Bienvenu sur la Particule.com

Toute l'actualités des geeks

Projet et fonctionnement du site la Particule.com

Les infos Bloc-Note du site la Particule.com

Nos différents partenaires

Suivre nos sponsors
Logo la particule.com
  




L'actualité
SECURITE


Une grosse faille dans PHP7

  Liste des news    Liste des new du mois  
Faille Php7 2019

28

Octobre

Lorsqu’une faille apparaît et qu’elle permet l’exécution de code arbitraire sur un serveur distant, ce n’est jamais une bonne nouvelle. Mais quand la faille est si facile à exploiter qu’elle peut même l’être par des gens ne disposant d’aucune connaissance technique, c’est pire. Et c’est le cas ici. Ce qu’a découvert Andrew Danau lors d’un évènement « Capture the Flag», qui est un concours de hack, et pas une partie de Quake, est qu’il est dans certains cas possible de faire exécuter une commande sur un serveur grâce au simple ajout de « ? a= » suivi d’une commande dans l’URL. Emil « Neex » Lerner, un chercheur russe en sécurité informatique, en a informé l’équipe de développement de PHP le 26 septembre. Le 21 octobre, l’équipe confirmait sa résolution, ce qui a motivé Neex a publié son exploit sur GitHub dès le lendemain. Il faut relativiser. Bien sûr, PHP est le langage de programmation le plus utilisé au monde pour les sites Web, représentant à lui seul 79 % de l’ensemble du Web. C’est ce en quoi est écrit WordPress, Drupal, Joomla, mais aussi MediaWiki, ce qui aurait pu à nouveau jouer du tort à Wikipedia après la récente attaque DDoS. Il est aussi utilisé, par endroit, sur certains sites majeurs comme Facebook, Tumblr ou Slack. Mais cette vulnérabilité ne touche que les serveurs NGINX qui ont déployé PHP via l’extension PHP-FPM, cela réduit donc le risque. Toutefois, ce couple NGINX/PHP-FPM est relativement commun chez les hébergeurs commerciaux. C’est par exemple le cas de NextCloud, qui a déjà demandé à ses clients de mettre à jour leur version de PHP. Il est donc très fortement recommandé de mettre à jour votre version de PHP vers les dernières disponibles, publiées le 24 octobre, 7.3.11, 7.2.24 ou 7.1.33 suivant la branche que vous avez déployée. Il existe d’autres méthodes si vous n’avez pas accès à la version de PHP. Ainsi Wallarm, la compagnie qui a conduit l’activité de Capture the Flag, donne des pistes pour contourner le problème. Enfin, vous pouvez tester la vulnérabilité de votre propre serveur grâce aux scripts de Neex.



Adobe CC 7.5 millions de compte exposés

  Liste des news    Liste des new du mois  
faille de securite des compte Creative Cloud Adobe

28

Octobre

Adobe a reconnu l’existence d’une brèche de sécurité au niveau d’une base de données Creative Cloud sur laquelle étaient stockées les informations de 7,5 millions de comptes utilisateurs et dont l’accès n’était pas protégé par un mot de passe. Selon le chercheur en sécurité Bob Diachenko (Security Discovery) et le journaliste Paul Bischoff de CompariTech, les adresses e-mail, noms d'utilisateur Creative Cloud, le pays d'origine et les produits Adobe utilisés figuraient sur cette base de données ainsi que la date de création du compte, la date de dernière connexion, ainsi que le statut de l'abonnement et du paiement. En revanche, il n’y avait ni mot de passe ni données financières. La brèche a été découverte le 19 octobre et Adobe l’a immédiatement colmatée. L’éditeur a expliqué qu’il s’agissait d’une erreur de configuration de l'un de ses “environnements prototypes, sans donner plus de détails. On ignore si ces données ont été siphonnées ou non et Adobe n’a rien dit à ce sujet. En 2013, l'entreprise avait été victime d’un piratage massif sur 38 millions de comptes utilisateurs comprenant les identifiants, adresses mail, mots de passe chiffrés et données de cartes bancaires.



Attention 15 App Android infectées de Malware

  Liste des news    Liste des new du mois  
apps infectees detecte par sophos

22

Octobre

Google essaie de faire le nécessaire pour garantir la sécurité des utilisateurs sous Android en nettoyant régulièrement le Play Store des applications vérolées, mais certaines passent entre les mailles du filet comme c'est le cas de ces 15 applications détectées par la société de sécurité britannique Sophos. La tendance n'est plus vraiment celle des virus, mais plutôt des malwares, que cela soit sur PC ou smartphone. Aujourd'hui, on a appris que la société de sécurité anglaise Sophos, spécialisée dans les antivirus, anti-malware, anti-spyware et anti-spam, a détecté 15 applications infectées disponibles sur le Play Store. Ces dernières n'ont pas été alertées par le Play Protect, l'antivirus de Google intégré directement sur le magasin d'applications. Le pire est qu'elles ont été téléchargées 1,3 million de fois.

Auto Cut Out
Auto Cut Out 2019
Auto Cut Out Pro
Flash On Calls & Messages
Background Cut Out
Background Cut Out Bis
Find Your Phone
Generate Elves-
Image Magic
ImageProcessing
Photo Background
QR Artifact
Rent QR Code
SavExpense
Scavenger – speed

Ces applications sont infectées par un malware qui affiche de la publicité sur votre smartphone sans votre consentement. Pour que vous ne vous doutiez de rien, après l'avoir lancé, une popup vous annonce que l'application n'est pas compatible avec votre smartphone tout en ouvrant la page du Play Store pour Google Maps. Pendant ce temps, l'app en question cache son icône dans la barre de notifications. Certaines sont encore plus sournoises puisqu'elles font disparaître l'icône de la liste des applications afin que vous ne puissiez pas la désinstaller.



NordVPN piraté !

  Liste des news    Liste des new du mois  
NordVPN Securite

22

Octobre

NordVPN vient d’indiquer que l’un de ses serveurs situé en Finlande a été victime d’un piratage en mars 2018. Après un audit rigoureux, il semblerait que la sécurité de ses utilisateurs ne soit pas compromise. Bien qu’il existe à ce jour une pléthore d’offres sur le marché, NordVPN reste un incontournable du secteur, et fait d’ailleurs partie des services de VPN les plus populaires en France. Pour autant, ce service qui est censé vous apporter anonymat et sécurité en ligne n’est pas infaillible et reconnaît aujourd’hui avoir été hacké. NordVPN a admis au média américain TechCrunch avoir été piraté en mars 2018. L’un des représentants de la firme a ainsi indiqué que « des pirates ont eu accès à l’un de nos datacenters en Finlande où nous louons nos serveurs, sans autorisation ». Pour autant, pas de quoi s’inquiéter si vous utilisez le service, rassure Nord VPN, puisque « le serveur ne contenait aucun journal des activités des utilisateurs, aucune de nos applications n’envoyait de justificatifs d’identité créés par les utilisateurs pour l’authentification, de sorte que les noms d’utilisateur et les mots de passe ne pouvaient pas non plus être interceptés », mais qu’il était malgré tout possible pour les hackers de « mettre en place une attaque man in the middle complexe visant à intercepter la connexion d’un internaute cherchant à se connecter aux services de NordVPN. » La firme a également indiqué prendre ce problème très au sérieux et avoir réalisé un audit de la sécurité de son infrastructure, c’est la raison pour laquelle le hack n’a pas été dévoilé jusqu’à ce jour. Selon les informations connues, le problème viendrait du prestataire du datacenter finlandais de NordVPN, qui aurait laissé accessible une faille permettant aux hackers de prendre le contrôle d’un « système de gestion à distance ».



Le PDF chiffré n'est pas efficace...

  Liste des news    Liste des new du mois  
PSF securite

02

Octobre

L'incontournable format PDF intègre directement dans son standard des schémas de chiffrement. Le but de cette fonctionnalité native est d'assurer la confidentialité des fichiers, tout en leur permettant d'être déchiffrés par n'importe quel lecteur, mais également d'éviter d'éventuelles méthodes de chiffrement frauduleuses. Malheureusement, les techniques employées dans le standard ne seraient pas d'une robustesse à toute épreuve. C'est ce qu'ont démontré six chercheurs des universités allemandes de la Ruhr à Bochum et de Münster. Ils ont en effet mis au jour une série d'attaques, baptisée PDFex, permettant d'accéder au contenu d'un PDF chiffré. La méthode ne consiste cependant pas à récupérer le mot de passe du fichier, mais à profiter de deux failles pour extraire son contenu. La première réside dans le fait que le chiffrement standard ne s'applique en réalité que sur une partie du document. Ce qui laisse la possibilité à des hackers de manipuler le contenu en clair, pour y ajouter un formulaire, un lien externe ou un code JavaScript. Ainsi, lorsqu'un utilisateur légitime ouvre le fichier, il peut être incité à déclencher l'une de ces actions, qui envoie alors la totalité du document à l'attaquant. Mais dans certains cas, l'opération peut être effectuée sans nécessiter la moindre interaction (par exemple avec un formulaire). Cependant, tous les lecteurs PDF ne prennent pas en charge les fichiers partiellement chiffrés. Mais la deuxième faille découverte concerne tout simplement le mode de chiffrement du standard : CBC (Cipher Block Chaining, ou enchaînement des blocs). Et dans la plupart des lecteurs PDF, cette méthode ne s'accompagne pas d'une vérification de l'intégrité des fichiers. Par conséquent, des hackers peuvent à nouveau s'attaquer au contenu d'un document, mais cette fois directement dans la partie chiffrée. Pour cela, ils peuvent faire appel à des « gadgets CBC », permettant d'ajouter des éléments enclenchant ensuite l'envoi de l'ensemble du fichier, de la même façon que dans la première situation. Les auteurs de l'étude ont testé ces deux scénarios sur 27 lecteurs PDF, parmi lesquels ceux intégrés dans Chrome, Firefox, Safari et Opera, mais également les applications majeures : Acrobat Reader DC, Nitro Pro, Foxit Reader... Et les résultats sont sans appel : absolument tous les logiciels se sont révélés vulnérables à au moins l'une des deux attaques (et souvent aux deux).



Mettre à jour Chrome d'urgence !

  Liste des news    Liste des new du mois  
chrome faille installez mise jour

20

Septembre

Une nouvelle mise à jour est destinée à boucher d'importantes failles de sécurité découvertes au sein du célèbre navigateur. Si vous utilisez Google Chrome, mettez-le à jour dans les plus brefs délais. Plusieurs failles d'envergure ont été identifiées sur le navigateur star de Google. Elles sont comblées depuis quelques heures par la mise à jour 77.0.3865.90, déployée en urgence sur Windows, macOS et Linux. En tout, 4 failles sont corrigées par la mise à jour concoctée par Google. L'une d'entre elles, classée « critique » par les chercheurs en sécurité, permet aux pirates d'exécuter du code à distance après avoir attiré des utilisateurs ciblés sur une page piégée. Par ce biais, l'installation à distance de programmes est possible, au même titre que la modification de données ou la création de comptes utilisateurs sur l'ordinateur des victimes. Le chercheur en sécurité ayant découvert deux des quatre failles, a obtenu de Google une prime de 40 000 $ pour son aide. Les deux chercheurs qui ont découvert les autres failles doivent, eux aussi, toucher une récompense dont le montant n'a pas encore été précisé.



Fuite de dossiers Médicaux sur le Web !

  Liste des news    Liste des new du mois  
image de scan obtnu par Propublica

18

Septembre

Une enquête menée par une chaîne de télévision allemande et l’organisme américain ProPublica a levé le voile sur une nouvelle fuite massive de données personnelles. Cette fois, il s’agit des documents médicaux de millions de patients dans le monde. Selon le rapport de l’enquête, environ 16 millions de dossiers médicaux avaient été mis en ligne sans aucun système de protection. Parmi les données accessibles se trouvaient des images de scanner, des radiographies, des analyses ainsi que les noms, dates de naissance et parfois numéros de sécurité sociale des patients. Au total, l’enquête a relevé des fuites dans au moins 52 pays. Sur les 500 serveurs identifiés, 7 se trouvaient en France. Ils contenaient les dossiers médicaux d’environ 47 500 patients. Les serveurs ou étaient hébergées les données étaient accessibles sans mot de passe et aucun système de chiffrement n’avait été utilisé. Selon ProPublica, de simples connaissances de base en informatique permettaient donc de visualiser tous les documents via son navigateur internet. Heureusement, l’office allemand de la sécurité informatique affirme n’avoir trouvé aucune information « laissant penser que des données de patients ont été copiées avec un mobile criminel. ». Une telle découverte est cependant très inquiétante, en raison de la nature sensible des données concernées. Les problèmes de santé de patients pourraient être en effet facilement utilisés pour des activités malveillantes telles que le chantage. Le rapport de l’enquête relève que la plupart des failles de sécurité concernent les petits centres d’analyses et les cabinets indépendants. Le secteur de la santé connaîtrait encore de sérieuses lacunes en matière de sécurité informatique. ProPublica recommande donc aux patients de toujours demander à leur médecin si l’accès à leur dossier nécessite un identifiant et un mot de passe.



Une faille dans iOS 13 Video

  Liste des news    Liste des new du mois  
ios13

16

Septembre

Alors qu’iOS 13 sera livré au public la semaine prochaine, une faille a été découvert par un expert en sécurité, Jose Rodriguez. La faille de sécurité donne accès à tous les contacts à partir de l’écran verrouillé. Son auteur a pourtant alerté Apple dès le 17 juillet, mais le problème est toujours présent dans la Gold Master, c’est-à-dire la version finale, disponible à partir du 19 septembre. L’inaction d’Apple est d’autant plus surprenante qu’elle touche un sujet qui fait débat : la confidentialité des données personnelles. Jose Rodriguez avait déjà découvert une faille similaire dans iOS 12.1. Son exploit sur la dernière version du système d’exploitation demande un peu de préparation, mais reste tout à fait réalisable. Un prérequis : il faut être en mesure d’appeler la victime sur Facetime. Lorsque son téléphone sonne, il ne faut pas décrocher, mais répondre avec un message personnalisé. Puis sur l’écran de composition du message, l’attaquant doit demander l’activation du VoiceOver à Siri, et renouveler l’opération pour le désactiver. L’accès au carnet d’adresses est alors déverrouillé. Pour y accéder, il suffit de tenter d’ajouter un destinataire au message. Peu rassurant pour la plupart des utilisateurs des nouveaux iPhone, et ceux qui pensent faire la mise à jour. Néanmoins, une nouvelle encourageante pour les équipes qui cherchent à prendre les commandes du système et proposer un jailbreak.



Un Malware infecte 24 App sur Android

  Liste des news    Liste des new du mois  
Malware Jocker sur Android 24 App infectes sur Google Play

10

Septembre

Un chercheur de la société de sécurité informatique CSIS a découvert l’existence d’un logiciel malveillant baptisé Joker dans 24 applications du Google Play Store. Celles-ci ont toutes été retirées de la boutique mais ont déjà été téléchargées plus de 400 mille fois. En plus de voler les listes de contacts et messages texte des appareils infectés, le malware Joker inscrit les utilisateurs à des services payants. Il utilise pour cela une technique qui consiste à récupérer le code d’autorisation de l’offre envoyé par SMS afin de confirmer l’abonnement au sur le site du service. Ce type de fraude a notamment été repéré au Danemark, où le Joker a fait souscrire ses victimes à des services facturés environ 6,71 € par mois. Le malware a été détecté dans 24 applications Android qui ont été téléchargées plus de 472 000 fois. Tous les utilisateurs ayant téléchargé ces applications sont invités à les désinstaller rapidement. Il est également recommandé de vérifier ses relevés de compte afin de s’assurer qu’aucune souscription suspecte n’y apparaît. Au total, 37 pays sont concernés par la propagation de Joker, incluant la France. Google semble avoir été très réactif et a supprimé toutes les applications du Store avant même d’avoir reçu le rapport de CSIS. Le Joker aurait cependant débuté ses activités en juin. Il est donc fortement conseillé de vérifier que votre appareil Android ne contient aucune des applications suivantes :
- Advocate Wallpaper,
- Age Face,
- Altar Message,
- Antivirus Security,
- Security Scan,
- Beach Camera,
- Board picture editing,
- Certain Wallpaper,
- Climate SMS,
- Collate Face Scanner,
- Cute Camera,
- Dazzle Wallpaper,
- Declare Message,
- Display Camera,
- Great VPN,
- Humour Camera,
- Ignite Clean,
- Leaf Face Scanner,
- Mini Camera,
- Print Plant scan,
- Rapid Face Scanner,
- Reward Clean,
- Ruddy SMS,
- Soby Camera,
- Spark Wallpaper,

Ouf ! rien de tout ça dans mon smartphone...



Les trackers GPS de vrai mouchard !

  Liste des news    Liste des new du mois  
Tracker GPS securite faille

09

Septembre

Les trackers GPS se sont largement démocratisés ces dernières années, pour permettre à tout un chacun de suivre son animal de compagnie ou repérer sa voiture. Pourtant, un sérieux problème de sécurité se poserait sur ces appareils vendus à prix cassés sur le web. Il ne s’agirait pas à proprement parler d’une faille, mais plutôt d’une sécurité totalement négligée par le constructeur. C’est en tout cas ce que révèle Martin Hron, chercheur en sécurité chez Avast qui a publié un rapport, pointant du doigt un problème qui pourrait impacter plusieurs centaines de milliers de GPS made in China en circulation. Les trackers GPS concernés ont tous été fabriqués par l’entreprise chinoise i365-Tech. Ceux-ci utiliseraient tous une seule et même infrastructure très peu sécurisée. On aurait donc un serveur cloud, une interface web pour se connecter et une application mobile connectée au serveur. Sauf que les identifiants permettant aux utilisateurs de se connecter seraient basés sur le code IMEI de l’appareil GPS, et sécurisés par le même mot de passe « 123456 ». Ce mot de passe d’usine inchangé est une véritable aubaine pour les pirates informatiques, qui peuvent aisément espionner l’utilisateur de ce type d’appareil, et même obtenir son numéro de téléphone. Il suffirait simplement de faire varier le numéro de série en utilisant toujours le même mot de passe pour accéder aux données de tous les trackers sur le marché, avec des risques allant du simple espionnage à la falsification de la position GPS, jusqu’au verrouillage de l’appareil avant même qu’il ne soit vendu à un particulier, et bien d’autres possibilités obscures. Avast a dévoilé que cette négligence en matière de sécurité pourrait bien toucher près de 30 autres modèles de trackers GPS fabriqués par le chinois i365-Tech. Au total, Avast a indiqué que près de 600 000 appareils pourraient être concernés.



