NEWSLETTER CYBERSECURITE SEMAINES 36-37

Adacis vous propose un résumé de l’actualité sécurité bi-mensuel dans sa newsletter !

Au menu:

L’actualité qui nous a marquée :

/!\ Alerte sécurité /!\ Ce message est volontairement anxiogène il est nécessaire de désactiver votre bluetooth si vous ne l’utilisez pas. Plusieurs failles majeures ont été trouvées dans le protocole Bluetooth. Cela impactera des milliards d’appareils. Il semblerait que les appareils Android soient les plus vulnérables à cette faille. Pour les appareils Android la faille permettrait une prise de contrôle totale du périphérique cible. Seuls les appareils Bluetooth Low Energy seraient impactés. Une seule manière de s’en prémunir pour le moment est de désactiver votre Bluetooth.

Les nouvelles des dernières semaines :

Acquérir des billets d’avion gratuitement, une fois! Un jeune belge de 23 ans écumait les failles de sécurité pour obtenir des billets d’avion gratuitement.

Des failles de sécurités ont été découvertes dans le système de comptage des voix électorales des Länder en Allemagne. C’est assez grave pour être souligné car le nombre de failles serait apparemment conséquent. Les règles les plus élémentaires de sécurité informatique ne seraient pas respectées.

L’intelligence artificielle est au cœur de beaucoup de discussions. Elle pose des questions d’éthiques, des questions sur l’humanité voir des questions philosophiques sur des choix cruciaux que seul un humain pourrait prendre. En matière de cybersécurité, l’IA est aussi dans les discussions. Voilà une ambition dans l’avenir très forte que sont les IAs. Cédric Villani a été chargé de faire un rapport au gouvernement sur le sujet. Article très intéressant sur son approche.

Nous savons que les géants d’internet sont parfois limite du point de vue de l’exploitation de nos données personnelles. Voici une condamnation supplémentaire faite à Facebook en Espagne d’1,2 million d’euros. Facebook aurait collecté des données sur des informations personnelles d’internautes. La sanction s’applique aussi puisque visiblement le réseau social numéro 1 d’internet aurait réussi à collecter des données de personnes non inscrites sur le réseau.

La méthode du dauphin pour pirater les assistants vocaux Google et Amazon. Non ça n’est pas une blague, la méthode du dauphin consiste à envoyer des sons qui sont inaudibles pour un être humain mais provoque une réaction sur les assistants vocaux. Visiblement beaucoup d’assistants vocaux seraient concernés au delà des seules marques que nous avons citées. Pour y pallier il faudrait augmenter la qualité des micros des assistants.

Un Crous universitaire a voulu mettre en place une méthode de suivi des matelas dans les chambres qu’il loue. Le Crous est un organisme public qui permet de fournir des aides au logement mais aussi financier aux étudiants. Mais voilà cette histoire a créé une réaction si forte qu’ils ont été obligé de retirer les systèmes. En effet, ce dernier était capable de détecter l’usure des matelas et donc de pouvoir anticiper les entretiens et achats de ces derniers. Mais, ce système détectait aussi la présence des étudiants et leurs habitudes de vie, c’est là où ça coince.

Equifax une agence de gestion de crédit s’est encore fait piratée le 7 septembre. C’est l’histoire d’une entreprise qui nous montre tout ce qu’il ne faut pas faire en matière de sécurité. Divers couacs sur la gestion de résolution de problème, des remontées d’information sur la sécurité de leur système non pris en compte et enfin la démission des responsables en cybersécurité. Beaucoup d’articles sur cet affaire assez impressionnante d’un vol de données massifs à cause d’une faille de sécurité connue.

Vulnérabilités et patchs de sécurité :

Le retour de Struts2 ! La faille CVE-2017-9805 permettrait d’exécuter du code à distance dans Apache Struts. Toutes les versions de Struts depuis 2008 et les applications web utilisant le plugin REST sont concernées. Il est important d’effectuer la mise à jour vers Struts version 2.5.13.

Microsoft corrige plus de 80 vulnérabilité dans son dernier Patch Tuesday. Parmis ces failles sont concernés trois failles zéros Day dont une qui a déjà un exploit en circulation. Une faille dans le Bluetooth de Windows server 2008 a également été corrigée.

Vulnérabilité découverte dans des seringues médicales. Une pompe qui contrôle le débit peut être piratée à distance par un hacker et donc tuer un patient. Ces pompes sont rangées dans la classe des IoT mais celle-ci sont utilisées pour nos besoins vitaux. Après le rappel de 465 000 pacemakers, c’est donc une nouvelle brèche dans le domaine du médical qui est découverte.

Les conseils et outils de sécurité :

Beaucoup de personnes se plaignent régulièrement d’internet et des données qui y circulent sur nous-même. En outre, ils se plaignent de la non maîtrise que nous avons de ces dernières. Figurez vous qu’en réalité la vente de données existe depuis bien avant l’internet. Les gouvernements vendaient nos données à des sociétés qui plus tard en faisaient des usages commerciaux plus ou moins agressifs. Rendons nous compte que depuis internet, en réalité nous avons un meilleur moyen de contrôle sur nos identités. Nous pouvons sélectionner nos entreprises de confiance à qui nous voulons bien laisser des informations. Un réflexe simple pour la protection de notre identité et pour voir ce qui est visible sur internet de nous même, consiste simplement à taper son nom et son prénom (voir son pseudonyme) dans un moteur de recherche. Ainsi vous aurez la visibilité de ce que les personnes peuvent voir sur vous. Un petit article illustrant cela.

Un outil pas forcément en lien avec la sécurité mais qui a son importance. Il s’agit de docker sous RaspBerry, il est enfin officiellement disponible. Mieux encore apparemment une version de docker officielle permettrait de gérer un cluster de Raspberry. De quoi passer de longues nuits d’hiver à bidouiller vos Raspberry 🙂

Adacis vous souhaite une très bonne semaine.

A bientôt !

Facebooktwittergoogle_pluslinkedin