Bienvenu sur la Particule.com

Toute l'actualités des geeks

Projet et fonctionnement du site la Particule.com

Les infos Bloc-Note du site la Particule.com

Nos différents partenaires

Suivre nos sponsors
Logo la particule.com


L'actualité
SECURITE


Les NAS My CLoud de WD piratable

  Liste des news    Liste des new du mois  
wd my cloud

21

Septembre

Les spécialistes de la sécurité informatique de chez Securify ont mis le doigt sur une faille très handicapante sur les disques durs NAS de la marque Western Digital. Le souci ? Cela fait un an qu'ils alertent la marque, qui ne fait strictement rien. Depuis plus d'un an, les experts de la sécurité informatique Securify et Exploitee.rs alertent Western Digital sur une faille critique concernant les produits estampillés My Cloud. Grâce à une gestion désastreuse des cookies de session, des pirates sont capables de s'accorder des droits d'administrateur sur vos disques durs connectés. « Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l'avons même dévoilée publiquement lors du DEFCON 25 l'an passé. Western Digital refuse de reconnaître et de corriger la faille. », écrivent les experts, interdits devant tant d'immobilisme de la part du constructeur. Quelques lignes de code suffisent aux pirates pour s'accorder les pleins pouvoirs et ainsi détourner le contenu des NAS Western Digital, comme le démontre le post de Securify. Une absence de réaction de la part de Western Digital qui n'étonne pas 01Net, qui rappelle que l'entreprise a reçu en 2016 le prix de la « réponse fournisseur la plus bancale » lors des Pwnie Awards.




Un nouveau crasch CSS

  Liste des news    Liste des new du mois  
Safari

18

Septembre

Si les vulnérabilités faisant crasher les iPhone ne sont pas nouvelles, celle-ci est un peu particulière puisqu'elle ne se limite pas aux seuls smartphones à la pomme. La vulnérabilité CSS récemment découverte est capable de faire planter les iPhone, mais également les navigateurs Safari, Edge et Internet Explorer. C'est le chercheur en sécurité Sabri Haddouche qui a écrit ces 15 petites lignes potentiellement capables d'affecter un grand nombre d'appareils et de logiciels. Si vous souhaitez consulter la page, faites-le depuis un navigateur non sujet à la faille, comme Chrome par exemple. La faille vient de la difficulté pour les navigateurs basés sur le moteur de rendu Webkit d'Apple de charger différents dans une propriété "backdrop-filter". Le chargement de la page utilise donc l'intégralité des ressources, ce qui provoque un "kernel panic" et redémarre l'appareil. Nos collègues de Neowin ont également montré que le problème n'était pas limité aux navigateurs utilisant WebKit puisque les navigateurs de Microsoft sont également touchés. Les navigateurs se bloquent temporairement avant d'afficher un message prévenant l'utilisateur d'un problème. La bonne nouvelle est que, même en cas de redémarrage de vos appareils iOS, aucune donnée ne peut être volée. "Seule" la perte de vos données non enregistrées est à craindre.




Le réseau Apple piraté par un adolescent

  Liste des news    Liste des new du mois  
Siege Apple Un Adolescent pirate le reseau Apple

17

Aout

Le réseau interne d’Apple aurait été infiltré depuis plusieurs mois par un adolescent australien. Celui-ci aurait subtilisé près de 90 Go de données sécurisées. Nul ne sait encore s’il a partagé ces informations et comment il s’est procuré les clés d’autorisation pour infiltrer les systèmes d’Apple. Avant d’être arrêté, le jeune homme a ainsi pu accéder aux comptes de divers clients. L’individu étant encore mineur, son nom n’a pas été divulgué, mais selon les sources policières, il aurait immédiatement avoué sa culpabilité. Il a justifié ses actes en affirmant être fan d’Apple et avoir agi de la sorte pour se faire remarquer du géant de Cupertino. Il aura fallu un an pour appréhender le hacker. Lorsque la firme à la pomme a remarqué ces intrusions sur son réseau, elle en a immédiatement informé le FBI, tout en demandant aux enquêteurs de rester le plus discret possible sur cette affaire. Ce sont les autorités australiennes qui ont finalement appréhendé le jeune pirate. Elles ont saisi deux ordinateurs Apple et découvert les informations volées dans un dossier nommé « Hacky hack hack » (sans commentaires). Un nom qui suggère qu’il voulait effectivement se faire remarquer. Autre preuve de son inconscience, il aurait partagé ses faits d’armes avec ses amis sur Whatsapp.




Faille Apple Pay, les banques bloques certains paiement !

  Liste des news    Liste des new du mois  
Apple pay faille les marchants bloque ou limite les achats

25

Juin

Depuis quelques jours, les utilisateurs d’Apple Pay se plaignent sur divers forum de ne plus pouvoir utiliser le service de paiement sans contact d’Apple à la caisse de divers supermarchés, et plus spécifiquement des Leclerc. Le site iGeneration a mené l’enquête et révèle que ce blocage provient d’une véritable cascade de petites failles, issues de dérogations bancaires et de simplification dans la gestion des cartes bancaires au sein de l’application. Pour résumer, il y a deux principales explications. La première est liée à la façon dont Apple Pay gère les cartes bancaires d’un utilisateur. Il faut ainsi savoir que chacune des cartes bancaires physiques dispose d’un « code service » composé de trois chiffres, un standard « qui permet de restreindre le fonctionnement des cartes dans certains cas ». Ce code, c’est ce qui permet aux terminaux utilisés par les commerçants de savoir, entre autres, si un découvert est autorisé sur le compte bancaire de l’utilisateur. Si l’utilisateur a entré plusieurs cartes, dont l’une possède un découvert autorisé et pas l’autre, ces deux cartes vont partager le même code service. Et des utilisateurs d’Apple Pay ont constaté qu’il était possible de payer ses courses avec une carte bancaire enregistrée sur le téléphone qui n’avait aucun (ou peu de) fond sur le compte bancaire. Les banques n’ont même pas réclamé l’argent à leur client. « puisque les vérifications d’usage n’étaient pas complètes dans le cas de E.Leclerc », les banques ont tout simplement rejeté la transaction et les magasins ne touchaient ainsi jamais d’argent. On comprend mieux pourquoi Leclerc a bloqué ces paiements mobiles. Leclerc n’est pas le seul touché par cette faille. Si Carrefour, par exemple, ne bloque pas les paiements mobiles, d’autres enseignes limitent le plafond de paiement par mobile ou le refusent purement et simplement, comme c’est le cas chez Auchan. Si Apple Pay est partiellement fautif dans cette histoire, les supermarchés n’ont actuellement d’autres choix que de bloquer ou limiter tous les autres services de paiement mobile . Une solution serait d’obliger les utilisateurs d’Apple Pay à signer le ticket de caisse, afin de pouvoir prouver que le client est bien passé à la caisse et a payé. Ce qui va à contresens de la fluidité voulue par les systèmes de paiement sans contact mobile. On imagine donc qu’Apple pourrait faire quelque chose afin de rendre son application Apple Pay plus stricte dans la gestion des codes services.




Une faille dans Android

  Liste des news    Liste des new du mois  
android securite faille de sans fil ADB

25

Juin

une faille de sécurité présente dans un outil destiné aux développeurs met en danger des milliers de smartphones Android. Malheureusement, on s’est habitués aux vulnérabilités des appareils Android. La nouvelle faille débusquée par le chercheur en sécurité informatique Kevin Beaumont touche ADB, alias Android Debug Bridge, un outil qui permet aux développeurs de transférer des fichiers entre un ordinateur et un smartphone, pour tester une application par exemple. La connexion entre l’appareil Android et ADB se déroule soit via USB, soit sans fil. Or, c’est là que le bât blesse : depuis février, on observe une progression des scans du port TCP 5555, celui-là même utilisé par la connexion sans fil d’ADB. C’est le signe que des petits malins cherchent à exploiter ce port pour des activités malveillantes. Un mineur de cryptomonnaie s’est ainsi propagé via un virus appelé ADB.Miner : son mode de distribution passait par ADB, avec une vitesse d’infection importante (24 heures ont suffi pour toucher plus de 5.000 terminaux différents). Le virus n’a cependant pas été diffusé au-delà de la Chine. Néanmoins, la prudence est de mise. Les fonctions permises par ADB, très puissantes, ne sont normalement pas accessibles par défaut aux utilisateurs lambda. Généralement, cette passerelle est donc fermée. Sauf que certains constructeurs “oublient” de la désactiver, laissant ainsi un passage discret mais potentiellement destructeur aux appareils. Il est possible de vérifier si son appareil est susceptible d’être touché par cette faille de sécurité. Il faut se rendre dans le panneau “À propos du téléphone” dans les paramètres et touchez sept fois le numéro de version, ce qui activera les fonctions développeurs. Le menu doit proposer ces deux options : “Débogage USB” et “Débogage de l’ADB sans fil”. Elles sont censées être désactivées (si ce n’est pas fait, désactivez-les bien sûr). On ignore par contre quels sont les appareils et les marques touchées par cette vulnérabilité.