Un cheval de troie dans CamScanner sur Android

  Liste des news    Liste des new du mois  
kaspersky camscanner malware

02

Septembre

Si vous étiez un(e) utilisateur(trice) Android de CamScanner, l'application qui permet de scanner, stocker et partager différents contenus en PDF ou JPEG via son smartphone, ne vous étonnez pas de ne plus avoir accès à celle-ci. Plus disponible sur le Google Play Store après le signalement des experts de Kaspersky, l'application éditée par INTSIG Information intégrait en effet des publicités contenant du code malveillant. Plus qu'une tuile, c'est une véritable désillusion pour les développeurs de CamScanner. Si ces derniers peuvent se consoler en étant toujours présents sur l'App Store, être éjectés d'Android ne doit pas être facile à encaisser. L'application totalisait plus de 100 millions de téléchargements depuis son arrivée sur le Play Store, en 2010, avant que les chercheurs de sécurité de Kaspersky ne passent par là. Les spécialistes ont en effet découvert un dropper (un trojan qui introduit et installe le malware) qui permettait de déposer à distance un downloader malveillant sur l'appareil, grâce à un fichier crypté caché dans le code de CamScanner. Après son activation, ce dernier permettait le téléchargement de fichiers malveillants sur le mobile de l'utilisateur. Les utilisateurs touchés ont par exemple été dérangés par des publicités intrusives et ont constaté avoir souscrit à leur insu à des services payants. Sur Twitter, les développeurs de CamScanner ont reconnu que l'application avait hébergé un module publicitaire provenant de la société AdHub, qui générait des clics publicitaires non autorisés. « Nous allons immédiatement procéder à des actions en justice contre AdHub », indique l'éditeur dont l'application reste disponible sur son site internet officiel.



faille 0-day dans iOS

  Liste des news    Liste des new du mois  
failles ios

30

Aout

L'équipe de chercheurs en sécurité informatique de Google, a encore une fois découvert des vulnérabilités 0-day touchant le fabricant à la pomme. Exploitées par des cybercriminels sur une période minimum de deux ans et non corrigées par Apple, ces failles auraient impacté un très grand nombre d'utilisateurs d'iPhone depuis iOS 10 jusqu'à la plus récente version du système d'exploitation. Après avoir révélé une faille de sécurité dans le noyau de macOS en mars dernier, les experts en cybersécurité de Google nous dévoilent cette fois-ci qu'une opération massive de piratage aurait fait de très nombreuses victimes durant une période minimum de trente mois, soit depuis le lancement d'iOS 10 en septembre 2016. On apprend ainsi qu'une simple visite d'un site Internet suffisait pour infecter un iPhone. Ian Beer, du Project Zero, s'est exprimé à ce sujet dans un billet de blog : « Les pirates ne visaient pas une cible en particulier, une simple visite sur l'un des sites piratés suffisait au serveur d'exploitation pour attaquer votre appareil, et, en cas de succès, installer un programme de surveillance ». Plusieurs vulnérabilités inconnues des services d'Apple ont ainsi pu être exploitées par les assaillants, elles concernent iOS mais aussi son navigateur web Safari. Ce piratage aurait permis au logiciel malveillant de récupérer des données de géolocalisation, les mots de passe des différentes applications installées, et même d'avoir accès complet à des messageries chiffrées telles que Telegram et WhatsApp. Malgré tout, l'attaque n'était pas persistante, selon le Project Zero, c'est-à-dire que si l'utilisateur redémarrait son iPhone le programme malveillant était supprimé. Au total, les chercheurs missionnés par Google ont découvert 14 failles et cinq chaînes de vulnérabilités, et ce, depuis le lancement d'iOS 10. Apple a instantanément corrigé le problème après avoir été informé par l'équipe de Project Zero, en février 2019, via un correctif apporté par la version 12.1.4. Une mauvaise nouvelle de plus pour Apple après un trimestre décevant et une chute des ventes d'iPhone.



Des failles dans iOS corrigés ou presque !

  Liste des news    Liste des new du mois  
app store apple faille iOS

31

Juillet

Entre 10 et 24 millions de dollars. C’est ce que pouvaient valoir sur le marché noir les six failles de sécurité iOS découvertes par Natalie Silvanovich et Samuel Groß, deux chercheurs en sécurité de l’équipe Project Zero de Google. Leur valeur très élevée provient du fait qu’elles peuvent être exploitées sans interaction de la part de la personne ciblée. Pour quatre d’entre elles, il suffit qu’un message contenant un code malveillant soit ouvert dans iMessage. Les deux autres failles peuvent permettre d’extraire des données depuis la mémoire du terminal. Les six vulnérabilités ont été corrigées lors de la mise à jour iOS 12.4 diffusée la semaine dernière. Mais l’une d’elle n’a pas été intégralement corrigée et les détails à son sujet n’ont donc pas été révélés. Natalie Silvanovich fera une présentation de ces failles lors de la conférence Black Hat qui se tiendra la semaine prochaine à Las Vegas. Selon les informations, ce type de bugs de sécurité exploitables sans interaction et fonctionnant sur des versions récentes d’iOS pourraient valoir des fortunes au marché noir.



ViedeoLAN dément la faille de sécurité

  Liste des news    Liste des new du mois  
VLC

24

Juillet

La nouvelle a fait le tour du Web hier, à la suite d'une alerte du CERT du gouvernement allemand : le célèbre lecteur multimédia serait la victime d'une faille de sécurité critique. VideoLAN, qui développe VLC, explique que c'est faux. Or... Il n'en n'est rien. Dans une série de tweets publiés il y a quelques minutes, VideoLAN critique vertement la série d'événements qui ont mené à ce que le CERT-Bund, centre de réponses aux cyberattaques du gouvernement allemand, publie une alerte de sécurité « critique » à l'encontre du populaire lecteur multimédia. Sans trop rentré dans les détails, VLC n'est pas vulnérable. Le problème vient d'une librairie de tierce partie appelée libebml, et a été corrigé il y a plus de 16 mois. VLC depuis la version 3.0.3 utilise la bonne version de cette librairie. VideoLAN pointe du doigt MITRE Corporation, qui, ayant découvert la publication du chercheur sur l'outil de suivi de Videolan, a choisi de lancer une alerte, sans prévenir les développeurs de VLC. Alerte qui a ensuite été reprise par le CERT-Bund. C'est cette alerte que nous avons relayée. Donc nous nous excusons ouvertement en vers VideoLAN, finalement victime de sources qui n'ont pas été vérifiés par l'ensemble des chercheurs et de la presse. Vous pouvez donc d'aujourd'hui télécharger et installer ou réinstaller sans crainte le player multimédia VLC.



Faille critique pour VLC

  Liste des news    Liste des new du mois  
Faill dans le player VLC

22

Juillet

Même si elle proposait des améliorations pour 4K et 8K, HDR et vidéos 360, la version VLC 3.0.7 sortie au mois de juin était avant tout une mise à jour de sécurité. Toutefois, cette nouvelle version contient également une faille critique. CERT-Bund (Computer Emergency Response Team) est une agence de cybersécurité allemande. Il s'agit de l'organisme qui pilote les mesures préventives et réactives en cas d'incidents informatiques liés à la sécurité. Samedi 20 juillet, l'agence a publié un avertissement concernant le logiciel open source VLC Media Player 3.0.7.1 pour Linux, UNIX et Windows. Un signalement douloureux pour VLC dont la version 3.0.6 (et celles antérieures) avait été épinglée en juin pour être sensible aux logiciels malveillants infiltrés. Alors que le lecteur multimédia hautement compatible a été téléchargé plus de 3 milliards de fois, la nouvelle vulnérabilité détectée par CERT-Bund est d'autant plus dangereuse. Décrite « CVE-2019-13615 », le risque lié à cette faille a été classé comme « élevé », au niveau 4 sur l'échelle de dangerosité à cinq niveaux établie par le CERT. Cette faille permet notamment à un attaquant d'exécuter du code à distance, anonymement et en toute discrétion. Il peut ainsi interrompre des services, modifier des fichiers sans autorisation ou encore divulguer des informations. VLC est actuellement est train de développer un correctif, terminé à 60 %. Pour l'instant, aucune date de sortie n'a été annoncée pour ce patch. Néanmoins, le CERT-Bund se veut rassurant : contrairement à la faille du mois de juin, celle-ci ne semble pas avoir été exploitée par des attaquants. Quoi qu'il en soit, l'agence allemande recommande d'éviter le logiciel tant qu'aucun correctif n'aura été apporté à VLC Media Player



Attention au dongle Uniflying USB Logitech

  Liste des news    Liste des new du mois  
Logitech Replacement Unifying USB Receiver Dongle for Keyboard Mouse

15

Juillet

Dès 2016, la firme de sécurité Bastille avait signalé une faille de sécurité affectant les claviers et accessoires sans fil de Logitech utilisant un dongle USB propriétaire de la marque. Cette dernière permettait à un hacker de contrôler un ordinateur distant comme s’il y avait accès physiquement. Bien que Logitech a entre-temps sorti des patches de sécurité pour contrer la faille nommée « MouseJack », un chercheur en sécurité nommé Marcus Mengs affirme que les dongles Unifying de la compagnie sont susceptibles d’être exploités de diverses autres manières. Les éventuels hackers pourraient apparemment profiter des quelques secondes durant lesquelles la souris (ou le clavier ou même le pointeur laser) et le dongle se synchronisent pour prendre le contrôle de votre appareil. Pire encore, selon Bastille, Logitech vendrait toujours des dongles USB vulnérables à « MouseJack ». Estimant que le danger présenté était minime, la compagnie n’a pas organisé de campagne de rappel de ses produits. Au final, si vous possédez un de ces dongles, vous devriez les mettre à jour par simple précaution. Le nouveau firmware est disponible sur le site de Logitech .



Le FBI utilise des techniques faciale illégal

  Liste des news    Liste des new du mois  
FBI utilise illegalement les photos des permis pour reconnaissance faciale

08

Juillet

La reconnaissance faciale d’état continue de déraper. Selon le Washington Post et des chercheurs de l’université de droit de Georgetown, le FBI et l’ICE (Immigration and Customs Enforcement, le service des douanes américaines) ont un recours massif à la reconnaissance faciale sur des bases de données des photos des permis de conduire. Le problème ? Cet usage est illégal. Aux USA, chaque état dispose de son propre organisme public de gestion des véhicules et des permis de conduire communément appelé « Department of Motor Vehicules » (DMV) même si le nom diffère selon les états. Selon l’enquête, pas moins de 21 états permettraient aux agences fédérales de scanner à loisir leur base de données de photos des permis. Et ce en toute illégalité puisque ces bases de données n’ont pas du tout été constituées pour cet usage. Un usage loin d’être anodin : le FBI procéderait à lui seul à pas moins de 4 000 recherches par mois. S’il est théoriquement possible d’accéder à ces bases d’images, des états comme celui de Washington imposent un document légal signé d’un juge ou d’une autorité de justice. Dans le cas des 21 états, aucune limite n’a été imposée au FBI et à l’ICE, faisant de cet organisation officieuse un système de surveillance sans garde-fous.



La NASA c'est fait piraté grace à un Rapsberry Pi

  Liste des news    Liste des new du mois  
control center NASA

25

Juin

les plus complexes. Ce piratage de la NASA nous le prouve une nouvelle fois. Certains employés de la NASA ont récemment dû passer un mauvais quart d’heure. En effet, un rapport réalisé par l’Office of Inspector General vient d’indiquer que l’Agence Spatiale américaine a subi un piratage. Pire encore, les hackers ont réussi leur coup à l’aide d’un simple Raspberry Pi. PUBLICITÉ Le piratage remonte à avril 2018, bien que la faille de sécurité de 2011 soit également évoquée (87 Go de données avaient fuité). Les malfaiteurs ont branché le nano-ordinateur au Jet Propulsion Laboratory (JPL) et ce dernier n’a pas été détecté. Le document rapport qu’environ 500 Mo de données provenant de 23 fichiers ont été subtilisés. Certains évoquaient des factures concernant la mission du Mars Science Laboratory tandis que d’autres concernaient le Deep Space Network, le réseau de communication avec l’espace lointain. Composé de trois stations, ce dernier est utilisé pour les communications avec ses sondes spatiales interplanétaires et dans le cadre de quelques missions en orbite autour de la Terre. Les hackers ont donc pu accéder à des données portant sur des missions actuelles. Il n’y a pas toujours besoin de machines très avancées pour pénétrer dans les réseaux. Parmi les erreurs évoquées, l’organisme évoque des problèmes liés à la base de données sur la sécurité des technologies de l’information (abrégé en ITSDB). La NASA et le Jet Propulsion Laboratory ne seraient pas très vigilants et ne la mettraient pas assez souvent à jour. Elle doit normalement contenir toutes les informations des appareils qui se connectent au réseau. Pourtant, le Raspberry Pi n’y était pas. On peut également lire que des problèmes de sécurité spécifiques n’étaient pas résolus assez vite, et que certains persistaient 180 jours après avoir été découverts. La NASA a donc promis de faire des efforts. On peut tout de même s’étonner de la faiblesse de la sécurité d’une telle agence, pourtant considéré comme le fleuron de son domaine. À l’heure actuelle, il est impossible d’identifier les auteurs, désormais qualifiés de « menace persistante avancée ». Il s’agit tout de même d’un problème important, car on peut lire que les hackers pouvaient potentiellement « avoir accès et initier des signaux malicieux sur des missions spatiales habitées ».



M.àJ. Firefox faille zero-day

  Liste des news    Liste des new du mois  
FireFox logo

19

Juin

Les utilisateurs de Firefox sont invités mettre à jour sans attendre leur navigateur web. Mozilla vient de publier une mise à jour d’urgence pour corriger une faille de sécurité majeure activement exploitée par des hackers. Les ingénieurs de Mozilla indiquent dans la note de sécurité publiée en ligne qu’ils « sont au courant d’attaques ciblées ayant exploité cette faille de sécurité ». Cette vulnérabilité a été mise au jour par Samuel Groß, un chercheur en sécurité officiant dans l’équipe dédiée de Google Project Zero, ainsi que par les chercheurs en sécurité de Coinbase. Si aucun autre détail n’a été dévoilé par la Fondation, il est probable que cette faille zero-day ait été exploitée pour voler de la cryptomonnaie. Pour mettre à jour Firefox en version 67.0.3, ou Firefox ESR en version 67.0.1, rendez-vous dans le menu principal du navigateur, puis dans le menu Aide, cliquez sur A propos de Firefox.



La chine détourne du trafic internet

  Liste des news    Liste des new du mois  
chine piratage concept le trafic web europe detourner en chine

10

Juin

Il y a quelques jours, le 6 juin dernier, plusieurs opérateurs européens ont vu le trafic de données qui leur était destiné être détourné en Chine pendant plus de 2 heures. Les ingénieurs d’Oracle ont ainsi vu des données provenant d’un de leurs datacenters de Toronto être acheminées vers le réseau de SFR en passant par China Telecom. De la même manière, un administrateur Linux a observé les données de ses serveurs passer du datacenter d’OVH vers le réseau de Bouygues Telecom après avoir fait un long crochet par l’empire du Milieu. Ce détournement est la conséquence d’une mauvaise transmission d’informations de l’hébergeur suisse Safe Host. Au matin du 6 juin, celui-ci a envoyé plus de 70 000 routes BGP à son partenaire China Telecom, qui les a annoncées à l’ensemble de la Toile. Parmi ces routes figuraient surtout des destinations des opérateurs Swisscom, KPN, Bouygues Telecom et SFR. Résultat : certains trafics de données destinés à ces quatre opérateurs sont d’abord passés par China Telecom avant d’arriver à bon port. Des incidents liés au protocole de routage BGP arrivent régulièrement. Ce qui est inhabituel, c’est la durée. « De tels incidents de routage ne durent souvent que quelques minutes, mais dans ce cas, plusieurs des itinéraires divulgués lors de cet incident étaient en circulation pendant plus de deux heures », souligne Oracle dans une note de blog. Ce n’est que la première fois que China Telecom se fait épingler de la sorte. En novembre dernier, des experts d’Oracle avaient montré que l’opérateur chinois avait détourné une partie du trafic Internet pendant au moins deux ans, de décembre 2015 à décembre 2017. Même des flux internes aux Etats-Unis avaient ainsi fait un détour par la Chine, ouvrant la porte à de potentiels vols de données ou des tentatives de piratage. Si le trafic détourné est correctement chiffré, le risque est néanmoins limité. D’où l’importance du protocole de chiffrement TLS/SSL.



Le site des impôts est tombé !

  Liste des news    Liste des new du mois  
impots

04

Juin

Selon Gérald Darmanin, ministre de l’Action et des Comptes publics, près de quatre millions d’internautes ont tenté de se connecter à Impots.gouv.fr, la veille de la date limite de déclaration de leurs revenus. Un tel afflux de visiteurs a entraîné un dysfonctionnement des serveurs du site, empêchant les internautes de se connecter et de remplir leur déclaration dans les temps. À près de 24 heures de la date limite de déclaration, nombre d’utilisateurs ont donc fait part de leur frustration sur les réseaux sociaux. Le gouvernement se montre compréhensif et, en conséquence, accorde aux citoyens imposables des départements numérotés de 50 (Manche) à 976 (Mayotte) un sursis de 48 heures (jusqu’à jeudi 23:59) pour envoyer leur déclaration. La maintenance du site est désormais terminée, et l’espace particulier est (normalement) à nouveau accessible. Si vous n’arriviez pas, malgré tout, à envoyer votre déclaration par Internet, la Direction générale des Finances publiques conseille d’appeler le 0809401401, ou encore de vous déplacer jusqu’à votre centre des impôts, à l’ancienne.



Flipboard piraté

  Liste des news    Liste des new du mois  
flipboard

29

Mai

Flipboard, un service d'agrégation d'articles sous forme entre autre d'application mobile, a commencé à informer les utilisateurs d'un incident de sécurité au cours duquel des pirates ont eu accès à ses systèmes internes pendant plus de neuf mois. Dans une série de courriels, Flipboard a déclaré que les pirates avaient accès aux bases de données que l'entreprise utilise pour stocker les renseignements sur les clients. Flipboard a indiqué que ces bases de données stockaient des informations telles que les noms d'utilisateurs de Flipboard, les mots de passe hachés et salés, dans certains cas, des e-mails ou des jetons numériques qui relient les profils de Flipboard aux comptes des services tiers. La bonne nouvelle semble être que la grande majorité des mots de passe ont été hachés avec un algorithme de hachage de mots de passe fort appelé bcrypt, actuellement considéré comme très difficile à pirater. La société a dit que certains mots de passe ont été hachés avec l'algorithme SHA-1, plus faible, mais qu'ils n'étaient pas nombreux. "Si les utilisateurs ont créé ou modifié leur mot de passe après le 14 mars 2012, il est haché avec une fonction appelée bcrypt. Si les utilisateurs n'ont pas changé leur mot de passe depuis lors, il est salé et haché uniquement avec SHA-1", a déclaré Flipboard. Dans son courriel, Flipboard dit qu'il réinitialise maintenant tous les mots de passe des clients, peu importe si les utilisateurs ont été touchés ou non, par prudence. Flipboard a déclaré avoir informé les forces de l'ordre de l'infraction à la sécurité.



