Facebook a laissé fuiter les données de 50 millions d'internautes, UE et USA vont enquêter. En 2014, Cambridge Analytica a récupéré les données de 50 millions d'utilisateurs via un « test de personnalité ».
Au courant depuis 2015, Facebook vient de suspendre le compte des sociétés impliquées. Des deux côtés de l'Atlantique, responsables politiques et régulateurs réclament des comptes au réseau social. Le 16 mars, Facebook a suspendu l'accès de la société Strategic Communication Laboratories (SCL) à ses données. La cible : sa branche d'analyse politique, Cambridge Analytica, au cœur de la campagne numérique de Donald Trump en 2016. Début 2014, la société a capté des informations sur plus de 50 millions de membres américains, via l'application « thisisyourdigitallife », connectée à 270 000 profils Facebook, révèlent The Guardian et le New York Times. Tinder corrige une faille permettant une prise de contrôle du compte.
22 procureurs généraux d'États américains et le district de Columbia ont de nouveau déposé plainte contre l'annulation de la neutralité du Net, annoncée depuis plus d'un an.
Le régulateur des télécoms, la FCC, a officiellement publié une ordonnance annulant les règles instituant la non-discrimination des contenus en 2015, sous l'administration Obama. Le vote de la commission a eu lieu à la mi-décembre. Selon la nouvelle plainte, l'autorité ne peut pas prendre une telle décision unilatérale, sans tenir compte des preuves de l'intérêt de la neutralité du Net. Elle est rejointe par Mozilla, qui a également redéposé plainte dès la publication du document de la FCC. Pour mémoire, la FCC a ouvertement ignoré les centaines de milliers de messages d'internautes, et les centaines d'entreprises défendant le maintien de cette protection. Les pare-feux Cisco ASA touchés par une méchante faille de sécurité.
Qualcomm a présenté ses résultats financiers pour le premier trimestre de son exercice 2018, et ils ont de quoi surprendre.
L'entreprise affiche des revenus en légère hausse, à 6,068 milliards de dollars, contre 5,999 milliards un an plus tôt, mais ses profits ont fondu comme neige au soleil. Les 682 millions de dollars de bénéfice enregistrés au 1er trimestre 2017 laissent en effet place aujourd'hui à une perte nette de 5,953 milliards de dollars. Si Qualcomm perd autant d'argent, c'est en partie à cause de l'amende record infligée par la Commission européenne, pour laquelle 1,2 milliard de dollars ont été provisionnés ce trimestre.
Nouvelle faille de sécurité de l'Intel ME ! Pour la troisième fois cette année, Intel vient d'annoncer une nouvelle série de failles qui touche son système Management Engine.
Pour rappel, l'Intel Management Engine est basé sur un coprocesseur indépendant et un firmware (basé sur le microkernel MINIX comme s'en émouvait son créateur, Andrew S. Les outils Microsoft Office (Word, Excel, Outlook...etc) visés par une attaque utilisant le protocole DDE. Cet article ne va pas passionner les foules, mais si vous êtes dans un cadre professionnel et que vous utilisez Microsoft Office, je pense que c'est utile de le lire quand même.
En effet, un nouvel exploit utilisant la fonctionnalité DDE (Dynamic Data Exchange) de Microsoft Office permet à un attaquant de lancer du code malicieux sur une machine à l'ouverture d'un document ou d'un email (dans Outlook) sans avoir à activer les macros ou à corrompre la mémoire. DDE est un vieux protocole utilisé par Microsoft pour permettre à 2 applications d'utiliser la même donnée au même moment. Vous le retrouvez dans Excel, Word, mais aussi Visual Basic. Bien qu'aucun avertissement relatif à la sécurité ne soit affiché, lorsque cet exploit est utilisé, l'outil Microsoft visé balance quand même un message demandant si l'on veut bien lancer cette commande. La base interne de failles de Microsoft’s piratée en 2013.
Le fabricant vient d’annoncer officiellement ce téléphone un peu particulier.
Plus épais que la moyenne, il dispose en effet d’un second écran aussi grand que le principal. Tous les deux sont recouverts d’une couche de Corning Gorilla Glass 5. L’écran supplémentaire peut pivoter pour se placer en dessous du premier, ou bien à côté. Plusieurs modes d’utilisation sont proposés : dual pour deux programmes simultanément (un sur chaque écran), extended pour ne faire plus qu’un seul grand écran (avec une bordure au milieu) de 6,75 pouces (toujours en Full HD), et enfin miroir. Tout estprésenté ici. Ce smartphone est animé par un SoC Snapdragon avec huits cœurs à 2,15 GHz (référence non précisée, mais certains évoquent le 820), épaulé par 4 Go de mémoire vive. Infineon prévient d'une large faille dans la génération de clés RSA de ses puces.
