Bienvenu sur la Particule.com

Toute l'actualités des geeks

Projet et fonctionnement du site la Particule.com

Les infos Bloc-Note du site la Particule.com

Nos différents partenaires

Suivre nos sponsors
Logo la particule.com
  




L'actualité
SECURITE


Des failles Zero-day corrigés sur des serveurs Apaches

  Liste des news    Liste des new du mois  
apache web server logo

06

Octobre

Plus d'une centaine de milliers de serveurs Apache tournant sur la version 2.4.49 seraient vulnérables à l'attaque. Une zero-day activement exploitée Apache a déployé une mise à jour lundi afin de corriger une faille zero-day activement exploitée. Cette faille, traquée comme la CVE-2021-41773, a été introduite lors de la mise à jour 2.4.49 de l'Apache HTTP Server, sortie il y a moins d'un mois. Elle a été rapportée la semaine dernière par Ash Daulton et la cPanel Security Team. Cette faille permet à un attaquant d'accéder à des fichiers en-dehors du répertoire racine grâce à une attaque de type « path traversal ». Normalement, les requêtes pour accéder à des fichiers et dossiers en dehors du répertoire racine sont bloquées. Mais les chercheurs ont découvert qu'ils pouvaient contourner le blocage en utilisant des caractères codés dans les URL, par exemple « %2e » pour représenter un point. Grâce à cette technique, un attaquant pourrait accéder à des fichiers sensibles à utiliser dans des attaques supplémentaires. Pour qu'elle puisse fonctionner, il faut que le paramètre « require all denied » soit désactivé et que le serveur tourne avec la version 2.4.49, qui est la seule touchée. Apache a indiqué que cette vulnérabilité était utilisée dans des attaques, sans les décrire plus en avant ni préciser de quelle manière. Il est estimé que plus d'une centaine de milliers de serveurs Apache possèdent la version 2.4.49 de l'Apache HTTP Server et sont potentiellement vulnérables. Il est donc conseillé de faire la mise à jour le plus vite possible, d'autant plus que les preuves de concept se multiplient. Une deuxième vulnérabilité a été corrigée dans cette mise à jour. Il s'agit de la CVE-2021-41524, qui permet à un attaquant de réaliser une attaque de déni de service à distance sur un serveur à l'aide d'une requête spécialement créée. Aucune preuve de son utilisation n'a été trouvée.



Une faille Apple Pay et Visa !

  Liste des news    Liste des new du mois  
Apple Pay faille Visa

01

Octobre

Une vulnérabilité présente dans le service « Transport express » d'Apple Pay permettrait à des pirates de réaliser des paiements frauduleux sur un iPhone verrouillé. La faille n'est présente qu'en combinaison avec une carte Visa et peut permettre de réaliser des paiements sans limite de somme. En règle générale, un paiement réalisé à l'aide d'Apple Pay demande une confirmation, que ce soit à l'aide de Face ID , de Touch ID ou d'un code d'accès. Mais, pour faciliter le paiement dans les transports en commun, Apple a introduit la fonctionnalité « Transport express », qui permet de payer ses trajets sans avoir à déverrouiller son téléphone ou confirmer le paiement. Des chercheurs de deux universités anglaises, celle de Birmingham et celle de Surrey, se sont penchés sur la fonctionnalité et ont trouvé une faille lorsque la fonctionnalité était utilisée avec une carte Visa. Cette méthode « man-in-the-middle » fonctionne pour des paiements en dessous de la limite autorisée. Pour réaliser des paiements au-dessus, il faut modifier un paramètre supplémentaire pour faire croire au lecteur de carte EMV que l'utilisateur a validé la transaction. De cette manière, les chercheurs ont réussi à réaliser un paiement de 1 000 £ à partir d'un iPhone verrouillé. En attendant, les chercheurs conseillent de ne pas utiliser sa carte Visa en mode « Transport express ». La vulnérabilité semble difficile à exploiter à la volée, sur un iPhone dans un sac par exemple, à cause du matériel et des modifications nécessaires. Un utilisateur dont le téléphone est volé ou perdu pourrait en revanche être beaucoup plus vulnérable. Dans ce cas, les chercheurs conseillent d'activer immédiatement le mode Perdu et de contacter sa banque.



Une faille sur AMD

  Liste des news    Liste des new du mois  
Ryzen faille

22

Septembre

La faille a été détectée au sein du pilote de chipset « AMD Platform Security Processor » (PSP), propre à plusieurs architectures de processeurs de la marque. Classée comme modérée, elle permet néanmoins à des utilisateurs malveillants, n'étant pas administrateurs, d’accéder et de télécharger des données sensibles du système telles que les mots de passe par l’intermédiaire du pilote du chipset. Découverte au mois d’avril 2021 par Kyriakos Economou, chercheur en sécurité et co-fondateur de ZeroPeril, cette vulnérabilité avait alors uniquement été mise en évidence sur des systèmes exploitant des processeurs Ryzen séries 2000 et 3000. Après avoir pris contact avec AMD, l'audit s’est poursuivi afin d’établir une liste exhaustive. Dans son communiqué, AMD dresse la liste exhaustive des CPU et APU concernés. On y trouve, entre autres, les processeurs Ryzen Threadrippers (dont 2e et 3e générations, PRO), les Athlon X4 ou encore les Ryzen séries 1000, 2000, 3000, 4000 et 5000 avec CG Radeon. Pour corriger la faille, AMD détaille deux possibilités : mettre à jour le pilote AMD PSP via Windows Update (version 5.17.0.0), ou le faire manuellement (pilote AMD Chipset, version 3.08.17.735 ou plus récente). Dans le cas où votre processeur serait concerné mais que votre pilote PSP est antérieur à la version 5.17.0.0, il faudra procéder ainsi : Se rendre sur le site support d’AMD et sélectionner le modèle du chipset de votre carte mère; 1/ Télécharger le fichier .zip associé; Extraire le fichier d’installation puis le lancer. 2/ La détection du chipset démarre (cela peut prendre un certain temps…); 3/ Sélectionner le pilote PSP et valider l’installation; 4/ Autoriser le redémarrage pour finaliser l’installation.



Pegasus sur iOS c'est pas fini !

  Liste des news    Liste des new du mois  
pegasus logiciel espion

14

Septembre

Les chercheurs en sécurité de Citizen Lab continuent avec succès la traque de Pegasus, le fameux logiciel d’espionnage du groupe israélien NSO. En analysant l’iPhone d’un activiste saoudien, ils ont réussi à mettre la main sur un exemplaire de « ForcedEntry », une attaque zero-day et zero-click qui a été détectée fin août, et qui exploite des failles dans la messagerie iMessage. L’attaque en question date de mars 2021, mais ce n’est qu’à la suite d’une « reanalyse récente » que les experts ont pu extraire plusieurs dizaines de faux fichiers GIF dans un dossier dédié aux pièces jointes de la messagerie. Ces fichiers qui sont en réalité de type Adobe PSD ou Adobe PDF, contenaient le code malveillant de ForcedEntry. Cela été confirmé par Apple qui a également analysé les fichiers. L’entreprise précise que la vulnérabilité sous-jacente (CVE-2021-30860) permettait de forger un PDF vérolé qui, au moment du traitement sur l’iPhone, pouvait exécuter du code arbitraire sur l’appareil. L’attaque s’appuie notamment sur un dépassement de nombre entier dans la librairie de rendu graphique CoreGraphics. ForcedEntry fonctionnait non seulement sur tous les iPhones, mais aussi sur tous les Mac et toutes les Watch, d'Apple. Des correctifs ont été diffusés pour ces plates-formes, en l'occurrence iOS 14.8, macOS Big Sur 11.6, Security Update 2021-005 Catalina et watchOS 7.6.2. Il est conseillé de mettre à jour ses appareils le plus rapidement possible.



Une base de données de 35 Millions de français sur le Web

  Liste des news    Liste des new du mois  
base de donnees dark web

02

Septembre

Une base de données XXL (une de plus !) est en vente sur le dark web . Cette fois-ci, elle contient les données personnelles de 39 millions de Français et Françaises. Une nouvelle offre plutôt inquiétante est apparue sur le dark web. Le spécialiste en cybersécurité Damien Bancal a, pour Zataz, découvert une base de données contenant les données personnelles de 39 millions de Français et Françaises, de métropole et d'ailleurs. L'individu qui l'a mise en vente propose même un échantillon gratuit d'informations à toute personne qui démontre un intérêt pour le fichier. Il y a quelques jours, un pirate informatique a donc mis en ligne cette base de données sur le dark web, mais aussi sur certains forums directement accessibles depuis le Web. C'est en se faisant passer pour un acheteur que Damien Bancal a obtenu davantage de détails. Dès lors qu'on montre un intérêt à l'achat, le pirate qui commercialise la base de données vous appâte en vous offrant un petit échantillon de 100 000 exemples. Histoire qu'on ne doute pas de sa crédibilité. Et figurez-vous que le hors-d'œuvre contient divers types de données. Damien Bancal évoque ainsi des « noms, prénoms, adresses postales, téléphones, adresses électroniques ». Et après analyse, il s'est aperçu que les Français et Françaises rattachés à cette base de données proviennent d'un peu partout en France, des grandes villes (Paris, Marseille, Lyon) aux communes plus confidentielles (Ussel, Gerzat, Le Bourget), en passant par la Polynésie française. Il est aujourd'hui difficile de savoir d'où proviennent les données regroupées. « Il y a de fortes chances que ce commerçant pirate [ait] aggloméré plusieurs sources », indique Damien Bancal. Un détail plus particulier a retenu l'attention de l'expert cyber. Dans les données récupérées apparaît une colonne « Real Money » (argent réel), un terme que l'on retrouve généralement dans les domaines ou sur les sites de jeu en ligne et de crypto-monnaies . « Les données n'en restent pas moins étonnantes et inquiétantes », note le fondateur de Zataz. Il faut dire qu'avec une telle base de données entre les mains, tout acteur malintentionné pourrait lancer diverses campagnes malveillantes, en utilisant par exemple le phishing et ses variantes, pour tenter de piéger des utilisateurs ou utilisatrices pas assez méfiants, par le biais d'emails et de SMS plus ou moins crédibles et bien imités.



Une liste de terroristes fuite sur le web

  Liste des news    Liste des new du mois  
List web terrorismes

18

Aout

En juillet dernier, le chercheur en sécurité Bob Diachenko a détecté une base de données Elasticsearch particulièrement intéressante. Elle était totalement en accès libre et contenait les données de 1,9 million de terroristes présumés : nom, nationalité, sexe, date de naissance, numéro de passeport, indicateur no-fly, etc. D’après les termes utilisés dans la base, ces données provenaient visiblement du Terrorist Screening Center. Piloté par le FBI, cet organisme américain vise à identifier les terroristes présumés dans le monde entier. Elle maintient notamment une liste de personnes interdites de vol. Cette liste est secrète, mais elle est partagée avec certains pays étrangers. D’ailleurs, la base Elasticsearch se trouvait sur un serveur situé au Bahreïn, l’un des principaux hubs du Moyen-Orient. Le chercheur en sécurité a immédiatement alerté le Department of Homeland Security, mais qui a tardé à réagir. L’accès à la base n’a été supprimé qu’au bout de trois semaines. M. Diachenko ne sait pas si quelqu’un d’autre a pu accéder à cette base de données, mais c’est fort probable, car elle était indexée par les moteurs de recherche Censys et ZoomEye. Selon lui, cette fuite de données peut avoir d’importantes conséquences. Cette base « est composée de personnes soupçonnées de terrorisme, mais qui n’ont pas nécessairement été inculpées d’un crime. Entre de mauvaises mains, cette liste pourrait être utilisée pour opprimer, harceler ou persécuter les personnes figurant sur la liste et leurs familles. Cela pourrait causer de nombreux problèmes personnels et professionnels à des personnes innocentes dont les noms figurent sur la liste », explique-t-il.



Microsoft publie un correctif d'urgence pour colmater une faille

  Liste des news    Liste des new du mois  
Win10 KB5004945 620x330

08

Juillet

Microsoft publie en urgence une mise à jour de sécurité Windows 10, KB5004945. Elle est censée résoudre une vulnérabilité zero-day nommée « PrintNightmare ». La situation est jugée critique car cette faille est activement exploitée par les pirates. Les rapports indiquent que cette défaillance de Windows permet à une personne d’obtenir des privilèges locaux et d’exécution du code à distance. Pour tenter de résoudre la situation Microsoft vient de publier en dehors du traditionnel Patch Tuesday un correctif de sécurité. La mauvaise nouvelle est que cette faille PrintNightmare affecte toutes les versions de Windows 10. KB5004945 est proposé comme une mise à jour de sécurité obligatoire pour Windows 10 2004 ou plus récent. Elle est déployée au travers du service Windows Update qui se charge de la télécharger et de lancer son installation. Les PC sous Windows 10 v1909 sont de leur côté visés par la mise à jour KB5004946. Là aussi le correctif est obligatoire. Son téléchargement et son installation sont automatiques. Pour Windows 10 v1809 et Windows Server 2019, le colmatage de cette faille est assuré par le correctif KB5004947. On vous conseille d'urgence d'effectuer cette Mise à jour et pensez à enregistrer votre travail car un redémarrage de l’ordinateur est nécessaire pour que les changements prennent effet. Vous pouvez également récupérer ce correctif manuellement au travers du service en ligne Microsoft Update Catalog.



Des Apps Android qui récupére votre P.W. Facebook

  Liste des news    Liste des new du mois  
apps avec Malware

06

Juillet

Les analystes de chez Dr. Web ont mis en lumière une flopée d'applications malveillantes sur Google Play, dont l'objectif est de dérober les identifiants et les mots de passe Facebook des utilisateurs. Au total, ce sont 9 applications qui sont concernées, toutes disponibles via Google Play avant d'être retirées par Google. Méfiance donc si vous avez téléchargé Processing Photo, App Lock Keep, Rubbish Cleaner, Horoscope Daily, Horoscope Pi, App Lock Manager, Lockit Master, Inwell Fitness ou encore PIP Photo. Toutes ces applications sont bel et bien fonctionnelles, mais renferment un malware. Au lancement, l'utilisateur était en effet invité à se connecter avec son compte Facebook, et l'application en profitait évidemment pour subtiliser au passage les précieux identifiants et mots de passe. Prudence donc. Toutefois, les récentes audiences sur l'abus de position dominante de la firme de Mountain View et son PlayStore ont tôt fait de rappeler à des millions d'utilisateurs que d'autres solutions existent. Même si elles ne sont pas pour autant encouragées par Google, qui ne cesse de vanter la sécurité de son store d'applications.



Un hack étrange a effacé à distance les disques de nombreux WD My Book.

  Liste des news    Liste des new du mois  
Malware script efface les WD My Book

25

Juin

Un script de réinitialisation a, semble-t-il, été lancé à distance il y a deux jours. Les données stockées sont perdues à jamais. Un hack étrange a eu lieu déroulé le 23 juin dernier. Un grand nombre de WD My Book, des disques NAS destinés au stockage de données, ont été mystérieusement réinitialisés. Toutes les données stockées ont été effacées, provoquant le désarroi des utilisateurs. « Au secours, toutes mes données sont parties », « Je suis totalement foutu sans ces données », « C’est hyper flippant »… peut-on lire dans un fil de discussion du site de Western Digital qui compte déjà plus de 130 messages. Les logs des appareils montrent que cet effacement a été réalisé au travers d’un script shell baptisé « factoryRestore.sh ». Selon le fabricant, quelqu’un aurait piraté tous ces disques et provoqué volontairement cette réinitialisation. Les infrastructures de Western Digital, en revanche, ne seraient pas impliquées dans cette affaire. « Nous n’avons aucun indice de compromission ou de fuite de données au niveau de nos services cloud ou de nos systèmes », souligne Western Digital dans un communiqué. L’entreprise recommande à tous les utilisateurs de déconnecter leurs disques WD My Book de l’Internet.



50 vulnérabilités dans Windows

  Liste des news    Liste des new du mois  
Windows vulnerabilites

09

Juin

Dans son dernft 50 vulnérabilités, dont six failles zconsidérées comme critiques, et les autres sont classées comme importantes par Microsoft, mais l'une d'entere elles n'a pas été repérée comme ayant été utilisée dans des attatrong> pong>rudent d'appliquer les correctifs. Au contraire, deux autres sont actuellement utilisées par un nouveau groupe appelé PuzzleMaker. Découverts par Kapersky, ces hackers utilisent en premier lieu une faille zero-day présente dans V8, le moques. Il s'agit de la CVE-2021-31968, unier Patch Tuesday,Microsoft vulnérabilité de déni de service dans la fonctionnalité « Bureau à distance ». Elle remonte à Windows 7 et avait déjà été dévoilée publiquement sans être utilisée par la zero-day activement exploitées. Parmi les 50 vulnérabilités corrigées. Il reste toutefois plus JavaScript de Google Chrome , pour accéder au système. Par la suite, ils utilisent deux des failles corrigées ce mardi : la CVE-2021-31955, qui est une vulnérabilité de divulgation d'informations présente dans le noyau Windows, et la CVE-2021-31956, une vulnérabilité d'élévation de privilège dans Windows NTFS. Une autre d'entre ellesrabili, la CVE-2021-33742, concerne toutes les versions actuellement supportées de Windows. Elle est considérée comm critique et permet l'exécution de code à distance via la plateforme MSHTML. Cette plateforme avait été créée pour Internet Explorer, mais continue d'être utilisée aujourd'hui, notamment par le mode Internet Explorer dans Edge . Elle nécessite une interaction de l'utilisateur et peut donc être exploitée grâce à l'ouverture d'un fichier malveillant ou la visite d'une page web créée pour l'occasion. Les trois dernières sont des vulnérabilités d'élévation de privilège : deux qui concernent Microsoft Enhanced Cryptographic Provider et une dans la bibliothèque principale de Microsoft DWM. Comme d'habitude, le mot d'ordre est d'appliquer les correctifs au plus vite, surtout pour les failles activement exploitées.



