent plus de 2,3 millions de téléchargements. Les services proposés étaient toutefois différents : on retrouve des compteurs de pas, des éditeurs d’images ou de vidéos, des applications de fond d’écran ou encore de gestionnaire de fichiers. Pourtant, le principe est le même : subtiliser les identifications Facebook des utilisateurs, et lancer des campagnes de phishing par la suite. Pour ce faire, un code malveillant était inséré dans l’application téléchargée. Le malware était ensuite capable de détecter votre dernière application ouverte. S’il s’agissait de Facebook, la procédure s’enclenchait et une fausse page de connexion au célèbre réseau social invitait l'utilisateur à se connecter pour continuer de profiter de l’application. S’il tombait dans le piège, ses identifiants, récupérés par un script Java, étaient envoyés sur un serveur distant. La société française Evina déclare avoir signalé ces applications malveillantes à Google depuis la fin du mois de mai. Après un court examen, la firme de Mountain View les a retiré début juin. Vous pouvez retrouver la liste des applications en question ci-dessous. Si vous possédez l’une d’entre elles, nous vous conseillons de la désinstaller au plus vite.

- Super Wallpapers Flashlight
- Padenatef
- Wallpaper Level
- Contour Level Wallpaper
- iPlayer & iWallpaper
- Video Maker
- Color Wallpapers
- Pedometer
- Powerful Flashlight
- Super Bright Flashlight
- Super Flashlight
- Solitaire Game
- Accurate Scanning of QR Code
- Classic Card Game
- Junk File Cleaning
- Synthetic Z
- File Manager
- Composite Z
- Screenshot Capture
- Daily Horoscope Wallpapers
- Wuxia Reader
- Plus Weather
- Anime Live Wallpaper
- iHealth Step Counter
- com.tqyapp.fiction

Certaines d’entre elles étaient disponibles depuis plus d’un an sur le Play Store. En outre, la société de cybersécurité Evina recommande d’activer l’authentification à deux facteurs, et de ne télécharger que des applications réalisées par des développeurs de confiance.



Piratage de compte Amazon à 2 facteurs

  Liste des news    Liste des new du mois  
hqdefault

01

Juillet

C’est une faille zero day(a comblé d'urgence) qui inquiète. Des pirates seraient parvenus, selon toute vraisemblance et plusieurs témoignages, à franchir le système de vérification à deux facteurs de clients Amazon pour passer de fausses commandes en leur nom, et empocher le magot. Depuis le début du mois de juin, plusieurs internautes ont eu la désagréable surprise de découvrir que leur compte Amazon avait été piraté, et que l’opération avait permis à des individus malveillants de passer des commandes considérées comme étant déjà livrées, et aussitôt débitées. Cette vulnérabilité zero-day est d’autant plus inquiétante que les utilisateurs qui l’ont fait remonter bénéficiaient de l’authentification à deux facteurs (A2F), censée être inviolable. La faille dont nous parlons nous a été remontée par plusieurs internautes, preuves à l’appui. Il y a quelques jours, un client reçoit une notification sur son mobile provenant de l’application Amazon, qui lui signale une connexion effectuée depuis un Mac situé à Paris. Sauf que le client n’habite pas à Paris. Dans le doute, il coupe la connexion et change son mot de passe. Et le client fait partie des chanceux. Son voisin, client 2, a reçu une notification identique, évidemment suspecte. Sauf qu’en début de semaine, un autre client d’Amazon a reçu la fameuse notification indiquant une connexion tierce, et il n’aura pas eu autant de chance que les premiers Clients. Il lui, s’est aperçu qu’une commande avait été effectuée en son nom, sur son compte, avec le statut « Livré » rattaché à la commande qui était déjà dans la liste des commandes archivées. Bilan des courses : 400 € d’articles. Et il n’y a pas que la marketplace française qui serait concernée. Certaines boutiques trouvent leur déclinaison sur les domaines britannique, italien, espagnol, néerlandais ou allemand du géant américain. Et nous avons même retrouvé trace de certaines offres publiées sur Amazon du côté d’Aliexpress, avec un texte et un produit identiques à ceux appartenant aux boutiques frauduleuses. Sur Aliexpress, la page n’existe plus, même si celle-ci reste référencée dans les moteurs de recherche. Notons que selon nos informations, (qui seraient moins d'une dizaine connus à cette heure) ont à chaque fois été rapidement remboursés par Amazon, et le changement de mot de passe (que l'on vous conseille donc, en prévention) a permis de mettre fin au problème. On ne peut que vous conseiller, si vous avez enregistré un moyen de paiement par défaut sur Amazon ou autre, de le retirer.



Adobe demande de désinstaller Flash Player

  Liste des news    Liste des new du mois  
flash player mort.JPG

22

Juin

Dans un souci de sécurité des données personnelles, Adobe va informer tous les utilisateurs de son lecteur Flash Player qu’il est important de bien désinstaller le plug-in avant la fin de l’année pour éviter les risques de piratage des ordinateurs. Le fait qu’Adobe planifie depuis quelque temps de ne plus prendre en charge et supporter les mises à jour de Flash n’est pas une nouvelle incroyable. La société l’avait déjà annoncé. l’éditeur de Photoshop et de Flash Player va vous inviter à vraiment désinstaller le plug-in avant la fin de l’année. De plus, l’entreprise a annoncé qu’elle empêchera les contenus Flash de s’exécuter à partir de 2021. Paradoxalement, cet arrêt ferme et brutal de la prise en charge des mises à jour et de l’exploitation de Flash Player ne doit pas paraître choquant. Adobe le fait dans le but de protéger vos données personnelles face aux risques d’intrusion par des hackers. En effet, Flash Player a toujours été connu pour être un plug-in fragile et facile à exploiter de l’extérieur et s’introduire dans les PC. Ne pas inciter les utilisateurs à désinstaller le lecteur serait ainsi irresponsable. Les laisser utiliser un outil aussi fragile qui n’est plus supporté leur ferait prendre trop de risques. Preuve que le danger est bien réel, il est rare de voir un éditeur laisser tomber un de ses logiciels aussi vite et en demandant à ses utilisateurs de le désinstaller avec insistance. Ce changement de position vis-à-vis de Flash Player qui a contribué à la grande réputation d’Adobe semble être aujourd’hui un aveu de faiblesse. En effet, au début de Flash Player, l’éditeur critiquait la position d’Apple qui préférait le HTML5 à Flash sur ses iPhones et iPads pour la diffusion de contenus web.



Une faille dans la messagerie instantanée Signal

  Liste des news    Liste des new du mois  
Faille de localisation dans Messange

22

Mai

Alerté, Signal a été prompt à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger la nouvelle version de l’application sans plus attendre sur le Google Play Store et l’App Store. Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation. Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres). L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Mais Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte. D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.



Le Thunderbolt est vulnérable

  Liste des news    Liste des new du mois  
thunderbolt 3

12

Mai

Le port est issu dconnexion infor’une collaboration entre Intel et Apple>. C’est un format de matique à très haut débit. Les MacBook Pro commercialisés en 2011 étaient les premiers ordinateurs à bénéficier de ce port. Depuis, tous les MacBook (Air et Pro) ainsi que les iMac en sont munis. Apple, bien qu’il l’utilise davantage, n’est cependant pas le seul fabricant informatique à avoir recours à ce format de connexion. Björn Ruytenberg de l’université de la technologie d’Eindhoven aux Pays-Bas a découvert cette faille très sérieuse. La rapidité du port Thunderbolt est en fait sa vulnérabilité. Il est tellement rapide qu’il laisse un accès partiel direct à la mémoire de l’ordinateur. Et, tout accès à la mémoire représente une éventuelle vulnérabilité informatiquv. Afin de l’exploiter et de le démontrer, Björn Ruytenberg a donc mis au point une méthode appelée « Thunderspy ». Celle-ci permet de contourner l’écran de connexion de n’importe quel PC même s’il est verrouillé et que les données sont chiffrées. Thunderspy rend la machine totalement vulnérable au piratage des données. De plus, il suffit que l’attaquant ait un accès physique à l’ordinateur, un tournevis et du ». La faille utilise une fonctionnalité intégrée au firmware de Thunderbolt qui est le niveau de sécurité. Celle-ci permet d’interdim>« mre l’accès aux périphériques non approuvés et même de désactiver le port Thunderbolt si besoin. La méthode du chercheur néerlandais modifie en fait le firmware afin d’autoriser l’accès au port à n’importe quel appareil. Ce qui rend la vulnérabilité encore plus dangereuse est que le système d’exploitation ne se rend même pas compte de l’attaque. Björn Ruytenberg utilise un programmateur SPI (Serial Peripheral Interface) avec un clip SOP8 pour se connecter à l’ordinateur, en dévissant au préalable le panneau arrière. Il lui suffit ensuite d’exécuter le script pour modifier le firmware.



