Adacis vous propose un résumé de l’actualité sécurité de la semaine dans sa newsletter !
Au menu:
L’actualité marquante de la semaine :
Faille critique dans Word corrigée par Windows. Il était possible d’installer des logiciels malveillants via un document Word. C’est la société informatique McAfee qui a identifié la menace. Cette faille était critique car elle permettait de faire une installation de malware sans que les antivirus ne réagissent. Si vous êtes curieux vous avez un POC (Proof Of Concept) disponible ici.
Les nouvelles de la semaine :
- Espionnage, Uber aurait espionné un concurrent en exploitant une faille de sécurité d’une application. Cette faille aurait permis à Uber de permettre à ses employés d’être plus sollicités pour qu’ils ne travaillent pas pour les concurrents.
- Présidentielles : Emmanuel Macron a sous entendu dans son programme qu’il souhaitait que les opérateurs de messageries instantanées (WhatsApp, Telegram etc.) introduisent volontairement des vulnérabilités dans leur protocole de chiffrement. En effet, cela permettrait au service de renseignement d’avoir une porte d’accès à nos données. Mais cela pose beaucoup de problèmes.
- Un administrateur Système est soupçonné d’avoir mis une bombe logique dans un système Oracle. Effectivement, l’admin aurait mal vécu son licenciement et pour se venger il aurait utilisé un malware qui aurait supprimé toutes les clefs financières du système comptable Oracle. On vous laisse imaginer ce qui a pu se passer derrière.
- Grasshopper, un logiciel d’espionnage des PC sous Windows utilisé par la CIA. Elle se serait basée sur un redoutable malware qui est un trojan bancaire russe nommé Carberp. La version de la CIA serait renforcée et dotée de fonctions de persistance.
- Panique à Dallas un hacker a mis toutes les sirènes de la ville en marche. Cela représente 156 sirènes qui ont sonné pendant près de 2h. La conséquence a été un flood massif du 911 malgré un message des autorités demandant de ne pas contacter les urgences.
- Pourquoi devrions nous avoir peur des hackers ? Les dernières révélations tendent à instaurer un climat anxiogène sur les pratiques de la CIA. En réalité, ces hackers cherchent à casser des logiciels et à trouver des failles de sécurité pour nous prémunir d’éventuelles attaques.
Vulnérabilités, patchs et outils de sécurité :
- OWASP Top 10 – 2017 : le référentiel des applications web les plus critiques en termes de sécurité, enfin mis à jour! (la dernière version datant de 2013!). Référence dans le monde de la sécurité informatique depuis plus de 10 ans, OWASP nous offre un outil éducatif complet informant des conséquences des faiblesses de sécurité des applications web les plus importantes.
- Faille critique dans le gestionnaire de contenu Magento. La faille permet de télécharger et d’exécuter des scripts PHP sur un serveur WEB. La vulnérabilité n’est actuellement pas corrigée.
- « The Shadow Brokers » expose d’importantes failles de sécurité dans Windows. En effet, ils ont publié une série d’outils d’espionnage issus probablement de la NSA. A ce sujet des outils de piratage ciblant le système Solaris ont été retrouvés dans l’archive des Shadow Brokers.
L’équipe Adacis vous souhaite une très bonne semaine.