Fuite de données chez Orange

  Liste des news    Liste des new du mois  
logo operateur Orange

19

Juin

C'est visiblement la première faille survenue en Belgique depuis l'entrée en vigueur du RGPD le 25 mai 2018. Et cette dernière est justement apparue peu après son instauration. Si les autorités compétentes en ont rapidement été informées, les clients belges Orange concernés, eux, ont seulement été mis au courant en fin de semaine dernière. A la fin du mois de mai, comme le rapporte le site Techzine, Orange a subi une importante faille sécuritaire en Belgique. L'opérateur a indiqué que les données personnelles de 15 000 de ses clients ont été exposées. Si les plus sensibles, comme les numéros de cartes de crédit ou les détails de facture n'ont pas été touchées, d'autres données, comme le nom, prénom, l'adresse postale, l'adresse e-mail, le numéro de carte d'identité, le numéro de mobile ou le numéro de compte bancaire, ont été dévoilées. La porte-parole d'Orange, Annelore Marynissen, a reconnu que les données avaient « fini sur un serveur de test », avec pour cause « l'erreur humaine d'un sous-traitant. » l'article 33 du règlement général sur la protection des données impose la notification à l'autorité de contrôle compétente, dans les 72 heures suivant ladite violation. Sur ce plan, Orange n'a pas failli en réagissant immédiatement. Mais alors, pourquoi la firme a-t-elle choisi de communiquer si tardivement, deux semaines après les faits ? Elle a directement répondu sur son compte Twitter officiel : « Nos experts avaient besoin de temps pour enquêter et confirmer la brèche. Dès que nous avons reçu tous les détails, nous avons informé les clients touchés et pris toutes les mesures nécessaires. ». En attendant, si le règlement de l'Union européenne a été respecté, la menace n'est pas encore complètement écartée, et Orange invite ses usagers belges à être « très prudents, notamment en cas de demandes de paiement suspectes ou de communication d'un mot de passe ou d'un numéro de carte de crédit. »




Meltdown et Spectre, c'est pas fini !

  Liste des news    Liste des new du mois  
meltdown spectre kernel vulnerability

22

Mai

Meltdown et Spectre, les failles de sécurité découvertes dans les processeurs en début d’année n’ont pas fini de faire parler d’elles. Même si des correctifs ont été rapidement distribuées par les systèmes d’exploitation et même si les constructeurs de processeurs préparent de nouvelles versions corrigées de leurs produits, il reste encore des failles à découvrir et à corriger. Pour preuve, Intel lève le voile sur deux nouvelles variantes de Spectre, notées Variant 3a et Variant 4, qui seront corrigées prochainement. Pour rappel, ces failles de sécurité ne sont pas nouvelles, elles sont liées à l’architecture même des processeurs depuis 10 ans et elles touchent tous les modèles sortis depuis cette époque. C’est le fonctionnement même du processeur, à un très bas niveau, qui est remis en cause et il y a inévitablement d’autres failles de sécurité qui attendent d’être découvertes. D’après Intel, les deux nouvelles variantes ne sont pas très dangereuses, d’autant que les mises à jour de navigateur sorties depuis le mois de janvier les bloque largement. Un correctif sera tout de même proposé pour combler ces failles de sécurité au niveau du processeur, mais il a un nouvel impact sur les performances, de l’ordre de 2 à 8 % cette fois d’après l’entreprise. Puisque les failles sont jugées peu dangereuses, le correctif ne sera pas activé par défaut, même si chaque acteur qui distribue les mises à jour de processeurs pourra choisir de l’activer pour ses utilisateurs. Les détails et la liste des processeurs Intel concernés est disponible à cette adresse. Google Project Zero a travaillé avec Microsoft pour trouver ces deux nouvelles failles qui touchent aussi bien les processeurs d’Intel que ceux d’AMD et les processeurs ARM. Comme Intel, AMD et ARM proposeront des mises à jour, mais recommandent de ne pas les activer, puisque ces variantes sont peu dangereuses et en raison de la baisse des performances attendue.




AMD Ryzen des problèmes de sécurité

  Liste des news    Liste des new du mois  
Ryzen cpu logo

16

Mars

Alors que les patchs pour Spectre et Meltdown sont progressivement déployés par les fondeurs concernés, cette nouvelle découverte risque de faire encore des remous. Selon les experts de CTS Labs, qui ont dévoilé publiquement leurs découvertes, le 13 mars 2018, les processeurs basés sur l'architecture Zen d'AMD contiennent 13 failles critiques. Tous les processeurs, qu'ils soient destinés à des ordinateurs fixes, des ordinateurs portables ou à des serveurs. Les chercheurs ont divisé les failles en quatre classes principales : 3 failles sont appelées Masterkey et touchent de manière plus ou moins dangereuse l'ensemble des processeurs Ryzen et EPYC, 3 sont appelées Fallout et touchent exclusivement les processeurs EPYC (donc les processeurs dédiés aux serveurs), 4 failles sont appelées Ryzenfall et concernent essentiellement les processeurs Ryzen pour ordinateurs fixes, 2 failles appelées Chimera touchent également les ordinateurs fixes, une dernière faille appelée PSP Privilege escalation concernent tous les processeurs. CTS Labs confirme avoir pu exploiter ces failles 21 fois en fonction des processeurs ciblés et soupçonne 11 potentielles attaques non confirmées. Reste que l'ensemble des attaques nécessite un accès physique à la machine ciblée, ce qui laisse supposer que ces failles sont moins dangereuses que les failles Spectre et Meltdown dont il est prouvé qu'elles peuvent être utilisées à distance. Seule la faille Masterkey pourrait donner lieu à des attaques à distance. Outre la découverte de ces failles, la révélation de CTS Labs soulève une nouvelle fois une polémique : l'entreprise israélienne n'aurait donné que 24 heures à AMD pour étudier les documents qui lui ont été fournis avant la publication des résultats des recherches. Un laps de temps extrêmement court qui pourrait en réalité mettre en danger les utilisateurs de processeurs AMD. Combler une faille de ce type, comme l'ont montré les patchs pour Spectre et Meltdown, prend énormément de temps et ne manque pas de créer des problèmes de compatibilité. AMD n'aurait jamais pu réussir à créer un patch efficace en 24 heures, ce que CTS Labs ne pouvait pas ignorer.




Une vulnérabilité dans Edge

  Liste des news    Liste des new du mois  
edge phishing securite

20

Fevrier

Project Zero est une équipe d'analystes créée en 2014, employée par Google pour trouver des failles zero-day dans les produits de la compagnie comme dans ceux de la concurrence. Et en l'occurrence, les chercheurs ont trouvé un problème de sécurité dans le navigateur Edge de Microsoft. Cette faille permettrait à un hacker de charger du code non signé en mémoire à partir d'un site Web malveillant dans le navigateur de nouvelle génération de Microsoft. Selon la procédure standard, la faille a été signalée à Microsoft il y a 90 jours, mais le délai imparti (90 jours) pour résoudre ce bug étant écoulé, la faille a été rendue publique par Project Zero. Microsoft déclare en réponse à cette révélation : "la correction est plus complexe que prévu, et il est fort probable que nous ne puissions pas respecter l'échéance de février en raison de ces problèmes de gestion de la mémoire. En revanche, nous sommes certains que le correctif pourra être publié le 13 mars". Si vous utilisez habituellement Edge, vous devriez envisager de changer temporairement de navigateur jusqu' à ce que le correctif soit disponible.




Nouvelle faille dans Adobe Flash Player

  Liste des news    Liste des new du mois  
flash blocage

05

Fevrier

Une nouvelle faille critique (CVE-2018-4878) vient d’être trouvée dans Flash, le lecteur multimédia d’Adobe. Elle permet à un attaquant de prendre le contrôle d’une machine à distance simplement en intégrant un contenu Flash piégé dans une page web ou dans un document bureautique type Microsoft Office. Cette faille a été détectée en Corée du sud, où elle est exploitée activement par des pirates. Une alerte de sécurité a été diffusée par le KrCERT/CC (Korea Computer Emergency Response Team Coordination Center). D’après Simon Choi, un chercheur en sécurité sud-coréen, il s’agirait là d’une opération d’espionnage orchestrée par la Corée du nord.




