Bienvenu sur la Particule.com

Toute l'actualités des geeks

Projet et fonctionnement du site la Particule.com

Les infos Bloc-Note du site la Particule.com

Nos différents partenaires

Suivre nos sponsors
Logo la particule.com
  




L'actualité
SECURITE


Une faille dans la messagerie instantanée Signal

  Liste des news    Liste des new du mois  
Faille de localisation dans Messange

22

Mai

Alerté, Signal a été prompt à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger la nouvelle version de l’application sans plus attendre sur le Google Play Store et l’App Store. Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation. Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres). L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Mais Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte. D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.



Le Thunderbolt est vulnérable

  Liste des news    Liste des new du mois  
thunderbolt 3

12

Mai

Le port est issu dconnexion infor’une collaboration entre Intel et Apple>. C’est un format de matique à très haut débit. Les MacBook Pro commercialisés en 2011 étaient les premiers ordinateurs à bénéficier de ce port. Depuis, tous les MacBook (Air et Pro) ainsi que les iMac en sont munis. Apple, bien qu’il l’utilise davantage, n’est cependant pas le seul fabricant informatique à avoir recours à ce format de connexion. Björn Ruytenberg de l’université de la technologie d’Eindhoven aux Pays-Bas a découvert cette faille très sérieuse. La rapidité du port Thunderbolt est en fait sa vulnérabilité. Il est tellement rapide qu’il laisse un accès partiel direct à la mémoire de l’ordinateur. Et, tout accès à la mémoire représente une éventuelle vulnérabilité informatiquv. Afin de l’exploiter et de le démontrer, Björn Ruytenberg a donc mis au point une méthode appelée « Thunderspy ». Celle-ci permet de contourner l’écran de connexion de n’importe quel PC même s’il est verrouillé et que les données sont chiffrées. Thunderspy rend la machine totalement vulnérable au piratage des données. De plus, il suffit que l’attaquant ait un accès physique à l’ordinateur, un tournevis et du ». La faille utilise une fonctionnalité intégrée au firmware de Thunderbolt qui est le niveau de sécurité. Celle-ci permet d’interdim>« mre l’accès aux périphériques non approuvés et même de désactiver le port Thunderbolt si besoin. La méthode du chercheur néerlandais modifie en fait le firmware afin d’autoriser l’accès au port à n’importe quel appareil. Ce qui rend la vulnérabilité encore plus dangereuse est que le système d’exploitation ne se rend même pas compte de l’attaque. Björn Ruytenberg utilise un programmateur SPI (Serial Peripheral Interface) avec un clip SOP8 pour se connecter à l’ordinateur, en dévissant au préalable le panneau arrière. Il lui suffit ensuite d’exécuter le script pour modifier le firmware.



Un faille dans tous les Smartphones Samsung

  Liste des news    Liste des new du mois  
Smartphone Samsung vulnerable format Qimages

11

Mai

Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur. Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes). Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS. Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée. Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.



14 Failles Apple trouvées par Google Projet Zero

  Liste des news    Liste des new du mois  
Faille Apple Mail iOS 684x513

29

Avril

14 failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables. Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR. Cette moisson est d’autant plus remarquable que les vulnérabilités qui ont toutes été corrigées depuis avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.



Failles Zero-Day sur iOS

  Liste des news    Liste des new du mois  
Failles Zero Day Apple iOS Mail

23

Avril

Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite. Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail ou voir ce connecter directement en webmail.



Des comptes Nintendo piratés

  Liste des news    Liste des new du mois  
Piratage compte Nintendo

21

Avril

Au cours du mois dernier, les utilisateurs de Nintendo étaient nombreux à signaler le piratage de leurs comptes, et certains ont déclaré avoir perdu de l'argent à la suite de cette intrusion. Les détournements de comptes semblent avoir commencé à la mi-mars et ont atteint un pic le week-end dernier, lorsque de plus en plus d'utilisateurs ont commencé à recevoir des alertes par e-mail indiquant que des adresses IP inconnues avaient été vues en train d'accéder à leurs profils Nintendo. La manière dont les comptes sont piratés est actuellement inconnue. Il n'est pas clair si les pirates utilisent des mots de passe divulgués lors de fuites de données sur d'autres sites pour accéder également aux comptes Nintendo. Certains utilisateurs ont déclaré avoir utilisé des mots de passe complexes générés par un gestionnaire de mots de passe, des mots de passe qui étaient uniques et qui n'étaient utilisés nulle part ailleurs. Nintendo n'a pas encore publié de déclaration officielle concernant ces attaques ; cependant, la société a conseillé aux utilisateurs, au début du mois, sur Twitter et Reddit, d'activer la vérification à deux facteurs (A2F) pour leurs comptes, suggérant que cela pourrait empêcher les intrusions. Un grand nombre de ceux qui ont signalé un accès non autorisé à leur compte Nintendo ont également déclaré avoir perdu de l'argent. Dans certains cas, les pirates ont acheté d'autres jeux Nintendo, mais dans de nombreux cas, les victimes ont déclaré que les pirates avaient acheté de la monnaie sur Fortnite via une carte ou un compte PayPal lié au profil principal de Nintendo. On attend la réponse de Nintendo, si une enquête est en cours et voir comment elle vas dédommager les victimes du piratage.



Zoom sécurité et confidentialité toujours en doute

  Liste des news    Liste des new du mois  
App Zoom

09

Avril

L'application Zoom est l'une des plus populaires du moment et permet à de nombreuses équipes autour du globe de continuer à travailler et à échanger depuis leurs domiciles respectifs. L'action Zoom malmenée depuis les révélations sur son manque de sécurité. Seulement cette mise en lumière soudaine a révélé les nombreuses failles de sécurité du service de visioconférence. On peut citer pêle-mêle les données personnelles envoyées à Facebook dans le dos des utilisateurs ou encore le chiffrement des conversations qui n'est pas assuré de bout-en-bout malgré les affirmations de Zoom. C'en est trop pour Michael Drieu, l'un des actionnaires de l'entreprise qui vient de déposer une plainte en action collective devant le tribunal fédéral de San Francisco. L'investisseur explique que les fausses déclarations et les approximations de Zoom en matière de sécurité des données ont impacté le cours de bourse de l'entreprise. En effet, si l'action Zoom s'échangeait autour de 160 $ à la fin du mois de mars, son cours a chuté de plus de 28 % en ce début avril avec les premiers articles sur le manque de sécurité des appels passés avec le service. Zoom a pourtant tenté d'éteindre l'incendie et a multiplié les communiqués pour rassurer ses utilisateurs. Le 2 avril dernier, son PDG Eric Yuan avait annoncé un audit complet des pratiques de l'entreprise, un renforcement en matière de sécurité et plus de transparence. De bonnes intentions certes, mais apparemment pas suffisantes pour rassurer certaines entreprises et administrations qui interdisent à leurs employés d'utiliser Zoom pour leurs échanges. SpaceX et la NASA en font partie, et l'on apprend que Google a également interdit à ses équipes l'utilisation du logiciel en bloquant son accès sur leurs postes de travail et en les encourageant évidemment à utiliser Google Meet à la place.



Firefox corrige des failles en urgence

  Liste des news    Liste des new du mois  
Firefox

07

Avril

Parce qu'il n'y a pas que le pangolin qui nous pause problème mais également le panda roux !Un patch diffusé en urgence corrige deux failles de type « use after free ». Elles permettent de prendre le contrôle à distance d’un système. Mozilla vient de publier un patch en urgence pour Firefox. La version 74.0.1 colmate deux failles critiques dans le navigateur, permettant à des pirates de prendre le contrôle à distance d’un système. Or, c’est exactement ce qui est en train de se passer : ces deux failles sont actuellement utilisées dans des cyberattaques, sans qu'on ait pour l'instant plus de détails. Dans son alerte de sécurité, Mozilla donne quelques précisions sur les failles en question. Dans les deux cas, il s’agit d’un bug de type « use after free », qui peut être actionné dans certaines conditions temporelles (« race condition ») et qui permet d’accéder de façon non légitime à une zone mémoire qui a été libérée par une fonction. Et dans cette zone, les pirates peuvent probablement exécuter du code arbitraire, ce qui permet d’obtenir le contrôle de la machine.