Un faille dans tous les Smartphones Samsung

  Liste des news    Liste des new du mois  
Smartphone Samsung vulnerable format Qimages

11

Mai

Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur. Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes). Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS. Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée. Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.



14 Failles Apple trouvées par Google Projet Zero

  Liste des news    Liste des new du mois  
Faille Apple Mail iOS 684x513

29

Avril

14 failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables. Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR. Cette moisson est d’autant plus remarquable que les vulnérabilités qui ont toutes été corrigées depuis avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.



Failles Zero-Day sur iOS

  Liste des news    Liste des new du mois  
Failles Zero Day Apple iOS Mail

23

Avril

Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite. Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail ou voir ce connecter directement en webmail.



Des comptes Nintendo piratés

  Liste des news    Liste des new du mois  
Piratage compte Nintendo

21

Avril

Au cours du mois dernier, les utilisateurs de Nintendo étaient nombreux à signaler le piratage de leurs comptes, et certains ont déclaré avoir perdu de l'argent à la suite de cette intrusion. Les détournements de comptes semblent avoir commencé à la mi-mars et ont atteint un pic le week-end dernier, lorsque de plus en plus d'utilisateurs ont commencé à recevoir des alertes par e-mail indiquant que des adresses IP inconnues avaient été vues en train d'accéder à leurs profils Nintendo. La manière dont les comptes sont piratés est actuellement inconnue. Il n'est pas clair si les pirates utilisent des mots de passe divulgués lors de fuites de données sur d'autres sites pour accéder également aux comptes Nintendo. Certains utilisateurs ont déclaré avoir utilisé des mots de passe complexes générés par un gestionnaire de mots de passe, des mots de passe qui étaient uniques et qui n'étaient utilisés nulle part ailleurs. Nintendo n'a pas encore publié de déclaration officielle concernant ces attaques ; cependant, la société a conseillé aux utilisateurs, au début du mois, sur Twitter et Reddit, d'activer la vérification à deux facteurs (A2F) pour leurs comptes, suggérant que cela pourrait empêcher les intrusions. Un grand nombre de ceux qui ont signalé un accès non autorisé à leur compte Nintendo ont également déclaré avoir perdu de l'argent. Dans certains cas, les pirates ont acheté d'autres jeux Nintendo, mais dans de nombreux cas, les victimes ont déclaré que les pirates avaient acheté de la monnaie sur Fortnite via une carte ou un compte PayPal lié au profil principal de Nintendo. On attend la réponse de Nintendo, si une enquête est en cours et voir comment elle vas dédommager les victimes du piratage.



Zoom sécurité et confidentialité toujours en doute

  Liste des news    Liste des new du mois  
App Zoom

09

Avril

L'application Zoom est l'une des plus populaires du moment et permet à de nombreuses équipes autour du globe de continuer à travailler et à échanger depuis leurs domiciles respectifs. L'action Zoom malmenée depuis les révélations sur son manque de sécurité. Seulement cette mise en lumière soudaine a révélé les nombreuses failles de sécurité du service de visioconférence. On peut citer pêle-mêle les données personnelles envoyées à Facebook dans le dos des utilisateurs ou encore le chiffrement des conversations qui n'est pas assuré de bout-en-bout malgré les affirmations de Zoom. C'en est trop pour Michael Drieu, l'un des actionnaires de l'entreprise qui vient de déposer une plainte en action collective devant le tribunal fédéral de San Francisco. L'investisseur explique que les fausses déclarations et les approximations de Zoom en matière de sécurité des données ont impacté le cours de bourse de l'entreprise. En effet, si l'action Zoom s'échangeait autour de 160 $ à la fin du mois de mars, son cours a chuté de plus de 28 % en ce début avril avec les premiers articles sur le manque de sécurité des appels passés avec le service. Zoom a pourtant tenté d'éteindre l'incendie et a multiplié les communiqués pour rassurer ses utilisateurs. Le 2 avril dernier, son PDG Eric Yuan avait annoncé un audit complet des pratiques de l'entreprise, un renforcement en matière de sécurité et plus de transparence. De bonnes intentions certes, mais apparemment pas suffisantes pour rassurer certaines entreprises et administrations qui interdisent à leurs employés d'utiliser Zoom pour leurs échanges. SpaceX et la NASA en font partie, et l'on apprend que Google a également interdit à ses équipes l'utilisation du logiciel en bloquant son accès sur leurs postes de travail et en les encourageant évidemment à utiliser Google Meet à la place.



Firefox corrige des failles en urgence

  Liste des news    Liste des new du mois  
Firefox

07

Avril

Parce qu'il n'y a pas que le pangolin qui nous pause problème mais également le panda roux !Un patch diffusé en urgence corrige deux failles de type « use after free ». Elles permettent de prendre le contrôle à distance d’un système. Mozilla vient de publier un patch en urgence pour Firefox. La version 74.0.1 colmate deux failles critiques dans le navigateur, permettant à des pirates de prendre le contrôle à distance d’un système. Or, c’est exactement ce qui est en train de se passer : ces deux failles sont actuellement utilisées dans des cyberattaques, sans qu'on ait pour l'instant plus de détails. Dans son alerte de sécurité, Mozilla donne quelques précisions sur les failles en question. Dans les deux cas, il s’agit d’un bug de type « use after free », qui peut être actionné dans certaines conditions temporelles (« race condition ») et qui permet d’accéder de façon non légitime à une zone mémoire qui a été libérée par une fonction. Et dans cette zone, les pirates peuvent probablement exécuter du code arbitraire, ce qui permet d’obtenir le contrôle de la machine.



AMD le code source Navi 10,21 et Arden dérobé

  Liste des news    Liste des new du mois  
radeon navi

27

Mars

AMD a demandé à GitHub le retrait des codes sources des puces graphiques Navi et Arden récemment dérobées par un hacker qui avait d’abord demandé une rançon de 100 millions de dollars pour éviter leur mise en ligne, mais que le fabricant a refusé de payer. Cette pratique se généralise, on l’a vu récemment avec le fournisseur de Tesla et SpaceX. L’histoire a débuté en novembre 2019 quand une pirate informatique a découvert dans un ordinateur compromis les codes sources des processeurs graphiques Navi 10, Navi 21 et Arden. Comme pour tenter de justifier son action, elle explique que « l’utilisateur n’avait pris aucune mesure pour empêcher la fuite des sources ». Pour rappel, Navi 10 est le processeur graphique qui équipe les cartes graphiques des séries Radeon RX 5500 et 5600. Navi 21 est celui que l’on trouve sur les Radeon RX 5900 dont les fonctions de raytracing seront intégrées à DirectX 12 Ultimate. Arden est le GPU d’architecture RDNA 2.0 que l’on retrouvera dans la Xbox Series X. Sans expliquer sa méthode de calcul, la pirate a estimé le contenu des fichiers collectés à 100 millions de dollars et a déjà promis que si elle ne trouvait pas d’acheteur, elle mettrait simplement l’ensemble des fichiers en ligne. Pour prouver qu’elle dispose effectivement des fichiers en question, elle a alors publié une petite partie des sources. Il semble que ce soit ce qui ait été découvert sur GitHub et dont AMD a demandé le retrait. Depuis, le constructeur a confirmé sur son site Internet qu’il avait été « contacté en décembre par un individu qui dispose de fichiers de tests sur une partie ses produits graphiques actuels et à venir et dont une fraction a été mise en ligne avant d’être retirée ». Toutefois, AMD pense que ces fichiers ne sont ni au cœur de sa compétitivité ni une menace pour la sécurité des produits concernés et s’est donc tourné vers les forces de l’ordre pour déclencher une enquête. Microsoft n’a pas encore commenté. Toutefois, comme nous vous l’annoncions hier, le géant américain envisage un report de la sortie de sa Xbox Series X, ce délai supplémentaire serait utile à une investigation sur les failles de sécurité potentielles que cette fuite pourrait engendrer et peut être bénéficier à long terme après la sortie de la console à un Hacking de masse.



Microsoft annonce une faille dans W7,W8 et Windows 10, pas de panique !

  Liste des news    Liste des new du mois  
Windows 10 faille police Adobe

24

Mars

Microsoft s’illustre à nouveau en annonçant une faille de sécurité majeure qui touche toutes les versions de son OS à partir de Windows 7 et de Windows Server 2008. Dans une alerte de sécurité publiée hier, l’éditeur reconnait qu’un nombre limité d’attaques ont récemment été menées en exploitant une vulnérabilité identifiée qui n’a pas encore été corrigée. La faille se situe dans la librairie dynamique Adobe Type Manager du fichier atmfd.dll, et permet au système d’exploitation d’afficher les polices de type PostScript Type 1. La bibliothèque expose votre machine à l’exécution de code malicieux à distance, notamment pour installer un cheval de Troie ou tout autre logiciel malveillant. Le bug peut être exploité grâce à une police faite sur mesure, et se déclenche à l’ouverture ou à la prévisualisation d’un document qui l’utilise. Les équipes de Microsoft travaillent actuellement à la correction de la nouvelle faille de sécurité. Il faudra néanmoins attendre jusqu’à la livraison du prochain patch de sécurité pour être à l’abri. Habituellement, la firme les déploie le deuxième mardi de chaque mois, il faudra donc patienter jusqu’au 14 avril. Bien que Windows 7 soit également vulnérable, rien n’indique que Microsoft fournira un correctif pour un OS qu’il ne supporte plus depuis le 14 janvier. Si c’est le cas et que vous utilisez toujours cette version, sachez qu’il existe une méthode de contournement pour installer les mises à jour de sécurité sur Windows 7.

