Connexion

Nous suivre

À propos

Le brief du 09 mai 2023

Publié dans Internet

Western Digital détaille les informations dérobées pendant sa cyberattaque

La semaine dernière, Western Digital reconnaissait avoir été victime d’une cyberattaque. « Une tierce partie non autorisée » avait alors obtenu « certaines données de ses systèmes », sans plus de précisions.

Western Digital victime d’une cyberattaque, plusieurs services inaccessibles

Le fabricant donne de plus amples informations suite à une enquête interne :

« Un tiers non autorisé a obtenu une copie de la base de données Western Digital contenant certaines informations à caractères personnel liées aux clients de notre boutique en ligne. Ces informations incluaient les noms de clients, les adresses d’expédition et de facturation, les adresses emails et les numéros de téléphone.

Par mesure de sécurité, la base de données cernée stockait les mots de passe et les numéros partiels de carte de crédit sous forme hachée et dans un format chiffré (avec salage) ».

Une communication a été faite vers les clients concernés, ce que plusieurs d’entre eux nous ont confirmé. Comme toujours en pareille situation, le risque de phishing est important : un pirate pourrait utiliser ces informations afin d’essayer de se faire passer pour Western Digital.

Tiens, en parlant de ça :

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 4

En ligne, les promos foireuses restent d’actualité

-80 % sur la sincérité de nos promotions

11:09 4

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Avec neutralité, sans neutralité

16:58 21

Surveillance des notifications : un sénateur américain demande la fin du secret

En ligne, les promos foireuses restent d’actualité

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Pourquoi le site du média StreetPress a été momentanément inaccessible

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

19 associations européennes de consommateurs portent plainte contre Meta

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Il y a 25 ans, l’assemblage de la Station spatiale internationale débutait

Fusée Vega : Avio perd deux réservoirs et les retrouve… dans une décharge

RGPD : la Cour de justice de l‘UE précise les modalités des amendes

Les gênantes hallucinations et fuites d’information de Q, le chatbot d’Amazon

Une table ronde de la réserve cyber de la gendarmerie consacrée aux cybermenaces pour le secteur agroalimentaire et les agriculteurs

Une exploitation agricole sur cinq victime d’une cyberattaque

Commentaires (4)

BlueSquirrel Abonné

Il y a 7 mois

Par mesure de sécurité, la base de données cernée stockait les mots de passe et les numéros partiels de carte de crédit sous forme hachée et dans un format chiffré (avec salage) .

Si c’est haché et qu’il y a salage c’est du hachage, pas du chiffrement. La phrase d’origine ne dit pas ça : “In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers.”

Ce qui signifie que ces champs de la bdd contiennent des hashes salés et qu’en plus ils sont chiffrés au repos. Ce n’est pas le chiffrement qui est salé.
Ce ne sont d’ailleurs que les mdp qui sont hachés (puis chiffrés au repos), les numéros de CB quant à eux sont seulement chiffrés au repos.

Il est regrettable que l’entreprise ne communique pas sur l’algorithme de hachage utilisé, car s’il est inadapté et que le mdp est faible alors c’est quasi comme s’il n’y avait pas de hachage du tout. Ca donnerait aussi une idée du fait que WD respecte les bonnes pratiques et l’état de l’art ou non.

Carboline Abonné

Il y a 7 mois

Que de termes pudiques pour annoncer que WD conserve les n° CB de ses clients … Au 21ième siècle ?

David.C Abonné

Il y a 7 mois

Je dirais que beaucoup de sites le font, a voir après s’ils sont sérieux derrière ou pas.

Thoscellen Abonné

Il y a 7 mois

Je confirme le mail également.