Microsoft corrige Intel

  Liste des news    Liste des new du mois  
Meltdown Spectre Microsoft corrige les patch d Intel

29

Janvier

Les correctifs contre les attaques Spectre et Meltdown se suivent mais ce n’est hélas pas pour aider l’utilisateur. Microsoft vient de publier en urgence la mise à jour KB4078130 pour annuler les effets du patch d’Intel contre la variante 2 de l’attaque Spectre. En effet, ce correctif pose des problèmes de redémarrages intempestifs : Intel a même recommandé à ses partenaires d’arrêter son déploiement. Le patch de Microsoft est donc conçu pour arrêter la casse en attendant qu’Intel propose une nouvelle version de son correctif, sans les effets secondaires néfastes. L’éditeur indique qu’il est disponible pour Windows 7, Windows 8.1 et Windows 10. En revanche, il pourrait ne pas être proposé automatiquement par le service Windows Update. Il faut donc aller le télécharger sur le site de Microsoft et l’installer manuellement. Microsoft précise également qu’au 25 janvier, il n’y a eu aucun rapport mentionnant une attaque utilisant la variante 2 de Spectre (CVE 2017-5715), mais recommande toutefois d’installer le correctif d’Intel quand celui-ci sera vraiment opérationnel.




Intel ça continu !

  Liste des news    Liste des new du mois  
Intel batiment

15

Janvier

Intel est confronté à une nouvelle faille de sécurité. Après le fiasco « Meltdown et Specter », le géant doit faire face à la découverte, par le chercheur en sécurité Harry Sintonen ( F-Secure), d’une autre vulnérabilité. Elle affecte potentiellement des millions d’ordinateurs portables d’entreprise. Ce bug de sécurité touche l’AMT alias l’Active Management Technology. Son exploitation par un pirate permet de prendre facilement le contrôle complet de la machine. L’opération est présentée comme rapide puisque le chercheur parle de « quelques secondes » seulement. Contrairement à Meltdown et Spectre, cette faille est plus difficile à exploiter dans le sens ou elle demande un accès physique à l’ordinateur. Cependant il s’agit bien d’un problème critique selon Harry Sintonen. Une fois utilisée, elle permet de compromettre un système en moins d’une minute, puis de le contrôler à distance en se connectant au même réseau. Cette vulnérabilité est accessible même si d’autres mesures de sécurité sont en place. Ceci comprend un mot de passe BIOS, l’activation de BitLocker ou encore un code PIN TPM ou la présence d’un antivirus traditionnel. Le chercheur indique qu’un accès complet à un système fournit à un pirate des droits de lecture et d’écriture. Il peut alors entreprendre des modifications de données et déployer des logiciels malveillants même si des solutions de sécurité sont présentes. Il explique « L’attaque est presque simple à réaliser, elle a un potentiel destructeur incroyable. En pratique, cela peut donner à un attaquant local un contrôle complet sur l’ordinateur portable d’un individu, malgré les mesures de sécurité les plus populaires » Intel n’a pour le moment par encore réagi à cette nouvelle découverte. De son côté F-Secure recommande aux utilisateurs concernés de toujours garder un œil sur leurs ordinateurs portables d’entreprise, d’utiliser des mots de passe forts pour l’AMT ou même de désactiver complètement cette fonctionnalité.




Intel réagi enfin avec un Patch

  Liste des news    Liste des new du mois  
meltdown spectre 2

05

Janvier

Jann Horn, un chercheur de Google Project Zero a découvert les deux failles en 2017. Selon les estimations, elles existeraient depuis au moins 20 ans. Depuis la révélation, les différents constructeurs essaient de proposer une solution. Selon les précisions fournies par The Verge, ce patch immuniserait les processeurs contre Meltdown et Spectre. De son côté, le porte-parole de la compagnie a fourni plus de précisions sur le déploiement de cette mise à jour. D’après ce responsable, l’opération est en bonne voie. Intel compte atteindre plus de 90% des processeurs récents (ayant moins de 5 ans) avant le 14 janvier prochain. Nos confrères soulignent qu’Intel ait utilisé le mot « immuniser » alors que Spectre serait « incurable ». Comme cette faille touche la partie matérielle du processeur, elle nécessiterait un changement radical. Néanmoins, espérons que les chercheurs de la firme américaine ont trouvé une solution appropriée et plus simple.




Les smartphones et Apple touchés par les failles CPU

  Liste des news    Liste des new du mois  
Meltdown spectre

05

Janvier

C’est l’histoire de deux failles majeures qui touchent principalement les nouvelles technologies et l’informatique en général. Meltdown et Spectre, puisque c’est les doux noms que l’on leur a donnés, ne touchent finalement pas que les processeurs Intel mais bien l’ensemble des processeurs existants. S’il existe un patch de sécurité qui permet de corriger la faille Meltdown, ce ne sera jamais le cas pour Spectre. Et l’épisode est loin d’être terminé puisque Apple vient d’annoncer que tous les iPhone et Mac étaient également touchés par ces failles. Heureusement, des premiers patchs correctifs sont disponibles. Apple l’a confirmé : l’ensemble des iPhone qui tournent via un processeur ARM ainsi que tous les Mac qui possèdent un processeur Intel sont touchés. Mais ce n’est pas tout puisque tous les appareils qui tournent sous iOS, à savoir iPad, iPod ou Apple TV notamment, sont également vulnérables. Les Apple Watch elles, ne sont pas concernées. Apple a expliqué que les mises à jour 11.2 pour iOS, 10.13.2 pour macOS et 11.2 pour tvOS apportent de nombreux correctifs qui permettent de réduire les risques liés à Meltdown et Spectre. Le géant américain suit donc la même démarche que Microsoft qui a appliqué, hier à 23 heures, un premier patch pour Windows 10 permettant de réduire au maximum les éventuelles exploitations de la faille. Il est donc plus que recommandé de rapidement réaliser ces mises à jour, que vous ayez un PC ou un Mac. Autre recommandation, téléchargez le plus souvent possible via des plateformes officielles, à savoir l’App Store et évitez les applications douteuses qui pourraient contenir un ou plusieurs malwares. Il est donc préférable de tenir à jour nos smartphones et ordinateurs pour ne pas avoir de mauvaise surprise.




Les NAS My CLoud de WD piratable

  Liste des news    Liste des new du mois  
wd my cloud

21

Septembre

Les spécialistes de la sécurité informatique de chez Securify ont mis le doigt sur une faille très handicapante sur les disques durs NAS de la marque Western Digital. Le souci ? Cela fait un an qu'ils alertent la marque, qui ne fait strictement rien. Depuis plus d'un an, les experts de la sécurité informatique Securify et Exploitee.rs alertent Western Digital sur une faille critique concernant les produits estampillés My Cloud. Grâce à une gestion désastreuse des cookies de session, des pirates sont capables de s'accorder des droits d'administrateur sur vos disques durs connectés. « Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l'avons même dévoilée publiquement lors du DEFCON 25 l'an passé. Western Digital refuse de reconnaître et de corriger la faille. », écrivent les experts, interdits devant tant d'immobilisme de la part du constructeur. Quelques lignes de code suffisent aux pirates pour s'accorder les pleins pouvoirs et ainsi détourner le contenu des NAS Western Digital, comme le démontre le post de Securify. Une absence de réaction de la part de Western Digital qui n'étonne pas 01Net, qui rappelle que l'entreprise a reçu en 2016 le prix de la « réponse fournisseur la plus bancale » lors des Pwnie Awards.




Un nouveau crasch CSS

  Liste des news    Liste des new du mois  
Safari

18

Septembre

Si les vulnérabilités faisant crasher les iPhone ne sont pas nouvelles, celle-ci est un peu particulière puisqu'elle ne se limite pas aux seuls smartphones à la pomme. La vulnérabilité CSS récemment découverte est capable de faire planter les iPhone, mais également les navigateurs Safari, Edge et Internet Explorer. C'est le chercheur en sécurité Sabri Haddouche qui a écrit ces 15 petites lignes potentiellement capables d'affecter un grand nombre d'appareils et de logiciels. Si vous souhaitez consulter la page, faites-le depuis un navigateur non sujet à la faille, comme Chrome par exemple. La faille vient de la difficulté pour les navigateurs basés sur le moteur de rendu Webkit d'Apple de charger différents dans une propriété "backdrop-filter". Le chargement de la page utilise donc l'intégralité des ressources, ce qui provoque un "kernel panic" et redémarre l'appareil. Nos collègues de Neowin ont également montré que le problème n'était pas limité aux navigateurs utilisant WebKit puisque les navigateurs de Microsoft sont également touchés. Les navigateurs se bloquent temporairement avant d'afficher un message prévenant l'utilisateur d'un problème. La bonne nouvelle est que, même en cas de redémarrage de vos appareils iOS, aucune donnée ne peut être volée. "Seule" la perte de vos données non enregistrées est à craindre.