1/ Désactiver le panneau d’aperçu et de détails dans Windows Explorer
2/ Désactiver le service WebClient
3/ Renommer la DLL atmfd.dll
Le détail de la procédure à suivre en fonction de votre système d’exploitation est disponible en ligne sur le site de Microsoft .



Intel une faille très critique dans les CPU

  Liste des news    Liste des new du mois  
cpu Intel faille CSME

09

Mars

Intel est coutumier des failles de sécurité de grande ampleur. La dernière en date est particulièrement problématique : il est impossible de la corriger. Les chercheurs de Positive Technologies ont découvert une vulnérabilité qui affecte tous les processeurs Intel de ces cinq dernières années, exception faite des puces de la 10e génération. Elle touche le CSME, le moteur de gestion et de sécurité convergent d’Intel sur lequel repose de nombreuses fonctions de sécurité. Le CSME est un des premiers programmes à se lancer au démarrage d’un PC. Il est responsable du chargement du BIOS UEFI, du contrôleur de gestion de l’alimentation, les DRM reposent aussi sur ce moteur. En mai dernier, Intel a livré un correctif, mais c’est insuffisant : d’après un chercheur, la faille de sécurité permet à un pirate de récupérer la clé cryptographique du PC, c’est à dire le sésame qui lui donne accès à la machine. Bien que la faille ne nécessite pas forcément un accès physique à la machine, il n’est pas si facile de l’exploiter. Rien d’impossible toutefois pour un pirate compétent et bien équipé. Le hic, c’est que le bug est présent sur la ROM d’amorçage du CSME : la fameuse clé peut être récupérée au moment du démarrage. Et Intel ne peut rien corriger à ce niveau. L’entreprise se veut rassurante, malgré les explications de Positive Technologies elle indique que l’exploitation de la faille exige un accès physique. Les chercheurs donnent quant à eux la recette pour éviter tout problème : changer de processeur



Une faille Wifi touche des millions d'appareils

  Liste des news    Liste des new du mois  
Faille puce Wi Fi Krook

27

Fevrier

Une importante faille baptisée « Krook » vient d’être dévoilée dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP, qui sont encore les plus couramment utilisés aujourd’hui. À l’occasion de la conférence RSA 2020, les chercheurs en sécurité d’Eset ont montré que les puces Wi-Fi de Broadcom et Cypress ne géraient pas bien la phase dite de « dissociation », lorsqu’un terminal se trouve soudainement déconnecté du réseau sans fil. Cette dissociation arrive par exemple lorsque l’utilisateur éteint le module Wi-Fi de son terminal ou lorsqu’il sort de la zone de couverture. Avant de clore la session de connexion, les puces Broadcom et Cypress vont vider leur tampon de mémoire qui contient encore un reste du flux de données. Mais en raison d’un bug dans la gestion des clés de chiffrement, ces données sont envoyées de manière non chiffrée. Résultat : un pirate aux alentours peut les intercepter de manière passive. Il peut même provoquer cette fuite de données autant de fois qu’il le souhaite, car il suffit pour cela d’envoyer une trame de dissociation vers le terminal ciblé. Ces trames de dissociation sont ni chiffrées ni authentifiées. N’importe qui peut donc les générer. D’après les chercheurs, cette faille affecte largement plus d’un milliard d’équipements. En effet, les puces épinglées sont contenues dans des smartphones d’Apple, de Google, de Samsung ou de Xiaomi (Merci les grande marque !). On les trouve aussi dans les liseuses d’Amazon, ainsi que dans des points d’accès d’Asus et Huawei. La bonne nouvelle, c’est que les fabricants de puces ont d’ores et déjà développé un patch. Celui-ci a été diffusé aux constructeurs au dernier trimestre 2019. Apple, par exemple, a mis à jour ses systèmes iOS, iPadOS et macOS fin octobre dernier.



Décathlon à l'origine de fuite de données personnelles

  Liste des news    Liste des new du mois  
DECATHLON fuite de donnees en Espagne

26

Fevrier

Décathlon est la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Les données personnelles des salariés de Décathlon Espagne en accès libre sur le web. C'est plus précisément la branche espagnole de la société qui vient de laisser fuiter pas moins de 9 Go de données, soit 123 millions d'enregistrements au total. Parmi les informations égarées sur le web, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. C'est une équipe du service vpnMentor qui a découvert cette base de données sur un serveur non-sécurisé. « La base de données de Décathlon Espagne, qui a fait l'objet d'une fuite, contient un véritable trésor de données à propos des employés et plus encore. Elle contient tout ce qu'un pirate informatique malveillant devrait, en théorie, utiliser pour s'emparer de comptes et accéder à des informations privées et même propriétaires », explique t-elle. L'entreprise a colmaté la brèche et explique qu'il n'y pas de risque pour ses clients. Des hackers en possession de tels renseignements pouvaient effectivement mener plusieurs actions, du phishing à l'espionnage industriel, grâce aux mots de passe administrateur retrouvés dans les différents fichiers disponibles. Décathlon a été prévenu le 16 février de la fuite de ces informations, quatre jours après la découverte de la base de données. L'entreprise a depuis fait le nécessaire pour retirer du web les données sensibles et se veut rassurante. « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne », explique un porte-parole de la filiale.



Faille de sécurité du Bluetooth Android

  Liste des news    Liste des new du mois  
android securite

10

Fevrier

La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants. Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion. Google a publié un correctif dans sa mise à jour de sécurité de février. Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne, il est donc primordial de télécharger le patch au plus vite. Si la mise à jour n’est pas encore disponible sur votre smartphone, il est fortement conseillé de prendre des précautions quant à l’utilisation de votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.



Encore des Malware sur le Play Store

  Liste des news    Liste des new du mois  
Google Play Store

07

Fevrier

Des chercheurs en cybersécurité viennent de révéler que 24 applications distribuées sur le Play Store contiendraient divers malwares. Si Google les a d’ores et déjà supprimés de son Store, celles-ci peuvent encore se trouver sur votre smartphone. Ces apps, qui cumulent 382 millions de téléchargements, contiendraient des malwares publicitaires et/ou des logiciels espions. « Elles demandent aussi une énorme quantité d’autorisations dangereuses, mettant potentiellement en danger les données privées des utilisateurs », tout en ayant « la possibilité de faire des appels, de prendre des photos et d’enregistrer des vidéos, et d’enregistrer du son », expliquent les chercheurs en cybersécurité de VPN Pro, à l’origine de cette découverte. Alerté par VPN Pro, Google a pris les mesures nécessaires et a immédiatement banni toutes ces applications de son store d’application. Toutefois, si vous les aviez téléchargées précédemment, celles-ci sont, logiquement, toujours sur votre smartphone. Ni une ni deux, on vous conseille bien évidemment de les désinstaller aussi vite que possible si elles se trouvent sur votre smartphone. Les voici : Sound Recorder, Super Cleaner, Virus Cleaner 2019, File Manager, Joy Launcher, Turbo Browser, Weather Forecast, Candy Selfie Camera, Hi VPN, Free VPN, Candy Gallery, Calendar Lite, Super Battery, Hi Security 2019, Net Master, Puzzle Box, Private Browser, Hi VPN Pro, World Zoo Word Crossy!, Soccer Pinball, Dig it, Laser Break, Music Roam, Word Crush. Comme le note VPN Pro, ces applications peuvent aussi bien collecter des données et les envoyer vers un serveur en Chine, qu’abonner les utilisateurs à des numéros surtaxés. Surtout, elles bafouent clairement la confidentialité de leurs utilisateurs. Toutes ces applications seraient liées à Shenzhen HAWK Internet Co, une société basée en Chine, et qui appartiendrait à TCL. Certaines d’entre elles auraient même été installées par défaut sur des smartphones de la marque Alcatel



Avast ferme sa filiale pas très honnête !

  Liste des news    Liste des new du mois  
Avast Securite ferme sa filiale jumpshot

03

Fevrier

Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot. Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast. Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast. Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données. Lors de l'installation de l'antivirus, les utilisateurs qui cochaient l' option, acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques. Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven. En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les options avant de les avoir lus ! A présent il est temps pour Avast de ce racheté une nouvelle image surtout pour des logiciel de sécurité qui doivent à l'origine protégé la vie privé.



