Quand les objets connectés deviennent des armes pour attaquer Internet
Internet a été visé par une attaque de grande ampleur vendredi, affectant des sites comme Twitter ou Amazon. Une attaque à la puissance décuplée... grâce aux objets connectés. Que s'est-il passé sur Internet vendredi ? Des millions de personnes, sur la côte est des Etats-Unis, ont été privées d'accès à Twitter, mais aussi Spotify, Amazon, eBay, mais aussi Netflix, Airbnb, et les sites de CNN, du New York Times et d'autres médias. Que s'est-il vraiment passé ? En réalité, ces sites n'ont pas vraiment été visés par des pirates. Comment ça marche ? A la base, le principe est très simple : saturer les serveurs pour les neutraliser. Pour générer ces requêtes, les pirates utilisent un "botnet", c'est-à-dire un réseau d'ordinateurs piratés qui envoient les requêtes sans que leur propriétaire ne s'en rende compte. Pourquoi l'attaque a-t-elle été aussi puissante ? Ces objets connectés sont de plus en plus nombreux... mais aussi beaucoup moins bien sécurisés qu'un véritable ordinateur.
Des sites chinois attaqués via un nouveau bug de framework PHP
ZDNet a appris que plus de 45.000 sites Web chinois ont fait l'objet d'attaques massives destinées à accéder à des serveurs Web. Les attaques ont ciblé des sites Web construits avec ThinkPHP, un framework PHP chinois très populaire là bas. Toutes les attaques ont commencé après que la société chinoise de cybersécurité VulnSpy ait posté une preuve d'exploit pour ThinkPHP sur ExploitDB, un site Web connu pour héberger et mettre à disposition gratuitement du code pour réaliser des exploits. Le PoC exploite une vulnérabilité dans la méthode invokeFunction du framework pour exécuter un code malveillant sur le serveur. La vulnérabilité est exploitable à distance, comme la plupart des vulnérabilités dans les applications Web, et peut permettre à un attaquant de prendre le contrôle du serveur. Les attaques ont commencé en moins d'une journée Mais le plus important de tous les groupes exploitant cette vulnérabilité ThinkPHP est D3c3mb3r. Mais ce groupe, pour l'instant, ne fait rien de particulier.
La France booste la cybersécurité - Le Parisien
Informatique. Les entreprises françaises investissent de plus en plus dans la sécurité de leurs réseaux. Les bons profils professionnels, encore trop rares, sont recherchés. L'attaque orchestrée contre Vinci mercredi l'a prouvé : les cyberattaques n'épargnent pas les entreprises françaises. Une étude de PricewaterhouseCoopers (PWC) en a dénombré 4 165 dans l'Hexagone en 2016. 59 % des entreprises françaises ont d'ailleurs augmenté leurs dépenses de cybersécurité cette année. Conscient des enjeux, le gouvernement français, pionnier en la matière, a mis sur pied une législation très contraignante qui impose à quelque 200 opérateurs d'importance vitale (OIV) de sérieusement muscler leurs défenses numériques. Un besoin de spécialistes « Cette loi a généré un besoin très important de spécialistes en cybersécurité », remarque Christelle Pessos, responsable des ressources humaines chez Airbus Defence and Space, dont une branche est spécialisée dans ce domaine. Frédéric Cuppens. Informatique.
La Model S s'est fait hacker... mais Tesla l'a déjà patchée
Alors qu'elles sont de plus en plus connectées, la sécurité informatique des automobiles devient une préoccupation de premier plan. En témoigne le rappel de 1,4 million de véhicules par Chrysler après le hack à distance d'une Jeep Cherokee par deux experts en cybersécurité. Les voitures de Tesla Motors, qui font figure de pionniers en matière de connectivité et d'électronique, ne sont pas exemptes de ces menaces. Deux chercheurs, Kevin Mahaffey et Marc Rogers, viennent de le démontrer à nouveau en révélant à Wired qu'ils sont parvenus à prendre le contrôle total d'un Model S. Ils ont par exemple pu conduire le véhicule ou même le saboter pour pouvoir en couper le contact à distance. Au total, six vulnérabilités différentes ont été découvertes, la plupart nécessitant un accès physique au réseau interne du véhicule, mais l'une d'entre elles permettant une attaque au travers du navigateur Internet de la voiture. Ironie du sort, la connectivité limite les dégâts
Google débloque un budget illimité pour récompenser les hackers qui trouvent des failles sur Chrome
Google change ses méthodes de chasse aux failles de sécurité sur ses programmes fonctionnant avec le navigateur web Chrome. Depuis quatre ans, le géant du net organise chaque année le concours Pwnium : il invite des petits génies de l'informatique pendant une journée dans le cadre de la conférence annuelle spécialisée dans la cybersécurité CanSecWest à Vancouver. S'ils permettent à l'entreprise de découvrir des bugs dans son système, ils gagnent de l'argent. Google avait mis 2,7 millions de dollars sur la table en 2014 et 3,14 millions en 2013, que se sont partagés les gagnants de la compétition. Le montant offert à ces "hackers bienveillants" dépend de l'importance de la faille découverte. Google renonce aux retombées médiatiques du concours Mais cette année, Pwnium change d'échelle : intégré à un programme de lutte contre les bugs informatiques plus large de l'entreprise (le Chrome Vulnerability Reward Program) il devient pérenne et sera étalé sur l'année entière. Lélia de Matharel