Etrange fuite d'une base de donnée d'influenceurs

  Liste des news    Liste des new du mois  
Donnee instagram fuite

21

Mai

Selon des révélations de TechCrunch, un expert en sécurité a découvert sur internet une base de données contenant les données personnelles de plus de 49 millions d’influenceurs et célébrités. Ces informations étaient hébergées par les services web d’Amazon et étaient accessibles sans aucun système de sécurité ni mot de passe. Parmi ces informations, on pouvait trouver des photos de profil, des biographies, le nombre d’abonnés, des données de localisation, mais aussi des adresses e-mail et numéros de téléphone. L’expert en cybersécurité a alerté Tech Crunch qui a découvert que la base de données avait été mise en ligne par Chtrbox, une société basée en Inde qui se spécialise dans le marketing sur les réseaux sociaux. La base de données incluait également des informations concernant le niveau d’influence de chaque utilisateur Instagram ainsi que le montant d’argent que chacun pourrait recevoir en échange de la publication de contenus sponsorisés. Problème, les influenceurs contactés par TechCrunch ont déclaré n’avoir jamais travaillé avec la société Chtrbox. La base de données a depuis été retirée. Facebook enquête sur l’affaire et a déclaré : « Nous examinons le problème pour comprendre si les données décrites incluant les adresses email et numéros de téléphone – viennent d’Instagram ou d’autres sources ». La firme Chtrbox de son côté n’a pas pour l’instant répondu à aucune question des médias.



L'UE vote la création d'un B.D. Biométrique

  Liste des news    Liste des new du mois  
EU vote la creation d une base de donnee biometrique

26

Avril

La semaine dernière, le Parlement européen a voté en faveur de l'interconnexion d'une série de systèmes de contrôle des frontières dans une gigantesque base de données interrogeable de suivi biométrique des citoyens européens et non européens. Cette nouvelle base de données sera connue sous le nom de Common Identity Repository (CIR) et est conçue pour unifier les enregistrements de plus de 350 millions de personnes. Selon sa conception, CIR regroupera à la fois les enregistrements d’identité (noms, dates de naissance, numéros de passeport et autres détails d’identité) et la biométrie (empreintes digitales et numérisations faciales), et mettra ses données à la disposition de toutes les autorités frontalières. Son rôle principal sera de simplifier le travail des services de police des frontières et des autorités de l'Union européenne, qui seront en mesure de lancer leurs recherches sur un système unifié beaucoup plus rapidement, plutôt que de rechercher dans des bases de données séparées. "Les systèmes couverts par les nouvelles règles comprennent le système d'information Schengen, Eurodac, le système d'information sur les visas (VIS) et trois nouveaux systèmes: le système européen du casier judiciaire des ressortissants de pays tiers (ECRIS-TCN), le système d'entrée / sortie ( EES) et le système européen d’information et d’autorisation de voyage (ETIAS) ", ont déclaré des responsables de l’UE la semaine dernière. Le CIR a été adopté par le Parlement européen le lundi 15 avril dernier, lors de deux votes séparés. Les règles du CIR en matière de contrôle des frontières et des visas ont été adoptées avec 511 voix pour et 123 contre pour neuf abstentions, tandis que la législation du CIR en matière de coopération policière et judiciaire, d'asile et de migration a été approuvée avec 510 pour et 130 contre, et neuf abstentions. Le Parlement européen et le Conseil européen ont promis des "garanties appropriées" pour protéger le droit des personnes à la vie privée et réglementer l'accès des agents à ces données. L'UE va gérer l'une des plus grandes bases de données



Outlook des comptes compromis

  Liste des news    Liste des new du mois  
Logo outlook

15

Avril

Des pirates ont eu accès aux données de certains comptes e-mail du service Outlook.com, et cela du 1er janvier au 28 mars 2019. Selon un message d’alerte envoyé par Microsoft aux personnes impactées, ces hackers ont utilisé les identifiants d’un agent de support pour accéder à ces informations. Ils ont pu voir les adresses e-mail des contacts, les noms des dossiers et les objets des messages, mais pas leurs contenus, ni leurs pièces jointes. Contacté par plusieurs médias américains, la firme de Redmond a expliqué que seul « un sous-ensemble limité de comptes de particuliers » a été impacté par ce piratage, sans plus de précision. Microsoft ne sait pas pourquoi ces informations ont été siphonnées et à quoi elles pourraient servir par la suite. L’éditeur prévient, néanmoins, que les personnes impactées pourraient être la cible d’arnaques sous forme de phishing. Il recommande, par ailleurs, le changement du mot de passe du compte, par mesure de précaution.



Des failles dans Safari

  Liste des news    Liste des new du mois  
Trend Micro Failles Safari

22

Mars

Le concours Pwn2Own 2019 a débuté à Vancouver (Canada), et dès le premier jour deux failles ont été dévoilées touchant Safari. La première, réalisée par l’équipe Fluorocetate, permet d’échapper au « bac à sable » du navigateur au moyen de la force brute. Amat Cama et Richard Zhu, les deux petits génies de l’équipe, ont remporté une récompense de 55 000 $ pour la démonstration de cette vulnérabilité. L’autre faiblesse de Safari mise en lumière durant la compétition est le fruit du travail de phoenhex et de l’équipe qwerty. Cette fois, il s’agit d’une élévation de privilèges depuis Safari, ouvrant aux hackers une porte vers le système… et donc, d’en prendre le contrôle. Apple connaissant déjà un des bugs permettant d’exploiter cette faille, les découvreurs devront se contenter de partager 45 000 $ (un joli cadeau de consolation). Les autres failles concernent la VirtualBox d’Oracle (par deux fois), et Workstation de VMware. En tout et pour tout, Trend Micro l’organisateur du concours a versé des récompenses d’un montant total de 240 000 $ pour ce premier jour. Tesla, Microsoft et VMware sont les partenaires de cette compétition annuelle sur trois jours. D’autres logiciels seront dans la ligne de mire des forts en thème : Firefox, Edge, et l’auto-pilote de Tesla. Les participants ont un temps limité à 30 minutes et trois tentatives pour réaliser la démonstration de leurs failles. Trend Micro achète les failles, qui sont ensuite communiquées aux éditeurs. Apple ne manquera pas de boucher les vulnérabilités qui touchent Safari.



Failles Zero-day dans Chrome

  Liste des news    Liste des new du mois  
chrome logo faille zero day

07

Mars

Si, comme 62 % des internautes, vous utilisez Chrome au quotidien, vous feriez bien de suivre le conseil des ingénieurs de Google. Mettez immédiatement votre navigateur à jour, sous peine d’être vulnérable à une faille de type zero day. Selon la définition de Wikipédia, « une vulnérabilité zero-day est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive ». Selon Google, la faille réside dans une erreur dans la gestion de la mémoire dans l’API FileReader de Chrome. Cette dernière permet aux applications Web de lire les fichiers contenus sur l’ordinateur de l’utilisateur. Si vous avez activé la mise à jour automatique de Google Chrome, il vous suffira de relancer le navigateur pour profiter de sa dernière version (Chrome 72.0.3626.121 précisément). Dans le cas contraire, procédez à la mise à jour manuellement, en vous rendant dans les Paramètres, puis en cliquant sur « À propos de Chrome ».



Une Faille dans MacOS

  Liste des news    Liste des new du mois  
securite Apple

04

Mars

Une faille critique touchant macOS, et même plus précisément son noyau XNU, est au vu et au su de tous depuis quelques jours. Les experts en sécurité de Google qui l’ont dénichée ont suivi la procédure habituelle : ils ont informé Apple de leur découverte puis attendu 90 jours avant de la révéler publiquement, qu’elle soit comblée ou non. Dans le cas présent, la faille est toujours présente. Elle concerne le mécanisme de copie sur écriture qui crée des copies privées de ressources (mémoire virtuelle) qui sont partagées entre plusieurs processus. L’équipe Project Zero s’est rendu compte qu’il était possible de modifier une image disque sans que le sous-sytème de gestion de la mémoire n’en soit informé, ce qui donne un vecteur d’attaque pour un piratage de plus grande ampleur, sans avoir besoin des droits administrateur. Apple va résoudre ce problème, décrit comme « hautement critique », dans une future mise à jour de macOS, indique le chercheur Ian Beer, sans plus de détail.



Internet en danger !

  Liste des news    Liste des new du mois  
Securite DNS

27

Fevrier

Des pirates ont réussi à accéder aux données de l’ICANN. Les risques sont énormes pour les internautes. Un blocage d’Internet est aussi possible. L’ICANN gère les noms de domaine et fonctionne comme un annuaire. En en prenant le contrôle, les pirates redirigent leurs cibles vers un autre ordinateur et profitent de cette occasion pour voler des informations confidentielles. Toutefois, Mounir Mahjoubi, secrétaire d’État chargé du numérique, ne connaît pas l’ampleur de l’attaque, la motivation et l’identité des pirates. Par ailleurs, on ignore si le piratage continue encore ou non. Les premiers éléments relatifs à un piratage de l’ICANN remontent à 2013. Depuis, cette action connue sous le nom de DNSpionnage s’est intensifiée. Même si les responsables de l’organisation annoncent « une campagne à grande échelle », ils insistent sur un point particulier, les attaques sont focalisées sur certaines régions et des structures précises. On peut citer entre autres les gouvernements européens et des pays du Moyen-Orient. La police, les compagnies pétrolières et les entreprises de transport aérien sont également ciblées. Les avis divergent sur l’origine des attaques. Néanmoins, les analystes privilégient trois pistes : la Russie, la Corée du Nord, et l’Iran. Alors que les pirates ont le pouvoir de bloquer une grande partie de la toile mondiale, ils auraient adopté une position attentiste. Apparemment, ils se contenteraient de recueillir les informations à travers les écoutes et les vols de données. En s’attaquant à la source, les hackers limitent les moyens de protection disponibles. Les internautes ignorent si le site qu’ils visitent figure parmi les victimes ou pas. Face aux risques, l’ICANN rappelle l’importance du protocole DNSSEC. Cette approche authentifie les données en leur attribuant une signature. Elle réussit ainsi à bloquer les modifications de DNS.



Vulnérabilité dans WordPress

  Liste des news    Liste des new du mois  
securite site wordpress

13

Fevrier

L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites. Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès. Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site. De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires. Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.



Dailymotion encore victime d'attaque

  Liste des news    Liste des new du mois  
index

28

Janvier

Alors que les cyberattaques sont perçues comme le 5e plus gros risque mondial, selon un sondage publié dans le cadre du World Economic Forum, il y a une semaine, le service d'hébergement français Dailymotion a été frappé de plein fouet par une intrusion informatique datée du 19 janvier 2019. Certains utilisateurs ont en effet reçu un mail préventif leur conseillant de réinitialiser leur mot de passe, . Qualifié de cyberattaque par force brute, le procédé en question consiste à obtenir un mot de passe par tests successifs en combinant nom d'utilisateur et codes divulgués sur d'autres sites internet. D'où les conseils de l'entreprise française, invitant les potentielles victimes à modifier leur mot de passe personnel, bien que le nombre de comptes touchés soit limité, selon les dirigeants de la société. À l'heure actuelle, l'ampleur de la brèche reste inconnue. Dailymotion aurait cependant pris « toutes les mesures nécessaires pour la bloquer », tout en la signalant à la CNIL, la Commission nationale de l'informatique et des libertés de France. En fonction de la gravité de l'attaque, l'autorité administrative indépendante pourrait prendre les mesures nécessaires face à cette nouvelle intrusion. Car Dailymotion avait été victime d'une attaque massive en décembre 2016, laquelle a piraté pas moins de 87 millions de comptes de la plateforme. L'enquête de la CNIL avait alors soulevé plusieurs erreurs du groupe, l'obligeant à payer une amende de 50 000 €deux ans plus tard. L'histoire va-t-elle se répéter ?



733 Millions de compte mail piratés

  Liste des news    Liste des new du mois  
Piratage de 733 millions adresse mail

21

Janvier

Plusieurs centaines de millions de comptes emails ont récemment été piratés. Les données proviennent d’un compte cloud, un dossier nommé « Collection #1 », et totalisent 87 Go. Même si les fichiers ne sont plus disponibles, ils ont fait l’objet de discussion et de partage sur un forum de piratage. Quelques personnes auraient ainsi pu les copier, avant leur suppression. Selon les estimations, les informations auraient été extraites à partir de 2890 sites web. Pastebin a publié une liste présumée des répertoires concernés. Après le nettoyage des fichiers bruts, Troy Hunt a recensé 2,7 milliards d’adresses concernées. Parmi elles, ce sont près de 773 millions de mails qui ont été réellement piratés, auxquels sont associés 21 millions de mots de passe. Pourtant, il a exclu les mots de passe sous forme hachée. Il a ensuite entré les données au sein du site Have I Been Pwned. Les éventuelles victimes peuvent vérifier si leur adresse figure dans le lot ou non. D’après ses précisions, environ 140 millions de mails n’étaient pas encore enregistrés dans sa base de données. Par ailleurs, plus de 10 millions de mots de passe sont également nouveaux. La fuite est vraiment importante. Son niveau se rapproche de celle révélée par Yahoo il y a quelques années. Le chercheur recommande une authentification à deux facteurs pour renforcer la sécurité.



Une grosse faille dans PHP7

  Liste des news    Liste des new du mois  
Faille Php7 2019

28

Octobre

Lorsqu’une faille apparaît et qu’elle permet l’exécution de code arbitraire sur un serveur distant, ce n’est jamais une bonne nouvelle. Mais quand la faille est si facile à exploiter qu’elle peut même l’être par des gens ne disposant d’aucune connaissance technique, c’est pire. Et c’est le cas ici. Ce qu’a découvert Andrew Danau lors d’un évènement « Capture the Flag», qui est un concours de hack, et pas une partie de Quake, est qu’il est dans certains cas possible de faire exécuter une commande sur un serveur grâce au simple ajout de « ? a= » suivi d’une commande dans l’URL. Emil « Neex » Lerner, un chercheur russe en sécurité informatique, en a informé l’équipe de développement de PHP le 26 septembre. Le 21 octobre, l’équipe confirmait sa résolution, ce qui a motivé Neex a publié son exploit sur GitHub dès le lendemain. Il faut relativiser. Bien sûr, PHP est le langage de programmation le plus utilisé au monde pour les sites Web, représentant à lui seul 79 % de l’ensemble du Web. C’est ce en quoi est écrit WordPress, Drupal, Joomla, mais aussi MediaWiki, ce qui aurait pu à nouveau jouer du tort à Wikipedia après la récente attaque DDoS. Il est aussi utilisé, par endroit, sur certains sites majeurs comme Facebook, Tumblr ou Slack. Mais cette vulnérabilité ne touche que les serveurs NGINX qui ont déployé PHP via l’extension PHP-FPM, cela réduit donc le risque. Toutefois, ce couple NGINX/PHP-FPM est relativement commun chez les hébergeurs commerciaux. C’est par exemple le cas de NextCloud, qui a déjà demandé à ses clients de mettre à jour leur version de PHP. Il est donc très fortement recommandé de mettre à jour votre version de PHP vers les dernières disponibles, publiées le 24 octobre, 7.3.11, 7.2.24 ou 7.1.33 suivant la branche que vous avez déployée. Il existe d’autres méthodes si vous n’avez pas accès à la version de PHP. Ainsi Wallarm, la compagnie qui a conduit l’activité de Capture the Flag, donne des pistes pour contourner le problème. Enfin, vous pouvez tester la vulnérabilité de votre propre serveur grâce aux scripts de Neex.



Adobe CC 7.5 millions de compte exposés

  Liste des news    Liste des new du mois  
faille de securite des compte Creative Cloud Adobe

28

Octobre

Adobe a reconnu l’existence d’une brèche de sécurité au niveau d’une base de données Creative Cloud sur laquelle étaient stockées les informations de 7,5 millions de comptes utilisateurs et dont l’accès n’était pas protégé par un mot de passe. Selon le chercheur en sécurité Bob Diachenko (Security Discovery) et le journaliste Paul Bischoff de CompariTech, les adresses e-mail, noms d'utilisateur Creative Cloud, le pays d'origine et les produits Adobe utilisés figuraient sur cette base de données ainsi que la date de création du compte, la date de dernière connexion, ainsi que le statut de l'abonnement et du paiement. En revanche, il n’y avait ni mot de passe ni données financières. La brèche a été découverte le 19 octobre et Adobe l’a immédiatement colmatée. L’éditeur a expliqué qu’il s’agissait d’une erreur de configuration de l'un de ses “environnements prototypes, sans donner plus de détails. On ignore si ces données ont été siphonnées ou non et Adobe n’a rien dit à ce sujet. En 2013, l'entreprise avait été victime d’un piratage massif sur 38 millions de comptes utilisateurs comprenant les identifiants, adresses mail, mots de passe chiffrés et données de cartes bancaires.



Attention 15 App Android infectées de Malware

  Liste des news    Liste des new du mois  
apps infectees detecte par sophos

22

Octobre

Google essaie de faire le nécessaire pour garantir la sécurité des utilisateurs sous Android en nettoyant régulièrement le Play Store des applications vérolées, mais certaines passent entre les mailles du filet comme c'est le cas de ces 15 applications détectées par la société de sécurité britannique Sophos. La tendance n'est plus vraiment celle des virus, mais plutôt des malwares, que cela soit sur PC ou smartphone. Aujourd'hui, on a appris que la société de sécurité anglaise Sophos, spécialisée dans les antivirus, anti-malware, anti-spyware et anti-spam, a détecté 15 applications infectées disponibles sur le Play Store. Ces dernières n'ont pas été alertées par le Play Protect, l'antivirus de Google intégré directement sur le magasin d'applications. Le pire est qu'elles ont été téléchargées 1,3 million de fois.

Auto Cut Out
Auto Cut Out 2019
Auto Cut Out Pro
Flash On Calls & Messages
Background Cut Out
Background Cut Out Bis
Find Your Phone
Generate Elves-
Image Magic
ImageProcessing
Photo Background
QR Artifact
Rent QR Code
SavExpense
Scavenger – speed

Ces applications sont infectées par un malware qui affiche de la publicité sur votre smartphone sans votre consentement. Pour que vous ne vous doutiez de rien, après l'avoir lancé, une popup vous annonce que l'application n'est pas compatible avec votre smartphone tout en ouvrant la page du Play Store pour Google Maps. Pendant ce temps, l'app en question cache son icône dans la barre de notifications. Certaines sont encore plus sournoises puisqu'elles font disparaître l'icône de la liste des applications afin que vous ne puissiez pas la désinstaller.