Avast et AVG vendent vos données

  Liste des news    Liste des new du mois  
avast spyware jumpshot

29

Janvier

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité. Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google. La solution antivirus gratuite surveille toute votre activité sur internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».



Avast collecte vos informations de navigations

  Liste des news    Liste des new du mois  
Logo antivirus Avast

28

Janvier

Un antivirus gratuit qui collecte les données de ses utilisateurs pour les revendre ? Mégasurprise ! Comme c’était déjà le cas en décembre, Avast est une nouvelle fois accusé d’espionner les personnes qui ont installé son extension dans leur navigateur. Dans une enquête menée conjointement, Vice et PC Mag expliquent les détails de cette collecte. Grâce à cette extension, Avast peut absolument tout savoir de la navigation de ses 435 millions d’utilisateurs : leurs recherches Google, leur géolocalisation, les vidéos YouTube visionnées, mais aussi le détail de leurs visites sur des sites pornographiques (recherches effectuées, vidéos vues, etc.). Ces données de navigation sont compilées et revendues par Jumpshot, une filiale d’Avast. Google, Microsoft, TripAdvisor, Yelp ou encore Pepsi font partie des clients de la société. Ces montagnes de données leur permettent d’analyser les comportements des internautes et de perfectionner ainsi leurs produits. On peut, par exemple, prendre connaissance du produit recherché par une personne sur Google et son processus d’achat. Est-elle allée directement sur Amazon ? A-t-elle consulté d’autres sites d’e-commerce ? A-t-elle acheté le produit tout de suite ou remis son achat à plus tard ? Pour sa défense, comme en décembre dernier, Avast explique que les données transmises à ses clients sont toutes anonymisées. Impossible pour eux de les relier à un nom, une adresse e-mail ou un numéro de téléphone. Malgré tout, des doutes persistent quant à cette anonymisation des données. Comme l’explique à Vice Eric Goldman, professeur à l’université de Santa Clara : « Il est presque impossible d’anonymiser des données. Quand ils promettent de le faire, je ne les crois pas du tout ». Enfin, les utilisateurs de la version gratuite peuvent depuis l’été dernier refuser de transmettre leurs données en ne cochant pas la case idoine lors de l’installation du logiciel. Suffisant pour convaincre les clients d'Avast d’utiliser sa solution ?



Grosse fuite de données chez Microsoft suite à une M.àj. de serveurs

  Liste des news    Liste des new du mois  
logo microsoft ege allemand

24

Janvier

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche. Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder. Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019. Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente. Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles », sans plus de précision. Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft. Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.


Des Hackers affirment avoir cracker la puce T2 d'apple

En combinant deux exploits initialement développés pour les iPhone, des chercheurs en sécurité affirment qu'ils peuvent également jailbreaker les Mac et MacBook qui embarquent la dernière version de la puce de sécurité T2 d'Apple
. Bien que l'exploitation soit assez complexe, la technique consistant à combiner les deux exploits a été mentionnée sur Twitter et Reddit au cours des dernières semaines, après avoir été testée et confirmée par les meilleurs experts actuels en sécurité de l'écosystème Apple. Si elle est exploitée correctement, cette technique de jailbreaking permet à des attaquants de prendre le contrôle total d'appareils pour modifier le comportement du système d'exploitation ou récupérer des données sensibles ou chiffrées, et même implanter des logiciels malveillants. Pour ceux qui ne savent pas ce qu'est la puce T2, il s'agit d'un coprocesseur spécial, installé à côté du principal processeur Intel sur les ordinateurs de bureau (iMac, Mac Pro, Mac mini) et les ordinateurs portables (MacBook) modernes d'Apple. Les puces T2 ont été annoncées en 2017 et ont commencé à être livrées avec tous les appareils Apple vendus depuis 2018. Des chercheurs en sécurité ont trouvé un moyen de pénétrer dans les puces T2 et ont trouvé une façon d'exécuter le code à l'intérieur de la puce de sécurité pendant sa routine de démarrage et de modifier son comportement normal. Seelon un post de la société de sécurité belge ironPeak, le jailbreaking d'une puce de sécurité T2 implique la connexion à un Mac/MacBook via USB-C et l'exécution de la version 0.11.0 du logiciel de jailbreaking Checkra1n pendant le processus de démarrage du Mac. Selon IronPeak, cela fonctionne parce que « Apple a laissé une interface de débogage ouverte dans la puce de sécurité T2 livrée aux clients, permettant à n'importe qui d'entrer en mode de mise à jour du micrologiciel de l'appareil (DFU – Device Firmware Update) sans authentification ». Le danger de cette nouvelle technique d'attaque est assez évident. Tout Mac ou MacBook laissé sans surveillance peut être piraté par quelqu'un qui peut y connecter un câble USB-C, redémarrer l'appareil, puis lancer Checkra1n 0.11.0. Malheureusement, comme il s'agit d'un problème lié au matériel, toutes les puces T2 doivent être considérées comme non réparables. La seule façon dont les utilisateurs peuvent faire face aux conséquences d'une attaque est de réinstaller BridgeOS, le système d'exploitation qui fonctionne sur des puces T2. « Si vous pensez que votre système est T2 », comme décrit ici. « Si vous êtes une cible potentielle d'acteurs étatiques, vérifiez altéré, utilisez le configurateur Apple pour réinstaller bridgeOS sur votre puce l'intégrité de votre SMC en utilisant par exemple rickmark/smcutil et ne laissez pas votre appareil sans surveillance », a déclaré IronPeak. Apple n'a pas répondu à notre demande de commentaires.
06-10-2020


Mozilla arrête Firefox send à cause des Malwares

Dans un court billet, Firefox raconte s’être attelé au renforcement de la sécurité de Firefox Send durant l’été. L’outil, très permissif et facile d’accès, permettait à quiconque de se partager des fichiers en ligne (jusqu’à 2,5 Go), le tout sans avoir à créer de compte. Une véritable perche saisie par des utilisateurs malveillants, qui en ont allègrement profité pour inonder le Web de malwares. Une aubaine : sous couvert d’une URL émanant d’un service Firefox, ceux-ci n’attiraient pas l’attention des programmes antivirus. Le défi était-il trop grand ? On l’ignore. Mais Mozilla relate avoir pesé le pour et le contre dans l’éventualité d’une remise en service de Firefox Send. Vous l’aurez compris : le « non » a finalement remporté les suffrages. Firefox Notes, qu’il s’agisse de l’extension pour le navigateur ou de l’application Android, subira le même sort le 1er novembre prochain. Ce service, qui permettait de prendre rapidement des notes chiffrées, sera également discontinué d’ici deux mois. Mozilla se garde bien de nous donner les raisons motivant ce choix. Mais à la lecture des quelques lignes du billet, nous comprenons que le retour sur investissement est trop faible pour l’entreprise qui, rappelons-le, ne se porte pas pour le mieux. Mozilla explique néanmoins sur un article annexe comment les utilisateurs peuvent exporter leurs notes existantes au format HTML. L’éditeur précise enfin que l’extension Web continuera de fonctionner pour les personnes qui l’ont déjà installée, mais qu’elle ne sera plus supportée par l’équipe de développement. Enfin, l’entreprise rappelle qu’elle est à pied d’œuvre pour améliorer l’expérience de ses autres services, à commencer par Mozilla VPN, Firefox Monitor et Firefox Private Network.
18-09-2020


Razer perd des données de 100 000 clients

La marque Razer, bien connue pour ses claviers, ses PC portables ou ses écouteurs Pikachu, a exposé les données personnelles de plus de 100 000 clients pendant plusieurs semaines. Parmi les informations accessibles, des e-mails, des adresses personnelles ou en encore des numéros de téléphone. La découverte incombe à l’expert en cybersécurité Bob Diachenko. L’individu explique que ces données étaient accessibles depuis le 18 août dernier ; elles étaient même indexées par des moteurs de recherche. Selon Bob Diachenko, cette défaillance résultait d’un serveur Elasticsearch mal configuré. Razer n’a corrigé la faille que le 9 septembre dernier.
16-09-2020


Une faille Bluetooth

Le consortium Bluetooth SIG vient de publier une alerte de sécurité pour les appareils « dual-mode » qui supportent concomitamment les standards Bluetooth Low Energy (BLE) et Bluetooth Basic Rate/Enhanced Data Rate (BBR/BEDR). Une faille baptisée « BLURtooth » dans la procédure d’appairage permettrait à un pirate de s’insérer entre deux appareils de ce type et d’intercepter leurs échanges en clair. Le bug se situe au niveau d’un algorithme baptisé Cross-Transport Key Derivation (CTKD). Celui-ci permet, à partir d’un calcul unique, de générer les clés de chiffrement pour les deux types de modes (LE et BBR/BEDR) à la fois. Supposons que deux appareils Bluetooth soient déjà en communication par l’un des modes et que l’autre mode ne demande aucune authentification. Dans ce cas, le pirate pourrait usurper l’identité des appareils et procéder à un double appairage sur l’autre mode. L’algorithme CTKD va générer de nouvelles clés et, surtout, remplacer celle qui était utilisée jusqu’à présent. Résultat : le pirate pourra créer une attaque de type « Man in the middle » et accéder à tous les échanges. De telles attaques ne sont pas possibles avec Bluetooth 5.1 et supérieur, car ces versions n’autorisent pas l’écrasement d’une clé de chiffrement dans un tel cas. Les versions 4.2 à 5.0, en revanche, sont vulnérables. Les fabricants sont invités à intégrer eux-mêmes les protections nécessaires pour éviter ce type d’attaque.
11-09-2020