Le réseau Apple piraté par un adolescent

  Liste des news    Liste des new du mois  
Siege Apple Un Adolescent pirate le reseau Apple

17

Aout

Le réseau interne d’Apple aurait été infiltré depuis plusieurs mois par un adolescent australien. Celui-ci aurait subtilisé près de 90 Go de données sécurisées. Nul ne sait encore s’il a partagé ces informations et comment il s’est procuré les clés d’autorisation pour infiltrer les systèmes d’Apple. Avant d’être arrêté, le jeune homme a ainsi pu accéder aux comptes de divers clients. L’individu étant encore mineur, son nom n’a pas été divulgué, mais selon les sources policières, il aurait immédiatement avoué sa culpabilité. Il a justifié ses actes en affirmant être fan d’Apple et avoir agi de la sorte pour se faire remarquer du géant de Cupertino. Il aura fallu un an pour appréhender le hacker. Lorsque la firme à la pomme a remarqué ces intrusions sur son réseau, elle en a immédiatement informé le FBI, tout en demandant aux enquêteurs de rester le plus discret possible sur cette affaire. Ce sont les autorités australiennes qui ont finalement appréhendé le jeune pirate. Elles ont saisi deux ordinateurs Apple et découvert les informations volées dans un dossier nommé « Hacky hack hack » (sans commentaires). Un nom qui suggère qu’il voulait effectivement se faire remarquer. Autre preuve de son inconscience, il aurait partagé ses faits d’armes avec ses amis sur Whatsapp.




Faille Apple Pay, les banques bloques certains paiement !

  Liste des news    Liste des new du mois  
Apple pay faille les marchants bloque ou limite les achats

25

Juin

Depuis quelques jours, les utilisateurs d’Apple Pay se plaignent sur divers forum de ne plus pouvoir utiliser le service de paiement sans contact d’Apple à la caisse de divers supermarchés, et plus spécifiquement des Leclerc. Le site iGeneration a mené l’enquête et révèle que ce blocage provient d’une véritable cascade de petites failles, issues de dérogations bancaires et de simplification dans la gestion des cartes bancaires au sein de l’application. Pour résumer, il y a deux principales explications. La première est liée à la façon dont Apple Pay gère les cartes bancaires d’un utilisateur. Il faut ainsi savoir que chacune des cartes bancaires physiques dispose d’un « code service » composé de trois chiffres, un standard « qui permet de restreindre le fonctionnement des cartes dans certains cas ». Ce code, c’est ce qui permet aux terminaux utilisés par les commerçants de savoir, entre autres, si un découvert est autorisé sur le compte bancaire de l’utilisateur. Si l’utilisateur a entré plusieurs cartes, dont l’une possède un découvert autorisé et pas l’autre, ces deux cartes vont partager le même code service. Et des utilisateurs d’Apple Pay ont constaté qu’il était possible de payer ses courses avec une carte bancaire enregistrée sur le téléphone qui n’avait aucun (ou peu de) fond sur le compte bancaire. Les banques n’ont même pas réclamé l’argent à leur client. « puisque les vérifications d’usage n’étaient pas complètes dans le cas de E.Leclerc », les banques ont tout simplement rejeté la transaction et les magasins ne touchaient ainsi jamais d’argent. On comprend mieux pourquoi Leclerc a bloqué ces paiements mobiles. Leclerc n’est pas le seul touché par cette faille. Si Carrefour, par exemple, ne bloque pas les paiements mobiles, d’autres enseignes limitent le plafond de paiement par mobile ou le refusent purement et simplement, comme c’est le cas chez Auchan. Si Apple Pay est partiellement fautif dans cette histoire, les supermarchés n’ont actuellement d’autres choix que de bloquer ou limiter tous les autres services de paiement mobile . Une solution serait d’obliger les utilisateurs d’Apple Pay à signer le ticket de caisse, afin de pouvoir prouver que le client est bien passé à la caisse et a payé. Ce qui va à contresens de la fluidité voulue par les systèmes de paiement sans contact mobile. On imagine donc qu’Apple pourrait faire quelque chose afin de rendre son application Apple Pay plus stricte dans la gestion des codes services.




Une faille dans Android

  Liste des news    Liste des new du mois  
android securite faille de sans fil ADB

25

Juin

une faille de sécurité présente dans un outil destiné aux développeurs met en danger des milliers de smartphones Android. Malheureusement, on s’est habitués aux vulnérabilités des appareils Android. La nouvelle faille débusquée par le chercheur en sécurité informatique Kevin Beaumont touche ADB, alias Android Debug Bridge, un outil qui permet aux développeurs de transférer des fichiers entre un ordinateur et un smartphone, pour tester une application par exemple. La connexion entre l’appareil Android et ADB se déroule soit via USB, soit sans fil. Or, c’est là que le bât blesse : depuis février, on observe une progression des scans du port TCP 5555, celui-là même utilisé par la connexion sans fil d’ADB. C’est le signe que des petits malins cherchent à exploiter ce port pour des activités malveillantes. Un mineur de cryptomonnaie s’est ainsi propagé via un virus appelé ADB.Miner : son mode de distribution passait par ADB, avec une vitesse d’infection importante (24 heures ont suffi pour toucher plus de 5.000 terminaux différents). Le virus n’a cependant pas été diffusé au-delà de la Chine. Néanmoins, la prudence est de mise. Les fonctions permises par ADB, très puissantes, ne sont normalement pas accessibles par défaut aux utilisateurs lambda. Généralement, cette passerelle est donc fermée. Sauf que certains constructeurs “oublient” de la désactiver, laissant ainsi un passage discret mais potentiellement destructeur aux appareils. Il est possible de vérifier si son appareil est susceptible d’être touché par cette faille de sécurité. Il faut se rendre dans le panneau “À propos du téléphone” dans les paramètres et touchez sept fois le numéro de version, ce qui activera les fonctions développeurs. Le menu doit proposer ces deux options : “Débogage USB” et “Débogage de l’ADB sans fil”. Elles sont censées être désactivées (si ce n’est pas fait, désactivez-les bien sûr). On ignore par contre quels sont les appareils et les marques touchées par cette vulnérabilité.




Fuite de données chez Orange

  Liste des news    Liste des new du mois  
logo operateur Orange

19

Juin

C'est visiblement la première faille survenue en Belgique depuis l'entrée en vigueur du RGPD le 25 mai 2018. Et cette dernière est justement apparue peu après son instauration. Si les autorités compétentes en ont rapidement été informées, les clients belges Orange concernés, eux, ont seulement été mis au courant en fin de semaine dernière. A la fin du mois de mai, comme le rapporte le site Techzine, Orange a subi une importante faille sécuritaire en Belgique. L'opérateur a indiqué que les données personnelles de 15 000 de ses clients ont été exposées. Si les plus sensibles, comme les numéros de cartes de crédit ou les détails de facture n'ont pas été touchées, d'autres données, comme le nom, prénom, l'adresse postale, l'adresse e-mail, le numéro de carte d'identité, le numéro de mobile ou le numéro de compte bancaire, ont été dévoilées. La porte-parole d'Orange, Annelore Marynissen, a reconnu que les données avaient « fini sur un serveur de test », avec pour cause « l'erreur humaine d'un sous-traitant. » l'article 33 du règlement général sur la protection des données impose la notification à l'autorité de contrôle compétente, dans les 72 heures suivant ladite violation. Sur ce plan, Orange n'a pas failli en réagissant immédiatement. Mais alors, pourquoi la firme a-t-elle choisi de communiquer si tardivement, deux semaines après les faits ? Elle a directement répondu sur son compte Twitter officiel : « Nos experts avaient besoin de temps pour enquêter et confirmer la brèche. Dès que nous avons reçu tous les détails, nous avons informé les clients touchés et pris toutes les mesures nécessaires. ». En attendant, si le règlement de l'Union européenne a été respecté, la menace n'est pas encore complètement écartée, et Orange invite ses usagers belges à être « très prudents, notamment en cas de demandes de paiement suspectes ou de communication d'un mot de passe ou d'un numéro de carte de crédit. »




Meltdown et Spectre, c'est pas fini !