8,4 millards de mot de passe dans le dark web

  Liste des news    Liste des new du mois  
Mot de passe

08

Juin

D’après nos confrères de Cyber News, un utilisateur d’un forum a posté un énorme fichier TXT de 100 Go. Celui-ci contiendrait près de 8,4 milliards d’entrées de mots de passe. Cyber News a découvert que le nombre exact de mots de passe contenu dans ce fichier était 8 459 060 239. RockYou2021 représente un énorme risque de sécurité pour les victimes incluses dans sa liste. RockYou2021 peut rapidement circuler sur Internet et sur le marché noir. Avec un tel fichier, les pirates pourraient commencer à voler vos informations personnelles. « En combinant 8,4 milliards de variations uniques de mots de passe avec d’autres compilations de brèches qui incluent des noms d’utilisateur et des adresses électroniques, les acteurs de la menace peuvent utiliser la collection RockYou2021 pour monter des attaques contre un nombre incalculable de comptes en ligne. », note Cyber News. Il existe deux façons de vérifier si vos données sont disponibles dans un fichier qui a été dévoilé sur Internet. Tous deux sont des outils Internet disponibles que vous pouvez remplir en quelques minutes. Tout d’abord, Cyber News a mis en place un outil de vérification en ligne des fuites de données personnelles. Celui-ci vous demande de fournir votre adresse électronique ou votre numéro de téléphone pour savoir si ces données sont disponibles sur le Web. Récemment, ce sont les données personnelles de plus de 500 millions d’utilisateurs de Facebook qui étaient accessibles en ligne. Dans le cas de RockYou2021, la base de données ne contient que des mots de passe. Cyber News dispose également d’un outil qui vous permettra de savoir si vos mots de passe sont concernés. Il est recommandé de vérifier si vos données ont fuité avec les deux outils ci-dessus. Après avoir cliqué sur « Check Now », le site vous dira si vos données ont été trouvées dans une des bases de données. Si le message est vert, tout va bien. Cependant, s’il est rouge, il vous faut rapidement changer le mot de passe concerné. Si vous ne savez pas si votre mot de passe est « fort ».



Six applications a suprimer d'urgence !

  Liste des news    Liste des new du mois  
Malware Android

07

Juin

Six nouvelles applications vérolées copiant des apps très populaires sont en circulation sur le Play Store de Google. Désinstallez-les ! La pandémie en cours aura définitivement accentué nos usages numériques, ce qui aura eu l’effet pervers d’attirer les escrocs à multiplier les arnaques diverses et variées, comme cette dernière visant l’enseigne E.Leclerc. Les malwares ont également le vent en poupe, se propageant sur nos différents appareils par des moyens fourbes, et notamment sur nos smartphones. C’est ainsi qu’il arrive parfois que des applications vérolées se frayent un chemin jusqu’au Play Store officiel de Google, comme nous alertent les chercheurs en cybersécurité de Bitdefender. Ils viennent en effet de découvrir qu’un malware était actuellement diffusé sur Android en se faisant passer pour des applications populaires. Derrière ces noms célèbres se cache pourtant un dangereux virus connu sous le nom de « TeaBot ». Il s’agit d’un cheval de Troie bancaire capable d’intercepter vos messages, permettant ainsi aux hackers de dérober vos codes d’authentification et de se frayer un chemin jusqu’à vos comptes sensibles. Ce malware a été spécifiquement développé pour s’arroger un accès à votre compte bancaire, et notamment venir à bout de l’authentification à deux facteurs utilisée par de nombreux organismes bancaires, c’est pourquoi la menace est sérieuse. Ces applications sont d’autant plus difficiles à débusquer qu’il s’agit de copies d’applications extrêmement populaires. « Elles n’ont aucune des fonctionnalités de la version originale. Elles demandent la permission d’accéder à d’autres applications, d’afficher des notifications et d’installer des applications en dehors du Play Store, après quoi elles cachent leur icône » expliquent les chercheurs de Bitdefender. Certaines cumulent déjà plus de 50 millions de téléchargements, c’est pourquoi vous feriez bien de faire un petit tour dans vos réglages pour vérifier qu’aucune d’entre elles ne s’y trouvent. Notez que, comme il s’agit de copies, vous devrez chercher les applications correspondant aux noms exacts que voici : Uplift: Health and Wellness App, BookReader, PlutoTV, Rocycnyru: THIS Bosbpat, Kaspersky: Free Antivirus, VLC MediaPlayer



Une Faille sur la Puce M1 impossible à corriger

  Liste des news    Liste des new du mois  
Faille de conception Puce M1

31

Mai

Hector Martin, développeur pour Asahi Linux, a découvert durant son travail une faille dans les puces M1 d'Apple. La mauvaise nouvelle, c'est que cette vulnérabilité ne peut être corrigée avec une mise à jour logicielle vu que la faille se situe au niveau des puces elles-mêmes. La bonne nouvelle, c'est qu'elle n'est pas si grave que ça. La faille matérielle, désignée sous le nom de « M1RACLES », pour M1ssing Register Access Controls Leak EL0 State, peut permettre à deux processus coopératifs de partager des informations entre eux à l'aide d'un canal de communication secret. Cette communication passe par deux bits qui peuvent être lus et écrits à EL0 (Exception Level 0, le niveau de privilège le plus bas, généralement accordé aux applications) sur tous les cœurs en simultané. L'échange d'informations se fait à un peu plus de 1 MB/s, ce qui reste relativement bas. Hector Martin ne considère cependant pas que cela représente un gros risque pour la sécurité des utilisateurs puisque d'autres moyens existent déjà pour que deux applications communiquent entre elles, la faille nécessitant d'autant plus une coopération entre les deux programmes. Mais si cette vulnérabilité n'est pas si grave que ça, il n'empêche qu'elle entre en violation des principes de sécurité des systèmes d'exploitation. « En gros, Apple a décidé d'enfreindre la spécification ARM en supprimant une fonctionnalité obligatoire, car ils (les développeurs) pensaient ne jamais avoir besoin d'utiliser cette fonctionnalité pour macOS. Et puis il s'est révélé que la supprimer a rendu beaucoup plus difficile pour les systèmes d'exploitation existants d'atténuer cette vulnérabilité », explique le développeur dans son article de blog. Cette faille concerne tous les utilisateurs des appareils Apple utilisant la puce M1, qu'ils soient sur Big Sur ou sur Linux version 5.13 ou plus. Mais ils ne sont pas les seuls puisqu'il a été confirmé que la puce A14, utilisée sur les iPad et iPhone , était également touchée par la même erreur de conception. Toutefois, le développeur se veut rassurant. La faille a été communiquée à Apple il y a plus de 90 jours et il est confiant sur le fait que la firme a mis des protections en place pour scanner les applications qui pourraient être tentées de l'exploiter.



La pomme est elle votre ami ou pas ?

  Liste des news    Liste des new du mois  
Verrou Apple

20

Mai

La sécurité est elle juste un argument commercial du marketing non vérifier chez Apple ? La marque à la pomme a transmis aux autorités fédérales américaines les données iCloud d’Alexandra Elbakyan, la fondatrice du réseau de partage d’articles scientifiques Sci-Hub accusée de violation de propriété intellectuelle. Alors que certains internautes s’inquiétaient récemment de voir le gouvernement chinois mettre la main sur les clés de cryptage iCloud d’Apple, la marque à la pomme vient de céder les données personnelles d’une utilisatrice au gouvernement américain. Dans un message posté sur son compte Twitter, l’activiste kazakhe Alexandra Elbakyan dévoile le contenu d’un mail envoyé par l’entreprise, lui indiquant que son compte iCloud a fait l’objet d’une saisie par le FBI. Fondatrice du réseau Sci-Hub, Alexandra Elbakyan est depuis un moment déjà dans le viseur des autorités. Son site de partage d’articles scientifiques permet en effet à de nombreux étudiants et professeurs de consulter gratuitement des publications scientifiques. Si l’intention est louable, il s’agit d’une copie illégale de propriété intellectuelle, la jeune femme n’ayant pas les droits nécessaires pour publier les articles en questions. Parmi les plus fervents détracteurs du cas Elbakyan, on retrouve la maison d’édition néerlandaise Elsevier. Très critiquées au sein même de la communauté scientifique, les pratiques commerciales du groupe sont accusées de priver d’informations une partie des universitaires du monde entier, alors que leur rôle de vérification scientifique est régulièrement mis en doute. Dans cette affaire, les regards se sont logiquement tournés vers Apple, accusé d’avoir cédé des données confidentielles au FBI alors même que l’entreprise américaine martèle faire du respect de la vie privée l’un de ses principaux combats. Pourtant ici, la Pomme n’a fait qu’obéir à la loi. Ainsi, les données présentes sur les serveurs du GAFAM peuvent être en partie déchiffrées, et livrées aux autorités si une procédure judiciaire l’exige.



Depuis les 15 mai, nouvelles normes de transactions

  Liste des news    Liste des new du mois  
Nouvelle Normes Paiment CB sur internet en France

17

Mai

Dans l'optique de faire de l'achat sur Internet une pratique plus sûre pour les consommateurs, il y a eu du changement dans le paiement en ligne. Depuis samedi, de nouvelles normes de sécurité sont entrées en vigueur. Elles sont à la fois destinées aux internautes, aux mobinautes, aux banques et aux e-commerçants. Le SMS envoyé pour confirmer tout paiement en ligne d'un certain montant ne suffira plus. Place désormais à l'authentification forte. Qu'est-ce que signifie « l'authentification forte », exigée pour les achats en ligne sans minimum de montant ? Pour que le consommateur puisse s'authentifier et valider son achat, il devra fournir deux des trois éléments suivants : une information qu'il est le seul à connaître, comme un mot de passe ou un code secret; l'utilisation d'un appareil qu'il détient : un ordinateur, un mobile, un boîtier éventuellement fourni par la banque, etc. une caractéristique personnelle propre, comme la reconnaissance faciale ou une empreinte digitale. Si l'un des deux éléments exigés vient à manquer ou à être erroné, alors le paiement n'est pas autorisé. La fédération française bancaire précise que les banques pourront proposer des alternatives aux Français qui ne disposent pas d'un smartphone. Par exemple, ils pourront utiliser un SMS à usage unique couplé à un mot de passe connu du client, outre la solution du boîtier physique directement fourni par l'établissement, dont nous parlions plus haut.



128 Millions d'iPhones infectés par XCodeGhost en 2015

  Liste des news    Liste des new du mois  
XcodeGhost

11

Mai

Des e-mails internes d’Applemontrent que ce malware a réussi à faire un grand nombre de victimes , dont une majorité en Chine. La bataille juridique entre Apple et Epic apporte, de manière inattendue, des détails sur un logiciel espion qui a infecté plus de 4000 applications iPhone en 2015, ce qui en fait l’une des plus grandes attaques sur les utilisateurs d’iPhone. Baptisé XCodeGhost, ce code malveillant s’était inséré dans des logiciels parfaitement légitimes grâce à une version vérolée de Xcode, l’environnement de développement d’Apple. Cela affectait principalement les développeurs en Chine, où le téléchargement de cette version compromise était beaucoup plus rapide que la version originale. Cet épisode de malveillance est évoqué dans des e-mails internes à Apple qui viennent d’être dévoilés à l’occasion du procès. On apprend ainsi que ce malware a infecté plus de 128 millions d’utilisateurs dans le monde, dont 18 millions aux États-Unis. La majorité des victimes (55 %) se trouvaient toutefois en Chine. Il faut dire que les pirates avaient réussi à compromettre des applications particulièrement populaires, comme WeChat, CamCard ou Angry Birds 2. XCodeGhost exfiltrait uniquement des données basiques sur le terminal et l’utilisateur, comme le nom et l’identifiant de l’appareil, le type de connexion réseau et le nom de l’application infectée. Ces chiffres n’avaient jamais été révélés auparavant. Les échanges internes montrent, par ailleurs, que la firme de Cupertino était assez désemparée face à cette attaque. En particulier, la notification des victimes posait un problème en raison du grand nombre de personnes, de pays et d’applications affectés. « Avec un lot de cette taille (128M), nous devrons probablement passer une semaine à envoyer ces messages. Donc après avoir localisé les e-mails (ce qui prendra plusieurs jours), nous aurons besoin d’au moins une semaine pour l’envoi », peut-on lire dans les messages.



40% des puces Qualcomm ont une faille

  Liste des news    Liste des new du mois  
failles 40p des puces Qualcomm

07

Mai

Une faille de sécurité affecte la puce Modem Station Mobile (MSM) de Qualcomm. Présente dans près de 40 % des téléphones elle est responsable de la communication cellulaire. Cette faille de sécurité a été découverte par le CPR contraction de Check Point Research. Elle permet à un pirate d’avoir un accès aux message SMS et à l’audio des conversations téléphoniques. Cela signifie qu’un hacker peut l’utiliser pour injecter du code malveillant dans le modem à partir du système d’exploitation Android. Il devient alors possible d’avoir un accès à l’historique des appels, aux SMS et à l’écoute des conversations téléphonique. La vulnérabilité peut également permettre de déverrouiller la carte SIM afin de contourner les limitations qui lui sont imposées par les fournisseurs de services. La puce MSM de Qualcomm est présente sur les téléphones haut de gamme des grands constructeurs. Nous pouvons citer Google, Samsung, LG, Xiaomi et One Plus. Heureusement Qualcomm a été rapidement informé ce qui a permis de corriger le problème. Le calendrier de cette affaire évoque une découverte en octobre 2020 et l’envoir d’un correctif aux marques de smartphones concernées à partir du mois décembre 2020. Pour revenir à cette nouvelle vulnérabilité, elle affecte la puce Modem Station Mobile (MSM) de Qualcomm dont le récent MSM 5G. La 5G est la prochaine norme technologique mobile qui succède à la 4G/LTE. Le nombre d’utilisateurs de smartphones dépasse aujourd’hui les 3 milliards dans le monde. Qualcomm est un grand nom du domaine grâce à une grande variété de puces. Elles sont présentes dans plus de 40 % des smartphones du marché. Nous les retrouvons en particulier sur le segment haut de gamme. Ce n’est pas la première fois qu’une défaillance de sécurité est découverte dans les solutions Qualcomm. Le CPR nous précise avoir trouvé plus de 400 vulnérabilités sur la puce Snapdragon DSP (Digital Signal Processor) de ce constructeur en août 2020. Check Point Research a publié un billet de blog pour sensibiliser aux risques associés à cette vulnérabilité. Toutefois, l’ensemble des détails techniques n’est pas proposé afin de laisser du temps aux fournisseurs de téléphones mobiles de trouver une solution globale pour atténuer les risques éventuels décrits. Qualcomm a confirmé ce problème et la classé comme une vulnérabilité critique disponible sous le nom CVE-2020-11292. Check Point Research recommande de tenir à jour son appareil mobile avec la dernière version du système d’exploitation afin de se protéger contre l’exploitation des vulnérabilités. En parallèle il faut installer des applications seulement a partie des boutiques officielles et sûre.



Apple corrige une faille dans ses systèmes

  Liste des news    Liste des new du mois  
Faille webkit iOS14.5 et MacOS 11.3

04

Mai

Alors que les mises à jour majeures d’iOS 14.5 et de macOS 11.3 sont fraîchement installées sur nos iPhone et Mac, Apple vient de mettre à disposition une nouvelle version de la plupart de ses systèmes d’exploitation qui corrige une importante faille de sécurité dans WebKit. A en croire la note de sécurité publiée par Apple, cette faille, qui concerne un problème de corruption mémoire et un dépassement d’entier dans WebKit, pouvait être exploitée grâce à du contenu Web malintentionné. Apple indique par ailleurs être au courant que cet exploit est utilisé activement, il est donc très fortement conseillé de mettre à jour votre système, qu’il s’agisse de macOS (désormais 11.3.1), d’iOS et d’iPadOS (désormais 14.5.1) ou encore de watchOS (désormais 7.4.1).



Encore un spectre qui rode !

  Liste des news    Liste des new du mois  
Faille type spectre

03

Mai

Une nouvelle faille de sécurité de type Spectre menace la sécurité de nos ordinateurs. Elle touche les processeurs AMD récents et ceux d'Intel de la dernière décennie. Un correctif engendrerait une diminution drastique des performances des CPU. En 2018, nous apprenions que des vulnérabilités touchaient de très nombreux modèles de processeurs équipant nos PC. Ces séries de failles sont connues sous les noms Spectre et Meltdown. Exploitées, elles peuvent permettre à des assaillants de voler les données d'un ordinateur et d'en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée. Des chercheurs de l’Université de Virginie et de l’Université de Californie à San Diego sont à l'origine de cette découverte, qui concerne une fois encore aussi bien les processeurs Intel que les CPU AMD. La faille de sécurité consiste en l'exploitation du cache micro-op. Ce dernier enregistre les instructions simples, permettant au processeur de les traiter des instructions simplement et rapidement lors du processus d'exécution, résultant en un gain de performances du CPU. Cette nouvelle vulnérabilité de type Spectre touche ainsi tous les processeurs ayant recours à un cache micro-op, c'est-à-dire les références Intel depuis 2011 et celles d'AMD depuis 2017. Les nombreux patchs de sécurité et correctifs qui ont été déployés suite aux révélations sur les premières failles Spectre sont inefficaces dans ce cas, car les premières vulnérabilités agissaient à un niveau tardif du processus d'exécution spéculative, alors que cette dernière agit plutôt à la source. Comme les autres failles Spectre, cette vulnérabilité exploite l'exécution spéculative, qui permet au processeur de préparer et d'accomplir des tâches qui n'ont pas encore été demandées pour qu'elles s'exécutent rapidement une fois qu'elles sont requises. La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions de manière à ouvrir un passage aux hackers vers le système et donc d'accéder à des données confidentielles. Les chercheurs estiment cependant que cette faille de sécurité est compliquée à exploiter, et que la corriger passerait nécessairement par une baisse sensible des performances des processeurs. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.