6 Apps sur Play store Malveillantes

Pradeo vient d’identifier six applications malveillantes en libre circulation sur le Play Store. Infectées par le malware Joker, elles sont capables de vous abonner à des services obscurs sans votre consentement. Au total, ces six applications cumulent près de 200 000 téléchargements. Même si le Play Store dispose d’une sécurité, il arrive régulièrement que des applications malveillantes en libre circulation dans le magasin d’applications passent sous les radars de Google. C’est le cas de ces six nouvelles applications, fraîchement détectées par Pradeo. Téléchargées près de 200 000 fois au total, ces apps contiennent toutes le malware Joker, qui sévissait déjà il y a un an. Concrètement, ce malware appartenant à la famille des fleecewares a pour vocation d’inscrire les utilisateurs a des services payants contre leur gré. Pour ce faire, le malware s’immisce dans votre smartphone après l’installation de l’app infectée pour en intercepter les SMS, puis récupère les codes d’autorisation envoyés par ce biais. Cela lui permet de vous inscrire à des abonnements obscurs, sans même que vous ne vous en rendiez compte. Conçu de manière à générer la plus petite empreinte possible et donc extrêmement discret, ce malware est une vraie plaie qu’il convient d’éradiquer absolument de vos smartphones, sous peine de se voir facturer des services auxquels vous n’avez jamais souscrit. Il est possible que certaines de ces applications ne soient même pas affichées dans votre tiroir d’applications, c’est pourquoi il vous faudra vos rendre dans les réglages de votre appareil pour identifier toutes les applications suspectes et les effacer définitivement. Au nombre de six, ces applications ne semblent pas spécialement dangereuses, mais si elles sont présentes sur votre appareil, on ne saurait trop vous conseiller de les désinstaller de toute urgence. Voici la liste complète : Safety AppLock (applock.safety.protect.apps) téléchargée plus de 10 000 fois, Convenient Scanner 2 (com.convenient.scanner.tb) téléchargée plus de 100 000 fois, Push Message-Texting&SMS (sms.pushmessage.messaging) téléchargée plus de 10 000 fois, Emoji Wallpaper (tw.hdwallpaperthemes.emoji.wallpaper) téléchargée plus de 10 000 fois, Separate Doc Scanner (sk.pdf.separatedoc.scanner) téléchargée plus de 50 000 fois, Fingertip GameBox (com.theone.finger.games) téléchargée plus de 1 000 fois.
01-09-2020


L'Europe dénonce les cybercriminels

Si les Etats-Unis nous ont habitués à une politique du "name and shame" (dénoncer et condamner) en matière de cybercriminalité, la Commission européenne se faisait plus discrète sur ce volet. Mais dans une décision publiée aujourd’hui, la Commission annonce la mise en place de sanctions visant « six individus et trois entités responsables ou impliqués dans diverses cyberattaques ». Le communiqué indique que les personnes visées par les sanctions sont responsables ou impliquées dans le cadre d’attaques ayant visé l’Organisation pour l’interdiction des armes chimiques, ainsi que dans les attaques WannaCry, NotPetya et enfin l’opération CloudHopper. La décision vise quatre citoyens russes, accusés d’avoir tenté d’attaquer l’organisation pour l’interdiction des armes chimiques (OIAC) en 2018. « La tentative de cyberattaque visait à pirater le réseau Wi-Fi de l'OIAC, ce qui, en cas de succès, aurait compromis la sécurité du réseau et les enquêtes en cours de l'OIAC. » Cette tentative a été désamorcée par les services secrets néerlandais. Ces quatre citoyens russes sont, selon la Commission européenne, tous membres de la direction générale des renseignements (GRU) de l’Etat-Major des Forces armées de la Fédération de Russie. Cette organisation est également visée par les sanctions de la Commission européenne, qui l’accuse également d’avoir été à l’origine de la diffusion du logiciel malveillant NotPetya en 2017, ainsi que d’avoir mené plusieurs attaques en 2015 et 2016, contre les infrastructures électriques ukrainiennes. Les accusations portées par la Commission européenne recoupent pour beaucoup celles annoncées auparavant par le gouvernement américain. L’un des citoyens chinois avait ainsi déjà été nommé par la justice américaine, tout comme c’était le cas pour l’organisation nord-coréenne Chosun Expo, dont les liens avec le groupe Lazarus avaient été mis en lumière en 2018. Les quatre citoyens russes visés par les sanctions étaient également tous connus de la justice américaine et sont tous répertoriés sur la liste Cyber’s Most Wanted du FBI. La Commission tient néanmoins à prendre ses distances avec la politique américaine en la matière et rappelle dans son communiqué que « les mesures restrictives ciblées ont un effet dissuasif et doivent être distinguées de l'attribution de la responsabilité à un Etat tiers ». En des termes plus clairs, la Commission se contente ici de nommer des individus et des structures, mais ne porte pas d’accusation directe sur d’autres pays. Les actes d’accusation américains n’ont pas cette subtilité diplomatique et leurs accusations visent clairement les gouvernements étrangers à l’origine des actes qui sont évoqués.
31-07-2020


500 sites e-commerce piratés

Une énorme arnaque sur plus de 500 sites de e-commerce vient d’être mise en lumière par des chercheurs en sécurité de Gemini Advisory. Ceux-ci ont dénombré pas moins de 570 sites de vente en ligne, dont 25 sites français, victimes d’un groupe de hackers nommé « Keeper ». Les pirates y ont dérobé de nombreux numéros de cartes bancaires pendant près de trois ans en utilisant une technique baptisée « Magecart », et qui consiste à utiliser un code JavaScript sur le site cible pour exflitrer les numéros d’une carte bancaire au moment du paiement. Ce code a été principalement utilisé sur des sites reposant sur Magento, une plateforme de commerce électronique libre utilisée par plus de 250 000 e-commerçants à travers le monde. Comme nous vous le disions, 25 sites français font partie des victimes de ce hack, si bien qu’on ne saurait trop vous conseiller de vérifier si votre carte bancaire est enregistrée sur l’un d’entre eux. Parmi ces sites, on retrouve des noms comme mauboussin.fr, yepnature.fr, maison-et-beaute.fr, mammafiore.fr, krea.fr, copat.fr ou encore gouttiere-expert.fr. Plus généralement, les sites touchés étaient des petites à moyennes entreprises, même si certains sites pouvaient attirer jusqu’à 1 000 000 de visiteurs par mois. Dans son rapport, Gemini Advisory estime que le groupe de hackers aurait collecté près de 700 000 cartes bancaires depuis avril 2017, mois où “Keeper” a commencé à agir. « Compte tenu du prix médian actuel, sur le dark web, de 10 dollars par carte compromise Card Not Present (CNP), ce groupe a probablement généré plus de 7 millions de dollars US en volant et en vendant des cartes de paiement compromises pendant toute sa durée de vie » précise finalement les chercheurs en sécurité.
09-07-2020


Google retire 25 apps qui volent les ID Facebook

Ces applications malveillantes ont toutes été créées par le même développeur. Au total, elles cumulent plus de 2,3 millions de téléchargements. Les services proposés étaient toutefois différents : on retrouve des compteurs de pas, des éditeurs d’images ou de vidéos, des applications de fond d’écran ou encore de gestionnaire de fichiers. Pourtant, le principe est le même : subtiliser les identifications Facebook des utilisateurs, et lancer des campagnes de phishing par la suite. Pour ce faire, un code malveillant était inséré dans l’application téléchargée. Le malware était ensuite capable de détecter votre dernière application ouverte. S’il s’agissait de Facebook, la procédure s’enclenchait et une fausse page de connexion au célèbre réseau social invitait l'utilisateur à se connecter pour continuer de profiter de l’application. S’il tombait dans le piège, ses identifiants, récupérés par un script Java, étaient envoyés sur un serveur distant. La société française Evina déclare avoir signalé ces applications malveillantes à Google depuis la fin du mois de mai. Après un court examen, la firme de Mountain View les a retiré début juin. Vous pouvez retrouver la liste des applications en question ci-dessous. Si vous possédez l’une d’entre elles, nous vous conseillons de la désinstaller au plus vite.