  Liste des news    Liste des new du mois  
meltdown spectre kernel vulnerability

22

Mai

Meltdown et Spectre, les failles de sécurité découvertes dans les processeurs en début d’année n’ont pas fini de faire parler d’elles. Même si des correctifs ont été rapidement distribuées par les systèmes d’exploitation et même si les constructeurs de processeurs préparent de nouvelles versions corrigées de leurs produits, il reste encore des failles à découvrir et à corriger. Pour preuve, Intel lève le voile sur deux nouvelles variantes de Spectre, notées Variant 3a et Variant 4, qui seront corrigées prochainement. Pour rappel, ces failles de sécurité ne sont pas nouvelles, elles sont liées à l’architecture même des processeurs depuis 10 ans et elles touchent tous les modèles sortis depuis cette époque. C’est le fonctionnement même du processeur, à un très bas niveau, qui est remis en cause et il y a inévitablement d’autres failles de sécurité qui attendent d’être découvertes. D’après Intel, les deux nouvelles variantes ne sont pas très dangereuses, d’autant que les mises à jour de navigateur sorties depuis le mois de janvier les bloque largement. Un correctif sera tout de même proposé pour combler ces failles de sécurité au niveau du processeur, mais il a un nouvel impact sur les performances, de l’ordre de 2 à 8 % cette fois d’après l’entreprise. Puisque les failles sont jugées peu dangereuses, le correctif ne sera pas activé par défaut, même si chaque acteur qui distribue les mises à jour de processeurs pourra choisir de l’activer pour ses utilisateurs. Les détails et la liste des processeurs Intel concernés est disponible à cette adresse. Google Project Zero a travaillé avec Microsoft pour trouver ces deux nouvelles failles qui touchent aussi bien les processeurs d’Intel que ceux d’AMD et les processeurs ARM. Comme Intel, AMD et ARM proposeront des mises à jour, mais recommandent de ne pas les activer, puisque ces variantes sont peu dangereuses et en raison de la baisse des performances attendue.




AMD Ryzen des problèmes de sécurité

  Liste des news    Liste des new du mois  
Ryzen cpu logo

16

Mars

Alors que les patchs pour Spectre et Meltdown sont progressivement déployés par les fondeurs concernés, cette nouvelle découverte risque de faire encore des remous. Selon les experts de CTS Labs, qui ont dévoilé publiquement leurs découvertes, le 13 mars 2018, les processeurs basés sur l'architecture Zen d'AMD contiennent 13 failles critiques. Tous les processeurs, qu'ils soient destinés à des ordinateurs fixes, des ordinateurs portables ou à des serveurs. Les chercheurs ont divisé les failles en quatre classes principales : 3 failles sont appelées Masterkey et touchent de manière plus ou moins dangereuse l'ensemble des processeurs Ryzen et EPYC, 3 sont appelées Fallout et touchent exclusivement les processeurs EPYC (donc les processeurs dédiés aux serveurs), 4 failles sont appelées Ryzenfall et concernent essentiellement les processeurs Ryzen pour ordinateurs fixes, 2 failles appelées Chimera touchent également les ordinateurs fixes, une dernière faille appelée PSP Privilege escalation concernent tous les processeurs. CTS Labs confirme avoir pu exploiter ces failles 21 fois en fonction des processeurs ciblés et soupçonne 11 potentielles attaques non confirmées. Reste que l'ensemble des attaques nécessite un accès physique à la machine ciblée, ce qui laisse supposer que ces failles sont moins dangereuses que les failles Spectre et Meltdown dont il est prouvé qu'elles peuvent être utilisées à distance. Seule la faille Masterkey pourrait donner lieu à des attaques à distance. Outre la découverte de ces failles, la révélation de CTS Labs soulève une nouvelle fois une polémique : l'entreprise israélienne n'aurait donné que 24 heures à AMD pour étudier les documents qui lui ont été fournis avant la publication des résultats des recherches. Un laps de temps extrêmement court qui pourrait en réalité mettre en danger les utilisateurs de processeurs AMD. Combler une faille de ce type, comme l'ont montré les patchs pour Spectre et Meltdown, prend énormément de temps et ne manque pas de créer des problèmes de compatibilité. AMD n'aurait jamais pu réussir à créer un patch efficace en 24 heures, ce que CTS Labs ne pouvait pas ignorer.




Une vulnérabilité dans Edge

  Liste des news    Liste des new du mois  
edge phishing securite

20

Fevrier

Project Zero est une équipe d'analystes créée en 2014, employée par Google pour trouver des failles zero-day dans les produits de la compagnie comme dans ceux de la concurrence. Et en l'occurrence, les chercheurs ont trouvé un problème de sécurité dans le navigateur Edge de Microsoft. Cette faille permettrait à un hacker de charger du code non signé en mémoire à partir d'un site Web malveillant dans le navigateur de nouvelle génération de Microsoft. Selon la procédure standard, la faille a été signalée à Microsoft il y a 90 jours, mais le délai imparti (90 jours) pour résoudre ce bug étant écoulé, la faille a été rendue publique par Project Zero. Microsoft déclare en réponse à cette révélation : "la correction est plus complexe que prévu, et il est fort probable que nous ne puissions pas respecter l'échéance de février en raison de ces problèmes de gestion de la mémoire. En revanche, nous sommes certains que le correctif pourra être publié le 13 mars". Si vous utilisez habituellement Edge, vous devriez envisager de changer temporairement de navigateur jusqu' à ce que le correctif soit disponible.




Nouvelle faille dans Adobe Flash Player

  Liste des news    Liste des new du mois  
flash blocage

05

Fevrier

Une nouvelle faille critique (CVE-2018-4878) vient d’être trouvée dans Flash, le lecteur multimédia d’Adobe. Elle permet à un attaquant de prendre le contrôle d’une machine à distance simplement en intégrant un contenu Flash piégé dans une page web ou dans un document bureautique type Microsoft Office. Cette faille a été détectée en Corée du sud, où elle est exploitée activement par des pirates. Une alerte de sécurité a été diffusée par le KrCERT/CC (Korea Computer Emergency Response Team Coordination Center). D’après Simon Choi, un chercheur en sécurité sud-coréen, il s’agirait là d’une opération d’espionnage orchestrée par la Corée du nord.




Microsoft corrige Intel

  Liste des news    Liste des new du mois  
Meltdown Spectre Microsoft corrige les patch d Intel

29

Janvier

Les correctifs contre les attaques Spectre et Meltdown se suivent mais ce n’est hélas pas pour aider l’utilisateur. Microsoft vient de publier en urgence la mise à jour KB4078130 pour annuler les effets du patch d’Intel contre la variante 2 de l’attaque Spectre. En effet, ce correctif pose des problèmes de redémarrages intempestifs : Intel a même recommandé à ses partenaires d’arrêter son déploiement. Le patch de Microsoft est donc conçu pour arrêter la casse en attendant qu’Intel propose une nouvelle version de son correctif, sans les effets secondaires néfastes. L’éditeur indique qu’il est disponible pour Windows 7, Windows 8.1 et Windows 10. En revanche, il pourrait ne pas être proposé automatiquement par le service Windows Update. Il faut donc aller le télécharger sur le site de Microsoft et l’installer manuellement. Microsoft précise également qu’au 25 janvier, il n’y a eu aucun rapport mentionnant une attaque utilisant la variante 2 de Spectre (CVE 2017-5715), mais recommande toutefois d’installer le correctif d’Intel quand celui-ci sera vraiment opérationnel.




Intel ça continu !

  Liste des news    Liste des new du mois  
Intel batiment

15

Janvier

Intel est confronté à une nouvelle faille de sécurité. Après le fiasco « Meltdown et Specter », le géant doit faire face à la découverte, par le chercheur en sécurité Harry Sintonen ( F-Secure), d’une autre vulnérabilité. Elle affecte potentiellement des millions d’ordinateurs portables d’entreprise. Ce bug de sécurité touche l’AMT alias l’Active Management Technology. Son exploitation par un pirate permet de prendre facilement le contrôle complet de la machine. L’opération est présentée comme rapide puisque le chercheur parle de « quelques secondes » seulement. Contrairement à Meltdown et Spectre, cette faille est plus difficile à exploiter dans le sens ou elle demande un accès physique à l’ordinateur. Cependant il s’agit bien d’un problème critique selon Harry Sintonen. Une fois utilisée, elle permet de compromettre un système en moins d’une minute, puis de le contrôler à distance en se connectant au même réseau. Cette vulnérabilité est accessible même si d’autres mesures de sécurité sont en place. Ceci comprend un mot de passe BIOS, l’activation de BitLocker ou encore un code PIN TPM ou la présence d’un antivirus traditionnel. Le chercheur indique qu’un accès complet à un système fournit à un pirate des droits de lecture et d’écriture. Il peut alors entreprendre des modifications de données et déployer des logiciels malveillants même si des solutions de sécurité sont présentes. Il explique « L’attaque est presque simple à réaliser, elle a un potentiel destructeur incroyable. En pratique, cela peut donner à un attaquant local un contrôle complet sur l’ordinateur portable d’un individu, malgré les mesures de sécurité les plus populaires » Intel n’a pour le moment par encore réagi à cette nouvelle découverte. De son côté F-Secure recommande aux utilisateurs concernés de toujours garder un œil sur leurs ordinateurs portables d’entreprise, d’utiliser des mots de passe forts pour l’AMT ou même de désactiver complètement cette fonctionnalité.