Facebook laisse fuité 533 Millions de numéros de téléphone

  Liste des news    Liste des new du mois  
Fuite Facebook

06

Avril

Au début du mois d’avril, une gigantesque base de données de plus de 533 millions de numéros de téléphone associés à des comptes Facebook a été rendue publique sur les réseaux sociaux. Parmi les utilisateurs concernés, on retrouve plus de 20 millions de Français. Samedi 3 avril dernier, Alon Gal, fondateur de l’entreprise de cybersécurité Hudson Rick a lancé l’alerte sur les réseaux sociaux, en révélant que plus de 530 millions de numéros de téléphone associés à des comptes Facebook étaient accessibles librement, et illégalement, en ligne. Certains comptes touchés par la fuite comprenaient aussi d’autres données, comme des adresses e-mails, ainsi que leur statut amoureux. Dans un communiqué envoyé au site américain Business Insider, Facebook a révélé que ces données étaient issues d’une ancienne fuite de données découverte et corrigée en 2019. Reste que le mal est fait : à l’heure actuelle, cette gigantesque base de données compte un peu moins de 20 millions de comptes français, disponibles à l’achat sur le dark-web. En janvier dernier, le site Vice avait déjà repéré un compte Telegram qui proposait de revendre les données associées à plusieurs centaines de millions de comptes Facebook. Malheureusement pour les internautes, il s’agit là d’une des plus grosses fuites jamais enregistrées par la plateforme. Concrètement, la fuite n’est donc pas nouvelle, mais est aujourd’hui accessible pour moins d’une centaine d’euros, ce qui la rend largement plus accessible aux pirates, même amateurs. Pour savoir si vous êtes concernés par cette fuite massive, il n’existe malheureusement pas de solution miracle. On vous déconseille de télécharger la base de données en question. Le plus simple reste donc de vous rendre sur la plateforme Have I been pwned, afin de vérifier que votre adresse mail n’a pas été compromise. L’outil ne vous permettra pas de savoir précisément d’où provient la fuite, mais aura le mérite de vous fixer sur la situation.



Les Smartphones Android et iOS sont quand même des mouchards

  Liste des news    Liste des new du mois  
Sequence Android et iOS

31

Mars

Un chercheur a analysé les transferts de données sur un Pixel 2 et un iPhone 8 sans connexion de compte utilisateur et en désactivant le partage de données. Surprise : il y a quand même beaucoup de données qui partent. Même en configuration minimale, les smartphones envoient en permanence des données à Google et Apple. C’est en effet ce qu’a constaté Douglas J. Leith, un chercheur au Trinity College de Londres. Il a pris un Pixel 2 sous Android 10 et un iPhone 8 sous iOS 13, pour l'un rooté pour l'autre jailbreaké, afin de pouvoir intercepter et déchiffrer les échanges de données avec les serveurs de Google et d’Apple. Les mesures ont été prises sans connexion d’un compte Google ou Apple et après refus de tout partage de données. Il s’avère que les deux terminaux envoient des données en moyenne tous les 4,5 minutes. Parmi les données qui sont transmises figurent l’IMEI, les numéros de série de l’appareil et de la carte SIM, le numéro de téléphone, des données télémétriques et des cookies. L’iPhone transmet, de surcroît, des données de localisation, l’adresse IP et les adresses MAC des appareils connectés au même réseau local. Concernant les données télémétriques, le chercheur constate que Google collecte en moyenne 20 fois plus de données que son concurrent Apple (1 Mo toutes les 12 heures sur le Pixel contre 52 ko sur l’iPhone). Le chercheur souligne qu’il est impossible pour l’utilisateur d’échapper à cette collecte de données. Contactés par Ars Technica, Google et Apple ont partiellement réfuté les conclusions de cette étude. Google estime que le chercheur a mal estimé le volume des données transmises et qu’elles ne sont pas 20 fois plus élevées sur le Pixel que sur l’iPhone. Par ailleurs, le géant du web précise que si les smartphones transmettent des données, c’est pour pouvoir assurer le bon fonctionnement des services, comme cela se fait pour les voitures.



Play store : même les VPN ne sont plus sur !

  Liste des news    Liste des new du mois  
VPN

05

Mars

Ce n’est plus vraiment un secret, entre les très nombreux cookies, trackers et autres outils de pistage qu’on trouve sur le web, protéger sa vie privée sur internet est devenu un vrai parcours du combattant. C’est ainsi que s’est démocratisé l’usage du VPN, pour Virtual Private Network, qui permet justement de devenir intraçable sur le web, tout en offrant d’autres avantages, comme permettre à ses utilisateurs de se loger dans d’autres régions du monde, et accéder au catalogue américain de Netflix, par exemple. Sauf que voilà, tous ces services de VPN ne se valent pas, et certains pourraient même se montrer dangereux pour l’intégrité de vos données personnelles, voire même… de vos données bancaires. C’est ce dont nous alerte le site Cybernews, qui nous met en garde contre trois applications proposant ce service sur Android : SuperVPN, GeckoVPN et ChatVPN. Toutes ces apps sont gratuites, et l’une d’entre elles, SuperVPN s’avère particulièrement populaire, avec près de 100 millions de téléchargements à son actif. Problème : trois importantes bases de données compilant des informations très sensibles de 21 millions d’utilisateurs de SuperVPN, GeckoVPN et ChatVPN se sont retrouvées en vente sur des forums du dark web. Parmi ces données, on retrouve des informations comme les noms et prénoms des utilisateurs, leurs adresses mail, des données correspondant aux smartphones utilisés pour se connecter, et même les données bancaires. Cybernews qualifie même ces applications d’extrêmement dangereuses. L’application SuperVPN avait déjà été supprimée du Play Store après avoir été identifiée comme étant malicieuse par les chercheurs de VPNPro. L’application permettant en effet à des hackers « d’intercepter les communications entre l’utilisateur et le fournisseur, et même de rediriger les utilisateurs vers un serveur malicieux. » 105 millions d’utilisateurs étaient alors menacés, avant que l’app ne soit retirée du Play Store.



Chrome 89 est dispo et corrige une faille zero-day

  Liste des news    Liste des new du mois  
chrome logo 89

04

Mars

La version 89 de Chrome est disponible, et avec elle le correctif d’une importante faille zero-day (CVE-2021-21160) activement exploitée par des pirates. Trouvée par les chercheurs en sécurité de Cisco Talos, cette vulnérabilité provient d’un dépassement de la mémoire du tas et se trouve dans la module WebAudio de la version Desktop du navigateur. Google ne donne pas davantage de détails à ce stade. Sept autres failles importantes ainsi qu’une quarantaine de failles de criticité faible ou moyenne ont également été patchées dans cette nouvelle mouture. Chrome 89 apporte également de nouvelles fonctionnalités. Sur Android, le navigateur peut désormais interagir avec des tags NFC, grâce à l’interface de programmation Web NFC. Sur Desktop, le navigateur intègre les interfaces de programmation Web Serial et WebHID. La première permet aux utilisateurs de se connecter sur les ports série de microcontrôleurs et d’imprimantes 3D. La seconde facilite l’usage de périphériques d’interface humaine, comme les claviers, les souris ou les manettes de jeux.



La CNIL Réagit au vol des données médicale

  Liste des news    Liste des new du mois  
Laboratoire source de fuite des donnees patients

25

Fevrier

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel. Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire. La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux. L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale. Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.



Un virus se propage sur les Mac

  Liste des news    Liste des new du mois  
Malware sur MacOS

22

Fevrier

Un mystérieux virus se propage sur macOS. Baptisé Silver Sparrow par les chercheurs de Red Canary, ce malware a la particularité d'être à la fois compatible avec les Mac dotés d'un processeur Intel et ceux doté d'une puce Apple M1, ce qui en fait seulement le second malware nativement compatible avec les processeurs ARM d'Apple. Téléchargé par au moins 29.139 utilisateurs vendredi dernier, ce virus cache pour l'instant son objectif. En effet, Silver Sparrow n'a pour l'instant aucun but. Pas de publicités ajoutées à votre navigateur, pas de demande de rançon… Son exécution se fait de manière transparente (son installation passerait par un .pkg qui imite le look d'un vrai logiciel et exécute du code JavaScript). Cependant, les experts en cybersécurité pensent que cela ne va pas durer. Une fois par heure, Silver Sparrow interroge ses serveurs pour exécuter de nouvelles commandes. À terme, quelqu'un pourrait éventuellement le déclencher. Autre fait étonnant, Silver Sparrow est doté d'une capacité d'auto-destruction… ce qui est rare pour un malware grand public. Les personnes qui en sont à l'origine pourraient donc le désinstaller de votre ordinateur si elles le souhaitent. À quoi donc sert ce malware ?



Encore des Failles dans iOS !

  Liste des news    Liste des new du mois  
Securite Apple Zero day

15

Fevrier

Après avoir déjà corrigé trois vulnérabi lités zero-day exploitées par des individus malveillants en novembre dernier, Apple au téléchargement nouvelle fois été mise au parfum par des chercheurs en sécurité anonymes. La firme de Cupertino a mis à jour, ces dernières heures, ses systèmes d'exploitation iOS et iPadOS, afin de corriger non pas une, ni deux, mais trois nouvelles failles de sécurité, de type zero-day. Ces trois vulnérabilités zero-day, décrites comme activement exploitées, touchent potentiellement pléthore d'appareils de la galaxie Apple. ESET France et son expert en cybersécurité Benoît Grunemwald, qui nous ont fait parvenir l'information ce lundi matin, nous indiquent que la liste des appareils concernés comprend "les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini 4 et plus et la 7ème génération d’iPod touch." Si on ne sait rien des attaques ni des cibles de ces attaques zero-day, on dispose déjà de certaines informations plus précises sur les fameuses failles. La première, qui répond à l'identifiant CVE-2021-1782, se situe dans le noyau du système d'exploitation. Elle consiste en un bogue de condition de course qui peut octroyer des privilèges à un pirate informatique, qui pourrait alors s'en servir pour lancer une application malveillante et faire de sérieux dégâts. Les deux autres vulnérabilités, identifiées CVE-2021-1871 et CVE-2021-1870, ont été dénichées dans le moteur de navigation web open-source d'Apple, WebKit, propulsé sur le navigateur Safari et l'outil Mail mais aussi sur d'autres applications iOS et iPadOS. Elles permettraient à un cybercriminel d'exécuter du code arbitraire à distance. Nous vous conseillons ainsi de mettre à jour vos appareils iOS et iPadOS avec la version 14.4. Par extension, le géant américain a, par précaution, publié des mises à jour pour ses Apple Watch et Apple TVs, respectivement avec les versions watchOS 7.3 et tvOS 14.4, que nous vous conseillons également de télécharger. À côté de ces mises à jour, Apple a aussi publié des correctifs de sécurité pour des failles qui touchaient ses produits Xcode (outil de programmation qui permet la création d'applications pour des produits Apple), et iCloud, le service de Cloud computing de la firme de Cupertino.



Faille zéro-day dans Chrome

  Liste des news    Liste des new du mois  
Faille Zero Day Chrome

05

Fevrier

Une mise à jour de Chrome 88 corrige un important bug dans le moteur Javascript du navigateur. Il faut absolument mettre à jour le logiciel. Google vient de publier en urgence la mise à jour 88.0.4324.150 de son navigateur Chrome. Elle corrige une importante faille zero-day (CVE-2021-21148) qui est activement exploitée par des pirates. Il s’agit en occurrence d’un dépassement de la zone mémoire du tas dans le moteur Javascript V8, sans plus de détails. Un rapport technique sera peut-être disponible ultérieurement, lorsqu’une majorité d’utilisateurs aura installé cette mise à jour. Pour obtenir cette mise à jour, il suffit d’aller dans le menu « Aide → A propos de Google Chrome ». Le navigateur va automatiquement la télécharger et l’installer. La semaine dernière, Google avait révélé une campagne de piratage qui cible les chercheurs en sécurité et qui prend appui sur le navigateur Chrome. Quelques jours plus tard, les experts de Microsoft ont précisé que cette opération utilisait une série de failles dans le navigateur. Mais rien ne dit pour l’instant que CVE-2021-21148 en fasse partie.



Des failles Zero-day corrigés sur des serveurs Apaches

  Liste des news    Liste des new du mois  
apache web server logo

06

Octobre

Plus d'une centaine de milliers de serveurs Apache tournant sur la version 2.4.49 seraient vulnérables à l'attaque. Une zero-day activement exploitée Apache a déployé une mise à jour lundi afin de corriger une faille zero-day activement exploitée. Cette faille, traquée comme la CVE-2021-41773, a été introduite lors de la mise à jour 2.4.49 de l'Apache HTTP Server, sortie il y a moins d'un mois. Elle a été rapportée la semaine dernière par Ash Daulton et la cPanel Security Team. Cette faille permet à un attaquant d'accéder à des fichiers en-dehors du répertoire racine grâce à une attaque de type « path traversal ». Normalement, les requêtes pour accéder à des fichiers et dossiers en dehors du répertoire racine sont bloquées. Mais les chercheurs ont découvert qu'ils pouvaient contourner le blocage en utilisant des caractères codés dans les URL, par exemple « %2e » pour représenter un point. Grâce à cette technique, un attaquant pourrait accéder à des fichiers sensibles à utiliser dans des attaques supplémentaires. Pour qu'elle puisse fonctionner, il faut que le paramètre « require all denied » soit désactivé et que le serveur tourne avec la version 2.4.49, qui est la seule touchée. Apache a indiqué que cette vulnérabilité était utilisée dans des attaques, sans les décrire plus en avant ni préciser de quelle manière. Il est estimé que plus d'une centaine de milliers de serveurs Apache possèdent la version 2.4.49 de l'Apache HTTP Server et sont potentiellement vulnérables. Il est donc conseillé de faire la mise à jour le plus vite possible, d'autant plus que les preuves de concept se multiplient. Une deuxième vulnérabilité a été corrigée dans cette mise à jour. Il s'agit de la CVE-2021-41524, qui permet à un attaquant de réaliser une attaque de déni de service à distance sur un serveur à l'aide d'une requête spécialement créée. Aucune preuve de son utilisation n'a été trouvée.



Une faille Apple Pay et Visa !

  Liste des news    Liste des new du mois  
Apple Pay faille Visa

01

Octobre

Une vulnérabilité présente dans le service « Transport express » d'Apple Pay permettrait à des pirates de réaliser des paiements frauduleux sur un iPhone verrouillé. La faille n'est présente qu'en combinaison avec une carte Visa et peut permettre de réaliser des paiements sans limite de somme. En règle générale, un paiement réalisé à l'aide d'Apple Pay demande une confirmation, que ce soit à l'aide de Face ID , de Touch ID ou d'un code d'accès. Mais, pour faciliter le paiement dans les transports en commun, Apple a introduit la fonctionnalité « Transport express », qui permet de payer ses trajets sans avoir à déverrouiller son téléphone ou confirmer le paiement. Des chercheurs de deux universités anglaises, celle de Birmingham et celle de Surrey, se sont penchés sur la fonctionnalité et ont trouvé une faille lorsque la fonctionnalité était utilisée avec une carte Visa. Cette méthode « man-in-the-middle » fonctionne pour des paiements en dessous de la limite autorisée. Pour réaliser des paiements au-dessus, il faut modifier un paramètre supplémentaire pour faire croire au lecteur de carte EMV que l'utilisateur a validé la transaction. De cette manière, les chercheurs ont réussi à réaliser un paiement de 1 000 £ à partir d'un iPhone verrouillé. En attendant, les chercheurs conseillent de ne pas utiliser sa carte Visa en mode « Transport express ». La vulnérabilité semble difficile à exploiter à la volée, sur un iPhone dans un sac par exemple, à cause du matériel et des modifications nécessaires. Un utilisateur dont le téléphone est volé ou perdu pourrait en revanche être beaucoup plus vulnérable. Dans ce cas, les chercheurs conseillent d'activer immédiatement le mode Perdu et de contacter sa banque.



Une faille sur AMD

  Liste des news    Liste des new du mois  
Ryzen faille

22

Septembre

La faille a été détectée au sein du pilote de chipset « AMD Platform Security Processor » (PSP), propre à plusieurs architectures de processeurs de la marque. Classée comme modérée, elle permet néanmoins à des utilisateurs malveillants, n'étant pas administrateurs, d’accéder et de télécharger des données sensibles du système telles que les mots de passe par l’intermédiaire du pilote du chipset. Découverte au mois d’avril 2021 par Kyriakos Economou, chercheur en sécurité et co-fondateur de ZeroPeril, cette vulnérabilité avait alors uniquement été mise en évidence sur des systèmes exploitant des processeurs Ryzen séries 2000 et 3000. Après avoir pris contact avec AMD, l'audit s’est poursuivi afin d’établir une liste exhaustive. Dans son communiqué, AMD dresse la liste exhaustive des CPU et APU concernés. On y trouve, entre autres, les processeurs Ryzen Threadrippers (dont 2e et 3e générations, PRO), les Athlon X4 ou encore les Ryzen séries 1000, 2000, 3000, 4000 et 5000 avec CG Radeon. Pour corriger la faille, AMD détaille deux possibilités : mettre à jour le pilote AMD PSP via Windows Update (version 5.17.0.0), ou le faire manuellement (pilote AMD Chipset, version 3.08.17.735 ou plus récente). Dans le cas où votre processeur serait concerné mais que votre pilote PSP est antérieur à la version 5.17.0.0, il faudra procéder ainsi : Se rendre sur le site support d’AMD et sélectionner le modèle du chipset de votre carte mère; 1/ Télécharger le fichier .zip associé; Extraire le fichier d’installation puis le lancer. 2/ La détection du chipset démarre (cela peut prendre un certain temps…); 3/ Sélectionner le pilote PSP et valider l’installation; 4/ Autoriser le redémarrage pour finaliser l’installation.



Pegasus sur iOS c'est pas fini !