- Super Wallpapers Flashlight
- Padenatef
- Wallpaper Level
- Contour Level Wallpaper
- iPlayer & iWallpaper
- Video Maker
- Color Wallpapers
- Pedometer
- Powerful Flashlight
- Super Bright Flashlight
- Super Flashlight
- Solitaire Game
- Accurate Scanning of QR Code
- Classic Card Game
- Junk File Cleaning
- Synthetic Z
- File Manager
- Composite Z
- Screenshot Capture
- Daily Horoscope Wallpapers
- Wuxia Reader
- Plus Weather
- Anime Live Wallpaper
- iHealth Step Counter
- com.tqyapp.fiction

Certaines d’entre elles étaient disponibles depuis plus d’un an sur le Play Store. En outre, la société de cybersécurité Evina recommande d’activer l’authentification à deux facteurs, et de ne télécharger que des applications réalisées par des développeurs de confiance.
02-07-2020


Piratage de compte Amazon à 2 facteurs

C’est une faille zero day(a comblé d'urgence) qui inquiète. Des pirates seraient parvenus, selon toute vraisemblance et plusieurs témoignages, à franchir le système de vérification à deux facteurs de clients Amazon pour passer de fausses commandes en leur nom, et empocher le magot. Depuis le début du mois de juin, plusieurs internautes ont eu la désagréable surprise de découvrir que leur compte Amazon avait été piraté, et que l’opération avait permis à des individus malveillants de passer des commandes considérées comme étant déjà livrées, et aussitôt débitées. Cette vulnérabilité zero-day est d’autant plus inquiétante que les utilisateurs qui l’ont fait remonter bénéficiaient de l’authentification à deux facteurs (A2F), censée être inviolable. La faille dont nous parlons nous a été remontée par plusieurs internautes, preuves à l’appui. Il y a quelques jours, un client reçoit une notification sur son mobile provenant de l’application Amazon, qui lui signale une connexion effectuée depuis un Mac situé à Paris. Sauf que le client n’habite pas à Paris. Dans le doute, il coupe la connexion et change son mot de passe. Et le client fait partie des chanceux. Son voisin, client 2, a reçu une notification identique, évidemment suspecte. Sauf qu’en début de semaine, un autre client d’Amazon a reçu la fameuse notification indiquant une connexion tierce, et il n’aura pas eu autant de chance que les premiers Clients. Il lui, s’est aperçu qu’une commande avait été effectuée en son nom, sur son compte, avec le statut « Livré » rattaché à la commande qui était déjà dans la liste des commandes archivées. Bilan des courses : 400 € d’articles. Et il n’y a pas que la marketplace française qui serait concernée. Certaines boutiques trouvent leur déclinaison sur les domaines britannique, italien, espagnol, néerlandais ou allemand du géant américain. Et nous avons même retrouvé trace de certaines offres publiées sur Amazon du côté d’Aliexpress, avec un texte et un produit identiques à ceux appartenant aux boutiques frauduleuses. Sur Aliexpress, la page n’existe plus, même si celle-ci reste référencée dans les moteurs de recherche. Notons que selon nos informations, (qui seraient moins d'une dizaine connus à cette heure) ont à chaque fois été rapidement remboursés par Amazon, et le changement de mot de passe (que l'on vous conseille donc, en prévention) a permis de mettre fin au problème. On ne peut que vous conseiller, si vous avez enregistré un moyen de paiement par défaut sur Amazon ou autre, de le retirer.
01-07-2020


Adobe demande de désinstaller Flash Player

Dans un souci de sécurité des données personnelles, Adobe va informer tous les utilisateurs de son lecteur Flash Player qu’il est important de bien désinstaller le plug-in avant la fin de l’année pour éviter les risques de piratage des ordinateurs. Le fait qu’Adobe planifie depuis quelque temps de ne plus prendre en charge et supporter les mises à jour de Flash n’est pas une nouvelle incroyable. La société l’avait déjà annoncé. l’éditeur de Photoshop et de Flash Player va vous inviter à vraiment désinstaller le plug-in avant la fin de l’année. De plus, l’entreprise a annoncé qu’elle empêchera les contenus Flash de s’exécuter à partir de 2021. Paradoxalement, cet arrêt ferme et brutal de la prise en charge des mises à jour et de l’exploitation de Flash Player ne doit pas paraître choquant. Adobe le fait dans le but de protéger vos données personnelles face aux risques d’intrusion par des hackers. En effet, Flash Player a toujours été connu pour être un plug-in fragile et facile à exploiter de l’extérieur et s’introduire dans les PC. Ne pas inciter les utilisateurs à désinstaller le lecteur serait ainsi irresponsable. Les laisser utiliser un outil aussi fragile qui n’est plus supporté leur ferait prendre trop de risques. Preuve que le danger est bien réel, il est rare de voir un éditeur laisser tomber un de ses logiciels aussi vite et en demandant à ses utilisateurs de le désinstaller avec insistance. Ce changement de position vis-à-vis de Flash Player qui a contribué à la grande réputation d’Adobe semble être aujourd’hui un aveu de faiblesse. En effet, au début de Flash Player, l’éditeur critiquait la position d’Apple qui préférait le HTML5 à Flash sur ses iPhones et iPads pour la diffusion de contenus web.
22-06-2020


Une faille dans la messagerie instantanée Signal

Alerté, Signal a été prompt à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger la nouvelle version de l’application sans plus attendre sur le Google Play Store et l’App Store. Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation. Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres). L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Mais Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte. D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.
22-05-2020


Le Thunderbolt est vulnérable

Le port est issu dconnexion infor’une collaboration entre Intel et Apple>. C’est un format de matique à très haut débit. Les MacBook Pro commercialisés en 2011 étaient les premiers ordinateurs à bénéficier de ce port. Depuis, tous les MacBook (Air et Pro) ainsi que les iMac en sont munis. Apple, bien qu’il l’utilise davantage, n’est cependant pas le seul fabricant informatique à avoir recours à ce format de connexion. Björn Ruytenberg de l’université de la technologie d’Eindhoven aux Pays-Bas a découvert cette faille très sérieuse. La rapidité du port Thunderbolt est en fait sa vulnérabilité. Il est tellement rapide qu’il laisse un accès partiel direct à la mémoire de l’ordinateur. Et, tout accès à la mémoire représente une éventuelle vulnérabilité informatiquv. Afin de l’exploiter et de le démontrer, Björn Ruytenberg a donc mis au point une méthode appelée « Thunderspy ». Celle-ci permet de contourner l’écran de connexion de n’importe quel PC même s’il est verrouillé et que les données sont chiffrées. Thunderspy rend la machine totalement vulnérable au piratage des données. De plus, il suffit que l’attaquant ait un accès physique à l’ordinateur, un tournevis et du ». La faille utilise une fonctionnalité intégrée au firmware de Thunderbolt qui est le niveau de sécurité. Celle-ci permet d’interdim>« mre l’accès aux périphériques non approuvés et même de désactiver le port Thunderbolt si besoin. La méthode du chercheur néerlandais modifie en fait le firmware afin d’autoriser l’accès au port à n’importe quel appareil. Ce qui rend la vulnérabilité encore plus dangereuse est que le système d’exploitation ne se rend même pas compte de l’attaque. Björn Ruytenberg utilise un programmateur SPI (Serial Peripheral Interface) avec un clip SOP8 pour se connecter à l’ordinateur, en dévissant au préalable le panneau arrière. Il lui suffit ensuite d’exécuter le script pour modifier le firmware.
12-05-2020


Un faille dans tous les Smartphones Samsung

Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur. Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes). Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS. Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée. Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.
11-05-2020


14 Failles Apple trouvées par Google Projet Zero

14 failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables. Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR. Cette moisson est d’autant plus remarquable que les vulnérabilités qui ont toutes été corrigées depuis avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.
29-04-2020


Failles Zero-Day sur iOS

Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite. Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail ou voir ce connecter directement en webmail.
23-04-2020


Des comptes Nintendo piratés

Au cours du mois dernier, les utilisateurs de Nintendo étaient nombreux à signaler le piratage de leurs comptes, et certains ont déclaré avoir perdu de l'argent à la suite de cette intrusion. Les détournements de comptes semblent avoir commencé à la mi-mars et ont atteint un pic le week-end dernier, lorsque de plus en plus d'utilisateurs ont commencé à recevoir des alertes par e-mail indiquant que des adresses IP inconnues avaient été vues en train d'accéder à leurs profils Nintendo. La manière dont les comptes sont piratés est actuellement inconnue. Il n'est pas clair si les pirates utilisent des mots de passe divulgués lors de fuites de données sur d'autres sites pour accéder également aux comptes Nintendo. Certains utilisateurs ont déclaré avoir utilisé des mots de passe complexes générés par un gestionnaire de mots de passe, des mots de passe qui étaient uniques et qui n'étaient utilisés nulle part ailleurs. Nintendo n'a pas encore publié de déclaration officielle concernant ces attaques ; cependant, la société a conseillé aux utilisateurs, au début du mois, sur Twitter et Reddit, d'activer la vérification à deux facteurs (A2F) pour leurs comptes, suggérant que cela pourrait empêcher les intrusions. Un grand nombre de ceux qui ont signalé un accès non autorisé à leur compte Nintendo ont également déclaré avoir perdu de l'argent. Dans certains cas, les pirates ont acheté d'autres jeux Nintendo, mais dans de nombreux cas, les victimes ont déclaré que les pirates avaient acheté de la monnaie sur Fortnite via une carte ou un compte PayPal lié au profil principal de Nintendo. On attend la réponse de Nintendo, si une enquête est en cours et voir comment elle vas dédommager les victimes du piratage.
21-04-2020