AMD le code source Navi 10,21 et Arden dérobé

  Liste des news    Liste des new du mois  
radeon navi

27

Mars

AMD a demandé à GitHub le retrait des codes sources des puces graphiques Navi et Arden récemment dérobées par un hacker qui avait d’abord demandé une rançon de 100 millions de dollars pour éviter leur mise en ligne, mais que le fabricant a refusé de payer. Cette pratique se généralise, on l’a vu récemment avec le fournisseur de Tesla et SpaceX. L’histoire a débuté en novembre 2019 quand une pirate informatique a découvert dans un ordinateur compromis les codes sources des processeurs graphiques Navi 10, Navi 21 et Arden. Comme pour tenter de justifier son action, elle explique que « l’utilisateur n’avait pris aucune mesure pour empêcher la fuite des sources ». Pour rappel, Navi 10 est le processeur graphique qui équipe les cartes graphiques des séries Radeon RX 5500 et 5600. Navi 21 est celui que l’on trouve sur les Radeon RX 5900 dont les fonctions de raytracing seront intégrées à DirectX 12 Ultimate. Arden est le GPU d’architecture RDNA 2.0 que l’on retrouvera dans la Xbox Series X. Sans expliquer sa méthode de calcul, la pirate a estimé le contenu des fichiers collectés à 100 millions de dollars et a déjà promis que si elle ne trouvait pas d’acheteur, elle mettrait simplement l’ensemble des fichiers en ligne. Pour prouver qu’elle dispose effectivement des fichiers en question, elle a alors publié une petite partie des sources. Il semble que ce soit ce qui ait été découvert sur GitHub et dont AMD a demandé le retrait. Depuis, le constructeur a confirmé sur son site Internet qu’il avait été « contacté en décembre par un individu qui dispose de fichiers de tests sur une partie ses produits graphiques actuels et à venir et dont une fraction a été mise en ligne avant d’être retirée ». Toutefois, AMD pense que ces fichiers ne sont ni au cœur de sa compétitivité ni une menace pour la sécurité des produits concernés et s’est donc tourné vers les forces de l’ordre pour déclencher une enquête. Microsoft n’a pas encore commenté. Toutefois, comme nous vous l’annoncions hier, le géant américain envisage un report de la sortie de sa Xbox Series X, ce délai supplémentaire serait utile à une investigation sur les failles de sécurité potentielles que cette fuite pourrait engendrer et peut être bénéficier à long terme après la sortie de la console à un Hacking de masse.



Microsoft annonce une faille dans W7,W8 et Windows 10, pas de panique !

  Liste des news    Liste des new du mois  
Windows 10 faille police Adobe

24

Mars

Microsoft s’illustre à nouveau en annonçant une faille de sécurité majeure qui touche toutes les versions de son OS à partir de Windows 7 et de Windows Server 2008. Dans une alerte de sécurité publiée hier, l’éditeur reconnait qu’un nombre limité d’attaques ont récemment été menées en exploitant une vulnérabilité identifiée qui n’a pas encore été corrigée. La faille se situe dans la librairie dynamique Adobe Type Manager du fichier atmfd.dll, et permet au système d’exploitation d’afficher les polices de type PostScript Type 1. La bibliothèque expose votre machine à l’exécution de code malicieux à distance, notamment pour installer un cheval de Troie ou tout autre logiciel malveillant. Le bug peut être exploité grâce à une police faite sur mesure, et se déclenche à l’ouverture ou à la prévisualisation d’un document qui l’utilise. Les équipes de Microsoft travaillent actuellement à la correction de la nouvelle faille de sécurité. Il faudra néanmoins attendre jusqu’à la livraison du prochain patch de sécurité pour être à l’abri. Habituellement, la firme les déploie le deuxième mardi de chaque mois, il faudra donc patienter jusqu’au 14 avril. Bien que Windows 7 soit également vulnérable, rien n’indique que Microsoft fournira un correctif pour un OS qu’il ne supporte plus depuis le 14 janvier. Si c’est le cas et que vous utilisez toujours cette version, sachez qu’il existe une méthode de contournement pour installer les mises à jour de sécurité sur Windows 7.

1/ Désactiver le panneau d’aperçu et de détails dans Windows Explorer
2/ Désactiver le service WebClient
3/ Renommer la DLL atmfd.dll
Le détail de la procédure à suivre en fonction de votre système d’exploitation est disponible en ligne sur le site de Microsoft .



Intel une faille très critique dans les CPU

  Liste des news    Liste des new du mois  
cpu Intel faille CSME

09

Mars

Intel est coutumier des failles de sécurité de grande ampleur. La dernière en date est particulièrement problématique : il est impossible de la corriger. Les chercheurs de Positive Technologies ont découvert une vulnérabilité qui affecte tous les processeurs Intel de ces cinq dernières années, exception faite des puces de la 10e génération. Elle touche le CSME, le moteur de gestion et de sécurité convergent d’Intel sur lequel repose de nombreuses fonctions de sécurité. Le CSME est un des premiers programmes à se lancer au démarrage d’un PC. Il est responsable du chargement du BIOS UEFI, du contrôleur de gestion de l’alimentation, les DRM reposent aussi sur ce moteur. En mai dernier, Intel a livré un correctif, mais c’est insuffisant : d’après un chercheur, la faille de sécurité permet à un pirate de récupérer la clé cryptographique du PC, c’est à dire le sésame qui lui donne accès à la machine. Bien que la faille ne nécessite pas forcément un accès physique à la machine, il n’est pas si facile de l’exploiter. Rien d’impossible toutefois pour un pirate compétent et bien équipé. Le hic, c’est que le bug est présent sur la ROM d’amorçage du CSME : la fameuse clé peut être récupérée au moment du démarrage. Et Intel ne peut rien corriger à ce niveau. L’entreprise se veut rassurante, malgré les explications de Positive Technologies elle indique que l’exploitation de la faille exige un accès physique. Les chercheurs donnent quant à eux la recette pour éviter tout problème : changer de processeur



Une faille Wifi touche des millions d'appareils

  Liste des news    Liste des new du mois  
Faille puce Wi Fi Krook

27

Fevrier

Une importante faille baptisée « Krook » vient d’être dévoilée dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP, qui sont encore les plus couramment utilisés aujourd’hui. À l’occasion de la conférence RSA 2020, les chercheurs en sécurité d’Eset ont montré que les puces Wi-Fi de Broadcom et Cypress ne géraient pas bien la phase dite de « dissociation », lorsqu’un terminal se trouve soudainement déconnecté du réseau sans fil. Cette dissociation arrive par exemple lorsque l’utilisateur éteint le module Wi-Fi de son terminal ou lorsqu’il sort de la zone de couverture. Avant de clore la session de connexion, les puces Broadcom et Cypress vont vider leur tampon de mémoire qui contient encore un reste du flux de données. Mais en raison d’un bug dans la gestion des clés de chiffrement, ces données sont envoyées de manière non chiffrée. Résultat : un pirate aux alentours peut les intercepter de manière passive. Il peut même provoquer cette fuite de données autant de fois qu’il le souhaite, car il suffit pour cela d’envoyer une trame de dissociation vers le terminal ciblé. Ces trames de dissociation sont ni chiffrées ni authentifiées. N’importe qui peut donc les générer. D’après les chercheurs, cette faille affecte largement plus d’un milliard d’équipements. En effet, les puces épinglées sont contenues dans des smartphones d’Apple, de Google, de Samsung ou de Xiaomi (Merci les grande marque !). On les trouve aussi dans les liseuses d’Amazon, ainsi que dans des points d’accès d’Asus et Huawei. La bonne nouvelle, c’est que les fabricants de puces ont d’ores et déjà développé un patch. Celui-ci a été diffusé aux constructeurs au dernier trimestre 2019. Apple, par exemple, a mis à jour ses systèmes iOS, iPadOS et macOS fin octobre dernier.



Décathlon à l'origine de fuite de données personnelles

  Liste des news    Liste des new du mois  
DECATHLON fuite de donnees en Espagne

26

Fevrier

Décathlon est la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Les données personnelles des salariés de Décathlon Espagne en accès libre sur le web. C'est plus précisément la branche espagnole de la société qui vient de laisser fuiter pas moins de 9 Go de données, soit 123 millions d'enregistrements au total. Parmi les informations égarées sur le web, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. C'est une équipe du service vpnMentor qui a découvert cette base de données sur un serveur non-sécurisé. « La base de données de Décathlon Espagne, qui a fait l'objet d'une fuite, contient un véritable trésor de données à propos des employés et plus encore. Elle contient tout ce qu'un pirate informatique malveillant devrait, en théorie, utiliser pour s'emparer de comptes et accéder à des informations privées et même propriétaires », explique t-elle. L'entreprise a colmaté la brèche et explique qu'il n'y pas de risque pour ses clients. Des hackers en possession de tels renseignements pouvaient effectivement mener plusieurs actions, du phishing à l'espionnage industriel, grâce aux mots de passe administrateur retrouvés dans les différents fichiers disponibles. Décathlon a été prévenu le 16 février de la fuite de ces informations, quatre jours après la découverte de la base de données. L'entreprise a depuis fait le nécessaire pour retirer du web les données sensibles et se veut rassurante. « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne », explique un porte-parole de la filiale.



Faille de sécurité du Bluetooth Android

  Liste des news    Liste des new du mois  
android securite

10

Fevrier

La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants. Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion. Google a publié un correctif dans sa mise à jour de sécurité de février. Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne, il est donc primordial de télécharger le patch au plus vite. Si la mise à jour n’est pas encore disponible sur votre smartphone, il est fortement conseillé de prendre des précautions quant à l’utilisation de votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.