  Liste des news    Liste des new du mois  
pegasus logiciel espion

14

Septembre

Les chercheurs en sécurité de Citizen Lab continuent avec succès la traque de Pegasus, le fameux logiciel d’espionnage du groupe israélien NSO. En analysant l’iPhone d’un activiste saoudien, ils ont réussi à mettre la main sur un exemplaire de « ForcedEntry », une attaque zero-day et zero-click qui a été détectée fin août, et qui exploite des failles dans la messagerie iMessage. L’attaque en question date de mars 2021, mais ce n’est qu’à la suite d’une « reanalyse récente » que les experts ont pu extraire plusieurs dizaines de faux fichiers GIF dans un dossier dédié aux pièces jointes de la messagerie. Ces fichiers qui sont en réalité de type Adobe PSD ou Adobe PDF, contenaient le code malveillant de ForcedEntry. Cela été confirmé par Apple qui a également analysé les fichiers. L’entreprise précise que la vulnérabilité sous-jacente (CVE-2021-30860) permettait de forger un PDF vérolé qui, au moment du traitement sur l’iPhone, pouvait exécuter du code arbitraire sur l’appareil. L’attaque s’appuie notamment sur un dépassement de nombre entier dans la librairie de rendu graphique CoreGraphics. ForcedEntry fonctionnait non seulement sur tous les iPhones, mais aussi sur tous les Mac et toutes les Watch, d'Apple. Des correctifs ont été diffusés pour ces plates-formes, en l'occurrence iOS 14.8, macOS Big Sur 11.6, Security Update 2021-005 Catalina et watchOS 7.6.2. Il est conseillé de mettre à jour ses appareils le plus rapidement possible.



Une base de données de 35 Millions de français sur le Web

  Liste des news    Liste des new du mois  
base de donnees dark web

02

Septembre

Une base de données XXL (une de plus !) est en vente sur le dark web . Cette fois-ci, elle contient les données personnelles de 39 millions de Français et Françaises. Une nouvelle offre plutôt inquiétante est apparue sur le dark web. Le spécialiste en cybersécurité Damien Bancal a, pour Zataz, découvert une base de données contenant les données personnelles de 39 millions de Français et Françaises, de métropole et d'ailleurs. L'individu qui l'a mise en vente propose même un échantillon gratuit d'informations à toute personne qui démontre un intérêt pour le fichier. Il y a quelques jours, un pirate informatique a donc mis en ligne cette base de données sur le dark web, mais aussi sur certains forums directement accessibles depuis le Web. C'est en se faisant passer pour un acheteur que Damien Bancal a obtenu davantage de détails. Dès lors qu'on montre un intérêt à l'achat, le pirate qui commercialise la base de données vous appâte en vous offrant un petit échantillon de 100 000 exemples. Histoire qu'on ne doute pas de sa crédibilité. Et figurez-vous que le hors-d'œuvre contient divers types de données. Damien Bancal évoque ainsi des « noms, prénoms, adresses postales, téléphones, adresses électroniques ». Et après analyse, il s'est aperçu que les Français et Françaises rattachés à cette base de données proviennent d'un peu partout en France, des grandes villes (Paris, Marseille, Lyon) aux communes plus confidentielles (Ussel, Gerzat, Le Bourget), en passant par la Polynésie française. Il est aujourd'hui difficile de savoir d'où proviennent les données regroupées. « Il y a de fortes chances que ce commerçant pirate [ait] aggloméré plusieurs sources », indique Damien Bancal. Un détail plus particulier a retenu l'attention de l'expert cyber. Dans les données récupérées apparaît une colonne « Real Money » (argent réel), un terme que l'on retrouve généralement dans les domaines ou sur les sites de jeu en ligne et de crypto-monnaies . « Les données n'en restent pas moins étonnantes et inquiétantes », note le fondateur de Zataz. Il faut dire qu'avec une telle base de données entre les mains, tout acteur malintentionné pourrait lancer diverses campagnes malveillantes, en utilisant par exemple le phishing et ses variantes, pour tenter de piéger des utilisateurs ou utilisatrices pas assez méfiants, par le biais d'emails et de SMS plus ou moins crédibles et bien imités.



Une liste de terroristes fuite sur le web

  Liste des news    Liste des new du mois  
List web terrorismes

18

Aout

En juillet dernier, le chercheur en sécurité Bob Diachenko a détecté une base de données Elasticsearch particulièrement intéressante. Elle était totalement en accès libre et contenait les données de 1,9 million de terroristes présumés : nom, nationalité, sexe, date de naissance, numéro de passeport, indicateur no-fly, etc. D’après les termes utilisés dans la base, ces données provenaient visiblement du Terrorist Screening Center. Piloté par le FBI, cet organisme américain vise à identifier les terroristes présumés dans le monde entier. Elle maintient notamment une liste de personnes interdites de vol. Cette liste est secrète, mais elle est partagée avec certains pays étrangers. D’ailleurs, la base Elasticsearch se trouvait sur un serveur situé au Bahreïn, l’un des principaux hubs du Moyen-Orient. Le chercheur en sécurité a immédiatement alerté le Department of Homeland Security, mais qui a tardé à réagir. L’accès à la base n’a été supprimé qu’au bout de trois semaines. M. Diachenko ne sait pas si quelqu’un d’autre a pu accéder à cette base de données, mais c’est fort probable, car elle était indexée par les moteurs de recherche Censys et ZoomEye. Selon lui, cette fuite de données peut avoir d’importantes conséquences. Cette base « est composée de personnes soupçonnées de terrorisme, mais qui n’ont pas nécessairement été inculpées d’un crime. Entre de mauvaises mains, cette liste pourrait être utilisée pour opprimer, harceler ou persécuter les personnes figurant sur la liste et leurs familles. Cela pourrait causer de nombreux problèmes personnels et professionnels à des personnes innocentes dont les noms figurent sur la liste », explique-t-il.



Microsoft publie un correctif d'urgence pour colmater une faille

  Liste des news    Liste des new du mois  
Win10 KB5004945 620x330

08

Juillet

Microsoft publie en urgence une mise à jour de sécurité Windows 10, KB5004945. Elle est censée résoudre une vulnérabilité zero-day nommée « PrintNightmare ». La situation est jugée critique car cette faille est activement exploitée par les pirates. Les rapports indiquent que cette défaillance de Windows permet à une personne d’obtenir des privilèges locaux et d’exécution du code à distance. Pour tenter de résoudre la situation Microsoft vient de publier en dehors du traditionnel Patch Tuesday un correctif de sécurité. La mauvaise nouvelle est que cette faille PrintNightmare affecte toutes les versions de Windows 10. KB5004945 est proposé comme une mise à jour de sécurité obligatoire pour Windows 10 2004 ou plus récent. Elle est déployée au travers du service Windows Update qui se charge de la télécharger et de lancer son installation. Les PC sous Windows 10 v1909 sont de leur côté visés par la mise à jour KB5004946. Là aussi le correctif est obligatoire. Son téléchargement et son installation sont automatiques. Pour Windows 10 v1809 et Windows Server 2019, le colmatage de cette faille est assuré par le correctif KB5004947. On vous conseille d'urgence d'effectuer cette Mise à jour et pensez à enregistrer votre travail car un redémarrage de l’ordinateur est nécessaire pour que les changements prennent effet. Vous pouvez également récupérer ce correctif manuellement au travers du service en ligne Microsoft Update Catalog.



Des Apps Android qui récupére votre P.W. Facebook

  Liste des news    Liste des new du mois  
apps avec Malware

06

Juillet

Les analystes de chez Dr. Web ont mis en lumière une flopée d'applications malveillantes sur Google Play, dont l'objectif est de dérober les identifiants et les mots de passe Facebook des utilisateurs. Au total, ce sont 9 applications qui sont concernées, toutes disponibles via Google Play avant d'être retirées par Google. Méfiance donc si vous avez téléchargé Processing Photo, App Lock Keep, Rubbish Cleaner, Horoscope Daily, Horoscope Pi, App Lock Manager, Lockit Master, Inwell Fitness ou encore PIP Photo. Toutes ces applications sont bel et bien fonctionnelles, mais renferment un malware. Au lancement, l'utilisateur était en effet invité à se connecter avec son compte Facebook, et l'application en profitait évidemment pour subtiliser au passage les précieux identifiants et mots de passe. Prudence donc. Toutefois, les récentes audiences sur l'abus de position dominante de la firme de Mountain View et son PlayStore ont tôt fait de rappeler à des millions d'utilisateurs que d'autres solutions existent. Même si elles ne sont pas pour autant encouragées par Google, qui ne cesse de vanter la sécurité de son store d'applications.



Un hack étrange a effacé à distance les disques de nombreux WD My Book.

  Liste des news    Liste des new du mois  
Malware script efface les WD My Book

25

Juin

Un script de réinitialisation a, semble-t-il, été lancé à distance il y a deux jours. Les données stockées sont perdues à jamais. Un hack étrange a eu lieu déroulé le 23 juin dernier. Un grand nombre de WD My Book, des disques NAS destinés au stockage de données, ont été mystérieusement réinitialisés. Toutes les données stockées ont été effacées, provoquant le désarroi des utilisateurs. « Au secours, toutes mes données sont parties », « Je suis totalement foutu sans ces données », « C’est hyper flippant »… peut-on lire dans un fil de discussion du site de Western Digital qui compte déjà plus de 130 messages. Les logs des appareils montrent que cet effacement a été réalisé au travers d’un script shell baptisé « factoryRestore.sh ». Selon le fabricant, quelqu’un aurait piraté tous ces disques et provoqué volontairement cette réinitialisation. Les infrastructures de Western Digital, en revanche, ne seraient pas impliquées dans cette affaire. « Nous n’avons aucun indice de compromission ou de fuite de données au niveau de nos services cloud ou de nos systèmes », souligne Western Digital dans un communiqué. L’entreprise recommande à tous les utilisateurs de déconnecter leurs disques WD My Book de l’Internet.



50 vulnérabilités dans Windows

  Liste des news    Liste des new du mois  
Windows vulnerabilites

09

Juin

Dans son dernft 50 vulnérabilités, dont six failles zconsidérées comme critiques, et les autres sont classées comme importantes par Microsoft, mais l'une d'entere elles n'a pas été repérée comme ayant été utilisée dans des attatrong> pong>rudent d'appliquer les correctifs. Au contraire, deux autres sont actuellement utilisées par un nouveau groupe appelé PuzzleMaker. Découverts par Kapersky, ces hackers utilisent en premier lieu une faille zero-day présente dans V8, le moques. Il s'agit de la CVE-2021-31968, unier Patch Tuesday,Microsoft vulnérabilité de déni de service dans la fonctionnalité « Bureau à distance ». Elle remonte à Windows 7 et avait déjà été dévoilée publiquement sans être utilisée par la zero-day activement exploitées. Parmi les 50 vulnérabilités corrigées. Il reste toutefois plus JavaScript de Google Chrome , pour accéder au système. Par la suite, ils utilisent deux des failles corrigées ce mardi : la CVE-2021-31955, qui est une vulnérabilité de divulgation d'informations présente dans le noyau Windows, et la CVE-2021-31956, une vulnérabilité d'élévation de privilège dans Windows NTFS. Une autre d'entre ellesrabili, la CVE-2021-33742, concerne toutes les versions actuellement supportées de Windows. Elle est considérée comm critique et permet l'exécution de code à distance via la plateforme MSHTML. Cette plateforme avait été créée pour Internet Explorer, mais continue d'être utilisée aujourd'hui, notamment par le mode Internet Explorer dans Edge . Elle nécessite une interaction de l'utilisateur et peut donc être exploitée grâce à l'ouverture d'un fichier malveillant ou la visite d'une page web créée pour l'occasion. Les trois dernières sont des vulnérabilités d'élévation de privilège : deux qui concernent Microsoft Enhanced Cryptographic Provider et une dans la bibliothèque principale de Microsoft DWM. Comme d'habitude, le mot d'ordre est d'appliquer les correctifs au plus vite, surtout pour les failles activement exploitées.



8,4 millards de mot de passe dans le dark web

  Liste des news    Liste des new du mois  
Mot de passe

08

Juin

D’après nos confrères de Cyber News, un utilisateur d’un forum a posté un énorme fichier TXT de 100 Go. Celui-ci contiendrait près de 8,4 milliards d’entrées de mots de passe. Cyber News a découvert que le nombre exact de mots de passe contenu dans ce fichier était 8 459 060 239. RockYou2021 représente un énorme risque de sécurité pour les victimes incluses dans sa liste. RockYou2021 peut rapidement circuler sur Internet et sur le marché noir. Avec un tel fichier, les pirates pourraient commencer à voler vos informations personnelles. « En combinant 8,4 milliards de variations uniques de mots de passe avec d’autres compilations de brèches qui incluent des noms d’utilisateur et des adresses électroniques, les acteurs de la menace peuvent utiliser la collection RockYou2021 pour monter des attaques contre un nombre incalculable de comptes en ligne. », note Cyber News. Il existe deux façons de vérifier si vos données sont disponibles dans un fichier qui a été dévoilé sur Internet. Tous deux sont des outils Internet disponibles que vous pouvez remplir en quelques minutes. Tout d’abord, Cyber News a mis en place un outil de vérification en ligne des fuites de données personnelles. Celui-ci vous demande de fournir votre adresse électronique ou votre numéro de téléphone pour savoir si ces données sont disponibles sur le Web. Récemment, ce sont les données personnelles de plus de 500 millions d’utilisateurs de Facebook qui étaient accessibles en ligne. Dans le cas de RockYou2021, la base de données ne contient que des mots de passe. Cyber News dispose également d’un outil qui vous permettra de savoir si vos mots de passe sont concernés. Il est recommandé de vérifier si vos données ont fuité avec les deux outils ci-dessus. Après avoir cliqué sur « Check Now », le site vous dira si vos données ont été trouvées dans une des bases de données. Si le message est vert, tout va bien. Cependant, s’il est rouge, il vous faut rapidement changer le mot de passe concerné. Si vous ne savez pas si votre mot de passe est « fort ».



Six applications a suprimer d'urgence !

  Liste des news    Liste des new du mois  
Malware Android

07

Juin

Six nouvelles applications vérolées copiant des apps très populaires sont en circulation sur le Play Store de Google. Désinstallez-les ! La pandémie en cours aura définitivement accentué nos usages numériques, ce qui aura eu l’effet pervers d’attirer les escrocs à multiplier les arnaques diverses et variées, comme cette dernière visant l’enseigne E.Leclerc. Les malwares ont également le vent en poupe, se propageant sur nos différents appareils par des moyens fourbes, et notamment sur nos smartphones. C’est ainsi qu’il arrive parfois que des applications vérolées se frayent un chemin jusqu’au Play Store officiel de Google, comme nous alertent les chercheurs en cybersécurité de Bitdefender. Ils viennent en effet de découvrir qu’un malware était actuellement diffusé sur Android en se faisant passer pour des applications populaires. Derrière ces noms célèbres se cache pourtant un dangereux virus connu sous le nom de « TeaBot ». Il s’agit d’un cheval de Troie bancaire capable d’intercepter vos messages, permettant ainsi aux hackers de dérober vos codes d’authentification et de se frayer un chemin jusqu’à vos comptes sensibles. Ce malware a été spécifiquement développé pour s’arroger un accès à votre compte bancaire, et notamment venir à bout de l’authentification à deux facteurs utilisée par de nombreux organismes bancaires, c’est pourquoi la menace est sérieuse. Ces applications sont d’autant plus difficiles à débusquer qu’il s’agit de copies d’applications extrêmement populaires. « Elles n’ont aucune des fonctionnalités de la version originale. Elles demandent la permission d’accéder à d’autres applications, d’afficher des notifications et d’installer des applications en dehors du Play Store, après quoi elles cachent leur icône » expliquent les chercheurs de Bitdefender. Certaines cumulent déjà plus de 50 millions de téléchargements, c’est pourquoi vous feriez bien de faire un petit tour dans vos réglages pour vérifier qu’aucune d’entre elles ne s’y trouvent. Notez que, comme il s’agit de copies, vous devrez chercher les applications correspondant aux noms exacts que voici : Uplift: Health and Wellness App, BookReader, PlutoTV, Rocycnyru: THIS Bosbpat, Kaspersky: Free Antivirus, VLC MediaPlayer



Une Faille sur la Puce M1 impossible à corriger

  Liste des news    Liste des new du mois  
Faille de conception Puce M1

31

Mai

Hector Martin, développeur pour Asahi Linux, a découvert durant son travail une faille dans les puces M1 d'Apple. La mauvaise nouvelle, c'est que cette vulnérabilité ne peut être corrigée avec une mise à jour logicielle vu que la faille se situe au niveau des puces elles-mêmes. La bonne nouvelle, c'est qu'elle n'est pas si grave que ça. La faille matérielle, désignée sous le nom de « M1RACLES », pour M1ssing Register Access Controls Leak EL0 State, peut permettre à deux processus coopératifs de partager des informations entre eux à l'aide d'un canal de communication secret. Cette communication passe par deux bits qui peuvent être lus et écrits à EL0 (Exception Level 0, le niveau de privilège le plus bas, généralement accordé aux applications) sur tous les cœurs en simultané. L'échange d'informations se fait à un peu plus de 1 MB/s, ce qui reste relativement bas. Hector Martin ne considère cependant pas que cela représente un gros risque pour la sécurité des utilisateurs puisque d'autres moyens existent déjà pour que deux applications communiquent entre elles, la faille nécessitant d'autant plus une coopération entre les deux programmes. Mais si cette vulnérabilité n'est pas si grave que ça, il n'empêche qu'elle entre en violation des principes de sécurité des systèmes d'exploitation. « En gros, Apple a décidé d'enfreindre la spécification ARM en supprimant une fonctionnalité obligatoire, car ils (les développeurs) pensaient ne jamais avoir besoin d'utiliser cette fonctionnalité pour macOS. Et puis il s'est révélé que la supprimer a rendu beaucoup plus difficile pour les systèmes d'exploitation existants d'atténuer cette vulnérabilité », explique le développeur dans son article de blog. Cette faille concerne tous les utilisateurs des appareils Apple utilisant la puce M1, qu'ils soient sur Big Sur ou sur Linux version 5.13 ou plus. Mais ils ne sont pas les seuls puisqu'il a été confirmé que la puce A14, utilisée sur les iPad et iPhone , était également touchée par la même erreur de conception. Toutefois, le développeur se veut rassurant. La faille a été communiquée à Apple il y a plus de 90 jours et il est confiant sur le fait que la firme a mis des protections en place pour scanner les applications qui pourraient être tentées de l'exploiter.



