L'actualité infosec de la semaine - 14ème numéro (26 juin au 3 juillet)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
La base de donnée d'assurance maladie des Etat-Unis en vente sur le Darknet
La société de cyber-surveillance de données Hacked-DB aurait découvert, sur le Darknet, la vente de 3 bases de données contenant plus de 10 millions de données de patients provenant de 3 caisses d'assurances maladie des États-Unis.
Les informations personnelles des patients (noms, prénoms, numéros de sécurité sociale, etc…) sont vendues en Bitcoin, les prix varient entre 40.000$ à 200.000$ environ par base de donnée.
Les attaquants auraient utilisé une faille zéro Day du protocole RDP (Remote Desktop, accès au bureau à distance) permettant d’avoir accès aux réseaux, le vol des bases de données aurait été possible étant donné que les mots de passes et noms d’utilisateurs circulaient en clair sur le réseau.
La vente de donnée personnelle est un très bon gagne pain sur le Darknet.
Source: hackread
Piratage de la Freebox à cause de télécommandes
Lors de la Nuit du Hack 2016, Renaud Lifchitz (chercheur en sécurité) a démontré qu’il est possible d’intercepter l’échange de clés de chiffrement entre la télécommande et le boitier TV de Free, lors de l’appairage. Renaud Lifchitz a découvert une vulnérabilité dans le protocole ZigBee RF4CE utilisé par de nombreux équipements domotique (dont le boitier Free).
L’attaquant pourra ainsi utiliser votre compte Facebook, Twitter, passer des coups de fils, … Pour réaliser cette attaque, le prix de l’équipement est compris entre 500 et 1000 euros.
Un changement de protocole, voire l’utilisation du Bluetooth 4.0, pourrait améliorer la sécurité.
En effet, aucun patch ne sera possible pour le protocole ZigBee RF4CE.
Source: 01net
Hacking d'un smartphone grâce à l'injection d'un signal malveillant
José Lopes Esteves et Chaouki Kasmi (chercheurs de l’ANSII) sont récemment parvenu à attaquer un smartphone via une le système électrique de l’appareil.
L'attaque consiste à injecter un signal au travers du système électrique de l’appareil, celui-ci créera alors un effet parasite au sein du microphone, qui exécutera une commande vocale malveillante
Cette attaque est réalisable grâce à une sonde (ayant un rayon d’action de 10 mètres) branchée sur le même réseau électrique que le smartphone en charge.
Cependant, étant donné que la fréquence du microphone peut varier (selon la méthode de chargement du smartphone) l’attaque est en pratique difficilement réalisable.
Dans le bénéfice du doute, afin d'éviter ce genre d'attaque, il est recommandé de mettre son smartphone en mode avion lors la charge.
Le pirate nommé Th3 Dir3ctorY confirme avoir aidé Daesh
Ardit Ferizi, un jeune hacker de 20 ans a cette semaine plaidé coupable face aux accusations portées contre lui.
Celles-ci stipulaient que le hacker aurait profité du groupe terroriste Daesh afin de faire du profit de façon malhonnête.
Ainsi, le jeune homme aidait-il les terroristes tout en gagnant de l'argent grâce à eux.
Il a cependant été arrêté en Malaisie et est maintenant jugé au États-Unis (il y a piraté une base de données de la population). Il peut encourir jusqu'à 25 ans de prison (20 ans pour avoir aidé Daesh et 5 ans pour piratage).
Sources :
http://www.undernews.fr/reseau-secur...28UnderNews%29
TSN,tout sauf norton, le retour !
TSN, Tout Sauf Norton !
Une remarque qui peut porter à sourire mais qui est beaucoup moins drôle quand on lit les informations.
En effet, cette semaine, un chercher en cyber-sécurité de Google (Projet Zero) a découvert des failles critiques dans certains des outils de sécurité de la firme Symantec. C'est une bonne blague quand on pense que cette firme se targue de pouvoir nous protéger en ligne.
Les produits suivants pouvaient ainsi être infecté via un simple fichier ou lien :
- Norton Security, Norton 360 et autres produits Norton
- Symantec Endpoint Protection
- Symantec Email Security
- Symantec Protection Engine
- Symantec Protection for SharePoint Servers
Source :
http://www.undernews.fr/malwares-vir...28UnderNews%29
Pas de vie privée tant que les ordinateurs ne seront pas sûrs
Voici un nouveau trait de génie d'un juge américain.
Ce dernier a décrété que la vie privée ne sert à rien et n'est donc pas utile tant que les ordinateurs ne peuvent pas être considérés comme sûrs.
Cela signifie donc que si vous connectez votre ordinateur à internet, vous acceptez légalement de renoncer à votre vie privée.
Une chois difficile à faire quand on se lève un beau matin et qu'on veut regarder la météo !
Source :
https://nakedsecurity.sophos.com/201...ht-to-privacy/
OTAN - Préparation à une cyberattaque
L'OTAN à déclaré cette semaine que toutes les cyberattaques menées à l'encontre d'un de leur pays alliés seront désormais considérées comme une déclaration de guerre officielle. C'est Jens Stoltenberg, le secrétaire général, qui explique que cette menace est tout aussi réelle que celle d'une attaque aérienne ou maritime. L'OTAN pourra désormais répondre à une cyberattaque à l'aide d'armes conventionnelles .
World-Check - 2.2 millions de terroristes dans la nature
La World-Check, c'est le nom de cette énorme base données dirigée par Thomson Reuters, dont le but est de cibler, et d'enregistrer tous les terroristes, trafiquants, dealers, pédophiles et autres personnes pratiquant des activités peu recommandable. Cette base de données est utilisée un peu partout dans le monde par des banques, des agences de sécurité, ou des cabinets d'avocat, mais également par des gouvernements.
Le problème, c'est que cette base de données a dernièrement fuité. Un chercheur a réussi à se procurer une copie datant de 2014.
Il précise: “Aucun piratage n’a eu lieu pour permettre l’acquisition de ces données. Je considère cela comme une fuite, mais totalement indirecte. Les détails exacts ne pourront être partagés qu’à une date ultérieure.“ Affaire à suivre donc.
Microsoft attaqué en justice
Teri Goldstein, c'est le nom de cette américaine qui a attaquée l'empire Microsoft en justice cette semaine. La jeune femme s'est retrouvée sans rien demander avec une mise à jour vers Windows 10. Problème: Cette dernière a subi un bug, privant la jeune femme de son ordinateur durant 4 jours.
Mais Teri Goldstein avait besoin d'un PC pour faire tourner son agence de voyage. Elle attaque donc Microsoft en justice... Et gagne le procès, en empochant 10 000 dollars!
By Anonyme77, Gohy, Bioshock & _47