Encore des Malware sur le Play Store

  Liste des news    Liste des new du mois  
Google Play Store

07

Fevrier

Des chercheurs en cybersécurité viennent de révéler que 24 applications distribuées sur le Play Store contiendraient divers malwares. Si Google les a d’ores et déjà supprimés de son Store, celles-ci peuvent encore se trouver sur votre smartphone. Ces apps, qui cumulent 382 millions de téléchargements, contiendraient des malwares publicitaires et/ou des logiciels espions. « Elles demandent aussi une énorme quantité d’autorisations dangereuses, mettant potentiellement en danger les données privées des utilisateurs », tout en ayant « la possibilité de faire des appels, de prendre des photos et d’enregistrer des vidéos, et d’enregistrer du son », expliquent les chercheurs en cybersécurité de VPN Pro, à l’origine de cette découverte. Alerté par VPN Pro, Google a pris les mesures nécessaires et a immédiatement banni toutes ces applications de son store d’application. Toutefois, si vous les aviez téléchargées précédemment, celles-ci sont, logiquement, toujours sur votre smartphone. Ni une ni deux, on vous conseille bien évidemment de les désinstaller aussi vite que possible si elles se trouvent sur votre smartphone. Les voici : Sound Recorder, Super Cleaner, Virus Cleaner 2019, File Manager, Joy Launcher, Turbo Browser, Weather Forecast, Candy Selfie Camera, Hi VPN, Free VPN, Candy Gallery, Calendar Lite, Super Battery, Hi Security 2019, Net Master, Puzzle Box, Private Browser, Hi VPN Pro, World Zoo Word Crossy!, Soccer Pinball, Dig it, Laser Break, Music Roam, Word Crush. Comme le note VPN Pro, ces applications peuvent aussi bien collecter des données et les envoyer vers un serveur en Chine, qu’abonner les utilisateurs à des numéros surtaxés. Surtout, elles bafouent clairement la confidentialité de leurs utilisateurs. Toutes ces applications seraient liées à Shenzhen HAWK Internet Co, une société basée en Chine, et qui appartiendrait à TCL. Certaines d’entre elles auraient même été installées par défaut sur des smartphones de la marque Alcatel



Avast ferme sa filiale pas très honnête !

  Liste des news    Liste des new du mois  
Avast Securite ferme sa filiale jumpshot

03

Fevrier

Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot. Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast. Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast. Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données. Lors de l'installation de l'antivirus, les utilisateurs qui cochaient l' option, acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques. Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven. En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les options avant de les avoir lus ! A présent il est temps pour Avast de ce racheté une nouvelle image surtout pour des logiciel de sécurité qui doivent à l'origine protégé la vie privé.



Avast et AVG vendent vos données

  Liste des news    Liste des new du mois  
avast spyware jumpshot

29

Janvier

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité. Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google. La solution antivirus gratuite surveille toute votre activité sur internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».



Avast collecte vos informations de navigations

  Liste des news    Liste des new du mois  
Logo antivirus Avast

28

Janvier

Un antivirus gratuit qui collecte les données de ses utilisateurs pour les revendre ? Mégasurprise ! Comme c’était déjà le cas en décembre, Avast est une nouvelle fois accusé d’espionner les personnes qui ont installé son extension dans leur navigateur. Dans une enquête menée conjointement, Vice et PC Mag expliquent les détails de cette collecte. Grâce à cette extension, Avast peut absolument tout savoir de la navigation de ses 435 millions d’utilisateurs : leurs recherches Google, leur géolocalisation, les vidéos YouTube visionnées, mais aussi le détail de leurs visites sur des sites pornographiques (recherches effectuées, vidéos vues, etc.). Ces données de navigation sont compilées et revendues par Jumpshot, une filiale d’Avast. Google, Microsoft, TripAdvisor, Yelp ou encore Pepsi font partie des clients de la société. Ces montagnes de données leur permettent d’analyser les comportements des internautes et de perfectionner ainsi leurs produits. On peut, par exemple, prendre connaissance du produit recherché par une personne sur Google et son processus d’achat. Est-elle allée directement sur Amazon ? A-t-elle consulté d’autres sites d’e-commerce ? A-t-elle acheté le produit tout de suite ou remis son achat à plus tard ? Pour sa défense, comme en décembre dernier, Avast explique que les données transmises à ses clients sont toutes anonymisées. Impossible pour eux de les relier à un nom, une adresse e-mail ou un numéro de téléphone. Malgré tout, des doutes persistent quant à cette anonymisation des données. Comme l’explique à Vice Eric Goldman, professeur à l’université de Santa Clara : « Il est presque impossible d’anonymiser des données. Quand ils promettent de le faire, je ne les crois pas du tout ». Enfin, les utilisateurs de la version gratuite peuvent depuis l’été dernier refuser de transmettre leurs données en ne cochant pas la case idoine lors de l’installation du logiciel. Suffisant pour convaincre les clients d'Avast d’utiliser sa solution ?



Grosse fuite de données chez Microsoft suite à une M.àj. de serveurs

  Liste des news    Liste des new du mois  
logo microsoft ege allemand

24

Janvier

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche. Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder. Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019. Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente. Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles », sans plus de précision. Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft. Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.



Une faille dans la messagerie instantanée Signal

  Liste des news    Liste des new du mois  
Faille de localisation dans Messange

22

Mai

Alerté, Signal a été prompt à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger la nouvelle version de l’application sans plus attendre sur le Google Play Store et l’App Store. Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation. Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres). L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Mais Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte. D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.



Le Thunderbolt est vulnérable

  Liste des news    Liste des new du mois  
thunderbolt 3

12

Mai

Le port est issu dconnexion infor’une collaboration entre Intel et Apple>. C’est un format de matique à très haut débit. Les MacBook Pro commercialisés en 2011 étaient les premiers ordinateurs à bénéficier de ce port. Depuis, tous les MacBook (Air et Pro) ainsi que les iMac en sont munis. Apple, bien qu’il l’utilise davantage, n’est cependant pas le seul fabricant informatique à avoir recours à ce format de connexion. Björn Ruytenberg de l’université de la technologie d’Eindhoven aux Pays-Bas a découvert cette faille très sérieuse. La rapidité du port Thunderbolt est en fait sa vulnérabilité. Il est tellement rapide qu’il laisse un accès partiel direct à la mémoire de l’ordinateur. Et, tout accès à la mémoire représente une éventuelle vulnérabilité informatiquv. Afin de l’exploiter et de le démontrer, Björn Ruytenberg a donc mis au point une méthode appelée « Thunderspy ». Celle-ci permet de contourner l’écran de connexion de n’importe quel PC même s’il est verrouillé et que les données sont chiffrées. Thunderspy rend la machine totalement vulnérable au piratage des données. De plus, il suffit que l’attaquant ait un accès physique à l’ordinateur, un tournevis et du ». La faille utilise une fonctionnalité intégrée au firmware de Thunderbolt qui est le niveau de sécurité. Celle-ci permet d’interdim>« mre l’accès aux périphériques non approuvés et même de désactiver le port Thunderbolt si besoin. La méthode du chercheur néerlandais modifie en fait le firmware afin d’autoriser l’accès au port à n’importe quel appareil. Ce qui rend la vulnérabilité encore plus dangereuse est que le système d’exploitation ne se rend même pas compte de l’attaque. Björn Ruytenberg utilise un programmateur SPI (Serial Peripheral Interface) avec un clip SOP8 pour se connecter à l’ordinateur, en dévissant au préalable le panneau arrière. Il lui suffit ensuite d’exécuter le script pour modifier le firmware.



Un faille dans tous les Smartphones Samsung

  Liste des news    Liste des new du mois  
Smartphone Samsung vulnerable format Qimages

11

Mai

Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur. Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes). Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS. Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée. Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.



14 Failles Apple trouvées par Google Projet Zero

  Liste des news    Liste des new du mois  
Faille Apple Mail iOS 684x513

29

Avril

14 failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables. Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR. Cette moisson est d’autant plus remarquable que les vulnérabilités qui ont toutes été corrigées depuis avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.



Failles Zero-Day sur iOS

  Liste des news    Liste des new du mois  
Failles Zero Day Apple iOS Mail

23

Avril

Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite. Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail ou voir ce connecter directement en webmail.



