Adacis vous propose un résumé de l’actualité sécurité de la semaine dans sa newsletter !

Au menu:

L’actualité marquante de la semaine :

Alors que l’Europe et la CNIL renforce les lois de protection de la vie privée, de l’autre côté de l’atlantique c’est la libéralisation qui prime. En effet, les États unis viennent d’abroger les règles de protection des internautes. L’usage commercial des données personnelles récoltées par les FAI américains est maintenant autorisé.  Cela soulève encore un problème sur la neutralité du web qui a été repris par le Monde dans un de ses articles.

Mais ne nous faisons pas d’illusion sur le sujet, le premier à revendre vos données est l’État. En effet, prenez simplement le formulaire de vente de véhicule, si vous ne cochez pas la bonne case vos données seront revendues. Quoi vous ne le saviez pas ? Le business de la vente des données à toujours été lucratif.

Les nouvelles de la semaine :

• Nous y sommes, le fichier TES est déployé sur l’ensemble du territoire français. Les recommandations de la CNIL restent sous silence. On rappelle ici, que le fichier TES contient toutes les données biométriques des citoyens Français. Mais aussi des données sur nos vies privées utilisées par l’État pour nous identifier. Voici une FAQ du Ministère ici.

• La réglementation Européenne va changer nous vous en parlions la semaine dernière. La CNIL nous livre une analyse dans cet article sur les événements passés et avenir la concernant. En effet, elle est au cœur des modifications et va devoir s’adapter à la nouvelle réglementation.

• Le code source du trojan bancaire Nuclear Bot mis en vente sur le marché de la cybercriminalité. Le cheval de Troie peut en plus de dérober des informations bancaires, ouvrir un proxy local ou un service de bureau à distance caché afin d’initier des transactions déloyales via les navigateurs de ses victimes.

• Combien coûte une attaque DDoS pour être exécutée ? Kaspersky Lab a publié une analyse des prix provenant directement du Dark Web pour une attaque DDoS. Les modalités et le coût sont très intéressant on note par exemple qu’en moyenne une attaque DDos rapport 18$ de l’heure.

• Le financier prime sur tout. C’est ainsi que résonne Hadopi en complétant un décret indiquant les indemnités fournies aux opérateurs qui identifient les internautes suspectés de télécharger illégalement. En réfléchissant rapidement on se demande si certains opérateurs en difficultés financières ne feront pas une chasse aux sorcières.

• Les objets connectés sont très vulnérables à l’heure actuelle. Le problème c’est la prise de conscience des industrielles. En effet, Imaginez un instant que vos sex-toys permettent de provoquer une attaque informatique d’ampleur ? On n’est pas dans un mauvais scénario de film X mais dans la vie réelle. Voici un article expliquant le problème des sex-toys connectés. Finalement,  sortie de leur contexte ce ne sont que des unités informatiques vulnérables à part entière. Alors attention, on ne parle pas d’une attaque qui permettrait de téléguider le sex-toys et de lui faire faire n’importe quoi. On parle de l’éventualité qu’un botnet comme mirai prennent le contrôle de tous les sex-toys connectés. Cela permettrait de provoquer une attaque informatique massive.

Vulnérabilités, patchs et outils de sécurité :

• VMWare : 4 vulnérabilités dont 3 critiques corrigées. Ces vulnérabilités concernent différentes versions ESXi, Workstation Pro, Workstation Player et Fusion et viennent corriger les failles CVE-2017-4902 et CVE-2017-4903. Mettez à jour votre logiciel !

• Une faille de type Zéro Day découverte dans IIS 6.0, CVE-2017-7269. Des millions de sites web seraient affectés par cette faille. L’attaque est effectué par un Buffer OverFlow, une attaque bien connue des experts en sécurité informatique qui n’a que pour remède d’avoir un code source de qualité.

• Pas encore en vente et déjà piraté. La reconnaissance faciale du Samsung S8 tient plus du gadget que d’un véritable système de sécurité pour smartphone. En effet, il suffirait de placer une photo en face du détecteur de visage pour déverrouiller le téléphone mobile.

• Les smart TV se font hacker par des attaques en Broadcast. Une attaque finalement simple qui démontre que nos smart TV sont très vulnérables. Leur nombre grandissant dans nos maisons nécessites que nous prenions des précautions particulières avec ces objets.

• Avez vous pensé à la double Authentification ? Il s’agit d’une méthode pour s’authentifier sur des sites internet comme Facebook, Google, Icloud, LinkedIn etc. C’est à dire qu’après avoir tapé votre mot de passe, on utilise une deuxième source sûr pour vous identifier. Soit par l’envoie d’un code par SMS, soit par l’envoie d’une demande d’approbation par e-mail. L’idée générale est de prouver que vous n’avez pas été piraté. Attention cependant à ne pas faire une mauvaise manipulation et bloquer définitivement votre compte, en bloquant votre téléphone mobile par exemple 🙂

L’équipe Adacis vous souhaite une très bonne semaine.