Intel réagi enfin avec un Patch

  Liste des news    Liste des new du mois  
meltdown spectre 2

05

Janvier

Jann Horn, un chercheur de Google Project Zero a découvert les deux failles en 2017. Selon les estimations, elles existeraient depuis au moins 20 ans. Depuis la révélation, les différents constructeurs essaient de proposer une solution. Selon les précisions fournies par The Verge, ce patch immuniserait les processeurs contre Meltdown et Spectre. De son côté, le porte-parole de la compagnie a fourni plus de précisions sur le déploiement de cette mise à jour. D’après ce responsable, l’opération est en bonne voie. Intel compte atteindre plus de 90% des processeurs récents (ayant moins de 5 ans) avant le 14 janvier prochain. Nos confrères soulignent qu’Intel ait utilisé le mot « immuniser » alors que Spectre serait « incurable ». Comme cette faille touche la partie matérielle du processeur, elle nécessiterait un changement radical. Néanmoins, espérons que les chercheurs de la firme américaine ont trouvé une solution appropriée et plus simple.




Les smartphones et Apple touchés par les failles CPU

  Liste des news    Liste des new du mois  
Meltdown spectre

05

Janvier

C’est l’histoire de deux failles majeures qui touchent principalement les nouvelles technologies et l’informatique en général. Meltdown et Spectre, puisque c’est les doux noms que l’on leur a donnés, ne touchent finalement pas que les processeurs Intel mais bien l’ensemble des processeurs existants. S’il existe un patch de sécurité qui permet de corriger la faille Meltdown, ce ne sera jamais le cas pour Spectre. Et l’épisode est loin d’être terminé puisque Apple vient d’annoncer que tous les iPhone et Mac étaient également touchés par ces failles. Heureusement, des premiers patchs correctifs sont disponibles. Apple l’a confirmé : l’ensemble des iPhone qui tournent via un processeur ARM ainsi que tous les Mac qui possèdent un processeur Intel sont touchés. Mais ce n’est pas tout puisque tous les appareils qui tournent sous iOS, à savoir iPad, iPod ou Apple TV notamment, sont également vulnérables. Les Apple Watch elles, ne sont pas concernées. Apple a expliqué que les mises à jour 11.2 pour iOS, 10.13.2 pour macOS et 11.2 pour tvOS apportent de nombreux correctifs qui permettent de réduire les risques liés à Meltdown et Spectre. Le géant américain suit donc la même démarche que Microsoft qui a appliqué, hier à 23 heures, un premier patch pour Windows 10 permettant de réduire au maximum les éventuelles exploitations de la faille. Il est donc plus que recommandé de rapidement réaliser ces mises à jour, que vous ayez un PC ou un Mac. Autre recommandation, téléchargez le plus souvent possible via des plateformes officielles, à savoir l’App Store et évitez les applications douteuses qui pourraient contenir un ou plusieurs malwares. Il est donc préférable de tenir à jour nos smartphones et ordinateurs pour ne pas avoir de mauvaise surprise.



Les NAS My CLoud de WD piratable

Les spécialistes de la sécurité informatique de chez Securify ont mis le doigt sur une faille très handicapante sur les disques durs NAS de la marque Western Digital. Le souci ? Cela fait un an qu'ils alertent la marque, qui ne fait strictement rien. Depuis plus d'un an, les experts de la sécurité informatique Securify et Exploitee.rs alertent Western Digital sur une faille critique concernant les produits estampillés My Cloud. Grâce à une gestion désastreuse des cookies de session, des pirates sont capables de s'accorder des droits d'administrateur sur vos disques durs connectés. « Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l'avons même dévoilée publiquement lors du DEFCON 25 l'an passé. Western Digital refuse de reconnaître et de corriger la faille. », écrivent les experts, interdits devant tant d'immobilisme de la part du constructeur. Quelques lignes de code suffisent aux pirates pour s'accorder les pleins pouvoirs et ainsi détourner le contenu des NAS Western Digital, comme le démontre le post de Securify. Une absence de réaction de la part de Western Digital qui n'étonne pas 01Net, qui rappelle que l'entreprise a reçu en 2016 le prix de la « réponse fournisseur la plus bancale » lors des Pwnie Awards.
21-09-2018


Un nouveau crasch CSS

Si les vulnérabilités faisant crasher les iPhone ne sont pas nouvelles, celle-ci est un peu particulière puisqu'elle ne se limite pas aux seuls smartphones à la pomme. La vulnérabilité CSS récemment découverte est capable de faire planter les iPhone, mais également les navigateurs Safari, Edge et Internet Explorer. C'est le chercheur en sécurité Sabri Haddouche qui a écrit ces 15 petites lignes potentiellement capables d'affecter un grand nombre d'appareils et de logiciels. Si vous souhaitez consulter la page, faites-le depuis un navigateur non sujet à la faille, comme Chrome par exemple. La faille vient de la difficulté pour les navigateurs basés sur le moteur de rendu Webkit d'Apple de charger différents dans une propriété "backdrop-filter". Le chargement de la page utilise donc l'intégralité des ressources, ce qui provoque un "kernel panic" et redémarre l'appareil. Nos collègues de Neowin ont également montré que le problème n'était pas limité aux navigateurs utilisant WebKit puisque les navigateurs de Microsoft sont également touchés. Les navigateurs se bloquent temporairement avant d'afficher un message prévenant l'utilisateur d'un problème. La bonne nouvelle est que, même en cas de redémarrage de vos appareils iOS, aucune donnée ne peut être volée. "Seule" la perte de vos données non enregistrées est à craindre.
18-09-2018


Le réseau Apple piraté par un adolescent

Le réseau interne d’Apple aurait été infiltré depuis plusieurs mois par un adolescent australien. Celui-ci aurait subtilisé près de 90 Go de données sécurisées. Nul ne sait encore s’il a partagé ces informations et comment il s’est procuré les clés d’autorisation pour infiltrer les systèmes d’Apple. Avant d’être arrêté, le jeune homme a ainsi pu accéder aux comptes de divers clients. L’individu étant encore mineur, son nom n’a pas été divulgué, mais selon les sources policières, il aurait immédiatement avoué sa culpabilité. Il a justifié ses actes en affirmant être fan d’Apple et avoir agi de la sorte pour se faire remarquer du géant de Cupertino. Il aura fallu un an pour appréhender le hacker. Lorsque la firme à la pomme a remarqué ces intrusions sur son réseau, elle en a immédiatement informé le FBI, tout en demandant aux enquêteurs de rester le plus discret possible sur cette affaire. Ce sont les autorités australiennes qui ont finalement appréhendé le jeune pirate. Elles ont saisi deux ordinateurs Apple et découvert les informations volées dans un dossier nommé « Hacky hack hack » (sans commentaires). Un nom qui suggère qu’il voulait effectivement se faire remarquer. Autre preuve de son inconscience, il aurait partagé ses faits d’armes avec ses amis sur Whatsapp.
17-08-2018


Faille Apple Pay, les banques bloques certains paiement !