Des comptes Nintendo piratés

  Liste des news    Liste des new du mois  
Piratage compte Nintendo

21

Avril

Au cours du mois dernier, les utilisateurs de Nintendo étaient nombreux à signaler le piratage de leurs comptes, et certains ont déclaré avoir perdu de l'argent à la suite de cette intrusion. Les détournements de comptes semblent avoir commencé à la mi-mars et ont atteint un pic le week-end dernier, lorsque de plus en plus d'utilisateurs ont commencé à recevoir des alertes par e-mail indiquant que des adresses IP inconnues avaient été vues en train d'accéder à leurs profils Nintendo. La manière dont les comptes sont piratés est actuellement inconnue. Il n'est pas clair si les pirates utilisent des mots de passe divulgués lors de fuites de données sur d'autres sites pour accéder également aux comptes Nintendo. Certains utilisateurs ont déclaré avoir utilisé des mots de passe complexes générés par un gestionnaire de mots de passe, des mots de passe qui étaient uniques et qui n'étaient utilisés nulle part ailleurs. Nintendo n'a pas encore publié de déclaration officielle concernant ces attaques ; cependant, la société a conseillé aux utilisateurs, au début du mois, sur Twitter et Reddit, d'activer la vérification à deux facteurs (A2F) pour leurs comptes, suggérant que cela pourrait empêcher les intrusions. Un grand nombre de ceux qui ont signalé un accès non autorisé à leur compte Nintendo ont également déclaré avoir perdu de l'argent. Dans certains cas, les pirates ont acheté d'autres jeux Nintendo, mais dans de nombreux cas, les victimes ont déclaré que les pirates avaient acheté de la monnaie sur Fortnite via une carte ou un compte PayPal lié au profil principal de Nintendo. On attend la réponse de Nintendo, si une enquête est en cours et voir comment elle vas dédommager les victimes du piratage.



Zoom sécurité et confidentialité toujours en doute

  Liste des news    Liste des new du mois  
App Zoom

09

Avril

L'application Zoom est l'une des plus populaires du moment et permet à de nombreuses équipes autour du globe de continuer à travailler et à échanger depuis leurs domiciles respectifs. L'action Zoom malmenée depuis les révélations sur son manque de sécurité. Seulement cette mise en lumière soudaine a révélé les nombreuses failles de sécurité du service de visioconférence. On peut citer pêle-mêle les données personnelles envoyées à Facebook dans le dos des utilisateurs ou encore le chiffrement des conversations qui n'est pas assuré de bout-en-bout malgré les affirmations de Zoom. C'en est trop pour Michael Drieu, l'un des actionnaires de l'entreprise qui vient de déposer une plainte en action collective devant le tribunal fédéral de San Francisco. L'investisseur explique que les fausses déclarations et les approximations de Zoom en matière de sécurité des données ont impacté le cours de bourse de l'entreprise. En effet, si l'action Zoom s'échangeait autour de 160 $ à la fin du mois de mars, son cours a chuté de plus de 28 % en ce début avril avec les premiers articles sur le manque de sécurité des appels passés avec le service. Zoom a pourtant tenté d'éteindre l'incendie et a multiplié les communiqués pour rassurer ses utilisateurs. Le 2 avril dernier, son PDG Eric Yuan avait annoncé un audit complet des pratiques de l'entreprise, un renforcement en matière de sécurité et plus de transparence. De bonnes intentions certes, mais apparemment pas suffisantes pour rassurer certaines entreprises et administrations qui interdisent à leurs employés d'utiliser Zoom pour leurs échanges. SpaceX et la NASA en font partie, et l'on apprend que Google a également interdit à ses équipes l'utilisation du logiciel en bloquant son accès sur leurs postes de travail et en les encourageant évidemment à utiliser Google Meet à la place.



Firefox corrige des failles en urgence

  Liste des news    Liste des new du mois  
Firefox

07

Avril

Parce qu'il n'y a pas que le pangolin qui nous pause problème mais également le panda roux !Un patch diffusé en urgence corrige deux failles de type « use after free ». Elles permettent de prendre le contrôle à distance d’un système. Mozilla vient de publier un patch en urgence pour Firefox. La version 74.0.1 colmate deux failles critiques dans le navigateur, permettant à des pirates de prendre le contrôle à distance d’un système. Or, c’est exactement ce qui est en train de se passer : ces deux failles sont actuellement utilisées dans des cyberattaques, sans qu'on ait pour l'instant plus de détails. Dans son alerte de sécurité, Mozilla donne quelques précisions sur les failles en question. Dans les deux cas, il s’agit d’un bug de type « use after free », qui peut être actionné dans certaines conditions temporelles (« race condition ») et qui permet d’accéder de façon non légitime à une zone mémoire qui a été libérée par une fonction. Et dans cette zone, les pirates peuvent probablement exécuter du code arbitraire, ce qui permet d’obtenir le contrôle de la machine.



AMD le code source Navi 10,21 et Arden dérobé

  Liste des news    Liste des new du mois  
radeon navi

27

Mars

AMD a demandé à GitHub le retrait des codes sources des puces graphiques Navi et Arden récemment dérobées par un hacker qui avait d’abord demandé une rançon de 100 millions de dollars pour éviter leur mise en ligne, mais que le fabricant a refusé de payer. Cette pratique se généralise, on l’a vu récemment avec le fournisseur de Tesla et SpaceX. L’histoire a débuté en novembre 2019 quand une pirate informatique a découvert dans un ordinateur compromis les codes sources des processeurs graphiques Navi 10, Navi 21 et Arden. Comme pour tenter de justifier son action, elle explique que « l’utilisateur n’avait pris aucune mesure pour empêcher la fuite des sources ». Pour rappel, Navi 10 est le processeur graphique qui équipe les cartes graphiques des séries Radeon RX 5500 et 5600. Navi 21 est celui que l’on trouve sur les Radeon RX 5900 dont les fonctions de raytracing seront intégrées à DirectX 12 Ultimate. Arden est le GPU d’architecture RDNA 2.0 que l’on retrouvera dans la Xbox Series X. Sans expliquer sa méthode de calcul, la pirate a estimé le contenu des fichiers collectés à 100 millions de dollars et a déjà promis que si elle ne trouvait pas d’acheteur, elle mettrait simplement l’ensemble des fichiers en ligne. Pour prouver qu’elle dispose effectivement des fichiers en question, elle a alors publié une petite partie des sources. Il semble que ce soit ce qui ait été découvert sur GitHub et dont AMD a demandé le retrait. Depuis, le constructeur a confirmé sur son site Internet qu’il avait été « contacté en décembre par un individu qui dispose de fichiers de tests sur une partie ses produits graphiques actuels et à venir et dont une fraction a été mise en ligne avant d’être retirée ». Toutefois, AMD pense que ces fichiers ne sont ni au cœur de sa compétitivité ni une menace pour la sécurité des produits concernés et s’est donc tourné vers les forces de l’ordre pour déclencher une enquête. Microsoft n’a pas encore commenté. Toutefois, comme nous vous l’annoncions hier, le géant américain envisage un report de la sortie de sa Xbox Series X, ce délai supplémentaire serait utile à une investigation sur les failles de sécurité potentielles que cette fuite pourrait engendrer et peut être bénéficier à long terme après la sortie de la console à un Hacking de masse.



Microsoft annonce une faille dans W7,W8 et Windows 10, pas de panique !

  Liste des news    Liste des new du mois  
Windows 10 faille police Adobe

24

Mars

Microsoft s’illustre à nouveau en annonçant une faille de sécurité majeure qui touche toutes les versions de son OS à partir de Windows 7 et de Windows Server 2008. Dans une alerte de sécurité publiée hier, l’éditeur reconnait qu’un nombre limité d’attaques ont récemment été menées en exploitant une vulnérabilité identifiée qui n’a pas encore été corrigée. La faille se situe dans la librairie dynamique Adobe Type Manager du fichier atmfd.dll, et permet au système d’exploitation d’afficher les polices de type PostScript Type 1. La bibliothèque expose votre machine à l’exécution de code malicieux à distance, notamment pour installer un cheval de Troie ou tout autre logiciel malveillant. Le bug peut être exploité grâce à une police faite sur mesure, et se déclenche à l’ouverture ou à la prévisualisation d’un document qui l’utilise. Les équipes de Microsoft travaillent actuellement à la correction de la nouvelle faille de sécurité. Il faudra néanmoins attendre jusqu’à la livraison du prochain patch de sécurité pour être à l’abri. Habituellement, la firme les déploie le deuxième mardi de chaque mois, il faudra donc patienter jusqu’au 14 avril. Bien que Windows 7 soit également vulnérable, rien n’indique que Microsoft fournira un correctif pour un OS qu’il ne supporte plus depuis le 14 janvier. Si c’est le cas et que vous utilisez toujours cette version, sachez qu’il existe une méthode de contournement pour installer les mises à jour de sécurité sur Windows 7.

1/ Désactiver le panneau d’aperçu et de détails dans Windows Explorer
2/ Désactiver le service WebClient
3/ Renommer la DLL atmfd.dll
Le détail de la procédure à suivre en fonction de votre système d’exploitation est disponible en ligne sur le site de Microsoft .