La pomme est elle votre ami ou pas ?

  Liste des news    Liste des new du mois  
Verrou Apple

20

Mai

La sécurité est elle juste un argument commercial du marketing non vérifier chez Apple ? La marque à la pomme a transmis aux autorités fédérales américaines les données iCloud d’Alexandra Elbakyan, la fondatrice du réseau de partage d’articles scientifiques Sci-Hub accusée de violation de propriété intellectuelle. Alors que certains internautes s’inquiétaient récemment de voir le gouvernement chinois mettre la main sur les clés de cryptage iCloud d’Apple, la marque à la pomme vient de céder les données personnelles d’une utilisatrice au gouvernement américain. Dans un message posté sur son compte Twitter, l’activiste kazakhe Alexandra Elbakyan dévoile le contenu d’un mail envoyé par l’entreprise, lui indiquant que son compte iCloud a fait l’objet d’une saisie par le FBI. Fondatrice du réseau Sci-Hub, Alexandra Elbakyan est depuis un moment déjà dans le viseur des autorités. Son site de partage d’articles scientifiques permet en effet à de nombreux étudiants et professeurs de consulter gratuitement des publications scientifiques. Si l’intention est louable, il s’agit d’une copie illégale de propriété intellectuelle, la jeune femme n’ayant pas les droits nécessaires pour publier les articles en questions. Parmi les plus fervents détracteurs du cas Elbakyan, on retrouve la maison d’édition néerlandaise Elsevier. Très critiquées au sein même de la communauté scientifique, les pratiques commerciales du groupe sont accusées de priver d’informations une partie des universitaires du monde entier, alors que leur rôle de vérification scientifique est régulièrement mis en doute. Dans cette affaire, les regards se sont logiquement tournés vers Apple, accusé d’avoir cédé des données confidentielles au FBI alors même que l’entreprise américaine martèle faire du respect de la vie privée l’un de ses principaux combats. Pourtant ici, la Pomme n’a fait qu’obéir à la loi. Ainsi, les données présentes sur les serveurs du GAFAM peuvent être en partie déchiffrées, et livrées aux autorités si une procédure judiciaire l’exige.



Depuis les 15 mai, nouvelles normes de transactions

  Liste des news    Liste des new du mois  
Nouvelle Normes Paiment CB sur internet en France

17

Mai

Dans l'optique de faire de l'achat sur Internet une pratique plus sûre pour les consommateurs, il y a eu du changement dans le paiement en ligne. Depuis samedi, de nouvelles normes de sécurité sont entrées en vigueur. Elles sont à la fois destinées aux internautes, aux mobinautes, aux banques et aux e-commerçants. Le SMS envoyé pour confirmer tout paiement en ligne d'un certain montant ne suffira plus. Place désormais à l'authentification forte. Qu'est-ce que signifie « l'authentification forte », exigée pour les achats en ligne sans minimum de montant ? Pour que le consommateur puisse s'authentifier et valider son achat, il devra fournir deux des trois éléments suivants : une information qu'il est le seul à connaître, comme un mot de passe ou un code secret; l'utilisation d'un appareil qu'il détient : un ordinateur, un mobile, un boîtier éventuellement fourni par la banque, etc. une caractéristique personnelle propre, comme la reconnaissance faciale ou une empreinte digitale. Si l'un des deux éléments exigés vient à manquer ou à être erroné, alors le paiement n'est pas autorisé. La fédération française bancaire précise que les banques pourront proposer des alternatives aux Français qui ne disposent pas d'un smartphone. Par exemple, ils pourront utiliser un SMS à usage unique couplé à un mot de passe connu du client, outre la solution du boîtier physique directement fourni par l'établissement, dont nous parlions plus haut.



128 Millions d'iPhones infectés par XCodeGhost en 2015

  Liste des news    Liste des new du mois  
XcodeGhost

11

Mai

Des e-mails internes d’Applemontrent que ce malware a réussi à faire un grand nombre de victimes , dont une majorité en Chine. La bataille juridique entre Apple et Epic apporte, de manière inattendue, des détails sur un logiciel espion qui a infecté plus de 4000 applications iPhone en 2015, ce qui en fait l’une des plus grandes attaques sur les utilisateurs d’iPhone. Baptisé XCodeGhost, ce code malveillant s’était inséré dans des logiciels parfaitement légitimes grâce à une version vérolée de Xcode, l’environnement de développement d’Apple. Cela affectait principalement les développeurs en Chine, où le téléchargement de cette version compromise était beaucoup plus rapide que la version originale. Cet épisode de malveillance est évoqué dans des e-mails internes à Apple qui viennent d’être dévoilés à l’occasion du procès. On apprend ainsi que ce malware a infecté plus de 128 millions d’utilisateurs dans le monde, dont 18 millions aux États-Unis. La majorité des victimes (55 %) se trouvaient toutefois en Chine. Il faut dire que les pirates avaient réussi à compromettre des applications particulièrement populaires, comme WeChat, CamCard ou Angry Birds 2. XCodeGhost exfiltrait uniquement des données basiques sur le terminal et l’utilisateur, comme le nom et l’identifiant de l’appareil, le type de connexion réseau et le nom de l’application infectée. Ces chiffres n’avaient jamais été révélés auparavant. Les échanges internes montrent, par ailleurs, que la firme de Cupertino était assez désemparée face à cette attaque. En particulier, la notification des victimes posait un problème en raison du grand nombre de personnes, de pays et d’applications affectés. « Avec un lot de cette taille (128M), nous devrons probablement passer une semaine à envoyer ces messages. Donc après avoir localisé les e-mails (ce qui prendra plusieurs jours), nous aurons besoin d’au moins une semaine pour l’envoi », peut-on lire dans les messages.



40% des puces Qualcomm ont une faille

  Liste des news    Liste des new du mois  
failles 40p des puces Qualcomm

07

Mai

Une faille de sécurité affecte la puce Modem Station Mobile (MSM) de Qualcomm. Présente dans près de 40 % des téléphones elle est responsable de la communication cellulaire. Cette faille de sécurité a été découverte par le CPR contraction de Check Point Research. Elle permet à un pirate d’avoir un accès aux message SMS et à l’audio des conversations téléphoniques. Cela signifie qu’un hacker peut l’utiliser pour injecter du code malveillant dans le modem à partir du système d’exploitation Android. Il devient alors possible d’avoir un accès à l’historique des appels, aux SMS et à l’écoute des conversations téléphonique. La vulnérabilité peut également permettre de déverrouiller la carte SIM afin de contourner les limitations qui lui sont imposées par les fournisseurs de services. La puce MSM de Qualcomm est présente sur les téléphones haut de gamme des grands constructeurs. Nous pouvons citer Google, Samsung, LG, Xiaomi et One Plus. Heureusement Qualcomm a été rapidement informé ce qui a permis de corriger le problème. Le calendrier de cette affaire évoque une découverte en octobre 2020 et l’envoir d’un correctif aux marques de smartphones concernées à partir du mois décembre 2020. Pour revenir à cette nouvelle vulnérabilité, elle affecte la puce Modem Station Mobile (MSM) de Qualcomm dont le récent MSM 5G. La 5G est la prochaine norme technologique mobile qui succède à la 4G/LTE. Le nombre d’utilisateurs de smartphones dépasse aujourd’hui les 3 milliards dans le monde. Qualcomm est un grand nom du domaine grâce à une grande variété de puces. Elles sont présentes dans plus de 40 % des smartphones du marché. Nous les retrouvons en particulier sur le segment haut de gamme. Ce n’est pas la première fois qu’une défaillance de sécurité est découverte dans les solutions Qualcomm. Le CPR nous précise avoir trouvé plus de 400 vulnérabilités sur la puce Snapdragon DSP (Digital Signal Processor) de ce constructeur en août 2020. Check Point Research a publié un billet de blog pour sensibiliser aux risques associés à cette vulnérabilité. Toutefois, l’ensemble des détails techniques n’est pas proposé afin de laisser du temps aux fournisseurs de téléphones mobiles de trouver une solution globale pour atténuer les risques éventuels décrits. Qualcomm a confirmé ce problème et la classé comme une vulnérabilité critique disponible sous le nom CVE-2020-11292. Check Point Research recommande de tenir à jour son appareil mobile avec la dernière version du système d’exploitation afin de se protéger contre l’exploitation des vulnérabilités. En parallèle il faut installer des applications seulement a partie des boutiques officielles et sûre.



Apple corrige une faille dans ses systèmes

  Liste des news    Liste des new du mois  
Faille webkit iOS14.5 et MacOS 11.3

04

Mai

Alors que les mises à jour majeures d’iOS 14.5 et de macOS 11.3 sont fraîchement installées sur nos iPhone et Mac, Apple vient de mettre à disposition une nouvelle version de la plupart de ses systèmes d’exploitation qui corrige une importante faille de sécurité dans WebKit. A en croire la note de sécurité publiée par Apple, cette faille, qui concerne un problème de corruption mémoire et un dépassement d’entier dans WebKit, pouvait être exploitée grâce à du contenu Web malintentionné. Apple indique par ailleurs être au courant que cet exploit est utilisé activement, il est donc très fortement conseillé de mettre à jour votre système, qu’il s’agisse de macOS (désormais 11.3.1), d’iOS et d’iPadOS (désormais 14.5.1) ou encore de watchOS (désormais 7.4.1).



Encore un spectre qui rode !

  Liste des news    Liste des new du mois  
Faille type spectre

03

Mai

Une nouvelle faille de sécurité de type Spectre menace la sécurité de nos ordinateurs. Elle touche les processeurs AMD récents et ceux d'Intel de la dernière décennie. Un correctif engendrerait une diminution drastique des performances des CPU. En 2018, nous apprenions que des vulnérabilités touchaient de très nombreux modèles de processeurs équipant nos PC. Ces séries de failles sont connues sous les noms Spectre et Meltdown. Exploitées, elles peuvent permettre à des assaillants de voler les données d'un ordinateur et d'en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée. Des chercheurs de l’Université de Virginie et de l’Université de Californie à San Diego sont à l'origine de cette découverte, qui concerne une fois encore aussi bien les processeurs Intel que les CPU AMD. La faille de sécurité consiste en l'exploitation du cache micro-op. Ce dernier enregistre les instructions simples, permettant au processeur de les traiter des instructions simplement et rapidement lors du processus d'exécution, résultant en un gain de performances du CPU. Cette nouvelle vulnérabilité de type Spectre touche ainsi tous les processeurs ayant recours à un cache micro-op, c'est-à-dire les références Intel depuis 2011 et celles d'AMD depuis 2017. Les nombreux patchs de sécurité et correctifs qui ont été déployés suite aux révélations sur les premières failles Spectre sont inefficaces dans ce cas, car les premières vulnérabilités agissaient à un niveau tardif du processus d'exécution spéculative, alors que cette dernière agit plutôt à la source. Comme les autres failles Spectre, cette vulnérabilité exploite l'exécution spéculative, qui permet au processeur de préparer et d'accomplir des tâches qui n'ont pas encore été demandées pour qu'elles s'exécutent rapidement une fois qu'elles sont requises. La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions de manière à ouvrir un passage aux hackers vers le système et donc d'accéder à des données confidentielles. Les chercheurs estiment cependant que cette faille de sécurité est compliquée à exploiter, et que la corriger passerait nécessairement par une baisse sensible des performances des processeurs. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.



Facebook laisse fuité 533 Millions de numéros de téléphone

  Liste des news    Liste des new du mois  
Fuite Facebook

06

Avril

Au début du mois d’avril, une gigantesque base de données de plus de 533 millions de numéros de téléphone associés à des comptes Facebook a été rendue publique sur les réseaux sociaux. Parmi les utilisateurs concernés, on retrouve plus de 20 millions de Français. Samedi 3 avril dernier, Alon Gal, fondateur de l’entreprise de cybersécurité Hudson Rick a lancé l’alerte sur les réseaux sociaux, en révélant que plus de 530 millions de numéros de téléphone associés à des comptes Facebook étaient accessibles librement, et illégalement, en ligne. Certains comptes touchés par la fuite comprenaient aussi d’autres données, comme des adresses e-mails, ainsi que leur statut amoureux. Dans un communiqué envoyé au site américain Business Insider, Facebook a révélé que ces données étaient issues d’une ancienne fuite de données découverte et corrigée en 2019. Reste que le mal est fait : à l’heure actuelle, cette gigantesque base de données compte un peu moins de 20 millions de comptes français, disponibles à l’achat sur le dark-web. En janvier dernier, le site Vice avait déjà repéré un compte Telegram qui proposait de revendre les données associées à plusieurs centaines de millions de comptes Facebook. Malheureusement pour les internautes, il s’agit là d’une des plus grosses fuites jamais enregistrées par la plateforme. Concrètement, la fuite n’est donc pas nouvelle, mais est aujourd’hui accessible pour moins d’une centaine d’euros, ce qui la rend largement plus accessible aux pirates, même amateurs. Pour savoir si vous êtes concernés par cette fuite massive, il n’existe malheureusement pas de solution miracle. On vous déconseille de télécharger la base de données en question. Le plus simple reste donc de vous rendre sur la plateforme Have I been pwned, afin de vérifier que votre adresse mail n’a pas été compromise. L’outil ne vous permettra pas de savoir précisément d’où provient la fuite, mais aura le mérite de vous fixer sur la situation.



Les Smartphones Android et iOS sont quand même des mouchards

  Liste des news    Liste des new du mois  
Sequence Android et iOS

31

Mars

Un chercheur a analysé les transferts de données sur un Pixel 2 et un iPhone 8 sans connexion de compte utilisateur et en désactivant le partage de données. Surprise : il y a quand même beaucoup de données qui partent. Même en configuration minimale, les smartphones envoient en permanence des données à Google et Apple. C’est en effet ce qu’a constaté Douglas J. Leith, un chercheur au Trinity College de Londres. Il a pris un Pixel 2 sous Android 10 et un iPhone 8 sous iOS 13, pour l'un rooté pour l'autre jailbreaké, afin de pouvoir intercepter et déchiffrer les échanges de données avec les serveurs de Google et d’Apple. Les mesures ont été prises sans connexion d’un compte Google ou Apple et après refus de tout partage de données. Il s’avère que les deux terminaux envoient des données en moyenne tous les 4,5 minutes. Parmi les données qui sont transmises figurent l’IMEI, les numéros de série de l’appareil et de la carte SIM, le numéro de téléphone, des données télémétriques et des cookies. L’iPhone transmet, de surcroît, des données de localisation, l’adresse IP et les adresses MAC des appareils connectés au même réseau local. Concernant les données télémétriques, le chercheur constate que Google collecte en moyenne 20 fois plus de données que son concurrent Apple (1 Mo toutes les 12 heures sur le Pixel contre 52 ko sur l’iPhone). Le chercheur souligne qu’il est impossible pour l’utilisateur d’échapper à cette collecte de données. Contactés par Ars Technica, Google et Apple ont partiellement réfuté les conclusions de cette étude. Google estime que le chercheur a mal estimé le volume des données transmises et qu’elles ne sont pas 20 fois plus élevées sur le Pixel que sur l’iPhone. Par ailleurs, le géant du web précise que si les smartphones transmettent des données, c’est pour pouvoir assurer le bon fonctionnement des services, comme cela se fait pour les voitures.



Play store : même les VPN ne sont plus sur !

  Liste des news    Liste des new du mois  
VPN

05

Mars

Ce n’est plus vraiment un secret, entre les très nombreux cookies, trackers et autres outils de pistage qu’on trouve sur le web, protéger sa vie privée sur internet est devenu un vrai parcours du combattant. C’est ainsi que s’est démocratisé l’usage du VPN, pour Virtual Private Network, qui permet justement de devenir intraçable sur le web, tout en offrant d’autres avantages, comme permettre à ses utilisateurs de se loger dans d’autres régions du monde, et accéder au catalogue américain de Netflix, par exemple. Sauf que voilà, tous ces services de VPN ne se valent pas, et certains pourraient même se montrer dangereux pour l’intégrité de vos données personnelles, voire même… de vos données bancaires. C’est ce dont nous alerte le site Cybernews, qui nous met en garde contre trois applications proposant ce service sur Android : SuperVPN, GeckoVPN et ChatVPN. Toutes ces apps sont gratuites, et l’une d’entre elles, SuperVPN s’avère particulièrement populaire, avec près de 100 millions de téléchargements à son actif. Problème : trois importantes bases de données compilant des informations très sensibles de 21 millions d’utilisateurs de SuperVPN, GeckoVPN et ChatVPN se sont retrouvées en vente sur des forums du dark web. Parmi ces données, on retrouve des informations comme les noms et prénoms des utilisateurs, leurs adresses mail, des données correspondant aux smartphones utilisés pour se connecter, et même les données bancaires. Cybernews qualifie même ces applications d’extrêmement dangereuses. L’application SuperVPN avait déjà été supprimée du Play Store après avoir été identifiée comme étant malicieuse par les chercheurs de VPNPro. L’application permettant en effet à des hackers « d’intercepter les communications entre l’utilisateur et le fournisseur, et même de rediriger les utilisateurs vers un serveur malicieux. » 105 millions d’utilisateurs étaient alors menacés, avant que l’app ne soit retirée du Play Store.