Zoom sécurité et confidentialité toujours en doute

L'application Zoom est l'une des plus populaires du moment et permet à de nombreuses équipes autour du globe de continuer à travailler et à échanger depuis leurs domiciles respectifs. L'action Zoom malmenée depuis les révélations sur son manque de sécurité. Seulement cette mise en lumière soudaine a révélé les nombreuses failles de sécurité du service de visioconférence. On peut citer pêle-mêle les données personnelles envoyées à Facebook dans le dos des utilisateurs ou encore le chiffrement des conversations qui n'est pas assuré de bout-en-bout malgré les affirmations de Zoom. C'en est trop pour Michael Drieu, l'un des actionnaires de l'entreprise qui vient de déposer une plainte en action collective devant le tribunal fédéral de San Francisco. L'investisseur explique que les fausses déclarations et les approximations de Zoom en matière de sécurité des données ont impacté le cours de bourse de l'entreprise. En effet, si l'action Zoom s'échangeait autour de 160 $ à la fin du mois de mars, son cours a chuté de plus de 28 % en ce début avril avec les premiers articles sur le manque de sécurité des appels passés avec le service. Zoom a pourtant tenté d'éteindre l'incendie et a multiplié les communiqués pour rassurer ses utilisateurs. Le 2 avril dernier, son PDG Eric Yuan avait annoncé un audit complet des pratiques de l'entreprise, un renforcement en matière de sécurité et plus de transparence. De bonnes intentions certes, mais apparemment pas suffisantes pour rassurer certaines entreprises et administrations qui interdisent à leurs employés d'utiliser Zoom pour leurs échanges. SpaceX et la NASA en font partie, et l'on apprend que Google a également interdit à ses équipes l'utilisation du logiciel en bloquant son accès sur leurs postes de travail et en les encourageant évidemment à utiliser Google Meet à la place.
09-04-2020


Firefox corrige des failles en urgence

Parce qu'il n'y a pas que le pangolin qui nous pause problème mais également le panda roux !Un patch diffusé en urgence corrige deux failles de type « use after free ». Elles permettent de prendre le contrôle à distance d’un système. Mozilla vient de publier un patch en urgence pour Firefox. La version 74.0.1 colmate deux failles critiques dans le navigateur, permettant à des pirates de prendre le contrôle à distance d’un système. Or, c’est exactement ce qui est en train de se passer : ces deux failles sont actuellement utilisées dans des cyberattaques, sans qu'on ait pour l'instant plus de détails. Dans son alerte de sécurité, Mozilla donne quelques précisions sur les failles en question. Dans les deux cas, il s’agit d’un bug de type « use after free », qui peut être actionné dans certaines conditions temporelles (« race condition ») et qui permet d’accéder de façon non légitime à une zone mémoire qui a été libérée par une fonction. Et dans cette zone, les pirates peuvent probablement exécuter du code arbitraire, ce qui permet d’obtenir le contrôle de la machine.
07-04-2020


AMD le code source Navi 10,21 et Arden dérobé

AMD a demandé à GitHub le retrait des codes sources des puces graphiques Navi et Arden récemment dérobées par un hacker qui avait d’abord demandé une rançon de 100 millions de dollars pour éviter leur mise en ligne, mais que le fabricant a refusé de payer. Cette pratique se généralise, on l’a vu récemment avec le fournisseur de Tesla et SpaceX. L’histoire a débuté en novembre 2019 quand une pirate informatique a découvert dans un ordinateur compromis les codes sources des processeurs graphiques Navi 10, Navi 21 et Arden. Comme pour tenter de justifier son action, elle explique que « l’utilisateur n’avait pris aucune mesure pour empêcher la fuite des sources ». Pour rappel, Navi 10 est le processeur graphique qui équipe les cartes graphiques des séries Radeon RX 5500 et 5600. Navi 21 est celui que l’on trouve sur les Radeon RX 5900 dont les fonctions de raytracing seront intégrées à DirectX 12 Ultimate. Arden est le GPU d’architecture RDNA 2.0 que l’on retrouvera dans la Xbox Series X. Sans expliquer sa méthode de calcul, la pirate a estimé le contenu des fichiers collectés à 100 millions de dollars et a déjà promis que si elle ne trouvait pas d’acheteur, elle mettrait simplement l’ensemble des fichiers en ligne. Pour prouver qu’elle dispose effectivement des fichiers en question, elle a alors publié une petite partie des sources. Il semble que ce soit ce qui ait été découvert sur GitHub et dont AMD a demandé le retrait. Depuis, le constructeur a confirmé sur son site Internet qu’il avait été « contacté en décembre par un individu qui dispose de fichiers de tests sur une partie ses produits graphiques actuels et à venir et dont une fraction a été mise en ligne avant d’être retirée ». Toutefois, AMD pense que ces fichiers ne sont ni au cœur de sa compétitivité ni une menace pour la sécurité des produits concernés et s’est donc tourné vers les forces de l’ordre pour déclencher une enquête. Microsoft n’a pas encore commenté. Toutefois, comme nous vous l’annoncions hier, le géant américain envisage un report de la sortie de sa Xbox Series X, ce délai supplémentaire serait utile à une investigation sur les failles de sécurité potentielles que cette fuite pourrait engendrer et peut être bénéficier à long terme après la sortie de la console à un Hacking de masse.
27-03-2020


Microsoft annonce une faille dans W7,W8 et Windows 10, pas de panique !

Microsoft s’illustre à nouveau en annonçant une faille de sécurité majeure qui touche toutes les versions de son OS à partir de Windows 7 et de Windows Server 2008. Dans une alerte de sécurité publiée hier, l’éditeur reconnait qu’un nombre limité d’attaques ont récemment été menées en exploitant une vulnérabilité identifiée qui n’a pas encore été corrigée. La faille se situe dans la librairie dynamique Adobe Type Manager du fichier atmfd.dll, et permet au système d’exploitation d’afficher les polices de type PostScript Type 1. La bibliothèque expose votre machine à l’exécution de code malicieux à distance, notamment pour installer un cheval de Troie ou tout autre logiciel malveillant. Le bug peut être exploité grâce à une police faite sur mesure, et se déclenche à l’ouverture ou à la prévisualisation d’un document qui l’utilise. Les équipes de Microsoft travaillent actuellement à la correction de la nouvelle faille de sécurité. Il faudra néanmoins attendre jusqu’à la livraison du prochain patch de sécurité pour être à l’abri. Habituellement, la firme les déploie le deuxième mardi de chaque mois, il faudra donc patienter jusqu’au 14 avril. Bien que Windows 7 soit également vulnérable, rien n’indique que Microsoft fournira un correctif pour un OS qu’il ne supporte plus depuis le 14 janvier. Si c’est le cas et que vous utilisez toujours cette version, sachez qu’il existe une méthode de contournement pour installer les mises à jour de sécurité sur Windows 7.