Intel une faille très critique dans les CPU

  Liste des news    Liste des new du mois  
cpu Intel faille CSME

09

Mars

Intel est coutumier des failles de sécurité de grande ampleur. La dernière en date est particulièrement problématique : il est impossible de la corriger. Les chercheurs de Positive Technologies ont découvert une vulnérabilité qui affecte tous les processeurs Intel de ces cinq dernières années, exception faite des puces de la 10e génération. Elle touche le CSME, le moteur de gestion et de sécurité convergent d’Intel sur lequel repose de nombreuses fonctions de sécurité. Le CSME est un des premiers programmes à se lancer au démarrage d’un PC. Il est responsable du chargement du BIOS UEFI, du contrôleur de gestion de l’alimentation, les DRM reposent aussi sur ce moteur. En mai dernier, Intel a livré un correctif, mais c’est insuffisant : d’après un chercheur, la faille de sécurité permet à un pirate de récupérer la clé cryptographique du PC, c’est à dire le sésame qui lui donne accès à la machine. Bien que la faille ne nécessite pas forcément un accès physique à la machine, il n’est pas si facile de l’exploiter. Rien d’impossible toutefois pour un pirate compétent et bien équipé. Le hic, c’est que le bug est présent sur la ROM d’amorçage du CSME : la fameuse clé peut être récupérée au moment du démarrage. Et Intel ne peut rien corriger à ce niveau. L’entreprise se veut rassurante, malgré les explications de Positive Technologies elle indique que l’exploitation de la faille exige un accès physique. Les chercheurs donnent quant à eux la recette pour éviter tout problème : changer de processeur



Une faille Wifi touche des millions d'appareils

  Liste des news    Liste des new du mois  
Faille puce Wi Fi Krook

27

Fevrier

Une importante faille baptisée « Krook » vient d’être dévoilée dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP, qui sont encore les plus couramment utilisés aujourd’hui. À l’occasion de la conférence RSA 2020, les chercheurs en sécurité d’Eset ont montré que les puces Wi-Fi de Broadcom et Cypress ne géraient pas bien la phase dite de « dissociation », lorsqu’un terminal se trouve soudainement déconnecté du réseau sans fil. Cette dissociation arrive par exemple lorsque l’utilisateur éteint le module Wi-Fi de son terminal ou lorsqu’il sort de la zone de couverture. Avant de clore la session de connexion, les puces Broadcom et Cypress vont vider leur tampon de mémoire qui contient encore un reste du flux de données. Mais en raison d’un bug dans la gestion des clés de chiffrement, ces données sont envoyées de manière non chiffrée. Résultat : un pirate aux alentours peut les intercepter de manière passive. Il peut même provoquer cette fuite de données autant de fois qu’il le souhaite, car il suffit pour cela d’envoyer une trame de dissociation vers le terminal ciblé. Ces trames de dissociation sont ni chiffrées ni authentifiées. N’importe qui peut donc les générer. D’après les chercheurs, cette faille affecte largement plus d’un milliard d’équipements. En effet, les puces épinglées sont contenues dans des smartphones d’Apple, de Google, de Samsung ou de Xiaomi (Merci les grande marque !). On les trouve aussi dans les liseuses d’Amazon, ainsi que dans des points d’accès d’Asus et Huawei. La bonne nouvelle, c’est que les fabricants de puces ont d’ores et déjà développé un patch. Celui-ci a été diffusé aux constructeurs au dernier trimestre 2019. Apple, par exemple, a mis à jour ses systèmes iOS, iPadOS et macOS fin octobre dernier.



Décathlon à l'origine de fuite de données personnelles

  Liste des news    Liste des new du mois  
DECATHLON fuite de donnees en Espagne

26

Fevrier

Décathlon est la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Les données personnelles des salariés de Décathlon Espagne en accès libre sur le web. C'est plus précisément la branche espagnole de la société qui vient de laisser fuiter pas moins de 9 Go de données, soit 123 millions d'enregistrements au total. Parmi les informations égarées sur le web, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. C'est une équipe du service vpnMentor qui a découvert cette base de données sur un serveur non-sécurisé. « La base de données de Décathlon Espagne, qui a fait l'objet d'une fuite, contient un véritable trésor de données à propos des employés et plus encore. Elle contient tout ce qu'un pirate informatique malveillant devrait, en théorie, utiliser pour s'emparer de comptes et accéder à des informations privées et même propriétaires », explique t-elle. L'entreprise a colmaté la brèche et explique qu'il n'y pas de risque pour ses clients. Des hackers en possession de tels renseignements pouvaient effectivement mener plusieurs actions, du phishing à l'espionnage industriel, grâce aux mots de passe administrateur retrouvés dans les différents fichiers disponibles. Décathlon a été prévenu le 16 février de la fuite de ces informations, quatre jours après la découverte de la base de données. L'entreprise a depuis fait le nécessaire pour retirer du web les données sensibles et se veut rassurante. « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne », explique un porte-parole de la filiale.



Faille de sécurité du Bluetooth Android

  Liste des news    Liste des new du mois  
android securite

10

Fevrier

La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants. Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion. Google a publié un correctif dans sa mise à jour de sécurité de février. Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne, il est donc primordial de télécharger le patch au plus vite. Si la mise à jour n’est pas encore disponible sur votre smartphone, il est fortement conseillé de prendre des précautions quant à l’utilisation de votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.



Encore des Malware sur le Play Store

  Liste des news    Liste des new du mois  
Google Play Store

07

Fevrier

Des chercheurs en cybersécurité viennent de révéler que 24 applications distribuées sur le Play Store contiendraient divers malwares. Si Google les a d’ores et déjà supprimés de son Store, celles-ci peuvent encore se trouver sur votre smartphone. Ces apps, qui cumulent 382 millions de téléchargements, contiendraient des malwares publicitaires et/ou des logiciels espions. « Elles demandent aussi une énorme quantité d’autorisations dangereuses, mettant potentiellement en danger les données privées des utilisateurs », tout en ayant « la possibilité de faire des appels, de prendre des photos et d’enregistrer des vidéos, et d’enregistrer du son », expliquent les chercheurs en cybersécurité de VPN Pro, à l’origine de cette découverte. Alerté par VPN Pro, Google a pris les mesures nécessaires et a immédiatement banni toutes ces applications de son store d’application. Toutefois, si vous les aviez téléchargées précédemment, celles-ci sont, logiquement, toujours sur votre smartphone. Ni une ni deux, on vous conseille bien évidemment de les désinstaller aussi vite que possible si elles se trouvent sur votre smartphone. Les voici : Sound Recorder, Super Cleaner, Virus Cleaner 2019, File Manager, Joy Launcher, Turbo Browser, Weather Forecast, Candy Selfie Camera, Hi VPN, Free VPN, Candy Gallery, Calendar Lite, Super Battery, Hi Security 2019, Net Master, Puzzle Box, Private Browser, Hi VPN Pro, World Zoo Word Crossy!, Soccer Pinball, Dig it, Laser Break, Music Roam, Word Crush. Comme le note VPN Pro, ces applications peuvent aussi bien collecter des données et les envoyer vers un serveur en Chine, qu’abonner les utilisateurs à des numéros surtaxés. Surtout, elles bafouent clairement la confidentialité de leurs utilisateurs. Toutes ces applications seraient liées à Shenzhen HAWK Internet Co, une société basée en Chine, et qui appartiendrait à TCL. Certaines d’entre elles auraient même été installées par défaut sur des smartphones de la marque Alcatel



Avast ferme sa filiale pas très honnête !

  Liste des news    Liste des new du mois  
Avast Securite ferme sa filiale jumpshot

03

Fevrier

Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot. Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast. Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast. Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données. Lors de l'installation de l'antivirus, les utilisateurs qui cochaient l' option, acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques. Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven. En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les options avant de les avoir lus ! A présent il est temps pour Avast de ce racheté une nouvelle image surtout pour des logiciel de sécurité qui doivent à l'origine protégé la vie privé.



Avast et AVG vendent vos données

  Liste des news    Liste des new du mois  
avast spyware jumpshot

29

Janvier

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité. Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google. La solution antivirus gratuite surveille toute votre activité sur internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».



Avast collecte vos informations de navigations

  Liste des news    Liste des new du mois  
Logo antivirus Avast

28

Janvier

Un antivirus gratuit qui collecte les données de ses utilisateurs pour les revendre ? Mégasurprise ! Comme c’était déjà le cas en décembre, Avast est une nouvelle fois accusé d’espionner les personnes qui ont installé son extension dans leur navigateur. Dans une enquête menée conjointement, Vice et PC Mag expliquent les détails de cette collecte. Grâce à cette extension, Avast peut absolument tout savoir de la navigation de ses 435 millions d’utilisateurs : leurs recherches Google, leur géolocalisation, les vidéos YouTube visionnées, mais aussi le détail de leurs visites sur des sites pornographiques (recherches effectuées, vidéos vues, etc.). Ces données de navigation sont compilées et revendues par Jumpshot, une filiale d’Avast. Google, Microsoft, TripAdvisor, Yelp ou encore Pepsi font partie des clients de la société. Ces montagnes de données leur permettent d’analyser les comportements des internautes et de perfectionner ainsi leurs produits. On peut, par exemple, prendre connaissance du produit recherché par une personne sur Google et son processus d’achat. Est-elle allée directement sur Amazon ? A-t-elle consulté d’autres sites d’e-commerce ? A-t-elle acheté le produit tout de suite ou remis son achat à plus tard ? Pour sa défense, comme en décembre dernier, Avast explique que les données transmises à ses clients sont toutes anonymisées. Impossible pour eux de les relier à un nom, une adresse e-mail ou un numéro de téléphone. Malgré tout, des doutes persistent quant à cette anonymisation des données. Comme l’explique à Vice Eric Goldman, professeur à l’université de Santa Clara : « Il est presque impossible d’anonymiser des données. Quand ils promettent de le faire, je ne les crois pas du tout ». Enfin, les utilisateurs de la version gratuite peuvent depuis l’été dernier refuser de transmettre leurs données en ne cochant pas la case idoine lors de l’installation du logiciel. Suffisant pour convaincre les clients d'Avast d’utiliser sa solution ?



