L'actualité de la sécurité informatique - mars 2017

le

Bearstech | Dernière mise à jour : 2017-03-17

Voici notre digest de l'actualité sécurité, chez les ours, tous les mois c'est Olivier Laurelli aka @bluetouff qui s'y colle . Ces petits condensés sont le moyen de partager avec vous nos lectures, nos discussions, nos réflexions, autour du vaste thème de la sécurité informatique.

Vault 7 : Wikileaks révèle de nombreux outils offensifs de la CIA

WikiLeaks a récemmment publié plus de 8500 documents confidentiels émanant de la CIA documentant l'arsenal numérique de l'agence, notammentt un malware prenant pour cible Android (plateforme sur laquelle la CIA avait accumulé en 2016 pas moins de 24 exploits 0 day), les iPhones et les télévisions connectées, notamment des modèles Samsung. Bien entendu, concernant Windows, OSX ou GNU/Linux, la CIA n'est pas non plus en reste et dispose d'un arsenal adapté à chaque OS. La fuite émanerait d'anciens sous-traitants. Wikileaks se serait rapproché de grands éditeurs logiciels afin de leur donner un accès à ces outils pour que ces derniers puissent patcher les vulnérabilités exploitées par ces outils. Plus troublant encore, le consulat de Francfort en Allemagne serait une base d'opération du cyberspionnage américain ciblant l'Europe, l'afrique et le moyen-orient. Cette nouvelle fuite vient cependant confirmer le fait que le chiffrement rend la tâche plus complexe aux agences de renseignement.

Le serveur oublié d'OVH

Un serveur oublié abritant l'ancien forum d'OVH, compromis en 2015, a été le point d'entrée d'un pirate qui a tenté de s'introduire sur le SI interne de l'hébergeur. Cette machine aurait du être débranchée, mais elle est restée allumée, oubliée, bien qu'isolée. Se servant de cette machine, le pirate a pu accéder à un second serveur qui stockait les une ancienne base de données des comptes utilisateurs de la société. Fidèle à ses habitude, la direction d'OVH, reconnaissant l'erreur, a communiqué de manière parfaitement transparente sur cet incident.

Le tweet fail du mois

C'est en voulant illustrer un tweet commentant l'actualité politique que le député Gilbert Collard s'est malencontreusement trompé d'image et sélectionné une capture d'écran dans laquelle il communiquait ses mots de passe à un tiers, dont le numéro de téléphone s'est évidemment lui aussi retrouvé sur cette capture, et publié sur le fil twitter du député. Le mot de passe très inspiré "Collard.20127" était alors celui que le député semblait utiliser un peu partout. Nous avons donc ici un concentré de mauvaises pratiques résumés en un seul tweet, il fallait saluer cette performance.

Souriez, vous êtes rooté

Le chercheur Pierre Kim vient de révéler de multiples vulnérabilités critiques sur des Webcams, un modèle chinois issu d'un seul et même fabricant que l'on trouve commercialisé sous 1250 références différentes. Ce sont en tout 215 000 caméras IP dans la natures qui sont vulnérables.

Sextoy connecté... plus d'intimité

Un fabricant canadien de sextoys connectés a été condamné à verser jusqu'à $10 000 par plaignant suite à une plainte mettant en évidence des téléchargements de données personnelles mettant à mal l'intimité de ses utilisateurs. Par delà le fait que l'on se demande encore quel est l'intérêt de connecter ce genre d'objet, des chercheurs en sécurité informatique avaient déjà mis en évidence des vulnérabilités permettant jusqu'à une prise de contrôle à distance de ces sextoys.

Découverte d'un XSS dans Google Maps

Marin Moulinier est un jeune et talentueux chercheur en sécurité. Dans un excellent papier, il détaille la découverte d'une faille XSS dans Google Maps. Ayant remonté la vulnérabilité à Google qui l'a promptement patché, l'entreprise a décidé d'octroyer au chercheur une récompense de $5000, amplement méritée.

L'US AirForce partage accidentellement des données sensibles

Ce sont les données personnelles de pas moins de 4000 officiers de l'US Air Force qui se sont retrouvées dans la nature. Découvert par un chercheur en sécurité officiant chez MacKeeper, un disque non chiffré, accessible depuis le net au grand public, sans aucune authentification, offrait ainsi plusieurs gigas de données qui se sont retrouvés accessibles. On y trouvait principalement des données personnelles d'officiers, comme leur numéro de sécurité sociale ou des copies de leur passeport.

Attaque massive sur Twitter par des pirates pro Erdogan

C'est en exploitant une vulnérabilité dans une application tierce se connectant à Twitter, The Counter, que des pirates turcs favorables au président Erdogan ont pu massivement diffuser, sur d'importants comptes officiels de médias, de journalistes ou d'ONG, un message traitant l'Allemagne et les Pays-Bas de « Nazi ». Si ce type d'attaque n'est pas nouveau, il convient de rappeler qu'il est important de faire régulièrement le ménage dans les applications que vous laissez se conecter à vos comptes sur les réseaux sociaux et d'en vérifier les permissions. Une bonne pratique est de refuser toute application s'octroyant le droit de publier des choses sur vos comptes. L'utilisation d'une authentification à double facteur est également recommandée.

Service Audit Sécurité

Bearstech vous propose ses services Audit Sécurité wordpress

Découvrir ce service