Chrome 89 est dispo et corrige une faille zero-day

  Liste des news    Liste des new du mois  
chrome logo 89

04

Mars

La version 89 de Chrome est disponible, et avec elle le correctif d’une importante faille zero-day (CVE-2021-21160) activement exploitée par des pirates. Trouvée par les chercheurs en sécurité de Cisco Talos, cette vulnérabilité provient d’un dépassement de la mémoire du tas et se trouve dans la module WebAudio de la version Desktop du navigateur. Google ne donne pas davantage de détails à ce stade. Sept autres failles importantes ainsi qu’une quarantaine de failles de criticité faible ou moyenne ont également été patchées dans cette nouvelle mouture. Chrome 89 apporte également de nouvelles fonctionnalités. Sur Android, le navigateur peut désormais interagir avec des tags NFC, grâce à l’interface de programmation Web NFC. Sur Desktop, le navigateur intègre les interfaces de programmation Web Serial et WebHID. La première permet aux utilisateurs de se connecter sur les ports série de microcontrôleurs et d’imprimantes 3D. La seconde facilite l’usage de périphériques d’interface humaine, comme les claviers, les souris ou les manettes de jeux.



La CNIL Réagit au vol des données médicale

  Liste des news    Liste des new du mois  
Laboratoire source de fuite des donnees patients

25

Fevrier

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel. Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire. La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux. L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale. Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.



Un virus se propage sur les Mac

  Liste des news    Liste des new du mois  
Malware sur MacOS

22

Fevrier

Un mystérieux virus se propage sur macOS. Baptisé Silver Sparrow par les chercheurs de Red Canary, ce malware a la particularité d'être à la fois compatible avec les Mac dotés d'un processeur Intel et ceux doté d'une puce Apple M1, ce qui en fait seulement le second malware nativement compatible avec les processeurs ARM d'Apple. Téléchargé par au moins 29.139 utilisateurs vendredi dernier, ce virus cache pour l'instant son objectif. En effet, Silver Sparrow n'a pour l'instant aucun but. Pas de publicités ajoutées à votre navigateur, pas de demande de rançon… Son exécution se fait de manière transparente (son installation passerait par un .pkg qui imite le look d'un vrai logiciel et exécute du code JavaScript). Cependant, les experts en cybersécurité pensent que cela ne va pas durer. Une fois par heure, Silver Sparrow interroge ses serveurs pour exécuter de nouvelles commandes. À terme, quelqu'un pourrait éventuellement le déclencher. Autre fait étonnant, Silver Sparrow est doté d'une capacité d'auto-destruction… ce qui est rare pour un malware grand public. Les personnes qui en sont à l'origine pourraient donc le désinstaller de votre ordinateur si elles le souhaitent. À quoi donc sert ce malware ?



Encore des Failles dans iOS !

  Liste des news    Liste des new du mois  
Securite Apple Zero day

15

Fevrier

Après avoir déjà corrigé trois vulnérabi lités zero-day exploitées par des individus malveillants en novembre dernier, Apple au téléchargement nouvelle fois été mise au parfum par des chercheurs en sécurité anonymes. La firme de Cupertino a mis à jour, ces dernières heures, ses systèmes d'exploitation iOS et iPadOS, afin de corriger non pas une, ni deux, mais trois nouvelles failles de sécurité, de type zero-day. Ces trois vulnérabilités zero-day, décrites comme activement exploitées, touchent potentiellement pléthore d'appareils de la galaxie Apple. ESET France et son expert en cybersécurité Benoît Grunemwald, qui nous ont fait parvenir l'information ce lundi matin, nous indiquent que la liste des appareils concernés comprend "les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini 4 et plus et la 7ème génération d’iPod touch." Si on ne sait rien des attaques ni des cibles de ces attaques zero-day, on dispose déjà de certaines informations plus précises sur les fameuses failles. La première, qui répond à l'identifiant CVE-2021-1782, se situe dans le noyau du système d'exploitation. Elle consiste en un bogue de condition de course qui peut octroyer des privilèges à un pirate informatique, qui pourrait alors s'en servir pour lancer une application malveillante et faire de sérieux dégâts. Les deux autres vulnérabilités, identifiées CVE-2021-1871 et CVE-2021-1870, ont été dénichées dans le moteur de navigation web open-source d'Apple, WebKit, propulsé sur le navigateur Safari et l'outil Mail mais aussi sur d'autres applications iOS et iPadOS. Elles permettraient à un cybercriminel d'exécuter du code arbitraire à distance. Nous vous conseillons ainsi de mettre à jour vos appareils iOS et iPadOS avec la version 14.4. Par extension, le géant américain a, par précaution, publié des mises à jour pour ses Apple Watch et Apple TVs, respectivement avec les versions watchOS 7.3 et tvOS 14.4, que nous vous conseillons également de télécharger. À côté de ces mises à jour, Apple a aussi publié des correctifs de sécurité pour des failles qui touchaient ses produits Xcode (outil de programmation qui permet la création d'applications pour des produits Apple), et iCloud, le service de Cloud computing de la firme de Cupertino.



Faille zéro-day dans Chrome

  Liste des news    Liste des new du mois  
Faille Zero Day Chrome

05

Fevrier

Une mise à jour de Chrome 88 corrige un important bug dans le moteur Javascript du navigateur. Il faut absolument mettre à jour le logiciel. Google vient de publier en urgence la mise à jour 88.0.4324.150 de son navigateur Chrome. Elle corrige une importante faille zero-day (CVE-2021-21148) qui est activement exploitée par des pirates. Il s’agit en occurrence d’un dépassement de la zone mémoire du tas dans le moteur Javascript V8, sans plus de détails. Un rapport technique sera peut-être disponible ultérieurement, lorsqu’une majorité d’utilisateurs aura installé cette mise à jour. Pour obtenir cette mise à jour, il suffit d’aller dans le menu « Aide → A propos de Google Chrome ». Le navigateur va automatiquement la télécharger et l’installer. La semaine dernière, Google avait révélé une campagne de piratage qui cible les chercheurs en sécurité et qui prend appui sur le navigateur Chrome. Quelques jours plus tard, les experts de Microsoft ont précisé que cette opération utilisait une série de failles dans le navigateur. Mais rien ne dit pour l’instant que CVE-2021-21148 en fasse partie.


Des failles Zero-day corrigés sur des serveurs Apaches

Plus d'une centaine de milliers de serveurs Apache tournant sur la version 2.4.49 seraient vulnérables à l'attaque. Une zero-day activement exploitée Apache a déployé une mise à jour lundi afin de corriger une faille zero-day activement exploitée. Cette faille, traquée comme la CVE-2021-41773, a été introduite lors de la mise à jour 2.4.49 de l'Apache HTTP Server, sortie il y a moins d'un mois. Elle a été rapportée la semaine dernière par Ash Daulton et la cPanel Security Team. Cette faille permet à un attaquant d'accéder à des fichiers en-dehors du répertoire racine grâce à une attaque de type « path traversal ». Normalement, les requêtes pour accéder à des fichiers et dossiers en dehors du répertoire racine sont bloquées. Mais les chercheurs ont découvert qu'ils pouvaient contourner le blocage en utilisant des caractères codés dans les URL, par exemple « %2e » pour représenter un point. Grâce à cette technique, un attaquant pourrait accéder à des fichiers sensibles à utiliser dans des attaques supplémentaires. Pour qu'elle puisse fonctionner, il faut que le paramètre « require all denied » soit désactivé et que le serveur tourne avec la version 2.4.49, qui est la seule touchée. Apache a indiqué que cette vulnérabilité était utilisée dans des attaques, sans les décrire plus en avant ni préciser de quelle manière. Il est estimé que plus d'une centaine de milliers de serveurs Apache possèdent la version 2.4.49 de l'Apache HTTP Server et sont potentiellement vulnérables. Il est donc conseillé de faire la mise à jour le plus vite possible, d'autant plus que les preuves de concept se multiplient. Une deuxième vulnérabilité a été corrigée dans cette mise à jour. Il s'agit de la CVE-2021-41524, qui permet à un attaquant de réaliser une attaque de déni de service à distance sur un serveur à l'aide d'une requête spécialement créée. Aucune preuve de son utilisation n'a été trouvée.
06-10-2021


Une faille Apple Pay et Visa !

Une vulnérabilité présente dans le service « Transport express » d'Apple Pay permettrait à des pirates de réaliser des paiements frauduleux sur un iPhone verrouillé. La faille n'est présente qu'en combinaison avec une carte Visa et peut permettre de réaliser des paiements sans limite de somme. En règle générale, un paiement réalisé à l'aide d'Apple Pay demande une confirmation, que ce soit à l'aide de Face ID , de Touch ID ou d'un code d'accès. Mais, pour faciliter le paiement dans les transports en commun, Apple a introduit la fonctionnalité « Transport express », qui permet de payer ses trajets sans avoir à déverrouiller son téléphone ou confirmer le paiement. Des chercheurs de deux universités anglaises, celle de Birmingham et celle de Surrey, se sont penchés sur la fonctionnalité et ont trouvé une faille lorsque la fonctionnalité était utilisée avec une carte Visa. Cette méthode « man-in-the-middle » fonctionne pour des paiements en dessous de la limite autorisée. Pour réaliser des paiements au-dessus, il faut modifier un paramètre supplémentaire pour faire croire au lecteur de carte EMV que l'utilisateur a validé la transaction. De cette manière, les chercheurs ont réussi à réaliser un paiement de 1 000 £ à partir d'un iPhone verrouillé. En attendant, les chercheurs conseillent de ne pas utiliser sa carte Visa en mode « Transport express ». La vulnérabilité semble difficile à exploiter à la volée, sur un iPhone dans un sac par exemple, à cause du matériel et des modifications nécessaires. Un utilisateur dont le téléphone est volé ou perdu pourrait en revanche être beaucoup plus vulnérable. Dans ce cas, les chercheurs conseillent d'activer immédiatement le mode Perdu et de contacter sa banque.
01-10-2021


Une faille sur AMD

La faille a été détectée au sein du pilote de chipset « AMD Platform Security Processor » (PSP), propre à plusieurs architectures de processeurs de la marque. Classée comme modérée, elle permet néanmoins à des utilisateurs malveillants, n'étant pas administrateurs, d’accéder et de télécharger des données sensibles du système telles que les mots de passe par l’intermédiaire du pilote du chipset. Découverte au mois d’avril 2021 par Kyriakos Economou, chercheur en sécurité et co-fondateur de ZeroPeril, cette vulnérabilité avait alors uniquement été mise en évidence sur des systèmes exploitant des processeurs Ryzen séries 2000 et 3000. Après avoir pris contact avec AMD, l'audit s’est poursuivi afin d’établir une liste exhaustive. Dans son communiqué, AMD dresse la liste exhaustive des CPU et APU concernés. On y trouve, entre autres, les processeurs Ryzen Threadrippers (dont 2e et 3e générations, PRO), les Athlon X4 ou encore les Ryzen séries 1000, 2000, 3000, 4000 et 5000 avec CG Radeon. Pour corriger la faille, AMD détaille deux possibilités : mettre à jour le pilote AMD PSP via Windows Update (version 5.17.0.0), ou le faire manuellement (pilote AMD Chipset, version 3.08.17.735 ou plus récente). Dans le cas où votre processeur serait concerné mais que votre pilote PSP est antérieur à la version 5.17.0.0, il faudra procéder ainsi : Se rendre sur le site support d’AMD et sélectionner le modèle du chipset de votre carte mère; 1/ Télécharger le fichier .zip associé; Extraire le fichier d’installation puis le lancer. 2/ La détection du chipset démarre (cela peut prendre un certain temps…); 3/ Sélectionner le pilote PSP et valider l’installation; 4/ Autoriser le redémarrage pour finaliser l’installation.
22-09-2021


Pegasus sur iOS c'est pas fini !

Les chercheurs en sécurité de Citizen Lab continuent avec succès la traque de Pegasus, le fameux logiciel d’espionnage du groupe israélien NSO. En analysant l’iPhone d’un activiste saoudien, ils ont réussi à mettre la main sur un exemplaire de « ForcedEntry », une attaque zero-day et zero-click qui a été détectée fin août, et qui exploite des failles dans la messagerie iMessage. L’attaque en question date de mars 2021, mais ce n’est qu’à la suite d’une « reanalyse récente » que les experts ont pu extraire plusieurs dizaines de faux fichiers GIF dans un dossier dédié aux pièces jointes de la messagerie. Ces fichiers qui sont en réalité de type Adobe PSD ou Adobe PDF, contenaient le code malveillant de ForcedEntry. Cela été confirmé par Apple qui a également analysé les fichiers. L’entreprise précise que la vulnérabilité sous-jacente (CVE-2021-30860) permettait de forger un PDF vérolé qui, au moment du traitement sur l’iPhone, pouvait exécuter du code arbitraire sur l’appareil. L’attaque s’appuie notamment sur un dépassement de nombre entier dans la librairie de rendu graphique CoreGraphics. ForcedEntry fonctionnait non seulement sur tous les iPhones, mais aussi sur tous les Mac et toutes les Watch, d'Apple. Des correctifs ont été diffusés pour ces plates-formes, en l'occurrence iOS 14.8, macOS Big Sur 11.6, Security Update 2021-005 Catalina et watchOS 7.6.2. Il est conseillé de mettre à jour ses appareils le plus rapidement possible.
14-09-2021


Une base de données de 35 Millions de français sur le Web

Une base de données XXL (une de plus !) est en vente sur le dark web . Cette fois-ci, elle contient les données personnelles de 39 millions de Français et Françaises. Une nouvelle offre plutôt inquiétante est apparue sur le dark web. Le spécialiste en cybersécurité Damien Bancal a, pour Zataz, découvert une base de données contenant les données personnelles de 39 millions de Français et Françaises, de métropole et d'ailleurs. L'individu qui l'a mise en vente propose même un échantillon gratuit d'informations à toute personne qui démontre un intérêt pour le fichier. Il y a quelques jours, un pirate informatique a donc mis en ligne cette base de données sur le dark web, mais aussi sur certains forums directement accessibles depuis le Web. C'est en se faisant passer pour un acheteur que Damien Bancal a obtenu davantage de détails. Dès lors qu'on montre un intérêt à l'achat, le pirate qui commercialise la base de données vous appâte en vous offrant un petit échantillon de 100 000 exemples. Histoire qu'on ne doute pas de sa crédibilité. Et figurez-vous que le hors-d'œuvre contient divers types de données. Damien Bancal évoque ainsi des « noms, prénoms, adresses postales, téléphones, adresses électroniques ». Et après analyse, il s'est aperçu que les Français et Françaises rattachés à cette base de données proviennent d'un peu partout en France, des grandes villes (Paris, Marseille, Lyon) aux communes plus confidentielles (Ussel, Gerzat, Le Bourget), en passant par la Polynésie française. Il est aujourd'hui difficile de savoir d'où proviennent les données regroupées. « Il y a de fortes chances que ce commerçant pirate [ait] aggloméré plusieurs sources », indique Damien Bancal. Un détail plus particulier a retenu l'attention de l'expert cyber. Dans les données récupérées apparaît une colonne « Real Money » (argent réel), un terme que l'on retrouve généralement dans les domaines ou sur les sites de jeu en ligne et de crypto-monnaies . « Les données n'en restent pas moins étonnantes et inquiétantes », note le fondateur de Zataz. Il faut dire qu'avec une telle base de données entre les mains, tout acteur malintentionné pourrait lancer diverses campagnes malveillantes, en utilisant par exemple le phishing et ses variantes, pour tenter de piéger des utilisateurs ou utilisatrices pas assez méfiants, par le biais d'emails et de SMS plus ou moins crédibles et bien imités.
02-09-2021


Une liste de terroristes fuite sur le web

En juillet dernier, le chercheur en sécurité Bob Diachenko a détecté une base de données Elasticsearch particulièrement intéressante. Elle était totalement en accès libre et contenait les données de 1,9 million de terroristes présumés : nom, nationalité, sexe, date de naissance, numéro de passeport, indicateur no-fly, etc. D’après les termes utilisés dans la base, ces données provenaient visiblement du Terrorist Screening Center. Piloté par le FBI, cet organisme américain vise à identifier les terroristes présumés dans le monde entier. Elle maintient notamment une liste de personnes interdites de vol. Cette liste est secrète, mais elle est partagée avec certains pays étrangers. D’ailleurs, la base Elasticsearch se trouvait sur un serveur situé au Bahreïn, l’un des principaux hubs du Moyen-Orient. Le chercheur en sécurité a immédiatement alerté le Department of Homeland Security, mais qui a tardé à réagir. L’accès à la base n’a été supprimé qu’au bout de trois semaines. M. Diachenko ne sait pas si quelqu’un d’autre a pu accéder à cette base de données, mais c’est fort probable, car elle était indexée par les moteurs de recherche Censys et ZoomEye. Selon lui, cette fuite de données peut avoir d’importantes conséquences. Cette base « est composée de personnes soupçonnées de terrorisme, mais qui n’ont pas nécessairement été inculpées d’un crime. Entre de mauvaises mains, cette liste pourrait être utilisée pour opprimer, harceler ou persécuter les personnes figurant sur la liste et leurs familles. Cela pourrait causer de nombreux problèmes personnels et professionnels à des personnes innocentes dont les noms figurent sur la liste », explique-t-il.
18-08-2021


Microsoft publie un correctif d'urgence pour colmater une faille

Microsoft publie en urgence une mise à jour de sécurité Windows 10, KB5004945. Elle est censée résoudre une vulnérabilité zero-day nommée « PrintNightmare ». La situation est jugée critique car cette faille est activement exploitée par les pirates. Les rapports indiquent que cette défaillance de Windows permet à une personne d’obtenir des privilèges locaux et d’exécution du code à distance. Pour tenter de résoudre la situation Microsoft vient de publier en dehors du traditionnel Patch Tuesday un correctif de sécurité. La mauvaise nouvelle est que cette faille PrintNightmare affecte toutes les versions de Windows 10. KB5004945 est proposé comme une mise à jour de sécurité obligatoire pour Windows 10 2004 ou plus récent. Elle est déployée au travers du service Windows Update qui se charge de la télécharger et de lancer son installation. Les PC sous Windows 10 v1909 sont de leur côté visés par la mise à jour KB5004946. Là aussi le correctif est obligatoire. Son téléchargement et son installation sont automatiques. Pour Windows 10 v1809 et Windows Server 2019, le colmatage de cette faille est assuré par le correctif KB5004947. On vous conseille d'urgence d'effectuer cette Mise à jour et pensez à enregistrer votre travail car un redémarrage de l’ordinateur est nécessaire pour que les changements prennent effet. Vous pouvez également récupérer ce correctif manuellement au travers du service en ligne Microsoft Update Catalog.
08-07-2021


Des Apps Android qui récupére votre P.W. Facebook

Les analystes de chez Dr. Web ont mis en lumière une flopée d'applications malveillantes sur Google Play, dont l'objectif est de dérober les identifiants et les mots de passe Facebook des utilisateurs. Au total, ce sont 9 applications qui sont concernées, toutes disponibles via Google Play avant d'être retirées par Google. Méfiance donc si vous avez téléchargé Processing Photo, App Lock Keep, Rubbish Cleaner, Horoscope Daily, Horoscope Pi, App Lock Manager, Lockit Master, Inwell Fitness ou encore PIP Photo. Toutes ces applications sont bel et bien fonctionnelles, mais renferment un malware. Au lancement, l'utilisateur était en effet invité à se connecter avec son compte Facebook, et l'application en profitait évidemment pour subtiliser au passage les précieux identifiants et mots de passe. Prudence donc. Toutefois, les récentes audiences sur l'abus de position dominante de la firme de Mountain View et son PlayStore ont tôt fait de rappeler à des millions d'utilisateurs que d'autres solutions existent. Même si elles ne sont pas pour autant encouragées par Google, qui ne cesse de vanter la sécurité de son store d'applications.
06-07-2021


Un hack étrange a effacé à distance les disques de nombreux WD My Book.