Grosse fuite de données chez Microsoft suite à une M.àj. de serveurs

  Liste des news    Liste des new du mois  
logo microsoft ege allemand

24

Janvier

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche. Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder. Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019. Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente. Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles », sans plus de précision. Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft. Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.


Une faille dans la messagerie instantanée Signal

Alerté, Signal a été prompt à déployer une mise à jour. L’entreprise recommande à tous ses utilisateurs de télécharger la nouvelle version de l’application sans plus attendre sur le Google Play Store et l’App Store. Tenable a mis le doigt sur une faille permettant à des pirates d’accéder à la localisation des utilisateurs de Signal, ou du moins à leurs schémas de déplacement. Par quel prodige ? En passant un simple appel via l’application. Que l’appel soit accepté ou non par l’utilisateur, le pirate serait ainsi en mesure d’accéder à de précieuses données de localisation. Plus précisément, la faille utilise le code WebRTC qui s’occupe des requêtes DNS sur l’appareil des utilisateurs. Grâce à elle, les pirates peuvent récupérer des données du DNS d’un utilisateur, et obtenir des informations sur sa position dans un rayon de 400 miles (645 kilomètres). L’utilisateur lambda de Signal n’a sans doute pas grand-chose à craindre de cette faille. Mais Signal ayant la réputation d’être une application extrêmement sécurisée et, surtout, particulièrement robuste en matière de protection des données, elle a la préférence de personnalités issues du monde de l’espionnage, du journalisme et, bien entendu, des lanceurs d’alerte. D’ailleurs, l’application a très largement été popularisée par un certain Edward Snowden qui, après avoir révélé au grand jour la surveillance de masse des agences gouvernementales américaines, recommandait d’utiliser Signal pour ses échanges.
22-05-2020


Le Thunderbolt est vulnérable

Le port est issu dconnexion infor’une collaboration entre Intel et Apple>. C’est un format de matique à très haut débit. Les MacBook Pro commercialisés en 2011 étaient les premiers ordinateurs à bénéficier de ce port. Depuis, tous les MacBook (Air et Pro) ainsi que les iMac en sont munis. Apple, bien qu’il l’utilise davantage, n’est cependant pas le seul fabricant informatique à avoir recours à ce format de connexion. Björn Ruytenberg de l’université de la technologie d’Eindhoven aux Pays-Bas a découvert cette faille très sérieuse. La rapidité du port Thunderbolt est en fait sa vulnérabilité. Il est tellement rapide qu’il laisse un accès partiel direct à la mémoire de l’ordinateur. Et, tout accès à la mémoire représente une éventuelle vulnérabilité informatiquv. Afin de l’exploiter et de le démontrer, Björn Ruytenberg a donc mis au point une méthode appelée « Thunderspy ». Celle-ci permet de contourner l’écran de connexion de n’importe quel PC même s’il est verrouillé et que les données sont chiffrées. Thunderspy rend la machine totalement vulnérable au piratage des données. De plus, il suffit que l’attaquant ait un accès physique à l’ordinateur, un tournevis et du ». La faille utilise une fonctionnalité intégrée au firmware de Thunderbolt qui est le niveau de sécurité. Celle-ci permet d’interdim>« mre l’accès aux périphériques non approuvés et même de désactiver le port Thunderbolt si besoin. La méthode du chercheur néerlandais modifie en fait le firmware afin d’autoriser l’accès au port à n’importe quel appareil. Ce qui rend la vulnérabilité encore plus dangereuse est que le système d’exploitation ne se rend même pas compte de l’attaque. Björn Ruytenberg utilise un programmateur SPI (Serial Peripheral Interface) avec un clip SOP8 pour se connecter à l’ordinateur, en dévissant au préalable le panneau arrière. Il lui suffit ensuite d’exécuter le script pour modifier le firmware.
12-05-2020


Un faille dans tous les Smartphones Samsung

Depuis la fin de l’année 2014, tous les smartphones de Samsung prennent en charge le format Qmage (.qmg). Petit problème, ce format présente une vulnérabilité critique détectée par Mateusz Jurczyk, un chercheur en sécurité membre de l’équipe Project Zero de Google. Bien exploitée, un pirate est en mesure d’installer un malware sur un appareil de la marque sans attirer l’attention de l’utilisateur. Le mode opératoire de cette faille consiste à contourner les protections ASLR (Address Space Layout Randomization) qui servent de rempart à la bibliothèque Skia d’Android. Le système d’exploitation dirige toutes les images envoyées à un smartphone vers cette bibliothèque, qui est chargée de leur traitement (par exemple pour créer des vignettes). Le chercheur a envoyé sur le smartphone cible un MMS contenant un malware embarqué dans une image Qmage. L’attaque n’est pas immédiate : il faut entre 50 à 300 messages pour qu’elle soit effective (il faut cent minutes en moyenne pour « craquer » l’ASLR). Pour ne pas éveiller les soupçons de sa victime, le pirate peut s’arranger pour qu’aucun bruit ne soit émis lors de la réception du MMS. Puisque la bibliothèque Skia lance ses traitements sans que l’utilisateur ne le sache, le malware une fois dans la place peut s’installer sans que ce dernier en ait conscience (on parle alors de faille « zéro clic »). Les tentatives du chercheur ont été réalisées avec l’application Samsung Messages, mais n’importe quelle app qui utilise Skia peut potentiellement être visée. Mateusz Jurczyk a rapporté la faille à Samsung en février, qui a pu la corriger via une mise à jour de sécurité.
11-05-2020


14 Failles Apple trouvées par Google Projet Zero

14 failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables. Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR. Cette moisson est d’autant plus remarquable que les vulnérabilités qui ont toutes été corrigées depuis avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.
29-04-2020


Failles Zero-Day sur iOS

Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite. Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail ou voir ce connecter directement en webmail.
23-04-2020


Des comptes Nintendo piratés

Au cours du mois dernier, les utilisateurs de Nintendo étaient nombreux à signaler le piratage de leurs comptes, et certains ont déclaré avoir perdu de l'argent à la suite de cette intrusion. Les détournements de comptes semblent avoir commencé à la mi-mars et ont atteint un pic le week-end dernier, lorsque de plus en plus d'utilisateurs ont commencé à recevoir des alertes par e-mail indiquant que des adresses IP inconnues avaient été vues en train d'accéder à leurs profils Nintendo. La manière dont les comptes sont piratés est actuellement inconnue. Il n'est pas clair si les pirates utilisent des mots de passe divulgués lors de fuites de données sur d'autres sites pour accéder également aux comptes Nintendo. Certains utilisateurs ont déclaré avoir utilisé des mots de passe complexes générés par un gestionnaire de mots de passe, des mots de passe qui étaient uniques et qui n'étaient utilisés nulle part ailleurs. Nintendo n'a pas encore publié de déclaration officielle concernant ces attaques ; cependant, la société a conseillé aux utilisateurs, au début du mois, sur Twitter et Reddit, d'activer la vérification à deux facteurs (A2F) pour leurs comptes, suggérant que cela pourrait empêcher les intrusions. Un grand nombre de ceux qui ont signalé un accès non autorisé à leur compte Nintendo ont également déclaré avoir perdu de l'argent. Dans certains cas, les pirates ont acheté d'autres jeux Nintendo, mais dans de nombreux cas, les victimes ont déclaré que les pirates avaient acheté de la monnaie sur Fortnite via une carte ou un compte PayPal lié au profil principal de Nintendo. On attend la réponse de Nintendo, si une enquête est en cours et voir comment elle vas dédommager les victimes du piratage.
21-04-2020