NordVPN piraté !

  Liste des news    Liste des new du mois  
NordVPN Securite

22

Octobre

NordVPN vient d’indiquer que l’un de ses serveurs situé en Finlande a été victime d’un piratage en mars 2018. Après un audit rigoureux, il semblerait que la sécurité de ses utilisateurs ne soit pas compromise. Bien qu’il existe à ce jour une pléthore d’offres sur le marché, NordVPN reste un incontournable du secteur, et fait d’ailleurs partie des services de VPN les plus populaires en France. Pour autant, ce service qui est censé vous apporter anonymat et sécurité en ligne n’est pas infaillible et reconnaît aujourd’hui avoir été hacké. NordVPN a admis au média américain TechCrunch avoir été piraté en mars 2018. L’un des représentants de la firme a ainsi indiqué que « des pirates ont eu accès à l’un de nos datacenters en Finlande où nous louons nos serveurs, sans autorisation ». Pour autant, pas de quoi s’inquiéter si vous utilisez le service, rassure Nord VPN, puisque « le serveur ne contenait aucun journal des activités des utilisateurs, aucune de nos applications n’envoyait de justificatifs d’identité créés par les utilisateurs pour l’authentification, de sorte que les noms d’utilisateur et les mots de passe ne pouvaient pas non plus être interceptés », mais qu’il était malgré tout possible pour les hackers de « mettre en place une attaque man in the middle complexe visant à intercepter la connexion d’un internaute cherchant à se connecter aux services de NordVPN. » La firme a également indiqué prendre ce problème très au sérieux et avoir réalisé un audit de la sécurité de son infrastructure, c’est la raison pour laquelle le hack n’a pas été dévoilé jusqu’à ce jour. Selon les informations connues, le problème viendrait du prestataire du datacenter finlandais de NordVPN, qui aurait laissé accessible une faille permettant aux hackers de prendre le contrôle d’un « système de gestion à distance ».



Le PDF chiffré n'est pas efficace...

  Liste des news    Liste des new du mois  
PSF securite

02

Octobre

L'incontournable format PDF intègre directement dans son standard des schémas de chiffrement. Le but de cette fonctionnalité native est d'assurer la confidentialité des fichiers, tout en leur permettant d'être déchiffrés par n'importe quel lecteur, mais également d'éviter d'éventuelles méthodes de chiffrement frauduleuses. Malheureusement, les techniques employées dans le standard ne seraient pas d'une robustesse à toute épreuve. C'est ce qu'ont démontré six chercheurs des universités allemandes de la Ruhr à Bochum et de Münster. Ils ont en effet mis au jour une série d'attaques, baptisée PDFex, permettant d'accéder au contenu d'un PDF chiffré. La méthode ne consiste cependant pas à récupérer le mot de passe du fichier, mais à profiter de deux failles pour extraire son contenu. La première réside dans le fait que le chiffrement standard ne s'applique en réalité que sur une partie du document. Ce qui laisse la possibilité à des hackers de manipuler le contenu en clair, pour y ajouter un formulaire, un lien externe ou un code JavaScript. Ainsi, lorsqu'un utilisateur légitime ouvre le fichier, il peut être incité à déclencher l'une de ces actions, qui envoie alors la totalité du document à l'attaquant. Mais dans certains cas, l'opération peut être effectuée sans nécessiter la moindre interaction (par exemple avec un formulaire). Cependant, tous les lecteurs PDF ne prennent pas en charge les fichiers partiellement chiffrés. Mais la deuxième faille découverte concerne tout simplement le mode de chiffrement du standard : CBC (Cipher Block Chaining, ou enchaînement des blocs). Et dans la plupart des lecteurs PDF, cette méthode ne s'accompagne pas d'une vérification de l'intégrité des fichiers. Par conséquent, des hackers peuvent à nouveau s'attaquer au contenu d'un document, mais cette fois directement dans la partie chiffrée. Pour cela, ils peuvent faire appel à des « gadgets CBC », permettant d'ajouter des éléments enclenchant ensuite l'envoi de l'ensemble du fichier, de la même façon que dans la première situation. Les auteurs de l'étude ont testé ces deux scénarios sur 27 lecteurs PDF, parmi lesquels ceux intégrés dans Chrome, Firefox, Safari et Opera, mais également les applications majeures : Acrobat Reader DC, Nitro Pro, Foxit Reader... Et les résultats sont sans appel : absolument tous les logiciels se sont révélés vulnérables à au moins l'une des deux attaques (et souvent aux deux).



Mettre à jour Chrome d'urgence !

  Liste des news    Liste des new du mois  
chrome faille installez mise jour

20

Septembre

Une nouvelle mise à jour est destinée à boucher d'importantes failles de sécurité découvertes au sein du célèbre navigateur. Si vous utilisez Google Chrome, mettez-le à jour dans les plus brefs délais. Plusieurs failles d'envergure ont été identifiées sur le navigateur star de Google. Elles sont comblées depuis quelques heures par la mise à jour 77.0.3865.90, déployée en urgence sur Windows, macOS et Linux. En tout, 4 failles sont corrigées par la mise à jour concoctée par Google. L'une d'entre elles, classée « critique » par les chercheurs en sécurité, permet aux pirates d'exécuter du code à distance après avoir attiré des utilisateurs ciblés sur une page piégée. Par ce biais, l'installation à distance de programmes est possible, au même titre que la modification de données ou la création de comptes utilisateurs sur l'ordinateur des victimes. Le chercheur en sécurité ayant découvert deux des quatre failles, a obtenu de Google une prime de 40 000 $ pour son aide. Les deux chercheurs qui ont découvert les autres failles doivent, eux aussi, toucher une récompense dont le montant n'a pas encore été précisé.



Fuite de dossiers Médicaux sur le Web !

  Liste des news    Liste des new du mois  
image de scan obtnu par Propublica

18

Septembre

Une enquête menée par une chaîne de télévision allemande et l’organisme américain ProPublica a levé le voile sur une nouvelle fuite massive de données personnelles. Cette fois, il s’agit des documents médicaux de millions de patients dans le monde. Selon le rapport de l’enquête, environ 16 millions de dossiers médicaux avaient été mis en ligne sans aucun système de protection. Parmi les données accessibles se trouvaient des images de scanner, des radiographies, des analyses ainsi que les noms, dates de naissance et parfois numéros de sécurité sociale des patients. Au total, l’enquête a relevé des fuites dans au moins 52 pays. Sur les 500 serveurs identifiés, 7 se trouvaient en France. Ils contenaient les dossiers médicaux d’environ 47 500 patients. Les serveurs ou étaient hébergées les données étaient accessibles sans mot de passe et aucun système de chiffrement n’avait été utilisé. Selon ProPublica, de simples connaissances de base en informatique permettaient donc de visualiser tous les documents via son navigateur internet. Heureusement, l’office allemand de la sécurité informatique affirme n’avoir trouvé aucune information « laissant penser que des données de patients ont été copiées avec un mobile criminel. ». Une telle découverte est cependant très inquiétante, en raison de la nature sensible des données concernées. Les problèmes de santé de patients pourraient être en effet facilement utilisés pour des activités malveillantes telles que le chantage. Le rapport de l’enquête relève que la plupart des failles de sécurité concernent les petits centres d’analyses et les cabinets indépendants. Le secteur de la santé connaîtrait encore de sérieuses lacunes en matière de sécurité informatique. ProPublica recommande donc aux patients de toujours demander à leur médecin si l’accès à leur dossier nécessite un identifiant et un mot de passe.



Une faille dans iOS 13 Video

  Liste des news    Liste des new du mois  
ios13

16

Septembre

Alors qu’iOS 13 sera livré au public la semaine prochaine, une faille a été découvert par un expert en sécurité, Jose Rodriguez. La faille de sécurité donne accès à tous les contacts à partir de l’écran verrouillé. Son auteur a pourtant alerté Apple dès le 17 juillet, mais le problème est toujours présent dans la Gold Master, c’est-à-dire la version finale, disponible à partir du 19 septembre. L’inaction d’Apple est d’autant plus surprenante qu’elle touche un sujet qui fait débat : la confidentialité des données personnelles. Jose Rodriguez avait déjà découvert une faille similaire dans iOS 12.1. Son exploit sur la dernière version du système d’exploitation demande un peu de préparation, mais reste tout à fait réalisable. Un prérequis : il faut être en mesure d’appeler la victime sur Facetime. Lorsque son téléphone sonne, il ne faut pas décrocher, mais répondre avec un message personnalisé. Puis sur l’écran de composition du message, l’attaquant doit demander l’activation du VoiceOver à Siri, et renouveler l’opération pour le désactiver. L’accès au carnet d’adresses est alors déverrouillé. Pour y accéder, il suffit de tenter d’ajouter un destinataire au message. Peu rassurant pour la plupart des utilisateurs des nouveaux iPhone, et ceux qui pensent faire la mise à jour. Néanmoins, une nouvelle encourageante pour les équipes qui cherchent à prendre les commandes du système et proposer un jailbreak.



Un Malware infecte 24 App sur Android

  Liste des news    Liste des new du mois  
Malware Jocker sur Android 24 App infectes sur Google Play

10

Septembre

Un chercheur de la société de sécurité informatique CSIS a découvert l’existence d’un logiciel malveillant baptisé Joker dans 24 applications du Google Play Store. Celles-ci ont toutes été retirées de la boutique mais ont déjà été téléchargées plus de 400 mille fois. En plus de voler les listes de contacts et messages texte des appareils infectés, le malware Joker inscrit les utilisateurs à des services payants. Il utilise pour cela une technique qui consiste à récupérer le code d’autorisation de l’offre envoyé par SMS afin de confirmer l’abonnement au sur le site du service. Ce type de fraude a notamment été repéré au Danemark, où le Joker a fait souscrire ses victimes à des services facturés environ 6,71 € par mois. Le malware a été détecté dans 24 applications Android qui ont été téléchargées plus de 472 000 fois. Tous les utilisateurs ayant téléchargé ces applications sont invités à les désinstaller rapidement. Il est également recommandé de vérifier ses relevés de compte afin de s’assurer qu’aucune souscription suspecte n’y apparaît. Au total, 37 pays sont concernés par la propagation de Joker, incluant la France. Google semble avoir été très réactif et a supprimé toutes les applications du Store avant même d’avoir reçu le rapport de CSIS. Le Joker aurait cependant débuté ses activités en juin. Il est donc fortement conseillé de vérifier que votre appareil Android ne contient aucune des applications suivantes :
- Advocate Wallpaper,
- Age Face,
- Altar Message,
- Antivirus Security,
- Security Scan,
- Beach Camera,
- Board picture editing,
- Certain Wallpaper,
- Climate SMS,
- Collate Face Scanner,
- Cute Camera,
- Dazzle Wallpaper,
- Declare Message,
- Display Camera,
- Great VPN,
- Humour Camera,
- Ignite Clean,
- Leaf Face Scanner,
- Mini Camera,
- Print Plant scan,
- Rapid Face Scanner,
- Reward Clean,
- Ruddy SMS,
- Soby Camera,
- Spark Wallpaper,

Ouf ! rien de tout ça dans mon smartphone...



Les trackers GPS de vrai mouchard !

  Liste des news    Liste des new du mois  
Tracker GPS securite faille

09

Septembre

Les trackers GPS se sont largement démocratisés ces dernières années, pour permettre à tout un chacun de suivre son animal de compagnie ou repérer sa voiture. Pourtant, un sérieux problème de sécurité se poserait sur ces appareils vendus à prix cassés sur le web. Il ne s’agirait pas à proprement parler d’une faille, mais plutôt d’une sécurité totalement négligée par le constructeur. C’est en tout cas ce que révèle Martin Hron, chercheur en sécurité chez Avast qui a publié un rapport, pointant du doigt un problème qui pourrait impacter plusieurs centaines de milliers de GPS made in China en circulation. Les trackers GPS concernés ont tous été fabriqués par l’entreprise chinoise i365-Tech. Ceux-ci utiliseraient tous une seule et même infrastructure très peu sécurisée. On aurait donc un serveur cloud, une interface web pour se connecter et une application mobile connectée au serveur. Sauf que les identifiants permettant aux utilisateurs de se connecter seraient basés sur le code IMEI de l’appareil GPS, et sécurisés par le même mot de passe « 123456 ». Ce mot de passe d’usine inchangé est une véritable aubaine pour les pirates informatiques, qui peuvent aisément espionner l’utilisateur de ce type d’appareil, et même obtenir son numéro de téléphone. Il suffirait simplement de faire varier le numéro de série en utilisant toujours le même mot de passe pour accéder aux données de tous les trackers sur le marché, avec des risques allant du simple espionnage à la falsification de la position GPS, jusqu’au verrouillage de l’appareil avant même qu’il ne soit vendu à un particulier, et bien d’autres possibilités obscures. Avast a dévoilé que cette négligence en matière de sécurité pourrait bien toucher près de 30 autres modèles de trackers GPS fabriqués par le chinois i365-Tech. Au total, Avast a indiqué que près de 600 000 appareils pourraient être concernés.



Un cheval de troie dans CamScanner sur Android

  Liste des news    Liste des new du mois  
kaspersky camscanner malware

02

Septembre

Si vous étiez un(e) utilisateur(trice) Android de CamScanner, l'application qui permet de scanner, stocker et partager différents contenus en PDF ou JPEG via son smartphone, ne vous étonnez pas de ne plus avoir accès à celle-ci. Plus disponible sur le Google Play Store après le signalement des experts de Kaspersky, l'application éditée par INTSIG Information intégrait en effet des publicités contenant du code malveillant. Plus qu'une tuile, c'est une véritable désillusion pour les développeurs de CamScanner. Si ces derniers peuvent se consoler en étant toujours présents sur l'App Store, être éjectés d'Android ne doit pas être facile à encaisser. L'application totalisait plus de 100 millions de téléchargements depuis son arrivée sur le Play Store, en 2010, avant que les chercheurs de sécurité de Kaspersky ne passent par là. Les spécialistes ont en effet découvert un dropper (un trojan qui introduit et installe le malware) qui permettait de déposer à distance un downloader malveillant sur l'appareil, grâce à un fichier crypté caché dans le code de CamScanner. Après son activation, ce dernier permettait le téléchargement de fichiers malveillants sur le mobile de l'utilisateur. Les utilisateurs touchés ont par exemple été dérangés par des publicités intrusives et ont constaté avoir souscrit à leur insu à des services payants. Sur Twitter, les développeurs de CamScanner ont reconnu que l'application avait hébergé un module publicitaire provenant de la société AdHub, qui générait des clics publicitaires non autorisés. « Nous allons immédiatement procéder à des actions en justice contre AdHub », indique l'éditeur dont l'application reste disponible sur son site internet officiel.



faille 0-day dans iOS

  Liste des news    Liste des new du mois  
failles ios

30

Aout

L'équipe de chercheurs en sécurité informatique de Google, a encore une fois découvert des vulnérabilités 0-day touchant le fabricant à la pomme. Exploitées par des cybercriminels sur une période minimum de deux ans et non corrigées par Apple, ces failles auraient impacté un très grand nombre d'utilisateurs d'iPhone depuis iOS 10 jusqu'à la plus récente version du système d'exploitation. Après avoir révélé une faille de sécurité dans le noyau de macOS en mars dernier, les experts en cybersécurité de Google nous dévoilent cette fois-ci qu'une opération massive de piratage aurait fait de très nombreuses victimes durant une période minimum de trente mois, soit depuis le lancement d'iOS 10 en septembre 2016. On apprend ainsi qu'une simple visite d'un site Internet suffisait pour infecter un iPhone. Ian Beer, du Project Zero, s'est exprimé à ce sujet dans un billet de blog : « Les pirates ne visaient pas une cible en particulier, une simple visite sur l'un des sites piratés suffisait au serveur d'exploitation pour attaquer votre appareil, et, en cas de succès, installer un programme de surveillance ». Plusieurs vulnérabilités inconnues des services d'Apple ont ainsi pu être exploitées par les assaillants, elles concernent iOS mais aussi son navigateur web Safari. Ce piratage aurait permis au logiciel malveillant de récupérer des données de géolocalisation, les mots de passe des différentes applications installées, et même d'avoir accès complet à des messageries chiffrées telles que Telegram et WhatsApp. Malgré tout, l'attaque n'était pas persistante, selon le Project Zero, c'est-à-dire que si l'utilisateur redémarrait son iPhone le programme malveillant était supprimé. Au total, les chercheurs missionnés par Google ont découvert 14 failles et cinq chaînes de vulnérabilités, et ce, depuis le lancement d'iOS 10. Apple a instantanément corrigé le problème après avoir été informé par l'équipe de Project Zero, en février 2019, via un correctif apporté par la version 12.1.4. Une mauvaise nouvelle de plus pour Apple après un trimestre décevant et une chute des ventes d'iPhone.



Des failles dans iOS corrigés ou presque !

  Liste des news    Liste des new du mois  
app store apple faille iOS

31

Juillet

Entre 10 et 24 millions de dollars. C’est ce que pouvaient valoir sur le marché noir les six failles de sécurité iOS découvertes par Natalie Silvanovich et Samuel Groß, deux chercheurs en sécurité de l’équipe Project Zero de Google. Leur valeur très élevée provient du fait qu’elles peuvent être exploitées sans interaction de la part de la personne ciblée. Pour quatre d’entre elles, il suffit qu’un message contenant un code malveillant soit ouvert dans iMessage. Les deux autres failles peuvent permettre d’extraire des données depuis la mémoire du terminal. Les six vulnérabilités ont été corrigées lors de la mise à jour iOS 12.4 diffusée la semaine dernière. Mais l’une d’elle n’a pas été intégralement corrigée et les détails à son sujet n’ont donc pas été révélés. Natalie Silvanovich fera une présentation de ces failles lors de la conférence Black Hat qui se tiendra la semaine prochaine à Las Vegas. Selon les informations, ce type de bugs de sécurité exploitables sans interaction et fonctionnant sur des versions récentes d’iOS pourraient valoir des fortunes au marché noir.



ViedeoLAN dément la faille de sécurité

  Liste des news    Liste des new du mois  
VLC

24

Juillet

La nouvelle a fait le tour du Web hier, à la suite d'une alerte du CERT du gouvernement allemand : le célèbre lecteur multimédia serait la victime d'une faille de sécurité critique. VideoLAN, qui développe VLC, explique que c'est faux. Or... Il n'en n'est rien. Dans une série de tweets publiés il y a quelques minutes, VideoLAN critique vertement la série d'événements qui ont mené à ce que le CERT-Bund, centre de réponses aux cyberattaques du gouvernement allemand, publie une alerte de sécurité « critique » à l'encontre du populaire lecteur multimédia. Sans trop rentré dans les détails, VLC n'est pas vulnérable. Le problème vient d'une librairie de tierce partie appelée libebml, et a été corrigé il y a plus de 16 mois. VLC depuis la version 3.0.3 utilise la bonne version de cette librairie. VideoLAN pointe du doigt MITRE Corporation, qui, ayant découvert la publication du chercheur sur l'outil de suivi de Videolan, a choisi de lancer une alerte, sans prévenir les développeurs de VLC. Alerte qui a ensuite été reprise par le CERT-Bund. C'est cette alerte que nous avons relayée. Donc nous nous excusons ouvertement en vers VideoLAN, finalement victime de sources qui n'ont pas été vérifiés par l'ensemble des chercheurs et de la presse. Vous pouvez donc d'aujourd'hui télécharger et installer ou réinstaller sans crainte le player multimédia VLC.