1/ Désactiver le panneau d’aperçu et de détails dans Windows Explorer
2/ Désactiver le service WebClient
3/ Renommer la DLL atmfd.dll
Le détail de la procédure à suivre en fonction de votre système d’exploitation est disponible en ligne sur le site de Microsoft .
24-03-2020


Intel une faille très critique dans les CPU

Intel est coutumier des failles de sécurité de grande ampleur. La dernière en date est particulièrement problématique : il est impossible de la corriger. Les chercheurs de Positive Technologies ont découvert une vulnérabilité qui affecte tous les processeurs Intel de ces cinq dernières années, exception faite des puces de la 10e génération. Elle touche le CSME, le moteur de gestion et de sécurité convergent d’Intel sur lequel repose de nombreuses fonctions de sécurité. Le CSME est un des premiers programmes à se lancer au démarrage d’un PC. Il est responsable du chargement du BIOS UEFI, du contrôleur de gestion de l’alimentation, les DRM reposent aussi sur ce moteur. En mai dernier, Intel a livré un correctif, mais c’est insuffisant : d’après un chercheur, la faille de sécurité permet à un pirate de récupérer la clé cryptographique du PC, c’est à dire le sésame qui lui donne accès à la machine. Bien que la faille ne nécessite pas forcément un accès physique à la machine, il n’est pas si facile de l’exploiter. Rien d’impossible toutefois pour un pirate compétent et bien équipé. Le hic, c’est que le bug est présent sur la ROM d’amorçage du CSME : la fameuse clé peut être récupérée au moment du démarrage. Et Intel ne peut rien corriger à ce niveau. L’entreprise se veut rassurante, malgré les explications de Positive Technologies elle indique que l’exploitation de la faille exige un accès physique. Les chercheurs donnent quant à eux la recette pour éviter tout problème : changer de processeur
09-03-2020


Une faille Wifi touche des millions d'appareils

Une importante faille baptisée « Krook » vient d’être dévoilée dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP, qui sont encore les plus couramment utilisés aujourd’hui. À l’occasion de la conférence RSA 2020, les chercheurs en sécurité d’Eset ont montré que les puces Wi-Fi de Broadcom et Cypress ne géraient pas bien la phase dite de « dissociation », lorsqu’un terminal se trouve soudainement déconnecté du réseau sans fil. Cette dissociation arrive par exemple lorsque l’utilisateur éteint le module Wi-Fi de son terminal ou lorsqu’il sort de la zone de couverture. Avant de clore la session de connexion, les puces Broadcom et Cypress vont vider leur tampon de mémoire qui contient encore un reste du flux de données. Mais en raison d’un bug dans la gestion des clés de chiffrement, ces données sont envoyées de manière non chiffrée. Résultat : un pirate aux alentours peut les intercepter de manière passive. Il peut même provoquer cette fuite de données autant de fois qu’il le souhaite, car il suffit pour cela d’envoyer une trame de dissociation vers le terminal ciblé. Ces trames de dissociation sont ni chiffrées ni authentifiées. N’importe qui peut donc les générer. D’après les chercheurs, cette faille affecte largement plus d’un milliard d’équipements. En effet, les puces épinglées sont contenues dans des smartphones d’Apple, de Google, de Samsung ou de Xiaomi (Merci les grande marque !). On les trouve aussi dans les liseuses d’Amazon, ainsi que dans des points d’accès d’Asus et Huawei. La bonne nouvelle, c’est que les fabricants de puces ont d’ores et déjà développé un patch. Celui-ci a été diffusé aux constructeurs au dernier trimestre 2019. Apple, par exemple, a mis à jour ses systèmes iOS, iPadOS et macOS fin octobre dernier.
27-02-2020


Décathlon à l'origine de fuite de données personnelles

Décathlon est la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Les données personnelles des salariés de Décathlon Espagne en accès libre sur le web. C'est plus précisément la branche espagnole de la société qui vient de laisser fuiter pas moins de 9 Go de données, soit 123 millions d'enregistrements au total. Parmi les informations égarées sur le web, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. C'est une équipe du service vpnMentor qui a découvert cette base de données sur un serveur non-sécurisé. « La base de données de Décathlon Espagne, qui a fait l'objet d'une fuite, contient un véritable trésor de données à propos des employés et plus encore. Elle contient tout ce qu'un pirate informatique malveillant devrait, en théorie, utiliser pour s'emparer de comptes et accéder à des informations privées et même propriétaires », explique t-elle. L'entreprise a colmaté la brèche et explique qu'il n'y pas de risque pour ses clients. Des hackers en possession de tels renseignements pouvaient effectivement mener plusieurs actions, du phishing à l'espionnage industriel, grâce aux mots de passe administrateur retrouvés dans les différents fichiers disponibles. Décathlon a été prévenu le 16 février de la fuite de ces informations, quatre jours après la découverte de la base de données. L'entreprise a depuis fait le nécessaire pour retirer du web les données sensibles et se veut rassurante. « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne », explique un porte-parole de la filiale.
26-02-2020


Faille de sécurité du Bluetooth Android

La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants. Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion. Google a publié un correctif dans sa mise à jour de sécurité de février. Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne, il est donc primordial de télécharger le patch au plus vite. Si la mise à jour n’est pas encore disponible sur votre smartphone, il est fortement conseillé de prendre des précautions quant à l’utilisation de votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.
10-02-2020


Encore des Malware sur le Play Store

Des chercheurs en cybersécurité viennent de révéler que 24 applications distribuées sur le Play Store contiendraient divers malwares. Si Google les a d’ores et déjà supprimés de son Store, celles-ci peuvent encore se trouver sur votre smartphone. Ces apps, qui cumulent 382 millions de téléchargements, contiendraient des malwares publicitaires et/ou des logiciels espions. « Elles demandent aussi une énorme quantité d’autorisations dangereuses, mettant potentiellement en danger les données privées des utilisateurs », tout en ayant « la possibilité de faire des appels, de prendre des photos et d’enregistrer des vidéos, et d’enregistrer du son », expliquent les chercheurs en cybersécurité de VPN Pro, à l’origine de cette découverte. Alerté par VPN Pro, Google a pris les mesures nécessaires et a immédiatement banni toutes ces applications de son store d’application. Toutefois, si vous les aviez téléchargées précédemment, celles-ci sont, logiquement, toujours sur votre smartphone. Ni une ni deux, on vous conseille bien évidemment de les désinstaller aussi vite que possible si elles se trouvent sur votre smartphone. Les voici : Sound Recorder, Super Cleaner, Virus Cleaner 2019, File Manager, Joy Launcher, Turbo Browser, Weather Forecast, Candy Selfie Camera, Hi VPN, Free VPN, Candy Gallery, Calendar Lite, Super Battery, Hi Security 2019, Net Master, Puzzle Box, Private Browser, Hi VPN Pro, World Zoo Word Crossy!, Soccer Pinball, Dig it, Laser Break, Music Roam, Word Crush. Comme le note VPN Pro, ces applications peuvent aussi bien collecter des données et les envoyer vers un serveur en Chine, qu’abonner les utilisateurs à des numéros surtaxés. Surtout, elles bafouent clairement la confidentialité de leurs utilisateurs. Toutes ces applications seraient liées à Shenzhen HAWK Internet Co, une société basée en Chine, et qui appartiendrait à TCL. Certaines d’entre elles auraient même été installées par défaut sur des smartphones de la marque Alcatel
07-02-2020


Avast ferme sa filiale pas très honnête !

Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot. Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast. Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast. Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données. Lors de l'installation de l'antivirus, les utilisateurs qui cochaient l' option, acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques. Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven. En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les options avant de les avoir lus ! A présent il est temps pour Avast de ce racheté une nouvelle image surtout pour des logiciel de sécurité qui doivent à l'origine protégé la vie privé.
03-02-2020


Avast et AVG vendent vos données

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité. Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google. La solution antivirus gratuite surveille toute votre activité sur internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».
29-01-2020


Avast collecte vos informations de navigations

Un antivirus gratuit qui collecte les données de ses utilisateurs pour les revendre ? Mégasurprise ! Comme c’était déjà le cas en décembre, Avast est une nouvelle fois accusé d’espionner les personnes qui ont installé son extension dans leur navigateur. Dans une enquête menée conjointement, Vice et PC Mag expliquent les détails de cette collecte. Grâce à cette extension, Avast peut absolument tout savoir de la navigation de ses 435 millions d’utilisateurs : leurs recherches Google, leur géolocalisation, les vidéos YouTube visionnées, mais aussi le détail de leurs visites sur des sites pornographiques (recherches effectuées, vidéos vues, etc.). Ces données de navigation sont compilées et revendues par Jumpshot, une filiale d’Avast. Google, Microsoft, TripAdvisor, Yelp ou encore Pepsi font partie des clients de la société. Ces montagnes de données leur permettent d’analyser les comportements des internautes et de perfectionner ainsi leurs produits. On peut, par exemple, prendre connaissance du produit recherché par une personne sur Google et son processus d’achat. Est-elle allée directement sur Amazon ? A-t-elle consulté d’autres sites d’e-commerce ? A-t-elle acheté le produit tout de suite ou remis son achat à plus tard ? Pour sa défense, comme en décembre dernier, Avast explique que les données transmises à ses clients sont toutes anonymisées. Impossible pour eux de les relier à un nom, une adresse e-mail ou un numéro de téléphone. Malgré tout, des doutes persistent quant à cette anonymisation des données. Comme l’explique à Vice Eric Goldman, professeur à l’université de Santa Clara : « Il est presque impossible d’anonymiser des données. Quand ils promettent de le faire, je ne les crois pas du tout ». Enfin, les utilisateurs de la version gratuite peuvent depuis l’été dernier refuser de transmettre leurs données en ne cochant pas la case idoine lors de l’installation du logiciel. Suffisant pour convaincre les clients d'Avast d’utiliser sa solution ?
28-01-2020


Grosse fuite de données chez Microsoft suite à une M.àj. de serveurs

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche. Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder. Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019. Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente. Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles », sans plus de précision. Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft. Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.
24-01-2020