Zoom sécurité et confidentialité toujours en doute

L'application Zoom est l'une des plus populaires du moment et permet à de nombreuses équipes autour du globe de continuer à travailler et à échanger depuis leurs domiciles respectifs. L'action Zoom malmenée depuis les révélations sur son manque de sécurité. Seulement cette mise en lumière soudaine a révélé les nombreuses failles de sécurité du service de visioconférence. On peut citer pêle-mêle les données personnelles envoyées à Facebook dans le dos des utilisateurs ou encore le chiffrement des conversations qui n'est pas assuré de bout-en-bout malgré les affirmations de Zoom. C'en est trop pour Michael Drieu, l'un des actionnaires de l'entreprise qui vient de déposer une plainte en action collective devant le tribunal fédéral de San Francisco. L'investisseur explique que les fausses déclarations et les approximations de Zoom en matière de sécurité des données ont impacté le cours de bourse de l'entreprise. En effet, si l'action Zoom s'échangeait autour de 160 $ à la fin du mois de mars, son cours a chuté de plus de 28 % en ce début avril avec les premiers articles sur le manque de sécurité des appels passés avec le service. Zoom a pourtant tenté d'éteindre l'incendie et a multiplié les communiqués pour rassurer ses utilisateurs. Le 2 avril dernier, son PDG Eric Yuan avait annoncé un audit complet des pratiques de l'entreprise, un renforcement en matière de sécurité et plus de transparence. De bonnes intentions certes, mais apparemment pas suffisantes pour rassurer certaines entreprises et administrations qui interdisent à leurs employés d'utiliser Zoom pour leurs échanges. SpaceX et la NASA en font partie, et l'on apprend que Google a également interdit à ses équipes l'utilisation du logiciel en bloquant son accès sur leurs postes de travail et en les encourageant évidemment à utiliser Google Meet à la place.
09-04-2020


Firefox corrige des failles en urgence

Parce qu'il n'y a pas que le pangolin qui nous pause problème mais également le panda roux !Un patch diffusé en urgence corrige deux failles de type « use after free ». Elles permettent de prendre le contrôle à distance d’un système. Mozilla vient de publier un patch en urgence pour Firefox. La version 74.0.1 colmate deux failles critiques dans le navigateur, permettant à des pirates de prendre le contrôle à distance d’un système. Or, c’est exactement ce qui est en train de se passer : ces deux failles sont actuellement utilisées dans des cyberattaques, sans qu'on ait pour l'instant plus de détails. Dans son alerte de sécurité, Mozilla donne quelques précisions sur les failles en question. Dans les deux cas, il s’agit d’un bug de type « use after free », qui peut être actionné dans certaines conditions temporelles (« race condition ») et qui permet d’accéder de façon non légitime à une zone mémoire qui a été libérée par une fonction. Et dans cette zone, les pirates peuvent probablement exécuter du code arbitraire, ce qui permet d’obtenir le contrôle de la machine.
07-04-2020


AMD le code source Navi 10,21 et Arden dérobé

AMD a demandé à GitHub le retrait des codes sources des puces graphiques Navi et Arden récemment dérobées par un hacker qui avait d’abord demandé une rançon de 100 millions de dollars pour éviter leur mise en ligne, mais que le fabricant a refusé de payer. Cette pratique se généralise, on l’a vu récemment avec le fournisseur de Tesla et SpaceX. L’histoire a débuté en novembre 2019 quand une pirate informatique a découvert dans un ordinateur compromis les codes sources des processeurs graphiques Navi 10, Navi 21 et Arden. Comme pour tenter de justifier son action, elle explique que « l’utilisateur n’avait pris aucune mesure pour empêcher la fuite des sources ». Pour rappel, Navi 10 est le processeur graphique qui équipe les cartes graphiques des séries Radeon RX 5500 et 5600. Navi 21 est celui que l’on trouve sur les Radeon RX 5900 dont les fonctions de raytracing seront intégrées à DirectX 12 Ultimate. Arden est le GPU d’architecture RDNA 2.0 que l’on retrouvera dans la Xbox Series X. Sans expliquer sa méthode de calcul, la pirate a estimé le contenu des fichiers collectés à 100 millions de dollars et a déjà promis que si elle ne trouvait pas d’acheteur, elle mettrait simplement l’ensemble des fichiers en ligne. Pour prouver qu’elle dispose effectivement des fichiers en question, elle a alors publié une petite partie des sources. Il semble que ce soit ce qui ait été découvert sur GitHub et dont AMD a demandé le retrait. Depuis, le constructeur a confirmé sur son site Internet qu’il avait été « contacté en décembre par un individu qui dispose de fichiers de tests sur une partie ses produits graphiques actuels et à venir et dont une fraction a été mise en ligne avant d’être retirée ». Toutefois, AMD pense que ces fichiers ne sont ni au cœur de sa compétitivité ni une menace pour la sécurité des produits concernés et s’est donc tourné vers les forces de l’ordre pour déclencher une enquête. Microsoft n’a pas encore commenté. Toutefois, comme nous vous l’annoncions hier, le géant américain envisage un report de la sortie de sa Xbox Series X, ce délai supplémentaire serait utile à une investigation sur les failles de sécurité potentielles que cette fuite pourrait engendrer et peut être bénéficier à long terme après la sortie de la console à un Hacking de masse.
27-03-2020


Microsoft annonce une faille dans W7,W8 et Windows 10, pas de panique !

Microsoft s’illustre à nouveau en annonçant une faille de sécurité majeure qui touche toutes les versions de son OS à partir de Windows 7 et de Windows Server 2008. Dans une alerte de sécurité publiée hier, l’éditeur reconnait qu’un nombre limité d’attaques ont récemment été menées en exploitant une vulnérabilité identifiée qui n’a pas encore été corrigée. La faille se situe dans la librairie dynamique Adobe Type Manager du fichier atmfd.dll, et permet au système d’exploitation d’afficher les polices de type PostScript Type 1. La bibliothèque expose votre machine à l’exécution de code malicieux à distance, notamment pour installer un cheval de Troie ou tout autre logiciel malveillant. Le bug peut être exploité grâce à une police faite sur mesure, et se déclenche à l’ouverture ou à la prévisualisation d’un document qui l’utilise. Les équipes de Microsoft travaillent actuellement à la correction de la nouvelle faille de sécurité. Il faudra néanmoins attendre jusqu’à la livraison du prochain patch de sécurité pour être à l’abri. Habituellement, la firme les déploie le deuxième mardi de chaque mois, il faudra donc patienter jusqu’au 14 avril. Bien que Windows 7 soit également vulnérable, rien n’indique que Microsoft fournira un correctif pour un OS qu’il ne supporte plus depuis le 14 janvier. Si c’est le cas et que vous utilisez toujours cette version, sachez qu’il existe une méthode de contournement pour installer les mises à jour de sécurité sur Windows 7.

1/ Désactiver le panneau d’aperçu et de détails dans Windows Explorer
2/ Désactiver le service WebClient
3/ Renommer la DLL atmfd.dll
Le détail de la procédure à suivre en fonction de votre système d’exploitation est disponible en ligne sur le site de Microsoft .
24-03-2020


Intel une faille très critique dans les CPU

Intel est coutumier des failles de sécurité de grande ampleur. La dernière en date est particulièrement problématique : il est impossible de la corriger. Les chercheurs de Positive Technologies ont découvert une vulnérabilité qui affecte tous les processeurs Intel de ces cinq dernières années, exception faite des puces de la 10e génération. Elle touche le CSME, le moteur de gestion et de sécurité convergent d’Intel sur lequel repose de nombreuses fonctions de sécurité. Le CSME est un des premiers programmes à se lancer au démarrage d’un PC. Il est responsable du chargement du BIOS UEFI, du contrôleur de gestion de l’alimentation, les DRM reposent aussi sur ce moteur. En mai dernier, Intel a livré un correctif, mais c’est insuffisant : d’après un chercheur, la faille de sécurité permet à un pirate de récupérer la clé cryptographique du PC, c’est à dire le sésame qui lui donne accès à la machine. Bien que la faille ne nécessite pas forcément un accès physique à la machine, il n’est pas si facile de l’exploiter. Rien d’impossible toutefois pour un pirate compétent et bien équipé. Le hic, c’est que le bug est présent sur la ROM d’amorçage du CSME : la fameuse clé peut être récupérée au moment du démarrage. Et Intel ne peut rien corriger à ce niveau. L’entreprise se veut rassurante, malgré les explications de Positive Technologies elle indique que l’exploitation de la faille exige un accès physique. Les chercheurs donnent quant à eux la recette pour éviter tout problème : changer de processeur
09-03-2020