Faille critique pour VLC

  Liste des news    Liste des new du mois  
Faill dans le player VLC

22

Juillet

Même si elle proposait des améliorations pour 4K et 8K, HDR et vidéos 360, la version VLC 3.0.7 sortie au mois de juin était avant tout une mise à jour de sécurité. Toutefois, cette nouvelle version contient également une faille critique. CERT-Bund (Computer Emergency Response Team) est une agence de cybersécurité allemande. Il s'agit de l'organisme qui pilote les mesures préventives et réactives en cas d'incidents informatiques liés à la sécurité. Samedi 20 juillet, l'agence a publié un avertissement concernant le logiciel open source VLC Media Player 3.0.7.1 pour Linux, UNIX et Windows. Un signalement douloureux pour VLC dont la version 3.0.6 (et celles antérieures) avait été épinglée en juin pour être sensible aux logiciels malveillants infiltrés. Alors que le lecteur multimédia hautement compatible a été téléchargé plus de 3 milliards de fois, la nouvelle vulnérabilité détectée par CERT-Bund est d'autant plus dangereuse. Décrite « CVE-2019-13615 », le risque lié à cette faille a été classé comme « élevé », au niveau 4 sur l'échelle de dangerosité à cinq niveaux établie par le CERT. Cette faille permet notamment à un attaquant d'exécuter du code à distance, anonymement et en toute discrétion. Il peut ainsi interrompre des services, modifier des fichiers sans autorisation ou encore divulguer des informations. VLC est actuellement est train de développer un correctif, terminé à 60 %. Pour l'instant, aucune date de sortie n'a été annoncée pour ce patch. Néanmoins, le CERT-Bund se veut rassurant : contrairement à la faille du mois de juin, celle-ci ne semble pas avoir été exploitée par des attaquants. Quoi qu'il en soit, l'agence allemande recommande d'éviter le logiciel tant qu'aucun correctif n'aura été apporté à VLC Media Player



Attention au dongle Uniflying USB Logitech

  Liste des news    Liste des new du mois  
Logitech Replacement Unifying USB Receiver Dongle for Keyboard Mouse

15

Juillet

Dès 2016, la firme de sécurité Bastille avait signalé une faille de sécurité affectant les claviers et accessoires sans fil de Logitech utilisant un dongle USB propriétaire de la marque. Cette dernière permettait à un hacker de contrôler un ordinateur distant comme s’il y avait accès physiquement. Bien que Logitech a entre-temps sorti des patches de sécurité pour contrer la faille nommée « MouseJack », un chercheur en sécurité nommé Marcus Mengs affirme que les dongles Unifying de la compagnie sont susceptibles d’être exploités de diverses autres manières. Les éventuels hackers pourraient apparemment profiter des quelques secondes durant lesquelles la souris (ou le clavier ou même le pointeur laser) et le dongle se synchronisent pour prendre le contrôle de votre appareil. Pire encore, selon Bastille, Logitech vendrait toujours des dongles USB vulnérables à « MouseJack ». Estimant que le danger présenté était minime, la compagnie n’a pas organisé de campagne de rappel de ses produits. Au final, si vous possédez un de ces dongles, vous devriez les mettre à jour par simple précaution. Le nouveau firmware est disponible sur le site de Logitech .



Le FBI utilise des techniques faciale illégal

  Liste des news    Liste des new du mois  
FBI utilise illegalement les photos des permis pour reconnaissance faciale

08

Juillet

La reconnaissance faciale d’état continue de déraper. Selon le Washington Post et des chercheurs de l’université de droit de Georgetown, le FBI et l’ICE (Immigration and Customs Enforcement, le service des douanes américaines) ont un recours massif à la reconnaissance faciale sur des bases de données des photos des permis de conduire. Le problème ? Cet usage est illégal. Aux USA, chaque état dispose de son propre organisme public de gestion des véhicules et des permis de conduire communément appelé « Department of Motor Vehicules » (DMV) même si le nom diffère selon les états. Selon l’enquête, pas moins de 21 états permettraient aux agences fédérales de scanner à loisir leur base de données de photos des permis. Et ce en toute illégalité puisque ces bases de données n’ont pas du tout été constituées pour cet usage. Un usage loin d’être anodin : le FBI procéderait à lui seul à pas moins de 4 000 recherches par mois. S’il est théoriquement possible d’accéder à ces bases d’images, des états comme celui de Washington imposent un document légal signé d’un juge ou d’une autorité de justice. Dans le cas des 21 états, aucune limite n’a été imposée au FBI et à l’ICE, faisant de cet organisation officieuse un système de surveillance sans garde-fous.



La NASA c'est fait piraté grace à un Rapsberry Pi

  Liste des news    Liste des new du mois  
control center NASA

25

Juin

les plus complexes. Ce piratage de la NASA nous le prouve une nouvelle fois. Certains employés de la NASA ont récemment dû passer un mauvais quart d’heure. En effet, un rapport réalisé par l’Office of Inspector General vient d’indiquer que l’Agence Spatiale américaine a subi un piratage. Pire encore, les hackers ont réussi leur coup à l’aide d’un simple Raspberry Pi. PUBLICITÉ Le piratage remonte à avril 2018, bien que la faille de sécurité de 2011 soit également évoquée (87 Go de données avaient fuité). Les malfaiteurs ont branché le nano-ordinateur au Jet Propulsion Laboratory (JPL) et ce dernier n’a pas été détecté. Le document rapport qu’environ 500 Mo de données provenant de 23 fichiers ont été subtilisés. Certains évoquaient des factures concernant la mission du Mars Science Laboratory tandis que d’autres concernaient le Deep Space Network, le réseau de communication avec l’espace lointain. Composé de trois stations, ce dernier est utilisé pour les communications avec ses sondes spatiales interplanétaires et dans le cadre de quelques missions en orbite autour de la Terre. Les hackers ont donc pu accéder à des données portant sur des missions actuelles. Il n’y a pas toujours besoin de machines très avancées pour pénétrer dans les réseaux. Parmi les erreurs évoquées, l’organisme évoque des problèmes liés à la base de données sur la sécurité des technologies de l’information (abrégé en ITSDB). La NASA et le Jet Propulsion Laboratory ne seraient pas très vigilants et ne la mettraient pas assez souvent à jour. Elle doit normalement contenir toutes les informations des appareils qui se connectent au réseau. Pourtant, le Raspberry Pi n’y était pas. On peut également lire que des problèmes de sécurité spécifiques n’étaient pas résolus assez vite, et que certains persistaient 180 jours après avoir été découverts. La NASA a donc promis de faire des efforts. On peut tout de même s’étonner de la faiblesse de la sécurité d’une telle agence, pourtant considéré comme le fleuron de son domaine. À l’heure actuelle, il est impossible d’identifier les auteurs, désormais qualifiés de « menace persistante avancée ». Il s’agit tout de même d’un problème important, car on peut lire que les hackers pouvaient potentiellement « avoir accès et initier des signaux malicieux sur des missions spatiales habitées ».



M.àJ. Firefox faille zero-day

  Liste des news    Liste des new du mois  
FireFox logo

19

Juin

Les utilisateurs de Firefox sont invités mettre à jour sans attendre leur navigateur web. Mozilla vient de publier une mise à jour d’urgence pour corriger une faille de sécurité majeure activement exploitée par des hackers. Les ingénieurs de Mozilla indiquent dans la note de sécurité publiée en ligne qu’ils « sont au courant d’attaques ciblées ayant exploité cette faille de sécurité ». Cette vulnérabilité a été mise au jour par Samuel Groß, un chercheur en sécurité officiant dans l’équipe dédiée de Google Project Zero, ainsi que par les chercheurs en sécurité de Coinbase. Si aucun autre détail n’a été dévoilé par la Fondation, il est probable que cette faille zero-day ait été exploitée pour voler de la cryptomonnaie. Pour mettre à jour Firefox en version 67.0.3, ou Firefox ESR en version 67.0.1, rendez-vous dans le menu principal du navigateur, puis dans le menu Aide, cliquez sur A propos de Firefox.



La chine détourne du trafic internet

  Liste des news    Liste des new du mois  
chine piratage concept le trafic web europe detourner en chine

10

Juin

Il y a quelques jours, le 6 juin dernier, plusieurs opérateurs européens ont vu le trafic de données qui leur était destiné être détourné en Chine pendant plus de 2 heures. Les ingénieurs d’Oracle ont ainsi vu des données provenant d’un de leurs datacenters de Toronto être acheminées vers le réseau de SFR en passant par China Telecom. De la même manière, un administrateur Linux a observé les données de ses serveurs passer du datacenter d’OVH vers le réseau de Bouygues Telecom après avoir fait un long crochet par l’empire du Milieu. Ce détournement est la conséquence d’une mauvaise transmission d’informations de l’hébergeur suisse Safe Host. Au matin du 6 juin, celui-ci a envoyé plus de 70 000 routes BGP à son partenaire China Telecom, qui les a annoncées à l’ensemble de la Toile. Parmi ces routes figuraient surtout des destinations des opérateurs Swisscom, KPN, Bouygues Telecom et SFR. Résultat : certains trafics de données destinés à ces quatre opérateurs sont d’abord passés par China Telecom avant d’arriver à bon port. Des incidents liés au protocole de routage BGP arrivent régulièrement. Ce qui est inhabituel, c’est la durée. « De tels incidents de routage ne durent souvent que quelques minutes, mais dans ce cas, plusieurs des itinéraires divulgués lors de cet incident étaient en circulation pendant plus de deux heures », souligne Oracle dans une note de blog. Ce n’est que la première fois que China Telecom se fait épingler de la sorte. En novembre dernier, des experts d’Oracle avaient montré que l’opérateur chinois avait détourné une partie du trafic Internet pendant au moins deux ans, de décembre 2015 à décembre 2017. Même des flux internes aux Etats-Unis avaient ainsi fait un détour par la Chine, ouvrant la porte à de potentiels vols de données ou des tentatives de piratage. Si le trafic détourné est correctement chiffré, le risque est néanmoins limité. D’où l’importance du protocole de chiffrement TLS/SSL.



Le site des impôts est tombé !

  Liste des news    Liste des new du mois  
impots

04

Juin

Selon Gérald Darmanin, ministre de l’Action et des Comptes publics, près de quatre millions d’internautes ont tenté de se connecter à Impots.gouv.fr, la veille de la date limite de déclaration de leurs revenus. Un tel afflux de visiteurs a entraîné un dysfonctionnement des serveurs du site, empêchant les internautes de se connecter et de remplir leur déclaration dans les temps. À près de 24 heures de la date limite de déclaration, nombre d’utilisateurs ont donc fait part de leur frustration sur les réseaux sociaux. Le gouvernement se montre compréhensif et, en conséquence, accorde aux citoyens imposables des départements numérotés de 50 (Manche) à 976 (Mayotte) un sursis de 48 heures (jusqu’à jeudi 23:59) pour envoyer leur déclaration. La maintenance du site est désormais terminée, et l’espace particulier est (normalement) à nouveau accessible. Si vous n’arriviez pas, malgré tout, à envoyer votre déclaration par Internet, la Direction générale des Finances publiques conseille d’appeler le 0809401401, ou encore de vous déplacer jusqu’à votre centre des impôts, à l’ancienne.



Flipboard piraté

  Liste des news    Liste des new du mois  
flipboard

29

Mai

Flipboard, un service d'agrégation d'articles sous forme entre autre d'application mobile, a commencé à informer les utilisateurs d'un incident de sécurité au cours duquel des pirates ont eu accès à ses systèmes internes pendant plus de neuf mois. Dans une série de courriels, Flipboard a déclaré que les pirates avaient accès aux bases de données que l'entreprise utilise pour stocker les renseignements sur les clients. Flipboard a indiqué que ces bases de données stockaient des informations telles que les noms d'utilisateurs de Flipboard, les mots de passe hachés et salés, dans certains cas, des e-mails ou des jetons numériques qui relient les profils de Flipboard aux comptes des services tiers. La bonne nouvelle semble être que la grande majorité des mots de passe ont été hachés avec un algorithme de hachage de mots de passe fort appelé bcrypt, actuellement considéré comme très difficile à pirater. La société a dit que certains mots de passe ont été hachés avec l'algorithme SHA-1, plus faible, mais qu'ils n'étaient pas nombreux. "Si les utilisateurs ont créé ou modifié leur mot de passe après le 14 mars 2012, il est haché avec une fonction appelée bcrypt. Si les utilisateurs n'ont pas changé leur mot de passe depuis lors, il est salé et haché uniquement avec SHA-1", a déclaré Flipboard. Dans son courriel, Flipboard dit qu'il réinitialise maintenant tous les mots de passe des clients, peu importe si les utilisateurs ont été touchés ou non, par prudence. Flipboard a déclaré avoir informé les forces de l'ordre de l'infraction à la sécurité.



Etrange fuite d'une base de donnée d'influenceurs

  Liste des news    Liste des new du mois  
Donnee instagram fuite

21

Mai

Selon des révélations de TechCrunch, un expert en sécurité a découvert sur internet une base de données contenant les données personnelles de plus de 49 millions d’influenceurs et célébrités. Ces informations étaient hébergées par les services web d’Amazon et étaient accessibles sans aucun système de sécurité ni mot de passe. Parmi ces informations, on pouvait trouver des photos de profil, des biographies, le nombre d’abonnés, des données de localisation, mais aussi des adresses e-mail et numéros de téléphone. L’expert en cybersécurité a alerté Tech Crunch qui a découvert que la base de données avait été mise en ligne par Chtrbox, une société basée en Inde qui se spécialise dans le marketing sur les réseaux sociaux. La base de données incluait également des informations concernant le niveau d’influence de chaque utilisateur Instagram ainsi que le montant d’argent que chacun pourrait recevoir en échange de la publication de contenus sponsorisés. Problème, les influenceurs contactés par TechCrunch ont déclaré n’avoir jamais travaillé avec la société Chtrbox. La base de données a depuis été retirée. Facebook enquête sur l’affaire et a déclaré : « Nous examinons le problème pour comprendre si les données décrites incluant les adresses email et numéros de téléphone – viennent d’Instagram ou d’autres sources ». La firme Chtrbox de son côté n’a pas pour l’instant répondu à aucune question des médias.



L'UE vote la création d'un B.D. Biométrique

  Liste des news    Liste des new du mois  
EU vote la creation d une base de donnee biometrique

26

Avril

La semaine dernière, le Parlement européen a voté en faveur de l'interconnexion d'une série de systèmes de contrôle des frontières dans une gigantesque base de données interrogeable de suivi biométrique des citoyens européens et non européens. Cette nouvelle base de données sera connue sous le nom de Common Identity Repository (CIR) et est conçue pour unifier les enregistrements de plus de 350 millions de personnes. Selon sa conception, CIR regroupera à la fois les enregistrements d’identité (noms, dates de naissance, numéros de passeport et autres détails d’identité) et la biométrie (empreintes digitales et numérisations faciales), et mettra ses données à la disposition de toutes les autorités frontalières. Son rôle principal sera de simplifier le travail des services de police des frontières et des autorités de l'Union européenne, qui seront en mesure de lancer leurs recherches sur un système unifié beaucoup plus rapidement, plutôt que de rechercher dans des bases de données séparées. "Les systèmes couverts par les nouvelles règles comprennent le système d'information Schengen, Eurodac, le système d'information sur les visas (VIS) et trois nouveaux systèmes: le système européen du casier judiciaire des ressortissants de pays tiers (ECRIS-TCN), le système d'entrée / sortie ( EES) et le système européen d’information et d’autorisation de voyage (ETIAS) ", ont déclaré des responsables de l’UE la semaine dernière. Le CIR a été adopté par le Parlement européen le lundi 15 avril dernier, lors de deux votes séparés. Les règles du CIR en matière de contrôle des frontières et des visas ont été adoptées avec 511 voix pour et 123 contre pour neuf abstentions, tandis que la législation du CIR en matière de coopération policière et judiciaire, d'asile et de migration a été approuvée avec 510 pour et 130 contre, et neuf abstentions. Le Parlement européen et le Conseil européen ont promis des "garanties appropriées" pour protéger le droit des personnes à la vie privée et réglementer l'accès des agents à ces données. L'UE va gérer l'une des plus grandes bases de données



Outlook des comptes compromis

  Liste des news    Liste des new du mois  
Logo outlook

15

Avril

Des pirates ont eu accès aux données de certains comptes e-mail du service Outlook.com, et cela du 1er janvier au 28 mars 2019. Selon un message d’alerte envoyé par Microsoft aux personnes impactées, ces hackers ont utilisé les identifiants d’un agent de support pour accéder à ces informations. Ils ont pu voir les adresses e-mail des contacts, les noms des dossiers et les objets des messages, mais pas leurs contenus, ni leurs pièces jointes. Contacté par plusieurs médias américains, la firme de Redmond a expliqué que seul « un sous-ensemble limité de comptes de particuliers » a été impacté par ce piratage, sans plus de précision. Microsoft ne sait pas pourquoi ces informations ont été siphonnées et à quoi elles pourraient servir par la suite. L’éditeur prévient, néanmoins, que les personnes impactées pourraient être la cible d’arnaques sous forme de phishing. Il recommande, par ailleurs, le changement du mot de passe du compte, par mesure de précaution.



Des failles dans Safari

  Liste des news    Liste des new du mois  
Trend Micro Failles Safari

22

Mars

Le concours Pwn2Own 2019 a débuté à Vancouver (Canada), et dès le premier jour deux failles ont été dévoilées touchant Safari. La première, réalisée par l’équipe Fluorocetate, permet d’échapper au « bac à sable » du navigateur au moyen de la force brute. Amat Cama et Richard Zhu, les deux petits génies de l’équipe, ont remporté une récompense de 55 000 $ pour la démonstration de cette vulnérabilité. L’autre faiblesse de Safari mise en lumière durant la compétition est le fruit du travail de phoenhex et de l’équipe qwerty. Cette fois, il s’agit d’une élévation de privilèges depuis Safari, ouvrant aux hackers une porte vers le système… et donc, d’en prendre le contrôle. Apple connaissant déjà un des bugs permettant d’exploiter cette faille, les découvreurs devront se contenter de partager 45 000 $ (un joli cadeau de consolation). Les autres failles concernent la VirtualBox d’Oracle (par deux fois), et Workstation de VMware. En tout et pour tout, Trend Micro l’organisateur du concours a versé des récompenses d’un montant total de 240 000 $ pour ce premier jour. Tesla, Microsoft et VMware sont les partenaires de cette compétition annuelle sur trois jours. D’autres logiciels seront dans la ligne de mire des forts en thème : Firefox, Edge, et l’auto-pilote de Tesla. Les participants ont un temps limité à 30 minutes et trois tentatives pour réaliser la démonstration de leurs failles. Trend Micro achète les failles, qui sont ensuite communiquées aux éditeurs. Apple ne manquera pas de boucher les vulnérabilités qui touchent Safari.