Plusieurs sociétés ont prévenu leurs clients qu’il fallait mettre à jour leurs produits à cause d’une faille de sécurité dans des puces Infineon, ouvrant la voie à une récupération des clés RSA.
La vulnérabilité réside dans l’implémentation du standard par le fondeur, non dans le chiffrement lui-même. Fujitsu, Google, HP, Lenovo et Microsoft ont émis des alertes pour informer les entreprises concernées. Le problème ne concerne que les puces livrées par Infineon pour remplir le rôle de Trusted Platform Module. Ces puces servent principalement à générer et/ou stocker les clés RSA utilisées pour signer des échanges ou des données. Au cœur du problème se trouve la bibliothèque RSA (version 1.02.0.13) fournie par Infineon pour utiliser ses puces, ainsi que la fonction Fast Prime.
WPA2 cracké. C'est l'heure de mettre à jour ! BlueBorne : huit failles critiques dans le Bluetooth, des correctifs déjà déployés. Un important lot de failles 0-day a été découvert dans l'implémentation du protocole Bluetooth.
L’exploitation peut mener à de nombreuses attaques, dont la prise de contrôle et le vol d’informations. Les premiers correctifs sont déjà déployés, mais tous les utilisateurs ne seront pas servis. Devil's Ivy - Une faille de sécurité dans gSOAP et potentiellement des millions d'objets connectés et de serveurs impactés. Les experts sécu de la société Senrio étaient en train d’auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices. Cette faille toute fraiche baptisée Devil’s Ivy (CVE-2017-9765) permet à un attaquant d’exécuter du code à distance sur les serveurs.
Toutefois, les clients peuvent aussi être touchés s’ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l’exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d’accéder au flux. 2 failles découvertes au niveau de NTLM - Pensez à patcher votre Windows.
Si vous évoluez dans un environnement Windows, prenez le temps de lire cet article. 2 failles ont été découvertes dans le protocole de sécurité NTLM de Windows qui permettraient à un attaquant de créer des comptes administrateurs sur un domaine et donc d'en prendre le contrôle.
Pour rappel, NTLM (NT Lan Manager) est un ancien protocole utilisé pour ajouter sur un réseau des machines Windows. Depuis Windows 2000, Kerberos a remplacé NTLM mais ce dernier est évidemment toujours supporté par Microsoft et encore utilisé partout. Voici une démo d'exploitation de ces failles portant sur le relai LDAP et RDP : Heureusement, Microsoft a patché ces failles donc pensez bien à faire vos mises à jour avant que ce soit encore le bazar au prochain malware ;-)
Stack Clash, une importante faille de sécurité pour les systèmes Unix et dérivés. SambaCry : de la faille Samba au minage distribué de crypto-monnaie par malware. Il y a deux semaines environ, Samba corrigeait une vulnérabilité critique, vite surnommée SambaCry.
Aujourd’hui, elle fait l’objet d’une exploitation, les pirates en profitant pour installer un logiciel mineur de crypto-monnaie. Le 24 mai, Samba colmatait une brèche critique dans son code, estampillée CVE-2017-7494. Implémentation libre du protocole SMB de Windows, le logiciel est utilisé sur de nombreux systèmes, en particulier les distributions Linux et les NAS, permettant notamment le partage de fichiers. Un malware détourne la technologie AMT d'Intel pour masquer ses communications. Le groupe de pirates Platinum sait utiliser l’AMT d’Intel pour la retourner contre les entreprises qui s’en servent. Contrairement aux soucis précédents avec cette technologie, il ne s’agit pas cette fois de failles de sécurité, mais d’un véritable détournement de ses fonctions.
Début mai, Intel corrigeait une importante faille de sécurité dans sa technologie AMT. L’Active Management Technology est une pile de traitement prenant appui sur le Management Engine, lui-même présent dans les processeurs Intel depuis environ dix ans. AMT fournit aux ordinateurs, lorsqu’elle est active, des fonctionnalités de gestion distante pour faire gagner du temps aux administrateurs. Le prestataire SSO OneLogin victime d'une importante fuite de données. Le prestataire OneLogin, qui fournit une solution de type SSO (Single Sign On), a confirmé avoir été victime d’une brèche dans ses défenses durant la journée du 31 mai.