Une faille Wifi touche des millions d'appareils

Une importante faille baptisée « Krook » vient d’être dévoilée dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP, qui sont encore les plus couramment utilisés aujourd’hui. À l’occasion de la conférence RSA 2020, les chercheurs en sécurité d’Eset ont montré que les puces Wi-Fi de Broadcom et Cypress ne géraient pas bien la phase dite de « dissociation », lorsqu’un terminal se trouve soudainement déconnecté du réseau sans fil. Cette dissociation arrive par exemple lorsque l’utilisateur éteint le module Wi-Fi de son terminal ou lorsqu’il sort de la zone de couverture. Avant de clore la session de connexion, les puces Broadcom et Cypress vont vider leur tampon de mémoire qui contient encore un reste du flux de données. Mais en raison d’un bug dans la gestion des clés de chiffrement, ces données sont envoyées de manière non chiffrée. Résultat : un pirate aux alentours peut les intercepter de manière passive. Il peut même provoquer cette fuite de données autant de fois qu’il le souhaite, car il suffit pour cela d’envoyer une trame de dissociation vers le terminal ciblé. Ces trames de dissociation sont ni chiffrées ni authentifiées. N’importe qui peut donc les générer. D’après les chercheurs, cette faille affecte largement plus d’un milliard d’équipements. En effet, les puces épinglées sont contenues dans des smartphones d’Apple, de Google, de Samsung ou de Xiaomi (Merci les grande marque !). On les trouve aussi dans les liseuses d’Amazon, ainsi que dans des points d’accès d’Asus et Huawei. La bonne nouvelle, c’est que les fabricants de puces ont d’ores et déjà développé un patch. Celui-ci a été diffusé aux constructeurs au dernier trimestre 2019. Apple, par exemple, a mis à jour ses systèmes iOS, iPadOS et macOS fin octobre dernier.
27-02-2020


Décathlon à l'origine de fuite de données personnelles

Décathlon est la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Les données personnelles des salariés de Décathlon Espagne en accès libre sur le web. C'est plus précisément la branche espagnole de la société qui vient de laisser fuiter pas moins de 9 Go de données, soit 123 millions d'enregistrements au total. Parmi les informations égarées sur le web, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. C'est une équipe du service vpnMentor qui a découvert cette base de données sur un serveur non-sécurisé. « La base de données de Décathlon Espagne, qui a fait l'objet d'une fuite, contient un véritable trésor de données à propos des employés et plus encore. Elle contient tout ce qu'un pirate informatique malveillant devrait, en théorie, utiliser pour s'emparer de comptes et accéder à des informations privées et même propriétaires », explique t-elle. L'entreprise a colmaté la brèche et explique qu'il n'y pas de risque pour ses clients. Des hackers en possession de tels renseignements pouvaient effectivement mener plusieurs actions, du phishing à l'espionnage industriel, grâce aux mots de passe administrateur retrouvés dans les différents fichiers disponibles. Décathlon a été prévenu le 16 février de la fuite de ces informations, quatre jours après la découverte de la base de données. L'entreprise a depuis fait le nécessaire pour retirer du web les données sensibles et se veut rassurante. « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne », explique un porte-parole de la filiale.
26-02-2020


Faille de sécurité du Bluetooth Android

La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants. Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion. Google a publié un correctif dans sa mise à jour de sécurité de février. Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne, il est donc primordial de télécharger le patch au plus vite. Si la mise à jour n’est pas encore disponible sur votre smartphone, il est fortement conseillé de prendre des précautions quant à l’utilisation de votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.
10-02-2020


Encore des Malware sur le Play Store

Des chercheurs en cybersécurité viennent de révéler que 24 applications distribuées sur le Play Store contiendraient divers malwares. Si Google les a d’ores et déjà supprimés de son Store, celles-ci peuvent encore se trouver sur votre smartphone. Ces apps, qui cumulent 382 millions de téléchargements, contiendraient des malwares publicitaires et/ou des logiciels espions. « Elles demandent aussi une énorme quantité d’autorisations dangereuses, mettant potentiellement en danger les données privées des utilisateurs », tout en ayant « la possibilité de faire des appels, de prendre des photos et d’enregistrer des vidéos, et d’enregistrer du son », expliquent les chercheurs en cybersécurité de VPN Pro, à l’origine de cette découverte. Alerté par VPN Pro, Google a pris les mesures nécessaires et a immédiatement banni toutes ces applications de son store d’application. Toutefois, si vous les aviez téléchargées précédemment, celles-ci sont, logiquement, toujours sur votre smartphone. Ni une ni deux, on vous conseille bien évidemment de les désinstaller aussi vite que possible si elles se trouvent sur votre smartphone. Les voici : Sound Recorder, Super Cleaner, Virus Cleaner 2019, File Manager, Joy Launcher, Turbo Browser, Weather Forecast, Candy Selfie Camera, Hi VPN, Free VPN, Candy Gallery, Calendar Lite, Super Battery, Hi Security 2019, Net Master, Puzzle Box, Private Browser, Hi VPN Pro, World Zoo Word Crossy!, Soccer Pinball, Dig it, Laser Break, Music Roam, Word Crush. Comme le note VPN Pro, ces applications peuvent aussi bien collecter des données et les envoyer vers un serveur en Chine, qu’abonner les utilisateurs à des numéros surtaxés. Surtout, elles bafouent clairement la confidentialité de leurs utilisateurs. Toutes ces applications seraient liées à Shenzhen HAWK Internet Co, une société basée en Chine, et qui appartiendrait à TCL. Certaines d’entre elles auraient même été installées par défaut sur des smartphones de la marque Alcatel
07-02-2020


Avast ferme sa filiale pas très honnête !

Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot. Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast. Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast. Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données. Lors de l'installation de l'antivirus, les utilisateurs qui cochaient l' option, acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques. Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven. En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les options avant de les avoir lus ! A présent il est temps pour Avast de ce racheté une nouvelle image surtout pour des logiciel de sécurité qui doivent à l'origine protégé la vie privé.
03-02-2020


Avast et AVG vendent vos données

Mis à part dans le monde de l’open source, les logiciels et les services réellement gratuits se font de plus en plus rares. Si certains se contentent de nous rappeler très régulièrement qu’on doit se procurer une licence, d’autres usent de procédés plus ou moins sournois pour assurer leur rentabilité. Bien souvent, ce sont ainsi les utilisateurs qui deviennent le produit sans qu’ils s’en rendent vraiment compte. La méthode pose évidemment un problème de confiance, notamment lorsque le service ou le logiciel est censé nous protéger et assurer notre confidentialité. Déjà épinglés l’année dernière, Avast et sa filiale AVG sont à nouveau mis en cause dans une affaire de vente de données personnelles. Cette fois, c’est leur solution antivirus gratuite qu’on accuse de collecter et de partager des informations personnelles. PCMag et Motherboard ont mené une enquête conjointe qui révèle comment l’antivirus trahit ses utilisateurs en faveur de géants tels que Microsoft, Amazon ou Google. La solution antivirus gratuite surveille toute votre activité sur internet et la partage avec Jumpshot, sa filiale spécialisée dans le marketing en ligne. Elle collecte notamment l’historique de navigation et les données relatives aux achats en ligne. Les clients de Jumpshot peuvent ainsi connaitre précisément votre parcours et quel type de consommateur vous êtes. À la décharge d’Avast, le logiciel offre la possibilité d’accepter ou de refuser le partage de données. Il précise qu’elles « sont complètement anonymes et ne peuvent être utilisées pour vous identifier ou vous cibler ».
29-01-2020


Avast collecte vos informations de navigations

Un antivirus gratuit qui collecte les données de ses utilisateurs pour les revendre ? Mégasurprise ! Comme c’était déjà le cas en décembre, Avast est une nouvelle fois accusé d’espionner les personnes qui ont installé son extension dans leur navigateur. Dans une enquête menée conjointement, Vice et PC Mag expliquent les détails de cette collecte. Grâce à cette extension, Avast peut absolument tout savoir de la navigation de ses 435 millions d’utilisateurs : leurs recherches Google, leur géolocalisation, les vidéos YouTube visionnées, mais aussi le détail de leurs visites sur des sites pornographiques (recherches effectuées, vidéos vues, etc.). Ces données de navigation sont compilées et revendues par Jumpshot, une filiale d’Avast. Google, Microsoft, TripAdvisor, Yelp ou encore Pepsi font partie des clients de la société. Ces montagnes de données leur permettent d’analyser les comportements des internautes et de perfectionner ainsi leurs produits. On peut, par exemple, prendre connaissance du produit recherché par une personne sur Google et son processus d’achat. Est-elle allée directement sur Amazon ? A-t-elle consulté d’autres sites d’e-commerce ? A-t-elle acheté le produit tout de suite ou remis son achat à plus tard ? Pour sa défense, comme en décembre dernier, Avast explique que les données transmises à ses clients sont toutes anonymisées. Impossible pour eux de les relier à un nom, une adresse e-mail ou un numéro de téléphone. Malgré tout, des doutes persistent quant à cette anonymisation des données. Comme l’explique à Vice Eric Goldman, professeur à l’université de Santa Clara : « Il est presque impossible d’anonymiser des données. Quand ils promettent de le faire, je ne les crois pas du tout ». Enfin, les utilisateurs de la version gratuite peuvent depuis l’été dernier refuser de transmettre leurs données en ne cochant pas la case idoine lors de l’installation du logiciel. Suffisant pour convaincre les clients d'Avast d’utiliser sa solution ?
28-01-2020


Grosse fuite de données chez Microsoft suite à une M.àj. de serveurs

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche. Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder. Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019. Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente. Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles », sans plus de précision. Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft. Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.
24-01-2020