Failles Zero-day dans Chrome

  Liste des news    Liste des new du mois  
chrome logo faille zero day

07

Mars

Si, comme 62 % des internautes, vous utilisez Chrome au quotidien, vous feriez bien de suivre le conseil des ingénieurs de Google. Mettez immédiatement votre navigateur à jour, sous peine d’être vulnérable à une faille de type zero day. Selon la définition de Wikipédia, « une vulnérabilité zero-day est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive ». Selon Google, la faille réside dans une erreur dans la gestion de la mémoire dans l’API FileReader de Chrome. Cette dernière permet aux applications Web de lire les fichiers contenus sur l’ordinateur de l’utilisateur. Si vous avez activé la mise à jour automatique de Google Chrome, il vous suffira de relancer le navigateur pour profiter de sa dernière version (Chrome 72.0.3626.121 précisément). Dans le cas contraire, procédez à la mise à jour manuellement, en vous rendant dans les Paramètres, puis en cliquant sur « À propos de Chrome ».



Une Faille dans MacOS

  Liste des news    Liste des new du mois  
securite Apple

04

Mars

Une faille critique touchant macOS, et même plus précisément son noyau XNU, est au vu et au su de tous depuis quelques jours. Les experts en sécurité de Google qui l’ont dénichée ont suivi la procédure habituelle : ils ont informé Apple de leur découverte puis attendu 90 jours avant de la révéler publiquement, qu’elle soit comblée ou non. Dans le cas présent, la faille est toujours présente. Elle concerne le mécanisme de copie sur écriture qui crée des copies privées de ressources (mémoire virtuelle) qui sont partagées entre plusieurs processus. L’équipe Project Zero s’est rendu compte qu’il était possible de modifier une image disque sans que le sous-sytème de gestion de la mémoire n’en soit informé, ce qui donne un vecteur d’attaque pour un piratage de plus grande ampleur, sans avoir besoin des droits administrateur. Apple va résoudre ce problème, décrit comme « hautement critique », dans une future mise à jour de macOS, indique le chercheur Ian Beer, sans plus de détail.



Internet en danger !

  Liste des news    Liste des new du mois  
Securite DNS

27

Fevrier

Des pirates ont réussi à accéder aux données de l’ICANN. Les risques sont énormes pour les internautes. Un blocage d’Internet est aussi possible. L’ICANN gère les noms de domaine et fonctionne comme un annuaire. En en prenant le contrôle, les pirates redirigent leurs cibles vers un autre ordinateur et profitent de cette occasion pour voler des informations confidentielles. Toutefois, Mounir Mahjoubi, secrétaire d’État chargé du numérique, ne connaît pas l’ampleur de l’attaque, la motivation et l’identité des pirates. Par ailleurs, on ignore si le piratage continue encore ou non. Les premiers éléments relatifs à un piratage de l’ICANN remontent à 2013. Depuis, cette action connue sous le nom de DNSpionnage s’est intensifiée. Même si les responsables de l’organisation annoncent « une campagne à grande échelle », ils insistent sur un point particulier, les attaques sont focalisées sur certaines régions et des structures précises. On peut citer entre autres les gouvernements européens et des pays du Moyen-Orient. La police, les compagnies pétrolières et les entreprises de transport aérien sont également ciblées. Les avis divergent sur l’origine des attaques. Néanmoins, les analystes privilégient trois pistes : la Russie, la Corée du Nord, et l’Iran. Alors que les pirates ont le pouvoir de bloquer une grande partie de la toile mondiale, ils auraient adopté une position attentiste. Apparemment, ils se contenteraient de recueillir les informations à travers les écoutes et les vols de données. En s’attaquant à la source, les hackers limitent les moyens de protection disponibles. Les internautes ignorent si le site qu’ils visitent figure parmi les victimes ou pas. Face aux risques, l’ICANN rappelle l’importance du protocole DNSSEC. Cette approche authentifie les données en leur attribuant une signature. Elle réussit ainsi à bloquer les modifications de DNS.



Vulnérabilité dans WordPress

  Liste des news    Liste des new du mois  
securite site wordpress

13

Fevrier

L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites. Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès. Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site. De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires. Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.



Dailymotion encore victime d'attaque

  Liste des news    Liste des new du mois  
index

28

Janvier

Alors que les cyberattaques sont perçues comme le 5e plus gros risque mondial, selon un sondage publié dans le cadre du World Economic Forum, il y a une semaine, le service d'hébergement français Dailymotion a été frappé de plein fouet par une intrusion informatique datée du 19 janvier 2019. Certains utilisateurs ont en effet reçu un mail préventif leur conseillant de réinitialiser leur mot de passe, . Qualifié de cyberattaque par force brute, le procédé en question consiste à obtenir un mot de passe par tests successifs en combinant nom d'utilisateur et codes divulgués sur d'autres sites internet. D'où les conseils de l'entreprise française, invitant les potentielles victimes à modifier leur mot de passe personnel, bien que le nombre de comptes touchés soit limité, selon les dirigeants de la société. À l'heure actuelle, l'ampleur de la brèche reste inconnue. Dailymotion aurait cependant pris « toutes les mesures nécessaires pour la bloquer », tout en la signalant à la CNIL, la Commission nationale de l'informatique et des libertés de France. En fonction de la gravité de l'attaque, l'autorité administrative indépendante pourrait prendre les mesures nécessaires face à cette nouvelle intrusion. Car Dailymotion avait été victime d'une attaque massive en décembre 2016, laquelle a piraté pas moins de 87 millions de comptes de la plateforme. L'enquête de la CNIL avait alors soulevé plusieurs erreurs du groupe, l'obligeant à payer une amende de 50 000 €deux ans plus tard. L'histoire va-t-elle se répéter ?



733 Millions de compte mail piratés

  Liste des news    Liste des new du mois  
Piratage de 733 millions adresse mail

21

Janvier

Plusieurs centaines de millions de comptes emails ont récemment été piratés. Les données proviennent d’un compte cloud, un dossier nommé « Collection #1 », et totalisent 87 Go. Même si les fichiers ne sont plus disponibles, ils ont fait l’objet de discussion et de partage sur un forum de piratage. Quelques personnes auraient ainsi pu les copier, avant leur suppression. Selon les estimations, les informations auraient été extraites à partir de 2890 sites web. Pastebin a publié une liste présumée des répertoires concernés. Après le nettoyage des fichiers bruts, Troy Hunt a recensé 2,7 milliards d’adresses concernées. Parmi elles, ce sont près de 773 millions de mails qui ont été réellement piratés, auxquels sont associés 21 millions de mots de passe. Pourtant, il a exclu les mots de passe sous forme hachée. Il a ensuite entré les données au sein du site Have I Been Pwned. Les éventuelles victimes peuvent vérifier si leur adresse figure dans le lot ou non. D’après ses précisions, environ 140 millions de mails n’étaient pas encore enregistrés dans sa base de données. Par ailleurs, plus de 10 millions de mots de passe sont également nouveaux. La fuite est vraiment importante. Son niveau se rapproche de celle révélée par Yahoo il y a quelques années. Le chercheur recommande une authentification à deux facteurs pour renforcer la sécurité.


Une grosse faille dans PHP7

Lorsqu’une faille apparaît et qu’elle permet l’exécution de code arbitraire sur un serveur distant, ce n’est jamais une bonne nouvelle. Mais quand la faille est si facile à exploiter qu’elle peut même l’être par des gens ne disposant d’aucune connaissance technique, c’est pire. Et c’est le cas ici. Ce qu’a découvert Andrew Danau lors d’un évènement « Capture the Flag», qui est un concours de hack, et pas une partie de Quake, est qu’il est dans certains cas possible de faire exécuter une commande sur un serveur grâce au simple ajout de « ? a= » suivi d’une commande dans l’URL. Emil « Neex » Lerner, un chercheur russe en sécurité informatique, en a informé l’équipe de développement de PHP le 26 septembre. Le 21 octobre, l’équipe confirmait sa résolution, ce qui a motivé Neex a publié son exploit sur GitHub dès le lendemain. Il faut relativiser. Bien sûr, PHP est le langage de programmation le plus utilisé au monde pour les sites Web, représentant à lui seul 79 % de l’ensemble du Web. C’est ce en quoi est écrit WordPress, Drupal, Joomla, mais aussi MediaWiki, ce qui aurait pu à nouveau jouer du tort à Wikipedia après la récente attaque DDoS. Il est aussi utilisé, par endroit, sur certains sites majeurs comme Facebook, Tumblr ou Slack. Mais cette vulnérabilité ne touche que les serveurs NGINX qui ont déployé PHP via l’extension PHP-FPM, cela réduit donc le risque. Toutefois, ce couple NGINX/PHP-FPM est relativement commun chez les hébergeurs commerciaux. C’est par exemple le cas de NextCloud, qui a déjà demandé à ses clients de mettre à jour leur version de PHP. Il est donc très fortement recommandé de mettre à jour votre version de PHP vers les dernières disponibles, publiées le 24 octobre, 7.3.11, 7.2.24 ou 7.1.33 suivant la branche que vous avez déployée. Il existe d’autres méthodes si vous n’avez pas accès à la version de PHP. Ainsi Wallarm, la compagnie qui a conduit l’activité de Capture the Flag, donne des pistes pour contourner le problème. Enfin, vous pouvez tester la vulnérabilité de votre propre serveur grâce aux scripts de Neex.
28-10-2019


Adobe CC 7.5 millions de compte exposés

Adobe a reconnu l’existence d’une brèche de sécurité au niveau d’une base de données Creative Cloud sur laquelle étaient stockées les informations de 7,5 millions de comptes utilisateurs et dont l’accès n’était pas protégé par un mot de passe. Selon le chercheur en sécurité Bob Diachenko (Security Discovery) et le journaliste Paul Bischoff de CompariTech, les adresses e-mail, noms d'utilisateur Creative Cloud, le pays d'origine et les produits Adobe utilisés figuraient sur cette base de données ainsi que la date de création du compte, la date de dernière connexion, ainsi que le statut de l'abonnement et du paiement. En revanche, il n’y avait ni mot de passe ni données financières. La brèche a été découverte le 19 octobre et Adobe l’a immédiatement colmatée. L’éditeur a expliqué qu’il s’agissait d’une erreur de configuration de l'un de ses “environnements prototypes, sans donner plus de détails. On ignore si ces données ont été siphonnées ou non et Adobe n’a rien dit à ce sujet. En 2013, l'entreprise avait été victime d’un piratage massif sur 38 millions de comptes utilisateurs comprenant les identifiants, adresses mail, mots de passe chiffrés et données de cartes bancaires.
28-10-2019


Attention 15 App Android infectées de Malware

Google essaie de faire le nécessaire pour garantir la sécurité des utilisateurs sous Android en nettoyant régulièrement le Play Store des applications vérolées, mais certaines passent entre les mailles du filet comme c'est le cas de ces 15 applications détectées par la société de sécurité britannique Sophos. La tendance n'est plus vraiment celle des virus, mais plutôt des malwares, que cela soit sur PC ou smartphone. Aujourd'hui, on a appris que la société de sécurité anglaise Sophos, spécialisée dans les antivirus, anti-malware, anti-spyware et anti-spam, a détecté 15 applications infectées disponibles sur le Play Store. Ces dernières n'ont pas été alertées par le Play Protect, l'antivirus de Google intégré directement sur le magasin d'applications. Le pire est qu'elles ont été téléchargées 1,3 million de fois.

Auto Cut Out
Auto Cut Out 2019
Auto Cut Out Pro
Flash On Calls & Messages
Background Cut Out
Background Cut Out Bis
Find Your Phone
Generate Elves-
Image Magic
ImageProcessing
Photo Background
QR Artifact
Rent QR Code
SavExpense
Scavenger – speed

Ces applications sont infectées par un malware qui affiche de la publicité sur votre smartphone sans votre consentement. Pour que vous ne vous doutiez de rien, après l'avoir lancé, une popup vous annonce que l'application n'est pas compatible avec votre smartphone tout en ouvrant la page du Play Store pour Google Maps. Pendant ce temps, l'app en question cache son icône dans la barre de notifications. Certaines sont encore plus sournoises puisqu'elles font disparaître l'icône de la liste des applications afin que vous ne puissiez pas la désinstaller.
22-10-2019


NordVPN piraté !

NordVPN vient d’indiquer que l’un de ses serveurs situé en Finlande a été victime d’un piratage en mars 2018. Après un audit rigoureux, il semblerait que la sécurité de ses utilisateurs ne soit pas compromise. Bien qu’il existe à ce jour une pléthore d’offres sur le marché, NordVPN reste un incontournable du secteur, et fait d’ailleurs partie des services de VPN les plus populaires en France. Pour autant, ce service qui est censé vous apporter anonymat et sécurité en ligne n’est pas infaillible et reconnaît aujourd’hui avoir été hacké. NordVPN a admis au média américain TechCrunch avoir été piraté en mars 2018. L’un des représentants de la firme a ainsi indiqué que « des pirates ont eu accès à l’un de nos datacenters en Finlande où nous louons nos serveurs, sans autorisation ». Pour autant, pas de quoi s’inquiéter si vous utilisez le service, rassure Nord VPN, puisque « le serveur ne contenait aucun journal des activités des utilisateurs, aucune de nos applications n’envoyait de justificatifs d’identité créés par les utilisateurs pour l’authentification, de sorte que les noms d’utilisateur et les mots de passe ne pouvaient pas non plus être interceptés », mais qu’il était malgré tout possible pour les hackers de « mettre en place une attaque man in the middle complexe visant à intercepter la connexion d’un internaute cherchant à se connecter aux services de NordVPN. » La firme a également indiqué prendre ce problème très au sérieux et avoir réalisé un audit de la sécurité de son infrastructure, c’est la raison pour laquelle le hack n’a pas été dévoilé jusqu’à ce jour. Selon les informations connues, le problème viendrait du prestataire du datacenter finlandais de NordVPN, qui aurait laissé accessible une faille permettant aux hackers de prendre le contrôle d’un « système de gestion à distance ».
22-10-2019


Le PDF chiffré n'est pas efficace...

L'incontournable format PDF intègre directement dans son standard des schémas de chiffrement. Le but de cette fonctionnalité native est d'assurer la confidentialité des fichiers, tout en leur permettant d'être déchiffrés par n'importe quel lecteur, mais également d'éviter d'éventuelles méthodes de chiffrement frauduleuses. Malheureusement, les techniques employées dans le standard ne seraient pas d'une robustesse à toute épreuve. C'est ce qu'ont démontré six chercheurs des universités allemandes de la Ruhr à Bochum et de Münster. Ils ont en effet mis au jour une série d'attaques, baptisée PDFex, permettant d'accéder au contenu d'un PDF chiffré. La méthode ne consiste cependant pas à récupérer le mot de passe du fichier, mais à profiter de deux failles pour extraire son contenu. La première réside dans le fait que le chiffrement standard ne s'applique en réalité que sur une partie du document. Ce qui laisse la possibilité à des hackers de manipuler le contenu en clair, pour y ajouter un formulaire, un lien externe ou un code JavaScript. Ainsi, lorsqu'un utilisateur légitime ouvre le fichier, il peut être incité à déclencher l'une de ces actions, qui envoie alors la totalité du document à l'attaquant. Mais dans certains cas, l'opération peut être effectuée sans nécessiter la moindre interaction (par exemple avec un formulaire). Cependant, tous les lecteurs PDF ne prennent pas en charge les fichiers partiellement chiffrés. Mais la deuxième faille découverte concerne tout simplement le mode de chiffrement du standard : CBC (Cipher Block Chaining, ou enchaînement des blocs). Et dans la plupart des lecteurs PDF, cette méthode ne s'accompagne pas d'une vérification de l'intégrité des fichiers. Par conséquent, des hackers peuvent à nouveau s'attaquer au contenu d'un document, mais cette fois directement dans la partie chiffrée. Pour cela, ils peuvent faire appel à des « gadgets CBC », permettant d'ajouter des éléments enclenchant ensuite l'envoi de l'ensemble du fichier, de la même façon que dans la première situation. Les auteurs de l'étude ont testé ces deux scénarios sur 27 lecteurs PDF, parmi lesquels ceux intégrés dans Chrome, Firefox, Safari et Opera, mais également les applications majeures : Acrobat Reader DC, Nitro Pro, Foxit Reader... Et les résultats sont sans appel : absolument tous les logiciels se sont révélés vulnérables à au moins l'une des deux attaques (et souvent aux deux).
02-10-2019


Mettre à jour Chrome d'urgence !

Une nouvelle mise à jour est destinée à boucher d'importantes failles de sécurité découvertes au sein du célèbre navigateur. Si vous utilisez Google Chrome, mettez-le à jour dans les plus brefs délais. Plusieurs failles d'envergure ont été identifiées sur le navigateur star de Google. Elles sont comblées depuis quelques heures par la mise à jour 77.0.3865.90, déployée en urgence sur Windows, macOS et Linux. En tout, 4 failles sont corrigées par la mise à jour concoctée par Google. L'une d'entre elles, classée « critique » par les chercheurs en sécurité, permet aux pirates d'exécuter du code à distance après avoir attiré des utilisateurs ciblés sur une page piégée. Par ce biais, l'installation à distance de programmes est possible, au même titre que la modification de données ou la création de comptes utilisateurs sur l'ordinateur des victimes. Le chercheur en sécurité ayant découvert deux des quatre failles, a obtenu de Google une prime de 40 000 $ pour son aide. Les deux chercheurs qui ont découvert les autres failles doivent, eux aussi, toucher une récompense dont le montant n'a pas encore été précisé.
20-09-2019


Fuite de dossiers Médicaux sur le Web !