Les utilisateurs concernés, tous dans la région américaine, ont été avertis que leurs données ont pu être dérobées. OneLogin est un service commercial permettant aux clients de disposer d’une solution complète de SSO et de gestion d’identité. Citizen, Condé Nast, Yelp, Zendesk, Dell, Pandora ou encore Pinterest y font appel. Les principales technologies utilisées sont le SAML (Security Assertion Markup Language), WS-Federation et OpenID. Utilisé par plusieurs centaines d’entreprises, OneLogin est donc au carrefour de bien des services. Tous les utilisateurs aux États-Unis. Linux : importante faille dans sudo, la plupart des distributions mises à jour. Une importante faille de sécurité a été détectée dans sudo, un programme Linux bien connu permettant de réaliser des actions avec des droits administrateur. La faille a été révélée hier et est déjà corrigée, les utilisateurs étant invités à mettre à jour leurs machines aussi rapidement que possible.
Un keylogger détecté sur les ordinateurs HP. Dans la série "l'enfer est pavé de bonnes intentions", je vais vous parler aujourd'hui des ordinateurs HP qui pour certains contiennent un keylogger (logiciel d'enregistrement de touches). Rien de mafieux là-dedans, plutôt une grosse négligence de la part de Conexant, la société qui fabrique la puce audio de l'ordinateur. Les pilotes de cette puce fonctionnent avec les touches spéciales du clavier pour faire Lecture/Pause, Volume +, Volume - ...etc. et comme ça a été développé avec les pieds, ce pilote ne se contente pas d'intercepter ces touches spéciales, mais l'intégralité des touches du clavier sur lesquelles appuie l'utilisateur ET les stocke dans un fichier texte.
C'est magique ! Si vous avez un ordinateur HP avec les drivers de Conexant, vous aurez le plaisir de voir des informations sensibles ou non dans le fichier C:\Users\Public\MicTray.log. Microsoft colmate une importante faille de sécurité dans Windows Defender. AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises. Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants.
Une faille Microsoft IIS 6 rend vulnérable des millions de sites web. Un exploit d'une vulnérabilité dans la version 6.0 du serveur web Microsoft IIS a été publié. Elle augmente considérablement les risques d'attaques sur des millions de sites web. Les connexions TLS compromises par des outils d'inspection HTTPS. La division US-Cert dépendante du département de la sécurité intérieure des Etats-Unis a trouvé que plusieurs produits d'inspection de trafic HTTPS ne valident pas tout le temps correctement les certificats de sécurité. Obsolescence des mises à jour des librairies TLS ou mises en oeuvre défaillantes n'arrangent rien. Vault 7 : des switchs Cisco victime d'une faille critique, Telnet doit être désactivé. Cisco a publié ce week-end un important bulletin de sécurité portant sur une faille critique, découverte en analysant les documents Vault 7 fournis par Wikileaks.
Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises. 36 smartphones Android, pour la plupart haut de gamme, sont touchés par un problème de malware. Apache corrige une faille déjà exploitée dans Struts 2. Google révèle les détails d'une nouvelle faille dans Windows, avec prototype d'exploitation. Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. Cloudbleed : importante fuite de données chez Cloudflare, changez vos mots de passe. Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine. Une faille 0-day existe dans Windows, plus spécialement dans la manière dont le système gère le trafic SMB. WordPress corrige discrètement une faille vraiment critique. Netgear : une trentaine de produits touchés par une nouvelle faille critique.
L'extension Chrome WebEx de Cisco victime d'une importante faille critique. Les smartphones G3, G4 et G5 de LG touchés par deux failles critiques dans SmartShare. PHPMailer victime d'une faille de sécurité critique, un correctif est disponible. Carte bancaire Visa : des informations récupérables par force brute, la société nous répond. Dirty Cow - Une faille banalement critique dans le noyau Linux. OMG ! 100% des grandes entreprises françaises ont des failles de sécurité. Un smartphone Android acheté, une backdoor chinoise offerte. Une importante porte dérobée dans 55 modèles de terminaux Android. Linux : presser longtemps la touche Entrée permettait de contourner un outil de chiffrement. Le verrouillage d'iPad sous iOS 10.1 et 10.1.1 contourné.