Digest sécurité juillet 2017

le

Bearstech | Dernière mise à jour : 2017-07-31

La Suéde et ses données sensibles, Devil's Ivy et la menace sur l'IoT, Apple Store en Chine et services VPN, un braquage à 7 millions de dollars, données de santé de plus de 500.000 patients belges dérobées

Suède : des données sensibles exposées dans le cloud

La société des transports suédoise a eu l'excellente idée de constituer un fichier gavé de données personnelles à caractère très sensibles, portant sur l'ensemble de la population susceptible de conduire un véhicule en Suède. Cette base de données, dont l'administration a été externalisée à IBM aurait été compromise. Stockée pour des raisons de coût dans un cloud qui ne semble pas franchement souverain, ces données sensibles auraient été exposées et des personnes non autorisées y auraient accédées. Le scandale est d'ampleur nationale, mais les autorités ne semblent pas se poser la question de l'existence même d'un tel fichier, dans lequels sont consignées des données comme les informations personnelles des forces spéciales suédoises ou les bénéficiaires du programme de protection des témoins. Il ne manquait plus que des données biométriques et le tableau aurait été parfait.

Devil's Ivy fait planner une nouvelle menace sur l'IoT

C'est à Senrio Labs que l'on doit la découverte d'une vulnérabilité dans la librairie gSOAP, largement utilisée dans le développeent embarqué à destinationd de l'Iot, et notamment des cameras de vidéo surveillance de marque Axis (Voir la vidéo du proof of concept). On parle de dizaines de millions d'objets connectés vulnérables et si la librairie gSOAP se vera bien appliqué un correctif, on peut sérieusement douter du fait que les fabriquants implémentent tous ce patch dans leurs mises à jour de firmwares. On peut aussi douter de la réactivité des utilisateurs finaux à faire leurs mises à jour de firmware.

2017 sera définitivement l'année d'une prise de conscience sur les dangers liés aux objets connectés. le botnet Mirai n'y est pas pour rien. On continue donc dans la mise en application de cette folie sécuritaire autour de l'Internet des objets où le marketing l'emporte systématiquement à la sécurité : il faut être le premier sur le marché, créer en permanence de nouveaux produits, abandonner le support (et les mises à jour de sécurité) des anciens pour vendre les nouveautés.

Des services de VPN majeurs disparaissent de l'Apple Store en Chine

La Chine est numériquement tristement connue pour son "grand firewall", un dispositif de censure d'Internet mettant en oeuvre à peu près tout ce qui se fait de plus sale en terme de neutralité du Net (Blocaque d'URL, IP, DNS menteurs, packet filtering et resets de connexions... liste non exhaustive). L'apparition des terminaux mobiles n'a évidemment pas freiné la volonté des autorités chinoises de contrôler ce à quoi sa population accède ou produit sur Internet. Ainsi, ces dernières auraient réussi à contraindre Apple [à suprrimer de son Store accessible en Chine des applications les plus populaires de services VPN] (https://venturebeat.com/2017/07/30/apple-removes-vpn-services-from-app-store-in-china/).

Apple a de son côté publié un communiqué expliquant que le gouvernement chinois lui a fait passer cette "demande" comme une contrainte légale puisque le gouvernement chinois a prévu d'attribuer des licences à certains services VPN, et que seuls ces derniers auront à terme le droit d'être utilisés en Chine. En pratique, ceci pourrait permettre aux autorités chinoises d'accéder aux données de connexions d'un utilisateur d'un service VPN licencié puisque ce dernier aura été licencié afin de conserver des journaux de connexions détaillés et désanonymisés.

Mort programmée de la confidentialité numérique en Russie

Après la méthode chinoise, voici donc la méthode Poutine : une loi interdisant purement et simplement l'usage de VPN, de proxies, de Tor... enfin bref tout ce qui vous permet un minimum de confidentialité sur Internet.

Cette nouvelle loi intervient à la veille des élections présidentielles de 2018 et après que beaucoup de regards aient convergé vers la Russie après de forts soupçons d'interférences du Kremlin dans les élections présidentielles américaines et françaises.

Jouissant d'une forte popularité, le président russe n'avait sur le papier pas besoin d'une telle mesure puisque ce sont presque les 3/4 de la population qui souhaitent le voir réélu. Par delà l'argument politique, y a t-il une réelle volonté, à travers cette loi de lutter contre la cybercriminalité ? Si oui, la réponse n'est-elle pas pire que le mal ?

Ethereum : 3 minutes pour un braquage à 7 millions de dollars.

3 minutes, c'est le temps qu'aura pris un cyberbraquage à 7 million de dollars. Et le pire, c'est qu'il ne semble pas que l'on soit dans un hack que l'on pourrait techniquement qualifier de haute volée. Profitant d'une levée de fonds sur la platforme Coindash, le pirate a tout simplement remplacé l'adresse du wallet d'Ethereum par la sienne.

Sans plus de détail technique sur la "faille", technique, ou humaine, qui a rendu possible ce détournement, difficile de l'attribuer à qui que ce soit, mais les rumeurs vont bon train, certains soupçonnant ouvertement une piste interne à Coindash, qui réfute ces accusations.

Des données de santé de plus de 500.000 patients belges dérobées

Digitale Wachtkamer est un site web flamand qui centralise les prises de rendez-vous pour les médecins. L'application en ligne qui ne semble pas non plus de toute première fraicheur, a été la cible d'un piratage à l'occasion duquel le pirate aurait réussi à mettre la main sur les données de santé de 500 000 patients belges, en l'occurence, les raisons de leurs demandes de rendez-vous, les adresses e-mail et les numéros de téléphone.

Le pirate aurait en outre eu la délicatesse de réclamer une rançon de 85 000€. La société éditrice du site Digitale Wachtkamer a porté plainte.

Service Audit Sécurité

Bearstech vous propose ses services Audit Sécurité wordpress

Découvrir ce service

Partager cet article

Flux RSS


Partager cet article :