Une enquête menée par une chaîne de télévision allemande et l’organisme américain ProPublica a levé le voile sur une nouvelle fuite massive de données personnelles. Cette fois, il s’agit des documents médicaux de millions de patients dans le monde. Selon le rapport de l’enquête, environ 16 millions de dossiers médicaux avaient été mis en ligne sans aucun système de protection. Parmi les données accessibles se trouvaient des images de scanner, des radiographies, des analyses ainsi que les noms, dates de naissance et parfois numéros de sécurité sociale des patients. Au total, l’enquête a relevé des fuites dans au moins 52 pays. Sur les 500 serveurs identifiés, 7 se trouvaient en France. Ils contenaient les dossiers médicaux d’environ 47 500 patients. Les serveurs ou étaient hébergées les données étaient accessibles sans mot de passe et aucun système de chiffrement n’avait été utilisé. Selon ProPublica, de simples connaissances de base en informatique permettaient donc de visualiser tous les documents via son navigateur internet. Heureusement, l’office allemand de la sécurité informatique affirme n’avoir trouvé aucune information « laissant penser que des données de patients ont été copiées avec un mobile criminel. ». Une telle découverte est cependant très inquiétante, en raison de la nature sensible des données concernées. Les problèmes de santé de patients pourraient être en effet facilement utilisés pour des activités malveillantes telles que le chantage. Le rapport de l’enquête relève que la plupart des failles de sécurité concernent les petits centres d’analyses et les cabinets indépendants. Le secteur de la santé connaîtrait encore de sérieuses lacunes en matière de sécurité informatique. ProPublica recommande donc aux patients de toujours demander à leur médecin si l’accès à leur dossier nécessite un identifiant et un mot de passe.
18-09-2019


Une faille dans iOS 13 Video

Alors qu’iOS 13 sera livré au public la semaine prochaine, une faille a été découvert par un expert en sécurité, Jose Rodriguez. La faille de sécurité donne accès à tous les contacts à partir de l’écran verrouillé. Son auteur a pourtant alerté Apple dès le 17 juillet, mais le problème est toujours présent dans la Gold Master, c’est-à-dire la version finale, disponible à partir du 19 septembre. L’inaction d’Apple est d’autant plus surprenante qu’elle touche un sujet qui fait débat : la confidentialité des données personnelles. Jose Rodriguez avait déjà découvert une faille similaire dans iOS 12.1. Son exploit sur la dernière version du système d’exploitation demande un peu de préparation, mais reste tout à fait réalisable. Un prérequis : il faut être en mesure d’appeler la victime sur Facetime. Lorsque son téléphone sonne, il ne faut pas décrocher, mais répondre avec un message personnalisé. Puis sur l’écran de composition du message, l’attaquant doit demander l’activation du VoiceOver à Siri, et renouveler l’opération pour le désactiver. L’accès au carnet d’adresses est alors déverrouillé. Pour y accéder, il suffit de tenter d’ajouter un destinataire au message. Peu rassurant pour la plupart des utilisateurs des nouveaux iPhone, et ceux qui pensent faire la mise à jour. Néanmoins, une nouvelle encourageante pour les équipes qui cherchent à prendre les commandes du système et proposer un jailbreak.


16-09-2019


Un Malware infecte 24 App sur Android

Un chercheur de la société de sécurité informatique CSIS a découvert l’existence d’un logiciel malveillant baptisé Joker dans 24 applications du Google Play Store. Celles-ci ont toutes été retirées de la boutique mais ont déjà été téléchargées plus de 400 mille fois. En plus de voler les listes de contacts et messages texte des appareils infectés, le malware Joker inscrit les utilisateurs à des services payants. Il utilise pour cela une technique qui consiste à récupérer le code d’autorisation de l’offre envoyé par SMS afin de confirmer l’abonnement au sur le site du service. Ce type de fraude a notamment été repéré au Danemark, où le Joker a fait souscrire ses victimes à des services facturés environ 6,71 € par mois. Le malware a été détecté dans 24 applications Android qui ont été téléchargées plus de 472 000 fois. Tous les utilisateurs ayant téléchargé ces applications sont invités à les désinstaller rapidement. Il est également recommandé de vérifier ses relevés de compte afin de s’assurer qu’aucune souscription suspecte n’y apparaît. Au total, 37 pays sont concernés par la propagation de Joker, incluant la France. Google semble avoir été très réactif et a supprimé toutes les applications du Store avant même d’avoir reçu le rapport de CSIS. Le Joker aurait cependant débuté ses activités en juin. Il est donc fortement conseillé de vérifier que votre appareil Android ne contient aucune des applications suivantes :
- Advocate Wallpaper,
- Age Face,
- Altar Message,
- Antivirus Security,
- Security Scan,
- Beach Camera,
- Board picture editing,
- Certain Wallpaper,
- Climate SMS,
- Collate Face Scanner,
- Cute Camera,
- Dazzle Wallpaper,
- Declare Message,
- Display Camera,
- Great VPN,
- Humour Camera,
- Ignite Clean,
- Leaf Face Scanner,
- Mini Camera,
- Print Plant scan,
- Rapid Face Scanner,
- Reward Clean,
- Ruddy SMS,
- Soby Camera,
- Spark Wallpaper,

Ouf ! rien de tout ça dans mon smartphone...
10-09-2019


Les trackers GPS de vrai mouchard !

Les trackers GPS se sont largement démocratisés ces dernières années, pour permettre à tout un chacun de suivre son animal de compagnie ou repérer sa voiture. Pourtant, un sérieux problème de sécurité se poserait sur ces appareils vendus à prix cassés sur le web. Il ne s’agirait pas à proprement parler d’une faille, mais plutôt d’une sécurité totalement négligée par le constructeur. C’est en tout cas ce que révèle Martin Hron, chercheur en sécurité chez Avast qui a publié un rapport, pointant du doigt un problème qui pourrait impacter plusieurs centaines de milliers de GPS made in China en circulation. Les trackers GPS concernés ont tous été fabriqués par l’entreprise chinoise i365-Tech. Ceux-ci utiliseraient tous une seule et même infrastructure très peu sécurisée. On aurait donc un serveur cloud, une interface web pour se connecter et une application mobile connectée au serveur. Sauf que les identifiants permettant aux utilisateurs de se connecter seraient basés sur le code IMEI de l’appareil GPS, et sécurisés par le même mot de passe « 123456 ». Ce mot de passe d’usine inchangé est une véritable aubaine pour les pirates informatiques, qui peuvent aisément espionner l’utilisateur de ce type d’appareil, et même obtenir son numéro de téléphone. Il suffirait simplement de faire varier le numéro de série en utilisant toujours le même mot de passe pour accéder aux données de tous les trackers sur le marché, avec des risques allant du simple espionnage à la falsification de la position GPS, jusqu’au verrouillage de l’appareil avant même qu’il ne soit vendu à un particulier, et bien d’autres possibilités obscures. Avast a dévoilé que cette négligence en matière de sécurité pourrait bien toucher près de 30 autres modèles de trackers GPS fabriqués par le chinois i365-Tech. Au total, Avast a indiqué que près de 600 000 appareils pourraient être concernés.
09-09-2019


Un cheval de troie dans CamScanner sur Android

Si vous étiez un(e) utilisateur(trice) Android de CamScanner, l'application qui permet de scanner, stocker et partager différents contenus en PDF ou JPEG via son smartphone, ne vous étonnez pas de ne plus avoir accès à celle-ci. Plus disponible sur le Google Play Store après le signalement des experts de Kaspersky, l'application éditée par INTSIG Information intégrait en effet des publicités contenant du code malveillant. Plus qu'une tuile, c'est une véritable désillusion pour les développeurs de CamScanner. Si ces derniers peuvent se consoler en étant toujours présents sur l'App Store, être éjectés d'Android ne doit pas être facile à encaisser. L'application totalisait plus de 100 millions de téléchargements depuis son arrivée sur le Play Store, en 2010, avant que les chercheurs de sécurité de Kaspersky ne passent par là. Les spécialistes ont en effet découvert un dropper (un trojan qui introduit et installe le malware) qui permettait de déposer à distance un downloader malveillant sur l'appareil, grâce à un fichier crypté caché dans le code de CamScanner. Après son activation, ce dernier permettait le téléchargement de fichiers malveillants sur le mobile de l'utilisateur. Les utilisateurs touchés ont par exemple été dérangés par des publicités intrusives et ont constaté avoir souscrit à leur insu à des services payants. Sur Twitter, les développeurs de CamScanner ont reconnu que l'application avait hébergé un module publicitaire provenant de la société AdHub, qui générait des clics publicitaires non autorisés. « Nous allons immédiatement procéder à des actions en justice contre AdHub », indique l'éditeur dont l'application reste disponible sur son site internet officiel.
02-09-2019


faille 0-day dans iOS

L'équipe de chercheurs en sécurité informatique de Google, a encore une fois découvert des vulnérabilités 0-day touchant le fabricant à la pomme. Exploitées par des cybercriminels sur une période minimum de deux ans et non corrigées par Apple, ces failles auraient impacté un très grand nombre d'utilisateurs d'iPhone depuis iOS 10 jusqu'à la plus récente version du système d'exploitation. Après avoir révélé une faille de sécurité dans le noyau de macOS en mars dernier, les experts en cybersécurité de Google nous dévoilent cette fois-ci qu'une opération massive de piratage aurait fait de très nombreuses victimes durant une période minimum de trente mois, soit depuis le lancement d'iOS 10 en septembre 2016. On apprend ainsi qu'une simple visite d'un site Internet suffisait pour infecter un iPhone. Ian Beer, du Project Zero, s'est exprimé à ce sujet dans un billet de blog : « Les pirates ne visaient pas une cible en particulier, une simple visite sur l'un des sites piratés suffisait au serveur d'exploitation pour attaquer votre appareil, et, en cas de succès, installer un programme de surveillance ». Plusieurs vulnérabilités inconnues des services d'Apple ont ainsi pu être exploitées par les assaillants, elles concernent iOS mais aussi son navigateur web Safari. Ce piratage aurait permis au logiciel malveillant de récupérer des données de géolocalisation, les mots de passe des différentes applications installées, et même d'avoir accès complet à des messageries chiffrées telles que Telegram et WhatsApp. Malgré tout, l'attaque n'était pas persistante, selon le Project Zero, c'est-à-dire que si l'utilisateur redémarrait son iPhone le programme malveillant était supprimé. Au total, les chercheurs missionnés par Google ont découvert 14 failles et cinq chaînes de vulnérabilités, et ce, depuis le lancement d'iOS 10. Apple a instantanément corrigé le problème après avoir été informé par l'équipe de Project Zero, en février 2019, via un correctif apporté par la version 12.1.4. Une mauvaise nouvelle de plus pour Apple après un trimestre décevant et une chute des ventes d'iPhone.
30-08-2019


Des failles dans iOS corrigés ou presque !

Entre 10 et 24 millions de dollars. C’est ce que pouvaient valoir sur le marché noir les six failles de sécurité iOS découvertes par Natalie Silvanovich et Samuel Groß, deux chercheurs en sécurité de l’équipe Project Zero de Google. Leur valeur très élevée provient du fait qu’elles peuvent être exploitées sans interaction de la part de la personne ciblée. Pour quatre d’entre elles, il suffit qu’un message contenant un code malveillant soit ouvert dans iMessage. Les deux autres failles peuvent permettre d’extraire des données depuis la mémoire du terminal. Les six vulnérabilités ont été corrigées lors de la mise à jour iOS 12.4 diffusée la semaine dernière. Mais l’une d’elle n’a pas été intégralement corrigée et les détails à son sujet n’ont donc pas été révélés. Natalie Silvanovich fera une présentation de ces failles lors de la conférence Black Hat qui se tiendra la semaine prochaine à Las Vegas. Selon les informations, ce type de bugs de sécurité exploitables sans interaction et fonctionnant sur des versions récentes d’iOS pourraient valoir des fortunes au marché noir.
31-07-2019


ViedeoLAN dément la faille de sécurité

La nouvelle a fait le tour du Web hier, à la suite d'une alerte du CERT du gouvernement allemand : le célèbre lecteur multimédia serait la victime d'une faille de sécurité critique. VideoLAN, qui développe VLC, explique que c'est faux. Or... Il n'en n'est rien. Dans une série de tweets publiés il y a quelques minutes, VideoLAN critique vertement la série d'événements qui ont mené à ce que le CERT-Bund, centre de réponses aux cyberattaques du gouvernement allemand, publie une alerte de sécurité « critique » à l'encontre du populaire lecteur multimédia. Sans trop rentré dans les détails, VLC n'est pas vulnérable. Le problème vient d'une librairie de tierce partie appelée libebml, et a été corrigé il y a plus de 16 mois. VLC depuis la version 3.0.3 utilise la bonne version de cette librairie. VideoLAN pointe du doigt MITRE Corporation, qui, ayant découvert la publication du chercheur sur l'outil de suivi de Videolan, a choisi de lancer une alerte, sans prévenir les développeurs de VLC. Alerte qui a ensuite été reprise par le CERT-Bund. C'est cette alerte que nous avons relayée. Donc nous nous excusons ouvertement en vers VideoLAN, finalement victime de sources qui n'ont pas été vérifiés par l'ensemble des chercheurs et de la presse. Vous pouvez donc d'aujourd'hui télécharger et installer ou réinstaller sans crainte le player multimédia VLC.
24-07-2019


Faille critique pour VLC

Même si elle proposait des améliorations pour 4K et 8K, HDR et vidéos 360, la version VLC 3.0.7 sortie au mois de juin était avant tout une mise à jour de sécurité. Toutefois, cette nouvelle version contient également une faille critique. CERT-Bund (Computer Emergency Response Team) est une agence de cybersécurité allemande. Il s'agit de l'organisme qui pilote les mesures préventives et réactives en cas d'incidents informatiques liés à la sécurité. Samedi 20 juillet, l'agence a publié un avertissement concernant le logiciel open source VLC Media Player 3.0.7.1 pour Linux, UNIX et Windows. Un signalement douloureux pour VLC dont la version 3.0.6 (et celles antérieures) avait été épinglée en juin pour être sensible aux logiciels malveillants infiltrés. Alors que le lecteur multimédia hautement compatible a été téléchargé plus de 3 milliards de fois, la nouvelle vulnérabilité détectée par CERT-Bund est d'autant plus dangereuse. Décrite « CVE-2019-13615 », le risque lié à cette faille a été classé comme « élevé », au niveau 4 sur l'échelle de dangerosité à cinq niveaux établie par le CERT. Cette faille permet notamment à un attaquant d'exécuter du code à distance, anonymement et en toute discrétion. Il peut ainsi interrompre des services, modifier des fichiers sans autorisation ou encore divulguer des informations. VLC est actuellement est train de développer un correctif, terminé à 60 %. Pour l'instant, aucune date de sortie n'a été annoncée pour ce patch. Néanmoins, le CERT-Bund se veut rassurant : contrairement à la faille du mois de juin, celle-ci ne semble pas avoir été exploitée par des attaquants. Quoi qu'il en soit, l'agence allemande recommande d'éviter le logiciel tant qu'aucun correctif n'aura été apporté à VLC Media Player
22-07-2019


Attention au dongle Uniflying USB Logitech

Dès 2016, la firme de sécurité Bastille avait signalé une faille de sécurité affectant les claviers et accessoires sans fil de Logitech utilisant un dongle USB propriétaire de la marque. Cette dernière permettait à un hacker de contrôler un ordinateur distant comme s’il y avait accès physiquement. Bien que Logitech a entre-temps sorti des patches de sécurité pour contrer la faille nommée « MouseJack », un chercheur en sécurité nommé Marcus Mengs affirme que les dongles Unifying de la compagnie sont susceptibles d’être exploités de diverses autres manières. Les éventuels hackers pourraient apparemment profiter des quelques secondes durant lesquelles la souris (ou le clavier ou même le pointeur laser) et le dongle se synchronisent pour prendre le contrôle de votre appareil. Pire encore, selon Bastille, Logitech vendrait toujours des dongles USB vulnérables à « MouseJack ». Estimant que le danger présenté était minime, la compagnie n’a pas organisé de campagne de rappel de ses produits. Au final, si vous possédez un de ces dongles, vous devriez les mettre à jour par simple précaution. Le nouveau firmware est disponible sur le site de Logitech .
15-07-2019


Le FBI utilise des techniques faciale illégal

La reconnaissance faciale d’état continue de déraper. Selon le Washington Post et des chercheurs de l’université de droit de Georgetown, le FBI et l’ICE (Immigration and Customs Enforcement, le service des douanes américaines) ont un recours massif à la reconnaissance faciale sur des bases de données des photos des permis de conduire. Le problème ? Cet usage est illégal. Aux USA, chaque état dispose de son propre organisme public de gestion des véhicules et des permis de conduire communément appelé « Department of Motor Vehicules » (DMV) même si le nom diffère selon les états. Selon l’enquête, pas moins de 21 états permettraient aux agences fédérales de scanner à loisir leur base de données de photos des permis. Et ce en toute illégalité puisque ces bases de données n’ont pas du tout été constituées pour cet usage. Un usage loin d’être anodin : le FBI procéderait à lui seul à pas moins de 4 000 recherches par mois. S’il est théoriquement possible d’accéder à ces bases d’images, des états comme celui de Washington imposent un document légal signé d’un juge ou d’une autorité de justice. Dans le cas des 21 états, aucune limite n’a été imposée au FBI et à l’ICE, faisant de cet organisation officieuse un système de surveillance sans garde-fous.
08-07-2019


La NASA c'est fait piraté grace à un Rapsberry Pi

les plus complexes. Ce piratage de la NASA nous le prouve une nouvelle fois. Certains employés de la NASA ont récemment dû passer un mauvais quart d’heure. En effet, un rapport réalisé par l’Office of Inspector General vient d’indiquer que l’Agence Spatiale américaine a subi un piratage. Pire encore, les hackers ont réussi leur coup à l’aide d’un simple Raspberry Pi. PUBLICITÉ Le piratage remonte à avril 2018, bien que la faille de sécurité de 2011 soit également évoquée (87 Go de données avaient fuité). Les malfaiteurs ont branché le nano-ordinateur au Jet Propulsion Laboratory (JPL) et ce dernier n’a pas été détecté. Le document rapport qu’environ 500 Mo de données provenant de 23 fichiers ont été subtilisés. Certains évoquaient des factures concernant la mission du Mars Science Laboratory tandis que d’autres concernaient le Deep Space Network, le réseau de communication avec l’espace lointain. Composé de trois stations, ce dernier est utilisé pour les communications avec ses sondes spatiales interplanétaires et dans le cadre de quelques missions en orbite autour de la Terre. Les hackers ont donc pu accéder à des données portant sur des missions actuelles. Il n’y a pas toujours besoin de machines très avancées pour pénétrer dans les réseaux. Parmi les erreurs évoquées, l’organisme évoque des problèmes liés à la base de données sur la sécurité des technologies de l’information (abrégé en ITSDB). La NASA et le Jet Propulsion Laboratory ne seraient pas très vigilants et ne la mettraient pas assez souvent à jour. Elle doit normalement contenir toutes les informations des appareils qui se connectent au réseau. Pourtant, le Raspberry Pi n’y était pas. On peut également lire que des problèmes de sécurité spécifiques n’étaient pas résolus assez vite, et que certains persistaient 180 jours après avoir été découverts. La NASA a donc promis de faire des efforts. On peut tout de même s’étonner de la faiblesse de la sécurité d’une telle agence, pourtant considéré comme le fleuron de son domaine. À l’heure actuelle, il est impossible d’identifier les auteurs, désormais qualifiés de « menace persistante avancée ». Il s’agit tout de même d’un problème important, car on peut lire que les hackers pouvaient potentiellement « avoir accès et initier des signaux malicieux sur des missions spatiales habitées ».
25-06-2019