Depuis quelques jours, les utilisateurs d’Apple Pay se plaignent sur divers forum de ne plus pouvoir utiliser le service de paiement sans contact d’Apple à la caisse de divers supermarchés, et plus spécifiquement des Leclerc. Le site iGeneration a mené l’enquête et révèle que ce blocage provient d’une véritable cascade de petites failles, issues de dérogations bancaires et de simplification dans la gestion des cartes bancaires au sein de l’application. Pour résumer, il y a deux principales explications. La première est liée à la façon dont Apple Pay gère les cartes bancaires d’un utilisateur. Il faut ainsi savoir que chacune des cartes bancaires physiques dispose d’un « code service » composé de trois chiffres, un standard « qui permet de restreindre le fonctionnement des cartes dans certains cas ». Ce code, c’est ce qui permet aux terminaux utilisés par les commerçants de savoir, entre autres, si un découvert est autorisé sur le compte bancaire de l’utilisateur. Si l’utilisateur a entré plusieurs cartes, dont l’une possède un découvert autorisé et pas l’autre, ces deux cartes vont partager le même code service. Et des utilisateurs d’Apple Pay ont constaté qu’il était possible de payer ses courses avec une carte bancaire enregistrée sur le téléphone qui n’avait aucun (ou peu de) fond sur le compte bancaire. Les banques n’ont même pas réclamé l’argent à leur client. « puisque les vérifications d’usage n’étaient pas complètes dans le cas de E.Leclerc », les banques ont tout simplement rejeté la transaction et les magasins ne touchaient ainsi jamais d’argent. On comprend mieux pourquoi Leclerc a bloqué ces paiements mobiles. Leclerc n’est pas le seul touché par cette faille. Si Carrefour, par exemple, ne bloque pas les paiements mobiles, d’autres enseignes limitent le plafond de paiement par mobile ou le refusent purement et simplement, comme c’est le cas chez Auchan. Si Apple Pay est partiellement fautif dans cette histoire, les supermarchés n’ont actuellement d’autres choix que de bloquer ou limiter tous les autres services de paiement mobile . Une solution serait d’obliger les utilisateurs d’Apple Pay à signer le ticket de caisse, afin de pouvoir prouver que le client est bien passé à la caisse et a payé. Ce qui va à contresens de la fluidité voulue par les systèmes de paiement sans contact mobile. On imagine donc qu’Apple pourrait faire quelque chose afin de rendre son application Apple Pay plus stricte dans la gestion des codes services.
25-06-2018


Une faille dans Android

une faille de sécurité présente dans un outil destiné aux développeurs met en danger des milliers de smartphones Android. Malheureusement, on s’est habitués aux vulnérabilités des appareils Android. La nouvelle faille débusquée par le chercheur en sécurité informatique Kevin Beaumont touche ADB, alias Android Debug Bridge, un outil qui permet aux développeurs de transférer des fichiers entre un ordinateur et un smartphone, pour tester une application par exemple. La connexion entre l’appareil Android et ADB se déroule soit via USB, soit sans fil. Or, c’est là que le bât blesse : depuis février, on observe une progression des scans du port TCP 5555, celui-là même utilisé par la connexion sans fil d’ADB. C’est le signe que des petits malins cherchent à exploiter ce port pour des activités malveillantes. Un mineur de cryptomonnaie s’est ainsi propagé via un virus appelé ADB.Miner : son mode de distribution passait par ADB, avec une vitesse d’infection importante (24 heures ont suffi pour toucher plus de 5.000 terminaux différents). Le virus n’a cependant pas été diffusé au-delà de la Chine. Néanmoins, la prudence est de mise. Les fonctions permises par ADB, très puissantes, ne sont normalement pas accessibles par défaut aux utilisateurs lambda. Généralement, cette passerelle est donc fermée. Sauf que certains constructeurs “oublient” de la désactiver, laissant ainsi un passage discret mais potentiellement destructeur aux appareils. Il est possible de vérifier si son appareil est susceptible d’être touché par cette faille de sécurité. Il faut se rendre dans le panneau “À propos du téléphone” dans les paramètres et touchez sept fois le numéro de version, ce qui activera les fonctions développeurs. Le menu doit proposer ces deux options : “Débogage USB” et “Débogage de l’ADB sans fil”. Elles sont censées être désactivées (si ce n’est pas fait, désactivez-les bien sûr). On ignore par contre quels sont les appareils et les marques touchées par cette vulnérabilité.
25-06-2018


Fuite de données chez Orange

C'est visiblement la première faille survenue en Belgique depuis l'entrée en vigueur du RGPD le 25 mai 2018. Et cette dernière est justement apparue peu après son instauration. Si les autorités compétentes en ont rapidement été informées, les clients belges Orange concernés, eux, ont seulement été mis au courant en fin de semaine dernière. A la fin du mois de mai, comme le rapporte le site Techzine, Orange a subi une importante faille sécuritaire en Belgique. L'opérateur a indiqué que les données personnelles de 15 000 de ses clients ont été exposées. Si les plus sensibles, comme les numéros de cartes de crédit ou les détails de facture n'ont pas été touchées, d'autres données, comme le nom, prénom, l'adresse postale, l'adresse e-mail, le numéro de carte d'identité, le numéro de mobile ou le numéro de compte bancaire, ont été dévoilées. La porte-parole d'Orange, Annelore Marynissen, a reconnu que les données avaient « fini sur un serveur de test », avec pour cause « l'erreur humaine d'un sous-traitant. » l'article 33 du règlement général sur la protection des données impose la notification à l'autorité de contrôle compétente, dans les 72 heures suivant ladite violation. Sur ce plan, Orange n'a pas failli en réagissant immédiatement. Mais alors, pourquoi la firme a-t-elle choisi de communiquer si tardivement, deux semaines après les faits ? Elle a directement répondu sur son compte Twitter officiel : « Nos experts avaient besoin de temps pour enquêter et confirmer la brèche. Dès que nous avons reçu tous les détails, nous avons informé les clients touchés et pris toutes les mesures nécessaires. ». En attendant, si le règlement de l'Union européenne a été respecté, la menace n'est pas encore complètement écartée, et Orange invite ses usagers belges à être « très prudents, notamment en cas de demandes de paiement suspectes ou de communication d'un mot de passe ou d'un numéro de carte de crédit. »
19-06-2018


Meltdown et Spectre, c'est pas fini !

Meltdown et Spectre, les failles de sécurité découvertes dans les processeurs en début d’année n’ont pas fini de faire parler d’elles. Même si des correctifs ont été rapidement distribuées par les systèmes d’exploitation et même si les constructeurs de processeurs préparent de nouvelles versions corrigées de leurs produits, il reste encore des failles à découvrir et à corriger. Pour preuve, Intel lève le voile sur deux nouvelles variantes de Spectre, notées Variant 3a et Variant 4, qui seront corrigées prochainement. Pour rappel, ces failles de sécurité ne sont pas nouvelles, elles sont liées à l’architecture même des processeurs depuis 10 ans et elles touchent tous les modèles sortis depuis cette époque. C’est le fonctionnement même du processeur, à un très bas niveau, qui est remis en cause et il y a inévitablement d’autres failles de sécurité qui attendent d’être découvertes. D’après Intel, les deux nouvelles variantes ne sont pas très dangereuses, d’autant que les mises à jour de navigateur sorties depuis le mois de janvier les bloque largement. Un correctif sera tout de même proposé pour combler ces failles de sécurité au niveau du processeur, mais il a un nouvel impact sur les performances, de l’ordre de 2 à 8 % cette fois d’après l’entreprise. Puisque les failles sont jugées peu dangereuses, le correctif ne sera pas activé par défaut, même si chaque acteur qui distribue les mises à jour de processeurs pourra choisir de l’activer pour ses utilisateurs. Les détails et la liste des processeurs Intel concernés est disponible à cette adresse. Google Project Zero a travaillé avec Microsoft pour trouver ces deux nouvelles failles qui touchent aussi bien les processeurs d’Intel que ceux d’AMD et les processeurs ARM. Comme Intel, AMD et ARM proposeront des mises à jour, mais recommandent de ne pas les activer, puisque ces variantes sont peu dangereuses et en raison de la baisse des performances attendue.
22-05-2018


AMD Ryzen des problèmes de sécurité

Alors que les patchs pour Spectre et Meltdown sont progressivement déployés par les fondeurs concernés, cette nouvelle découverte risque de faire encore des remous. Selon les experts de CTS Labs, qui ont dévoilé publiquement leurs découvertes, le 13 mars 2018, les processeurs basés sur l'architecture Zen d'AMD contiennent 13 failles critiques. Tous les processeurs, qu'ils soient destinés à des ordinateurs fixes, des ordinateurs portables ou à des serveurs. Les chercheurs ont divisé les failles en quatre classes principales : 3 failles sont appelées Masterkey et touchent de manière plus ou moins dangereuse l'ensemble des processeurs Ryzen et EPYC, 3 sont appelées Fallout et touchent exclusivement les processeurs EPYC (donc les processeurs dédiés aux serveurs), 4 failles sont appelées Ryzenfall et concernent essentiellement les processeurs Ryzen pour ordinateurs fixes, 2 failles appelées Chimera touchent également les ordinateurs fixes, une dernière faille appelée PSP Privilege escalation concernent tous les processeurs. CTS Labs confirme avoir pu exploiter ces failles 21 fois en fonction des processeurs ciblés et soupçonne 11 potentielles attaques non confirmées. Reste que l'ensemble des attaques nécessite un accès physique à la machine ciblée, ce qui laisse supposer que ces failles sont moins dangereuses que les failles Spectre et Meltdown dont il est prouvé qu'elles peuvent être utilisées à distance. Seule la faille Masterkey pourrait donner lieu à des attaques à distance. Outre la découverte de ces failles, la révélation de CTS Labs soulève une nouvelle fois une polémique : l'entreprise israélienne n'aurait donné que 24 heures à AMD pour étudier les documents qui lui ont été fournis avant la publication des résultats des recherches. Un laps de temps extrêmement court qui pourrait en réalité mettre en danger les utilisateurs de processeurs AMD. Combler une faille de ce type, comme l'ont montré les patchs pour Spectre et Meltdown, prend énormément de temps et ne manque pas de créer des problèmes de compatibilité. AMD n'aurait jamais pu réussir à créer un patch efficace en 24 heures, ce que CTS Labs ne pouvait pas ignorer.
16-03-2018