Un script de réinitialisation a, semble-t-il, été lancé à distance il y a deux jours. Les données stockées sont perdues à jamais. Un hack étrange a eu lieu déroulé le 23 juin dernier. Un grand nombre de WD My Book, des disques NAS destinés au stockage de données, ont été mystérieusement réinitialisés. Toutes les données stockées ont été effacées, provoquant le désarroi des utilisateurs. « Au secours, toutes mes données sont parties », « Je suis totalement foutu sans ces données », « C’est hyper flippant »… peut-on lire dans un fil de discussion du site de Western Digital qui compte déjà plus de 130 messages. Les logs des appareils montrent que cet effacement a été réalisé au travers d’un script shell baptisé « factoryRestore.sh ». Selon le fabricant, quelqu’un aurait piraté tous ces disques et provoqué volontairement cette réinitialisation. Les infrastructures de Western Digital, en revanche, ne seraient pas impliquées dans cette affaire. « Nous n’avons aucun indice de compromission ou de fuite de données au niveau de nos services cloud ou de nos systèmes », souligne Western Digital dans un communiqué. L’entreprise recommande à tous les utilisateurs de déconnecter leurs disques WD My Book de l’Internet.
25-06-2021


50 vulnérabilités dans Windows

Dans son dernft 50 vulnérabilités, dont six failles zconsidérées comme critiques, et les autres sont classées comme importantes par Microsoft, mais l'une d'entere elles n'a pas été repérée comme ayant été utilisée dans des attatrong> pong>rudent d'appliquer les correctifs. Au contraire, deux autres sont actuellement utilisées par un nouveau groupe appelé PuzzleMaker. Découverts par Kapersky, ces hackers utilisent en premier lieu une faille zero-day présente dans V8, le moques. Il s'agit de la CVE-2021-31968, unier Patch Tuesday,Microsoft vulnérabilité de déni de service dans la fonctionnalité « Bureau à distance ». Elle remonte à Windows 7 et avait déjà été dévoilée publiquement sans être utilisée par la zero-day activement exploitées. Parmi les 50 vulnérabilités corrigées. Il reste toutefois plus JavaScript de Google Chrome , pour accéder au système. Par la suite, ils utilisent deux des failles corrigées ce mardi : la CVE-2021-31955, qui est une vulnérabilité de divulgation d'informations présente dans le noyau Windows, et la CVE-2021-31956, une vulnérabilité d'élévation de privilège dans Windows NTFS. Une autre d'entre ellesrabili, la CVE-2021-33742, concerne toutes les versions actuellement supportées de Windows. Elle est considérée comm critique et permet l'exécution de code à distance via la plateforme MSHTML. Cette plateforme avait été créée pour Internet Explorer, mais continue d'être utilisée aujourd'hui, notamment par le mode Internet Explorer dans Edge . Elle nécessite une interaction de l'utilisateur et peut donc être exploitée grâce à l'ouverture d'un fichier malveillant ou la visite d'une page web créée pour l'occasion. Les trois dernières sont des vulnérabilités d'élévation de privilège : deux qui concernent Microsoft Enhanced Cryptographic Provider et une dans la bibliothèque principale de Microsoft DWM. Comme d'habitude, le mot d'ordre est d'appliquer les correctifs au plus vite, surtout pour les failles activement exploitées.
09-06-2021


8,4 millards de mot de passe dans le dark web

D’après nos confrères de Cyber News, un utilisateur d’un forum a posté un énorme fichier TXT de 100 Go. Celui-ci contiendrait près de 8,4 milliards d’entrées de mots de passe. Cyber News a découvert que le nombre exact de mots de passe contenu dans ce fichier était 8 459 060 239. RockYou2021 représente un énorme risque de sécurité pour les victimes incluses dans sa liste. RockYou2021 peut rapidement circuler sur Internet et sur le marché noir. Avec un tel fichier, les pirates pourraient commencer à voler vos informations personnelles. « En combinant 8,4 milliards de variations uniques de mots de passe avec d’autres compilations de brèches qui incluent des noms d’utilisateur et des adresses électroniques, les acteurs de la menace peuvent utiliser la collection RockYou2021 pour monter des attaques contre un nombre incalculable de comptes en ligne. », note Cyber News. Il existe deux façons de vérifier si vos données sont disponibles dans un fichier qui a été dévoilé sur Internet. Tous deux sont des outils Internet disponibles que vous pouvez remplir en quelques minutes. Tout d’abord, Cyber News a mis en place un outil de vérification en ligne des fuites de données personnelles. Celui-ci vous demande de fournir votre adresse électronique ou votre numéro de téléphone pour savoir si ces données sont disponibles sur le Web. Récemment, ce sont les données personnelles de plus de 500 millions d’utilisateurs de Facebook qui étaient accessibles en ligne. Dans le cas de RockYou2021, la base de données ne contient que des mots de passe. Cyber News dispose également d’un outil qui vous permettra de savoir si vos mots de passe sont concernés. Il est recommandé de vérifier si vos données ont fuité avec les deux outils ci-dessus. Après avoir cliqué sur « Check Now », le site vous dira si vos données ont été trouvées dans une des bases de données. Si le message est vert, tout va bien. Cependant, s’il est rouge, il vous faut rapidement changer le mot de passe concerné. Si vous ne savez pas si votre mot de passe est « fort ».
08-06-2021


Six applications a suprimer d'urgence !

Six nouvelles applications vérolées copiant des apps très populaires sont en circulation sur le Play Store de Google. Désinstallez-les ! La pandémie en cours aura définitivement accentué nos usages numériques, ce qui aura eu l’effet pervers d’attirer les escrocs à multiplier les arnaques diverses et variées, comme cette dernière visant l’enseigne E.Leclerc. Les malwares ont également le vent en poupe, se propageant sur nos différents appareils par des moyens fourbes, et notamment sur nos smartphones. C’est ainsi qu’il arrive parfois que des applications vérolées se frayent un chemin jusqu’au Play Store officiel de Google, comme nous alertent les chercheurs en cybersécurité de Bitdefender. Ils viennent en effet de découvrir qu’un malware était actuellement diffusé sur Android en se faisant passer pour des applications populaires. Derrière ces noms célèbres se cache pourtant un dangereux virus connu sous le nom de « TeaBot ». Il s’agit d’un cheval de Troie bancaire capable d’intercepter vos messages, permettant ainsi aux hackers de dérober vos codes d’authentification et de se frayer un chemin jusqu’à vos comptes sensibles. Ce malware a été spécifiquement développé pour s’arroger un accès à votre compte bancaire, et notamment venir à bout de l’authentification à deux facteurs utilisée par de nombreux organismes bancaires, c’est pourquoi la menace est sérieuse. Ces applications sont d’autant plus difficiles à débusquer qu’il s’agit de copies d’applications extrêmement populaires. « Elles n’ont aucune des fonctionnalités de la version originale. Elles demandent la permission d’accéder à d’autres applications, d’afficher des notifications et d’installer des applications en dehors du Play Store, après quoi elles cachent leur icône » expliquent les chercheurs de Bitdefender. Certaines cumulent déjà plus de 50 millions de téléchargements, c’est pourquoi vous feriez bien de faire un petit tour dans vos réglages pour vérifier qu’aucune d’entre elles ne s’y trouvent. Notez que, comme il s’agit de copies, vous devrez chercher les applications correspondant aux noms exacts que voici : Uplift: Health and Wellness App, BookReader, PlutoTV, Rocycnyru: THIS Bosbpat, Kaspersky: Free Antivirus, VLC MediaPlayer
07-06-2021


Une Faille sur la Puce M1 impossible à corriger

Hector Martin, développeur pour Asahi Linux, a découvert durant son travail une faille dans les puces M1 d'Apple. La mauvaise nouvelle, c'est que cette vulnérabilité ne peut être corrigée avec une mise à jour logicielle vu que la faille se situe au niveau des puces elles-mêmes. La bonne nouvelle, c'est qu'elle n'est pas si grave que ça. La faille matérielle, désignée sous le nom de « M1RACLES », pour M1ssing Register Access Controls Leak EL0 State, peut permettre à deux processus coopératifs de partager des informations entre eux à l'aide d'un canal de communication secret. Cette communication passe par deux bits qui peuvent être lus et écrits à EL0 (Exception Level 0, le niveau de privilège le plus bas, généralement accordé aux applications) sur tous les cœurs en simultané. L'échange d'informations se fait à un peu plus de 1 MB/s, ce qui reste relativement bas. Hector Martin ne considère cependant pas que cela représente un gros risque pour la sécurité des utilisateurs puisque d'autres moyens existent déjà pour que deux applications communiquent entre elles, la faille nécessitant d'autant plus une coopération entre les deux programmes. Mais si cette vulnérabilité n'est pas si grave que ça, il n'empêche qu'elle entre en violation des principes de sécurité des systèmes d'exploitation. « En gros, Apple a décidé d'enfreindre la spécification ARM en supprimant une fonctionnalité obligatoire, car ils (les développeurs) pensaient ne jamais avoir besoin d'utiliser cette fonctionnalité pour macOS. Et puis il s'est révélé que la supprimer a rendu beaucoup plus difficile pour les systèmes d'exploitation existants d'atténuer cette vulnérabilité », explique le développeur dans son article de blog. Cette faille concerne tous les utilisateurs des appareils Apple utilisant la puce M1, qu'ils soient sur Big Sur ou sur Linux version 5.13 ou plus. Mais ils ne sont pas les seuls puisqu'il a été confirmé que la puce A14, utilisée sur les iPad et iPhone , était également touchée par la même erreur de conception. Toutefois, le développeur se veut rassurant. La faille a été communiquée à Apple il y a plus de 90 jours et il est confiant sur le fait que la firme a mis des protections en place pour scanner les applications qui pourraient être tentées de l'exploiter.
31-05-2021


La pomme est elle votre ami ou pas ?

La sécurité est elle juste un argument commercial du marketing non vérifier chez Apple ? La marque à la pomme a transmis aux autorités fédérales américaines les données iCloud d’Alexandra Elbakyan, la fondatrice du réseau de partage d’articles scientifiques Sci-Hub accusée de violation de propriété intellectuelle. Alors que certains internautes s’inquiétaient récemment de voir le gouvernement chinois mettre la main sur les clés de cryptage iCloud d’Apple, la marque à la pomme vient de céder les données personnelles d’une utilisatrice au gouvernement américain. Dans un message posté sur son compte Twitter, l’activiste kazakhe Alexandra Elbakyan dévoile le contenu d’un mail envoyé par l’entreprise, lui indiquant que son compte iCloud a fait l’objet d’une saisie par le FBI. Fondatrice du réseau Sci-Hub, Alexandra Elbakyan est depuis un moment déjà dans le viseur des autorités. Son site de partage d’articles scientifiques permet en effet à de nombreux étudiants et professeurs de consulter gratuitement des publications scientifiques. Si l’intention est louable, il s’agit d’une copie illégale de propriété intellectuelle, la jeune femme n’ayant pas les droits nécessaires pour publier les articles en questions. Parmi les plus fervents détracteurs du cas Elbakyan, on retrouve la maison d’édition néerlandaise Elsevier. Très critiquées au sein même de la communauté scientifique, les pratiques commerciales du groupe sont accusées de priver d’informations une partie des universitaires du monde entier, alors que leur rôle de vérification scientifique est régulièrement mis en doute. Dans cette affaire, les regards se sont logiquement tournés vers Apple, accusé d’avoir cédé des données confidentielles au FBI alors même que l’entreprise américaine martèle faire du respect de la vie privée l’un de ses principaux combats. Pourtant ici, la Pomme n’a fait qu’obéir à la loi. Ainsi, les données présentes sur les serveurs du GAFAM peuvent être en partie déchiffrées, et livrées aux autorités si une procédure judiciaire l’exige.
20-05-2021


Depuis les 15 mai, nouvelles normes de transactions

Dans l'optique de faire de l'achat sur Internet une pratique plus sûre pour les consommateurs, il y a eu du changement dans le paiement en ligne. Depuis samedi, de nouvelles normes de sécurité sont entrées en vigueur. Elles sont à la fois destinées aux internautes, aux mobinautes, aux banques et aux e-commerçants. Le SMS envoyé pour confirmer tout paiement en ligne d'un certain montant ne suffira plus. Place désormais à l'authentification forte. Qu'est-ce que signifie « l'authentification forte », exigée pour les achats en ligne sans minimum de montant ? Pour que le consommateur puisse s'authentifier et valider son achat, il devra fournir deux des trois éléments suivants : une information qu'il est le seul à connaître, comme un mot de passe ou un code secret; l'utilisation d'un appareil qu'il détient : un ordinateur, un mobile, un boîtier éventuellement fourni par la banque, etc. une caractéristique personnelle propre, comme la reconnaissance faciale ou une empreinte digitale. Si l'un des deux éléments exigés vient à manquer ou à être erroné, alors le paiement n'est pas autorisé. La fédération française bancaire précise que les banques pourront proposer des alternatives aux Français qui ne disposent pas d'un smartphone. Par exemple, ils pourront utiliser un SMS à usage unique couplé à un mot de passe connu du client, outre la solution du boîtier physique directement fourni par l'établissement, dont nous parlions plus haut.
17-05-2021


128 Millions d'iPhones infectés par XCodeGhost en 2015

Des e-mails internes d’Applemontrent que ce malware a réussi à faire un grand nombre de victimes , dont une majorité en Chine. La bataille juridique entre Apple et Epic apporte, de manière inattendue, des détails sur un logiciel espion qui a infecté plus de 4000 applications iPhone en 2015, ce qui en fait l’une des plus grandes attaques sur les utilisateurs d’iPhone. Baptisé XCodeGhost, ce code malveillant s’était inséré dans des logiciels parfaitement légitimes grâce à une version vérolée de Xcode, l’environnement de développement d’Apple. Cela affectait principalement les développeurs en Chine, où le téléchargement de cette version compromise était beaucoup plus rapide que la version originale. Cet épisode de malveillance est évoqué dans des e-mails internes à Apple qui viennent d’être dévoilés à l’occasion du procès. On apprend ainsi que ce malware a infecté plus de 128 millions d’utilisateurs dans le monde, dont 18 millions aux États-Unis. La majorité des victimes (55 %) se trouvaient toutefois en Chine. Il faut dire que les pirates avaient réussi à compromettre des applications particulièrement populaires, comme WeChat, CamCard ou Angry Birds 2. XCodeGhost exfiltrait uniquement des données basiques sur le terminal et l’utilisateur, comme le nom et l’identifiant de l’appareil, le type de connexion réseau et le nom de l’application infectée. Ces chiffres n’avaient jamais été révélés auparavant. Les échanges internes montrent, par ailleurs, que la firme de Cupertino était assez désemparée face à cette attaque. En particulier, la notification des victimes posait un problème en raison du grand nombre de personnes, de pays et d’applications affectés. « Avec un lot de cette taille (128M), nous devrons probablement passer une semaine à envoyer ces messages. Donc après avoir localisé les e-mails (ce qui prendra plusieurs jours), nous aurons besoin d’au moins une semaine pour l’envoi », peut-on lire dans les messages.
11-05-2021


40% des puces Qualcomm ont une faille

Une faille de sécurité affecte la puce Modem Station Mobile (MSM) de Qualcomm. Présente dans près de 40 % des téléphones elle est responsable de la communication cellulaire. Cette faille de sécurité a été découverte par le CPR contraction de Check Point Research. Elle permet à un pirate d’avoir un accès aux message SMS et à l’audio des conversations téléphoniques. Cela signifie qu’un hacker peut l’utiliser pour injecter du code malveillant dans le modem à partir du système d’exploitation Android. Il devient alors possible d’avoir un accès à l’historique des appels, aux SMS et à l’écoute des conversations téléphonique. La vulnérabilité peut également permettre de déverrouiller la carte SIM afin de contourner les limitations qui lui sont imposées par les fournisseurs de services. La puce MSM de Qualcomm est présente sur les téléphones haut de gamme des grands constructeurs. Nous pouvons citer Google, Samsung, LG, Xiaomi et One Plus. Heureusement Qualcomm a été rapidement informé ce qui a permis de corriger le problème. Le calendrier de cette affaire évoque une découverte en octobre 2020 et l’envoir d’un correctif aux marques de smartphones concernées à partir du mois décembre 2020. Pour revenir à cette nouvelle vulnérabilité, elle affecte la puce Modem Station Mobile (MSM) de Qualcomm dont le récent MSM 5G. La 5G est la prochaine norme technologique mobile qui succède à la 4G/LTE. Le nombre d’utilisateurs de smartphones dépasse aujourd’hui les 3 milliards dans le monde. Qualcomm est un grand nom du domaine grâce à une grande variété de puces. Elles sont présentes dans plus de 40 % des smartphones du marché. Nous les retrouvons en particulier sur le segment haut de gamme. Ce n’est pas la première fois qu’une défaillance de sécurité est découverte dans les solutions Qualcomm. Le CPR nous précise avoir trouvé plus de 400 vulnérabilités sur la puce Snapdragon DSP (Digital Signal Processor) de ce constructeur en août 2020. Check Point Research a publié un billet de blog pour sensibiliser aux risques associés à cette vulnérabilité. Toutefois, l’ensemble des détails techniques n’est pas proposé afin de laisser du temps aux fournisseurs de téléphones mobiles de trouver une solution globale pour atténuer les risques éventuels décrits. Qualcomm a confirmé ce problème et la classé comme une vulnérabilité critique disponible sous le nom CVE-2020-11292. Check Point Research recommande de tenir à jour son appareil mobile avec la dernière version du système d’exploitation afin de se protéger contre l’exploitation des vulnérabilités. En parallèle il faut installer des applications seulement a partie des boutiques officielles et sûre.
07-05-2021


Apple corrige une faille dans ses systèmes

Alors que les mises à jour majeures d’iOS 14.5 et de macOS 11.3 sont fraîchement installées sur nos iPhone et Mac, Apple vient de mettre à disposition une nouvelle version de la plupart de ses systèmes d’exploitation qui corrige une importante faille de sécurité dans WebKit. A en croire la note de sécurité publiée par Apple, cette faille, qui concerne un problème de corruption mémoire et un dépassement d’entier dans WebKit, pouvait être exploitée grâce à du contenu Web malintentionné. Apple indique par ailleurs être au courant que cet exploit est utilisé activement, il est donc très fortement conseillé de mettre à jour votre système, qu’il s’agisse de macOS (désormais 11.3.1), d’iOS et d’iPadOS (désormais 14.5.1) ou encore de watchOS (désormais 7.4.1).
04-05-2021


Encore un spectre qui rode !

