De (trop) nombreuses failles et fuites durant l’été
Le 29 août 2019 à 09h03
4 min
Internet
Internet
Les pirates, « bugs » et autres problèmes techniques n'ont pas pris de congés et ont continué de sévir, avec des conséquences plus ou moins importantes. Plutôt que de diluer ces problèmes dans de nombreuses entrées, nous avons décidé de regrouper les principales brèches afin de vous donner un ordre d'idée de ce qui se passe en l'espace de deux mois seulement… et il y a de quoi prendre peur.
Le plus gros drame de l'été s'est certainement déroulé chez Biostar 2. Des chercheurs ont accédé à une base de données de 23 Go comprenant 27,8 millions d'entrées. Dans le lot, des données de reconnaissance faciale et des empreintes de plus d'un million de personnes. Contrairement à un mot de passe, il n'est pas possible de changer d'empreintes ou de tête…
Tencent a identifiée une faille dans des puces Qualcomm permettant de prendre le contrôle d'un appareil à distance. Elle est affublée du nom QualPwn et concerne une large variété de SoC, allant des Qualcomm 215 aux Snapdragon 855 (la liste est disponible par ici). Le bulletin de sécurité d'Android du mois d'août bouche ces failles… encore faut-il pouvoir en profiter sur son terminal.
Continuons avec KNOB (Key Negotiation of Bluetooth), une faille dans le protocole du Bluetooth (et pas son implémentation). Les chercheurs ont pu lancer leur attaque sur pas moins de 17 puces Bluetooth différentes. Les fabricants ont été prévenus fin 2018 et des correctifs ont déjà été déployés par les gros fabricants comme Apple, Google, Intel et Microsoft.
Valve a été le parfait exemple de ce qu'il ne faut pas faire en matière de cybersécurité. Pour résumer grossièrement, le chercheur Vasily Kravets a signalé une faille sur HackerOne, qui n'en était en fait pas une selon Valve. Le chercheur a alors voulu dévoiler les détails, mais un membre de HackerOne lui a interdit de le faire, même si aucun correctif n'était en route, puis il a été banni de la plateforme. Il a ensuite trouvé une seconde faille dont il a publié des détails (pas sur HackerOne évidemment). Valve a ensuite fait machine arrière, reconnu son erreur et enfin déployé des correctifs.
De son côté, l'E3 a laissé filer un fichier contenant des détails personnels de 2 000 journalistes et influenceurs. La banque américaine Capital One n'est pas en reste car elle s'est fait dérober des données personnelles sur 100 millions d'utilisateurs. Toujours du côté des banques, Monzo a laissé accessible pendant six mois des données bancaires de près de 500 000 clients. La routine ou presque...
Twitter aussi s'est emmêlé les pinceaux et a pu transférer des données à des tiers alors que vous n'aviez pas donné votre accord. Epitech aussi a été confrontée à des fuites de données (élèves, enseignants et personnels administratifs) par un compte dénommé Epitek Reveal. Un ancien étudiant de l'école a publié sa vision des faits sur GitHub.
Par deux fois, Google a laissé sur le Play Store une application malveillante intégrant un logiciel espion open source baptisé AhMyth. Pour Eset qui a découvert le pot aux roses, c'est un sérieux avertissement à Google qui doit renforcer ses protections.
Facebook n'a pas respecté sa promesse de ne laisser les enfants dialoguer qu'avec des personnes expressément autorisées par les parents dans Messenger Kids. En cause, un vilain défaut de conception : dans une conversation de groupe, n'importe quel utilisateur pouvait inviter des personnes qui avaient été approuvées par ses parents, mais pas par les parents des autres membres du groupe.
C'est presque devenu banal : une plateforme d'échange de cryptomonnaie (Bitpoin) s'est fait dérober 32 millions de dollars dans diverses devises, dont ripple et bitcoin. Dans ProFTPD, une faille permettait à un utilisateur authentifié d'écrire des données dans des répertoires où il n'était pas censé pouvoir le faire.
Pour terminer, ce genre de mésaventures débouche aussi sur des sanctions. C'est le cas d'Equifax qui a trouvé un accord à 575 millions de dollars avec la FTC pour ses déboires de 2017. La société avait laissé fuiter des données de près de 150 millions d'utilisateurs, dont des permis de conduire et des cartes d'identité.
Le 29 août 2019 à 09h03
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/08/2019 à 09h18
“Contrairement à un mot de passe, il n’est pas possible de changer d’empreintes ou de tête…”
Vous venez de me donner une idée pour enfin évaluer objectivement le seul préjudice lié à un “piratage” de db d’identification!
“Mon client doit faire de la chirurgie esthétique pour sécuriser à nouveau ses comptes! “(Y a un paquet de moches qui vont enfin pouvoir faire quelque chose)
(Bon en vrai, ça marche pas, les données biométriques sauf exception sont en principe que des gabaries)
Le 29/08/2019 à 10h36
On peut mentionner l’aéroport d’une des 3 grandes villes francaises qui s’est fait dérober toute sa BD cliente et qui a simplement “invité ses clients à changer leur mot de passe” sans plus d’informations aussi.
Le 29/08/2019 à 10h46
Merci à l’équipe pour :
“Plutôt que de diluer ces problèmes dans de nombreuses entrées, nous avons décidé de regrouper les principales brèches afin de vous donner un ordre d’idée de ce qui se passe en l’espace de deux mois seulement…”
Le 29/08/2019 à 11h42
Pourquoi tu ne cites pas la ville ?
Le 29/08/2019 à 11h44
Par deux fois, Google a laissé sur le Play Store une application
malveillante intégrant un logiciel espion open source baptisé AhMyth.
Voilà qui contredit les défenseurs des magasins d’applications, qui ne veulent pas entendre parler de diffusion des apk. Selon eux, installer un apk hors Play Store serait dangereux (alors qu’il suffit de mettre en place des outils de vérification de l’empreinte, et de ne pas les télécharger depuis n’importe quelle source).
Le 29/08/2019 à 11h45
Valve a été le parfait exemple de ce qu’il ne faut pas faire en matière de cybersécurité. Pour résumer grossièrement, le chercheur Vasily Kravets a signalé une faille sur HackerOne, qui n’en était en fait pas une selon Valve. Le chercheur a alors voulu dévoiler les détails, mais un membre de HackerOne lui a interdit de le faire, même si aucun correctif n’était en route, puis il a été banni de la plateforme. Il a ensuite trouvé une seconde faille dont il a publié des détails (pas sur HackerOne évidemment). Valve a ensuite fait machine arrière, reconnu son erreur et enfin déployé des correctifs.
" />
Comment énerver un mec qui a la capacité de te nuire…
Le 29/08/2019 à 11h49
Le 29/08/2019 à 11h55
Le 29/08/2019 à 13h01
Le 29/08/2019 à 13h07
Sauf si l’application a volontairement été créée avec le logiciel espion. Là, tu peux toujours vérifier l’empreinte, ça ne fera rien. Il n’y a que le cas où un curieux irait lire le code dans l’apk, ce qui ne doit pas arriver souvent.
Le 29/08/2019 à 15h12
Le SD625 est dans la liste non les listes, bravo Qualcomm, je ne vous remercie pas.