M.àJ. Firefox faille zero-day

Les utilisateurs de Firefox sont invités mettre à jour sans attendre leur navigateur web. Mozilla vient de publier une mise à jour d’urgence pour corriger une faille de sécurité majeure activement exploitée par des hackers. Les ingénieurs de Mozilla indiquent dans la note de sécurité publiée en ligne qu’ils « sont au courant d’attaques ciblées ayant exploité cette faille de sécurité ». Cette vulnérabilité a été mise au jour par Samuel Groß, un chercheur en sécurité officiant dans l’équipe dédiée de Google Project Zero, ainsi que par les chercheurs en sécurité de Coinbase. Si aucun autre détail n’a été dévoilé par la Fondation, il est probable que cette faille zero-day ait été exploitée pour voler de la cryptomonnaie. Pour mettre à jour Firefox en version 67.0.3, ou Firefox ESR en version 67.0.1, rendez-vous dans le menu principal du navigateur, puis dans le menu Aide, cliquez sur A propos de Firefox.
19-06-2019


La chine détourne du trafic internet

Il y a quelques jours, le 6 juin dernier, plusieurs opérateurs européens ont vu le trafic de données qui leur était destiné être détourné en Chine pendant plus de 2 heures. Les ingénieurs d’Oracle ont ainsi vu des données provenant d’un de leurs datacenters de Toronto être acheminées vers le réseau de SFR en passant par China Telecom. De la même manière, un administrateur Linux a observé les données de ses serveurs passer du datacenter d’OVH vers le réseau de Bouygues Telecom après avoir fait un long crochet par l’empire du Milieu. Ce détournement est la conséquence d’une mauvaise transmission d’informations de l’hébergeur suisse Safe Host. Au matin du 6 juin, celui-ci a envoyé plus de 70 000 routes BGP à son partenaire China Telecom, qui les a annoncées à l’ensemble de la Toile. Parmi ces routes figuraient surtout des destinations des opérateurs Swisscom, KPN, Bouygues Telecom et SFR. Résultat : certains trafics de données destinés à ces quatre opérateurs sont d’abord passés par China Telecom avant d’arriver à bon port. Des incidents liés au protocole de routage BGP arrivent régulièrement. Ce qui est inhabituel, c’est la durée. « De tels incidents de routage ne durent souvent que quelques minutes, mais dans ce cas, plusieurs des itinéraires divulgués lors de cet incident étaient en circulation pendant plus de deux heures », souligne Oracle dans une note de blog. Ce n’est que la première fois que China Telecom se fait épingler de la sorte. En novembre dernier, des experts d’Oracle avaient montré que l’opérateur chinois avait détourné une partie du trafic Internet pendant au moins deux ans, de décembre 2015 à décembre 2017. Même des flux internes aux Etats-Unis avaient ainsi fait un détour par la Chine, ouvrant la porte à de potentiels vols de données ou des tentatives de piratage. Si le trafic détourné est correctement chiffré, le risque est néanmoins limité. D’où l’importance du protocole de chiffrement TLS/SSL.
10-06-2019


Le site des impôts est tombé !

Selon Gérald Darmanin, ministre de l’Action et des Comptes publics, près de quatre millions d’internautes ont tenté de se connecter à Impots.gouv.fr, la veille de la date limite de déclaration de leurs revenus. Un tel afflux de visiteurs a entraîné un dysfonctionnement des serveurs du site, empêchant les internautes de se connecter et de remplir leur déclaration dans les temps. À près de 24 heures de la date limite de déclaration, nombre d’utilisateurs ont donc fait part de leur frustration sur les réseaux sociaux. Le gouvernement se montre compréhensif et, en conséquence, accorde aux citoyens imposables des départements numérotés de 50 (Manche) à 976 (Mayotte) un sursis de 48 heures (jusqu’à jeudi 23:59) pour envoyer leur déclaration. La maintenance du site est désormais terminée, et l’espace particulier est (normalement) à nouveau accessible. Si vous n’arriviez pas, malgré tout, à envoyer votre déclaration par Internet, la Direction générale des Finances publiques conseille d’appeler le 0809401401, ou encore de vous déplacer jusqu’à votre centre des impôts, à l’ancienne.
04-06-2019


Flipboard piraté

Flipboard, un service d'agrégation d'articles sous forme entre autre d'application mobile, a commencé à informer les utilisateurs d'un incident de sécurité au cours duquel des pirates ont eu accès à ses systèmes internes pendant plus de neuf mois. Dans une série de courriels, Flipboard a déclaré que les pirates avaient accès aux bases de données que l'entreprise utilise pour stocker les renseignements sur les clients. Flipboard a indiqué que ces bases de données stockaient des informations telles que les noms d'utilisateurs de Flipboard, les mots de passe hachés et salés, dans certains cas, des e-mails ou des jetons numériques qui relient les profils de Flipboard aux comptes des services tiers. La bonne nouvelle semble être que la grande majorité des mots de passe ont été hachés avec un algorithme de hachage de mots de passe fort appelé bcrypt, actuellement considéré comme très difficile à pirater. La société a dit que certains mots de passe ont été hachés avec l'algorithme SHA-1, plus faible, mais qu'ils n'étaient pas nombreux. "Si les utilisateurs ont créé ou modifié leur mot de passe après le 14 mars 2012, il est haché avec une fonction appelée bcrypt. Si les utilisateurs n'ont pas changé leur mot de passe depuis lors, il est salé et haché uniquement avec SHA-1", a déclaré Flipboard. Dans son courriel, Flipboard dit qu'il réinitialise maintenant tous les mots de passe des clients, peu importe si les utilisateurs ont été touchés ou non, par prudence. Flipboard a déclaré avoir informé les forces de l'ordre de l'infraction à la sécurité.
29-05-2019


Etrange fuite d'une base de donnée d'influenceurs

Selon des révélations de TechCrunch, un expert en sécurité a découvert sur internet une base de données contenant les données personnelles de plus de 49 millions d’influenceurs et célébrités. Ces informations étaient hébergées par les services web d’Amazon et étaient accessibles sans aucun système de sécurité ni mot de passe. Parmi ces informations, on pouvait trouver des photos de profil, des biographies, le nombre d’abonnés, des données de localisation, mais aussi des adresses e-mail et numéros de téléphone. L’expert en cybersécurité a alerté Tech Crunch qui a découvert que la base de données avait été mise en ligne par Chtrbox, une société basée en Inde qui se spécialise dans le marketing sur les réseaux sociaux. La base de données incluait également des informations concernant le niveau d’influence de chaque utilisateur Instagram ainsi que le montant d’argent que chacun pourrait recevoir en échange de la publication de contenus sponsorisés. Problème, les influenceurs contactés par TechCrunch ont déclaré n’avoir jamais travaillé avec la société Chtrbox. La base de données a depuis été retirée. Facebook enquête sur l’affaire et a déclaré : « Nous examinons le problème pour comprendre si les données décrites incluant les adresses email et numéros de téléphone – viennent d’Instagram ou d’autres sources ». La firme Chtrbox de son côté n’a pas pour l’instant répondu à aucune question des médias.
21-05-2019


L'UE vote la création d'un B.D. Biométrique

La semaine dernière, le Parlement européen a voté en faveur de l'interconnexion d'une série de systèmes de contrôle des frontières dans une gigantesque base de données interrogeable de suivi biométrique des citoyens européens et non européens. Cette nouvelle base de données sera connue sous le nom de Common Identity Repository (CIR) et est conçue pour unifier les enregistrements de plus de 350 millions de personnes. Selon sa conception, CIR regroupera à la fois les enregistrements d’identité (noms, dates de naissance, numéros de passeport et autres détails d’identité) et la biométrie (empreintes digitales et numérisations faciales), et mettra ses données à la disposition de toutes les autorités frontalières. Son rôle principal sera de simplifier le travail des services de police des frontières et des autorités de l'Union européenne, qui seront en mesure de lancer leurs recherches sur un système unifié beaucoup plus rapidement, plutôt que de rechercher dans des bases de données séparées. "Les systèmes couverts par les nouvelles règles comprennent le système d'information Schengen, Eurodac, le système d'information sur les visas (VIS) et trois nouveaux systèmes: le système européen du casier judiciaire des ressortissants de pays tiers (ECRIS-TCN), le système d'entrée / sortie ( EES) et le système européen d’information et d’autorisation de voyage (ETIAS) ", ont déclaré des responsables de l’UE la semaine dernière. Le CIR a été adopté par le Parlement européen le lundi 15 avril dernier, lors de deux votes séparés. Les règles du CIR en matière de contrôle des frontières et des visas ont été adoptées avec 511 voix pour et 123 contre pour neuf abstentions, tandis que la législation du CIR en matière de coopération policière et judiciaire, d'asile et de migration a été approuvée avec 510 pour et 130 contre, et neuf abstentions. Le Parlement européen et le Conseil européen ont promis des "garanties appropriées" pour protéger le droit des personnes à la vie privée et réglementer l'accès des agents à ces données. L'UE va gérer l'une des plus grandes bases de données
26-04-2019


Outlook des comptes compromis

Des pirates ont eu accès aux données de certains comptes e-mail du service Outlook.com, et cela du 1er janvier au 28 mars 2019. Selon un message d’alerte envoyé par Microsoft aux personnes impactées, ces hackers ont utilisé les identifiants d’un agent de support pour accéder à ces informations. Ils ont pu voir les adresses e-mail des contacts, les noms des dossiers et les objets des messages, mais pas leurs contenus, ni leurs pièces jointes. Contacté par plusieurs médias américains, la firme de Redmond a expliqué que seul « un sous-ensemble limité de comptes de particuliers » a été impacté par ce piratage, sans plus de précision. Microsoft ne sait pas pourquoi ces informations ont été siphonnées et à quoi elles pourraient servir par la suite. L’éditeur prévient, néanmoins, que les personnes impactées pourraient être la cible d’arnaques sous forme de phishing. Il recommande, par ailleurs, le changement du mot de passe du compte, par mesure de précaution.
15-04-2019


Des failles dans Safari

Le concours Pwn2Own 2019 a débuté à Vancouver (Canada), et dès le premier jour deux failles ont été dévoilées touchant Safari. La première, réalisée par l’équipe Fluorocetate, permet d’échapper au « bac à sable » du navigateur au moyen de la force brute. Amat Cama et Richard Zhu, les deux petits génies de l’équipe, ont remporté une récompense de 55 000 $ pour la démonstration de cette vulnérabilité. L’autre faiblesse de Safari mise en lumière durant la compétition est le fruit du travail de phoenhex et de l’équipe qwerty. Cette fois, il s’agit d’une élévation de privilèges depuis Safari, ouvrant aux hackers une porte vers le système… et donc, d’en prendre le contrôle. Apple connaissant déjà un des bugs permettant d’exploiter cette faille, les découvreurs devront se contenter de partager 45 000 $ (un joli cadeau de consolation). Les autres failles concernent la VirtualBox d’Oracle (par deux fois), et Workstation de VMware. En tout et pour tout, Trend Micro l’organisateur du concours a versé des récompenses d’un montant total de 240 000 $ pour ce premier jour. Tesla, Microsoft et VMware sont les partenaires de cette compétition annuelle sur trois jours. D’autres logiciels seront dans la ligne de mire des forts en thème : Firefox, Edge, et l’auto-pilote de Tesla. Les participants ont un temps limité à 30 minutes et trois tentatives pour réaliser la démonstration de leurs failles. Trend Micro achète les failles, qui sont ensuite communiquées aux éditeurs. Apple ne manquera pas de boucher les vulnérabilités qui touchent Safari.
22-03-2019


Failles Zero-day dans Chrome

Si, comme 62 % des internautes, vous utilisez Chrome au quotidien, vous feriez bien de suivre le conseil des ingénieurs de Google. Mettez immédiatement votre navigateur à jour, sous peine d’être vulnérable à une faille de type zero day. Selon la définition de Wikipédia, « une vulnérabilité zero-day est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive ». Selon Google, la faille réside dans une erreur dans la gestion de la mémoire dans l’API FileReader de Chrome. Cette dernière permet aux applications Web de lire les fichiers contenus sur l’ordinateur de l’utilisateur. Si vous avez activé la mise à jour automatique de Google Chrome, il vous suffira de relancer le navigateur pour profiter de sa dernière version (Chrome 72.0.3626.121 précisément). Dans le cas contraire, procédez à la mise à jour manuellement, en vous rendant dans les Paramètres, puis en cliquant sur « À propos de Chrome ».
07-03-2019


Une Faille dans MacOS

Une faille critique touchant macOS, et même plus précisément son noyau XNU, est au vu et au su de tous depuis quelques jours. Les experts en sécurité de Google qui l’ont dénichée ont suivi la procédure habituelle : ils ont informé Apple de leur découverte puis attendu 90 jours avant de la révéler publiquement, qu’elle soit comblée ou non. Dans le cas présent, la faille est toujours présente. Elle concerne le mécanisme de copie sur écriture qui crée des copies privées de ressources (mémoire virtuelle) qui sont partagées entre plusieurs processus. L’équipe Project Zero s’est rendu compte qu’il était possible de modifier une image disque sans que le sous-sytème de gestion de la mémoire n’en soit informé, ce qui donne un vecteur d’attaque pour un piratage de plus grande ampleur, sans avoir besoin des droits administrateur. Apple va résoudre ce problème, décrit comme « hautement critique », dans une future mise à jour de macOS, indique le chercheur Ian Beer, sans plus de détail.
04-03-2019


Internet en danger !

Des pirates ont réussi à accéder aux données de l’ICANN. Les risques sont énormes pour les internautes. Un blocage d’Internet est aussi possible. L’ICANN gère les noms de domaine et fonctionne comme un annuaire. En en prenant le contrôle, les pirates redirigent leurs cibles vers un autre ordinateur et profitent de cette occasion pour voler des informations confidentielles. Toutefois, Mounir Mahjoubi, secrétaire d’État chargé du numérique, ne connaît pas l’ampleur de l’attaque, la motivation et l’identité des pirates. Par ailleurs, on ignore si le piratage continue encore ou non. Les premiers éléments relatifs à un piratage de l’ICANN remontent à 2013. Depuis, cette action connue sous le nom de DNSpionnage s’est intensifiée. Même si les responsables de l’organisation annoncent « une campagne à grande échelle », ils insistent sur un point particulier, les attaques sont focalisées sur certaines régions et des structures précises. On peut citer entre autres les gouvernements européens et des pays du Moyen-Orient. La police, les compagnies pétrolières et les entreprises de transport aérien sont également ciblées. Les avis divergent sur l’origine des attaques. Néanmoins, les analystes privilégient trois pistes : la Russie, la Corée du Nord, et l’Iran. Alors que les pirates ont le pouvoir de bloquer une grande partie de la toile mondiale, ils auraient adopté une position attentiste. Apparemment, ils se contenteraient de recueillir les informations à travers les écoutes et les vols de données. En s’attaquant à la source, les hackers limitent les moyens de protection disponibles. Les internautes ignorent si le site qu’ils visitent figure parmi les victimes ou pas. Face aux risques, l’ICANN rappelle l’importance du protocole DNSSEC. Cette approche authentifie les données en leur attribuant une signature. Elle réussit ainsi à bloquer les modifications de DNS.
27-02-2019


Vulnérabilité dans WordPress

L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites. Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès. Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site. De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires. Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.
13-02-2019


Dailymotion encore victime d'attaque

Alors que les cyberattaques sont perçues comme le 5e plus gros risque mondial, selon un sondage publié dans le cadre du World Economic Forum, il y a une semaine, le service d'hébergement français Dailymotion a été frappé de plein fouet par une intrusion informatique datée du 19 janvier 2019. Certains utilisateurs ont en effet reçu un mail préventif leur conseillant de réinitialiser leur mot de passe, . Qualifié de cyberattaque par force brute, le procédé en question consiste à obtenir un mot de passe par tests successifs en combinant nom d'utilisateur et codes divulgués sur d'autres sites internet. D'où les conseils de l'entreprise française, invitant les potentielles victimes à modifier leur mot de passe personnel, bien que le nombre de comptes touchés soit limité, selon les dirigeants de la société. À l'heure actuelle, l'ampleur de la brèche reste inconnue. Dailymotion aurait cependant pris « toutes les mesures nécessaires pour la bloquer », tout en la signalant à la CNIL, la Commission nationale de l'informatique et des libertés de France. En fonction de la gravité de l'attaque, l'autorité administrative indépendante pourrait prendre les mesures nécessaires face à cette nouvelle intrusion. Car Dailymotion avait été victime d'une attaque massive en décembre 2016, laquelle a piraté pas moins de 87 millions de comptes de la plateforme. L'enquête de la CNIL avait alors soulevé plusieurs erreurs du groupe, l'obligeant à payer une amende de 50 000 €deux ans plus tard. L'histoire va-t-elle se répéter ?
28-01-2019


733 Millions de compte mail piratés

Plusieurs centaines de millions de comptes emails ont récemment été piratés. Les données proviennent d’un compte cloud, un dossier nommé « Collection #1 », et totalisent 87 Go. Même si les fichiers ne sont plus disponibles, ils ont fait l’objet de discussion et de partage sur un forum de piratage. Quelques personnes auraient ainsi pu les copier, avant leur suppression. Selon les estimations, les informations auraient été extraites à partir de 2890 sites web. Pastebin a publié une liste présumée des répertoires concernés. Après le nettoyage des fichiers bruts, Troy Hunt a recensé 2,7 milliards d’adresses concernées. Parmi elles, ce sont près de 773 millions de mails qui ont été réellement piratés, auxquels sont associés 21 millions de mots de passe. Pourtant, il a exclu les mots de passe sous forme hachée. Il a ensuite entré les données au sein du site Have I Been Pwned. Les éventuelles victimes peuvent vérifier si leur adresse figure dans le lot ou non. D’après ses précisions, environ 140 millions de mails n’étaient pas encore enregistrés dans sa base de données. Par ailleurs, plus de 10 millions de mots de passe sont également nouveaux. La fuite est vraiment importante. Son niveau se rapproche de celle révélée par Yahoo il y a quelques années. Le chercheur recommande une authentification à deux facteurs pour renforcer la sécurité.
21-01-2019