Une vulnérabilité dans Edge

Project Zero est une équipe d'analystes créée en 2014, employée par Google pour trouver des failles zero-day dans les produits de la compagnie comme dans ceux de la concurrence. Et en l'occurrence, les chercheurs ont trouvé un problème de sécurité dans le navigateur Edge de Microsoft. Cette faille permettrait à un hacker de charger du code non signé en mémoire à partir d'un site Web malveillant dans le navigateur de nouvelle génération de Microsoft. Selon la procédure standard, la faille a été signalée à Microsoft il y a 90 jours, mais le délai imparti (90 jours) pour résoudre ce bug étant écoulé, la faille a été rendue publique par Project Zero. Microsoft déclare en réponse à cette révélation : "la correction est plus complexe que prévu, et il est fort probable que nous ne puissions pas respecter l'échéance de février en raison de ces problèmes de gestion de la mémoire. En revanche, nous sommes certains que le correctif pourra être publié le 13 mars". Si vous utilisez habituellement Edge, vous devriez envisager de changer temporairement de navigateur jusqu' à ce que le correctif soit disponible.
20-02-2018


Nouvelle faille dans Adobe Flash Player

Une nouvelle faille critique (CVE-2018-4878) vient d’être trouvée dans Flash, le lecteur multimédia d’Adobe. Elle permet à un attaquant de prendre le contrôle d’une machine à distance simplement en intégrant un contenu Flash piégé dans une page web ou dans un document bureautique type Microsoft Office. Cette faille a été détectée en Corée du sud, où elle est exploitée activement par des pirates. Une alerte de sécurité a été diffusée par le KrCERT/CC (Korea Computer Emergency Response Team Coordination Center). D’après Simon Choi, un chercheur en sécurité sud-coréen, il s’agirait là d’une opération d’espionnage orchestrée par la Corée du nord.
05-02-2018


Microsoft corrige Intel

Les correctifs contre les attaques Spectre et Meltdown se suivent mais ce n’est hélas pas pour aider l’utilisateur. Microsoft vient de publier en urgence la mise à jour KB4078130 pour annuler les effets du patch d’Intel contre la variante 2 de l’attaque Spectre. En effet, ce correctif pose des problèmes de redémarrages intempestifs : Intel a même recommandé à ses partenaires d’arrêter son déploiement. Le patch de Microsoft est donc conçu pour arrêter la casse en attendant qu’Intel propose une nouvelle version de son correctif, sans les effets secondaires néfastes. L’éditeur indique qu’il est disponible pour Windows 7, Windows 8.1 et Windows 10. En revanche, il pourrait ne pas être proposé automatiquement par le service Windows Update. Il faut donc aller le télécharger sur le site de Microsoft et l’installer manuellement. Microsoft précise également qu’au 25 janvier, il n’y a eu aucun rapport mentionnant une attaque utilisant la variante 2 de Spectre (CVE 2017-5715), mais recommande toutefois d’installer le correctif d’Intel quand celui-ci sera vraiment opérationnel.
29-01-2018


Intel ça continu !

Intel est confronté à une nouvelle faille de sécurité. Après le fiasco « Meltdown et Specter », le géant doit faire face à la découverte, par le chercheur en sécurité Harry Sintonen ( F-Secure), d’une autre vulnérabilité. Elle affecte potentiellement des millions d’ordinateurs portables d’entreprise. Ce bug de sécurité touche l’AMT alias l’Active Management Technology. Son exploitation par un pirate permet de prendre facilement le contrôle complet de la machine. L’opération est présentée comme rapide puisque le chercheur parle de « quelques secondes » seulement. Contrairement à Meltdown et Spectre, cette faille est plus difficile à exploiter dans le sens ou elle demande un accès physique à l’ordinateur. Cependant il s’agit bien d’un problème critique selon Harry Sintonen. Une fois utilisée, elle permet de compromettre un système en moins d’une minute, puis de le contrôler à distance en se connectant au même réseau. Cette vulnérabilité est accessible même si d’autres mesures de sécurité sont en place. Ceci comprend un mot de passe BIOS, l’activation de BitLocker ou encore un code PIN TPM ou la présence d’un antivirus traditionnel. Le chercheur indique qu’un accès complet à un système fournit à un pirate des droits de lecture et d’écriture. Il peut alors entreprendre des modifications de données et déployer des logiciels malveillants même si des solutions de sécurité sont présentes. Il explique « L’attaque est presque simple à réaliser, elle a un potentiel destructeur incroyable. En pratique, cela peut donner à un attaquant local un contrôle complet sur l’ordinateur portable d’un individu, malgré les mesures de sécurité les plus populaires » Intel n’a pour le moment par encore réagi à cette nouvelle découverte. De son côté F-Secure recommande aux utilisateurs concernés de toujours garder un œil sur leurs ordinateurs portables d’entreprise, d’utiliser des mots de passe forts pour l’AMT ou même de désactiver complètement cette fonctionnalité.
15-01-2018


Intel réagi enfin avec un Patch

Jann Horn, un chercheur de Google Project Zero a découvert les deux failles en 2017. Selon les estimations, elles existeraient depuis au moins 20 ans. Depuis la révélation, les différents constructeurs essaient de proposer une solution. Selon les précisions fournies par The Verge, ce patch immuniserait les processeurs contre Meltdown et Spectre. De son côté, le porte-parole de la compagnie a fourni plus de précisions sur le déploiement de cette mise à jour. D’après ce responsable, l’opération est en bonne voie. Intel compte atteindre plus de 90% des processeurs récents (ayant moins de 5 ans) avant le 14 janvier prochain. Nos confrères soulignent qu’Intel ait utilisé le mot « immuniser » alors que Spectre serait « incurable ». Comme cette faille touche la partie matérielle du processeur, elle nécessiterait un changement radical. Néanmoins, espérons que les chercheurs de la firme américaine ont trouvé une solution appropriée et plus simple.
05-01-2018


Les smartphones et Apple touchés par les failles CPU

C’est l’histoire de deux failles majeures qui touchent principalement les nouvelles technologies et l’informatique en général. Meltdown et Spectre, puisque c’est les doux noms que l’on leur a donnés, ne touchent finalement pas que les processeurs Intel mais bien l’ensemble des processeurs existants. S’il existe un patch de sécurité qui permet de corriger la faille Meltdown, ce ne sera jamais le cas pour Spectre. Et l’épisode est loin d’être terminé puisque Apple vient d’annoncer que tous les iPhone et Mac étaient également touchés par ces failles. Heureusement, des premiers patchs correctifs sont disponibles. Apple l’a confirmé : l’ensemble des iPhone qui tournent via un processeur ARM ainsi que tous les Mac qui possèdent un processeur Intel sont touchés. Mais ce n’est pas tout puisque tous les appareils qui tournent sous iOS, à savoir iPad, iPod ou Apple TV notamment, sont également vulnérables. Les Apple Watch elles, ne sont pas concernées. Apple a expliqué que les mises à jour 11.2 pour iOS, 10.13.2 pour macOS et 11.2 pour tvOS apportent de nombreux correctifs qui permettent de réduire les risques liés à Meltdown et Spectre. Le géant américain suit donc la même démarche que Microsoft qui a appliqué, hier à 23 heures, un premier patch pour Windows 10 permettant de réduire au maximum les éventuelles exploitations de la faille. Il est donc plus que recommandé de rapidement réaliser ces mises à jour, que vous ayez un PC ou un Mac. Autre recommandation, téléchargez le plus souvent possible via des plateformes officielles, à savoir l’App Store et évitez les applications douteuses qui pourraient contenir un ou plusieurs malwares. Il est donc préférable de tenir à jour nos smartphones et ordinateurs pour ne pas avoir de mauvaise surprise.
05-01-2018