Une nouvelle faille de sécurité de type Spectre menace la sécurité de nos ordinateurs. Elle touche les processeurs AMD récents et ceux d'Intel de la dernière décennie. Un correctif engendrerait une diminution drastique des performances des CPU. En 2018, nous apprenions que des vulnérabilités touchaient de très nombreux modèles de processeurs équipant nos PC. Ces séries de failles sont connues sous les noms Spectre et Meltdown. Exploitées, elles peuvent permettre à des assaillants de voler les données d'un ordinateur et d'en prendre le contrôle. Une nouvelle variante de Spectre a été récemment identifiée. Des chercheurs de l’Université de Virginie et de l’Université de Californie à San Diego sont à l'origine de cette découverte, qui concerne une fois encore aussi bien les processeurs Intel que les CPU AMD. La faille de sécurité consiste en l'exploitation du cache micro-op. Ce dernier enregistre les instructions simples, permettant au processeur de les traiter des instructions simplement et rapidement lors du processus d'exécution, résultant en un gain de performances du CPU. Cette nouvelle vulnérabilité de type Spectre touche ainsi tous les processeurs ayant recours à un cache micro-op, c'est-à-dire les références Intel depuis 2011 et celles d'AMD depuis 2017. Les nombreux patchs de sécurité et correctifs qui ont été déployés suite aux révélations sur les premières failles Spectre sont inefficaces dans ce cas, car les premières vulnérabilités agissaient à un niveau tardif du processus d'exécution spéculative, alors que cette dernière agit plutôt à la source. Comme les autres failles Spectre, cette vulnérabilité exploite l'exécution spéculative, qui permet au processeur de préparer et d'accomplir des tâches qui n'ont pas encore été demandées pour qu'elles s'exécutent rapidement une fois qu'elles sont requises. La vulnérabilité permet de tromper le CPU et de lui faire exécuter des instructions de manière à ouvrir un passage aux hackers vers le système et donc d'accéder à des données confidentielles. Les chercheurs estiment cependant que cette faille de sécurité est compliquée à exploiter, et que la corriger passerait nécessairement par une baisse sensible des performances des processeurs. Intel et AMD pourraient donc choisir de ne pas couvrir cette vulnérabilité.
03-05-2021


Facebook laisse fuité 533 Millions de numéros de téléphone

Au début du mois d’avril, une gigantesque base de données de plus de 533 millions de numéros de téléphone associés à des comptes Facebook a été rendue publique sur les réseaux sociaux. Parmi les utilisateurs concernés, on retrouve plus de 20 millions de Français. Samedi 3 avril dernier, Alon Gal, fondateur de l’entreprise de cybersécurité Hudson Rick a lancé l’alerte sur les réseaux sociaux, en révélant que plus de 530 millions de numéros de téléphone associés à des comptes Facebook étaient accessibles librement, et illégalement, en ligne. Certains comptes touchés par la fuite comprenaient aussi d’autres données, comme des adresses e-mails, ainsi que leur statut amoureux. Dans un communiqué envoyé au site américain Business Insider, Facebook a révélé que ces données étaient issues d’une ancienne fuite de données découverte et corrigée en 2019. Reste que le mal est fait : à l’heure actuelle, cette gigantesque base de données compte un peu moins de 20 millions de comptes français, disponibles à l’achat sur le dark-web. En janvier dernier, le site Vice avait déjà repéré un compte Telegram qui proposait de revendre les données associées à plusieurs centaines de millions de comptes Facebook. Malheureusement pour les internautes, il s’agit là d’une des plus grosses fuites jamais enregistrées par la plateforme. Concrètement, la fuite n’est donc pas nouvelle, mais est aujourd’hui accessible pour moins d’une centaine d’euros, ce qui la rend largement plus accessible aux pirates, même amateurs. Pour savoir si vous êtes concernés par cette fuite massive, il n’existe malheureusement pas de solution miracle. On vous déconseille de télécharger la base de données en question. Le plus simple reste donc de vous rendre sur la plateforme Have I been pwned, afin de vérifier que votre adresse mail n’a pas été compromise. L’outil ne vous permettra pas de savoir précisément d’où provient la fuite, mais aura le mérite de vous fixer sur la situation.
06-04-2021


Les Smartphones Android et iOS sont quand même des mouchards

Un chercheur a analysé les transferts de données sur un Pixel 2 et un iPhone 8 sans connexion de compte utilisateur et en désactivant le partage de données. Surprise : il y a quand même beaucoup de données qui partent. Même en configuration minimale, les smartphones envoient en permanence des données à Google et Apple. C’est en effet ce qu’a constaté Douglas J. Leith, un chercheur au Trinity College de Londres. Il a pris un Pixel 2 sous Android 10 et un iPhone 8 sous iOS 13, pour l'un rooté pour l'autre jailbreaké, afin de pouvoir intercepter et déchiffrer les échanges de données avec les serveurs de Google et d’Apple. Les mesures ont été prises sans connexion d’un compte Google ou Apple et après refus de tout partage de données. Il s’avère que les deux terminaux envoient des données en moyenne tous les 4,5 minutes. Parmi les données qui sont transmises figurent l’IMEI, les numéros de série de l’appareil et de la carte SIM, le numéro de téléphone, des données télémétriques et des cookies. L’iPhone transmet, de surcroît, des données de localisation, l’adresse IP et les adresses MAC des appareils connectés au même réseau local. Concernant les données télémétriques, le chercheur constate que Google collecte en moyenne 20 fois plus de données que son concurrent Apple (1 Mo toutes les 12 heures sur le Pixel contre 52 ko sur l’iPhone). Le chercheur souligne qu’il est impossible pour l’utilisateur d’échapper à cette collecte de données. Contactés par Ars Technica, Google et Apple ont partiellement réfuté les conclusions de cette étude. Google estime que le chercheur a mal estimé le volume des données transmises et qu’elles ne sont pas 20 fois plus élevées sur le Pixel que sur l’iPhone. Par ailleurs, le géant du web précise que si les smartphones transmettent des données, c’est pour pouvoir assurer le bon fonctionnement des services, comme cela se fait pour les voitures.
31-03-2021


Play store : même les VPN ne sont plus sur !

Ce n’est plus vraiment un secret, entre les très nombreux cookies, trackers et autres outils de pistage qu’on trouve sur le web, protéger sa vie privée sur internet est devenu un vrai parcours du combattant. C’est ainsi que s’est démocratisé l’usage du VPN, pour Virtual Private Network, qui permet justement de devenir intraçable sur le web, tout en offrant d’autres avantages, comme permettre à ses utilisateurs de se loger dans d’autres régions du monde, et accéder au catalogue américain de Netflix, par exemple. Sauf que voilà, tous ces services de VPN ne se valent pas, et certains pourraient même se montrer dangereux pour l’intégrité de vos données personnelles, voire même… de vos données bancaires. C’est ce dont nous alerte le site Cybernews, qui nous met en garde contre trois applications proposant ce service sur Android : SuperVPN, GeckoVPN et ChatVPN. Toutes ces apps sont gratuites, et l’une d’entre elles, SuperVPN s’avère particulièrement populaire, avec près de 100 millions de téléchargements à son actif. Problème : trois importantes bases de données compilant des informations très sensibles de 21 millions d’utilisateurs de SuperVPN, GeckoVPN et ChatVPN se sont retrouvées en vente sur des forums du dark web. Parmi ces données, on retrouve des informations comme les noms et prénoms des utilisateurs, leurs adresses mail, des données correspondant aux smartphones utilisés pour se connecter, et même les données bancaires. Cybernews qualifie même ces applications d’extrêmement dangereuses. L’application SuperVPN avait déjà été supprimée du Play Store après avoir été identifiée comme étant malicieuse par les chercheurs de VPNPro. L’application permettant en effet à des hackers « d’intercepter les communications entre l’utilisateur et le fournisseur, et même de rediriger les utilisateurs vers un serveur malicieux. » 105 millions d’utilisateurs étaient alors menacés, avant que l’app ne soit retirée du Play Store.
05-03-2021


Chrome 89 est dispo et corrige une faille zero-day

La version 89 de Chrome est disponible, et avec elle le correctif d’une importante faille zero-day (CVE-2021-21160) activement exploitée par des pirates. Trouvée par les chercheurs en sécurité de Cisco Talos, cette vulnérabilité provient d’un dépassement de la mémoire du tas et se trouve dans la module WebAudio de la version Desktop du navigateur. Google ne donne pas davantage de détails à ce stade. Sept autres failles importantes ainsi qu’une quarantaine de failles de criticité faible ou moyenne ont également été patchées dans cette nouvelle mouture. Chrome 89 apporte également de nouvelles fonctionnalités. Sur Android, le navigateur peut désormais interagir avec des tags NFC, grâce à l’interface de programmation Web NFC. Sur Desktop, le navigateur intègre les interfaces de programmation Web Serial et WebHID. La première permet aux utilisateurs de se connecter sur les ports série de microcontrôleurs et d’imprimantes 3D. La seconde facilite l’usage de périphériques d’interface humaine, comme les claviers, les souris ou les manettes de jeux.
04-03-2021


La CNIL Réagit au vol des données médicale

Le gendarme des données, la CNIL, a confirmé mercredi que les données de santé volées proviendraient bien de laboratoires d'analyse médicale. L'autorité en profite aussi pour lancer un appel. Depuis plusieurs jours, circule sur diverses plateformes pirates une base de données comportant les données personnelles et médicales de près de 500 000 patients français. Nom, adresses (postale et e-mail), numéro de sécurité sociale, groupe sanguin, médecin traitant, pathologie ou traitement éventuels… Libération et Zataz, qui ont tous deux dévoilé la fuite, indiquent que jusqu'à 60 données différentes issues d'une même personne ont pu être relevées par les hackers. La Commission nationale de l'informatique et des libertés (CNIL), censée être notifiée de chaque fuite de données, a rapidement communiqué, mercredi 24 février, pour rappeler les bonnes pratiques et donner de nouvelles informations sur cette affaire. La CNIL indique avoir été informée par voie de presse de la publication de ce fichier contenant les données médicales de 491 840 personnes. Dans la foulée, le gendarme des données précise avoir lancé immédiatement des contrôles pour pouvoir étudier de plus près le fichier litigieux. L'autorité administrative indépendante confirme d'abord l'ampleur de cette violation de données. Puis elle l'impute avec une quasi-certitude à des laboratoires d'analyse médicale. Comme le veut la réglementation en vigueur, chaque organisation, entreprise ou collectivité qui constate avoir été victime d'une fuite de données a l'obligation de notifier cette dernière à la CNIL, dans les 72 heures après la découverte de la faille. La CNIL en profite ainsi pour presser tout laboratoire ou entreprise qui se serait aperçu de la violation et ne l'aurait pas encore dévoilée.
25-02-2021


Un virus se propage sur les Mac

Un mystérieux virus se propage sur macOS. Baptisé Silver Sparrow par les chercheurs de Red Canary, ce malware a la particularité d'être à la fois compatible avec les Mac dotés d'un processeur Intel et ceux doté d'une puce Apple M1, ce qui en fait seulement le second malware nativement compatible avec les processeurs ARM d'Apple. Téléchargé par au moins 29.139 utilisateurs vendredi dernier, ce virus cache pour l'instant son objectif. En effet, Silver Sparrow n'a pour l'instant aucun but. Pas de publicités ajoutées à votre navigateur, pas de demande de rançon… Son exécution se fait de manière transparente (son installation passerait par un .pkg qui imite le look d'un vrai logiciel et exécute du code JavaScript). Cependant, les experts en cybersécurité pensent que cela ne va pas durer. Une fois par heure, Silver Sparrow interroge ses serveurs pour exécuter de nouvelles commandes. À terme, quelqu'un pourrait éventuellement le déclencher. Autre fait étonnant, Silver Sparrow est doté d'une capacité d'auto-destruction… ce qui est rare pour un malware grand public. Les personnes qui en sont à l'origine pourraient donc le désinstaller de votre ordinateur si elles le souhaitent. À quoi donc sert ce malware ?
22-02-2021


Encore des Failles dans iOS !

Après avoir déjà corrigé trois vulnérabi lités zero-day exploitées par des individus malveillants en novembre dernier, Apple au téléchargement nouvelle fois été mise au parfum par des chercheurs en sécurité anonymes. La firme de Cupertino a mis à jour, ces dernières heures, ses systèmes d'exploitation iOS et iPadOS, afin de corriger non pas une, ni deux, mais trois nouvelles failles de sécurité, de type zero-day. Ces trois vulnérabilités zero-day, décrites comme activement exploitées, touchent potentiellement pléthore d'appareils de la galaxie Apple. ESET France et son expert en cybersécurité Benoît Grunemwald, qui nous ont fait parvenir l'information ce lundi matin, nous indiquent que la liste des appareils concernés comprend "les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini 4 et plus et la 7ème génération d’iPod touch." Si on ne sait rien des attaques ni des cibles de ces attaques zero-day, on dispose déjà de certaines informations plus précises sur les fameuses failles. La première, qui répond à l'identifiant CVE-2021-1782, se situe dans le noyau du système d'exploitation. Elle consiste en un bogue de condition de course qui peut octroyer des privilèges à un pirate informatique, qui pourrait alors s'en servir pour lancer une application malveillante et faire de sérieux dégâts. Les deux autres vulnérabilités, identifiées CVE-2021-1871 et CVE-2021-1870, ont été dénichées dans le moteur de navigation web open-source d'Apple, WebKit, propulsé sur le navigateur Safari et l'outil Mail mais aussi sur d'autres applications iOS et iPadOS. Elles permettraient à un cybercriminel d'exécuter du code arbitraire à distance. Nous vous conseillons ainsi de mettre à jour vos appareils iOS et iPadOS avec la version 14.4. Par extension, le géant américain a, par précaution, publié des mises à jour pour ses Apple Watch et Apple TVs, respectivement avec les versions watchOS 7.3 et tvOS 14.4, que nous vous conseillons également de télécharger. À côté de ces mises à jour, Apple a aussi publié des correctifs de sécurité pour des failles qui touchaient ses produits Xcode (outil de programmation qui permet la création d'applications pour des produits Apple), et iCloud, le service de Cloud computing de la firme de Cupertino.
15-02-2021


Faille zéro-day dans Chrome

Une mise à jour de Chrome 88 corrige un important bug dans le moteur Javascript du navigateur. Il faut absolument mettre à jour le logiciel. Google vient de publier en urgence la mise à jour 88.0.4324.150 de son navigateur Chrome. Elle corrige une importante faille zero-day (CVE-2021-21148) qui est activement exploitée par des pirates. Il s’agit en occurrence d’un dépassement de la zone mémoire du tas dans le moteur Javascript V8, sans plus de détails. Un rapport technique sera peut-être disponible ultérieurement, lorsqu’une majorité d’utilisateurs aura installé cette mise à jour. Pour obtenir cette mise à jour, il suffit d’aller dans le menu « Aide → A propos de Google Chrome ». Le navigateur va automatiquement la télécharger et l’installer. La semaine dernière, Google avait révélé une campagne de piratage qui cible les chercheurs en sécurité et qui prend appui sur le navigateur Chrome. Quelques jours plus tard, les experts de Microsoft ont précisé que cette opération utilisait une série de failles dans le navigateur. Mais rien ne dit pour l’instant que CVE-2021-21148 en fasse partie.
05-02-2021