La nouvelle de la semaine est certainement la faille KRACK, une abréviation pour Key Reinstallation Attacks. En résumé, celle-ci met à mal la confidentialité de toutes les données échangées via les wifi. Nous avions quitté le protocole WEP pour son manque de sécurité et voici donc que son successeur WPA2 est tout aussi vulnérable. Microsoft et d’autres acteurs majeurs ont commencé à déployer des patches correctifs mais il faudra attendre des années pour que cette faille disparaisse effectivement. En effet, il y a peu d’espoir que les fabricants d’objets connectés diffusent rapidement des mises à jour au vu de leur sensibilité actuelle vis-à-vis de la sécurité. Si vous souhaitez en savoir plus sur cette faille, le papier du chercheur à l’origine de cette découverte est placée à la fin de cet article.
Du côté des pertes et vols de données, il faut se tourner cette semaine du côté de l’Afrique du Sud et des Etats-Unis. Un spécialiste sécurité a ainsi découvert sur le net les données personnelles de 30 millions de Sud-Africains. Pizza Hut a de son côté annoncé une compromission des données de paiement pendant 2 jours.
Intéressant de noter que Google arme son navigateur Chrome d’un antivirus. Celui-ci complète la protection Microsoft en bloquant des menaces directement dans le navigateur.
En attendant les prochaines nouvelles #cybersec et #infosec, voici la sélection des actualités intéressantes de la semaine passée:
-
Le cryptage WPA2 n’est plus fiable
« Le protocole WPA2 a pour rôle de sécuriser les échanges de données entre un point d’accès WiFi et un appareil connecté (ordinateur, smartphone…). Conçu en 2004 après le « crack » du protocole WEP, il était le mécanisme le plus fiable en matière de cryptage d’informations … jusqu’à ce jour. »
-
Update Every Device — This KRACK Hack Kills Your Wi-Fi Privacy
« It’s time to get patching again. Another widespread vulnerability affecting practically everyone and everything that uses Wi-Fi was revealed on Monday, allowing hackers to decrypt and potentially look at everything people are doing online. »
-
South Africans exposed; 30 million unique records leaked
« Hunt received a 27GB file that, he believes, “is definitely floating around between traders.” Based on the headers published on Pastebin, the leaked data includes unique ID numbers, marital status, employment history, property ownership, income and company dictatorships, and other information from as early as the 90s. »
-
Pizza Hut Notifies Customers of Data Breach
« On October 14, the Italian-American cuisine franchise wrote to a portion of its customer base about an “unauthorized third party intrusion” involving its website. Pizza Hut thinks that the incident might have affected individuals who placed an order using the company’s website or mobile application during the 28-hour period stretching from the morning of October 1st to around midday on October 2nd. »
-
La Suisse va-t-elle défier les hackers et mettre un million de francs en jeu?
« Les systèmes de vote en ligne utilisés en Suisse sont-ils vraiment sûrs? Afin d’éviter le moindre doute, la Confédération doit mettre au défi la communauté mondiale des pirates informatiques en offrant une récompense à qui parviendra à les «hacker». C’est ce que demande un député qui prend pour exemple Google et Tesla. »
-
US Congress mulls first ‘hack back’ revenge law. And yup, you can guess what it’ll let people do
« Two members of the US House of Representatives today introduced a law bill that would allow hacking victims to seek revenge and hack the hackers who hacked them. »
-
Critical Microsoft database breach was kept secret from the public
« Back in 2013, Microsoft suffered a rather critical security breach. The company’s internal bug reporting database was compromised, giving those who hacked into it access to a list of unresolved bugs and vulnerabilities within Windows. That’s worrying enough on its own, but then comes the realization that Microsoft actually kept details of the breach from the public »
-
Le parasitage de PC pour miner de la crypto-monnaie toucherait jusqu’à 500 millions d’utilisateurs
« De plus en plus de sites détournent discrètement la puissance de traitement informatique des internautes pour miner de la crypto-monnaie affirme un nouveau rapport. De quoi se faire de l’argent sur le dos des internautes. »
-
Serious Crypto-Flaw Lets Hackers Recover Private RSA Keys Used in Billions of Devices
« Microsoft, Google, Lenovo, HP and Fujitsu are warning their customers of a potentially serious vulnerability in widely used RSA cryptographic library produced by German semiconductor manufacturer Infineon Technologies. »
-
Sur Windows, Chrome embarque désormais un antivirus
« Le navigateur intègre le moteur de détection d’Eset pour la faire la chasse aux logiciels non désirés qui dégradent la navigation ou représentent un risque pour l’internaute. »
-
L’Europe veut pouvoir hacker vos communications pour aider la police
« Plutôt que de miser sur des portes dérobées compliquées à mettre à œuvre, les forces de l’ordre européennes préfèrent se concentrer sur des « techniques d’investigation alternatives », autrement dit le hacking. »
-
Security Flaw in Infineon Smart Cards and TPMs
« A security flaw in Infineon smart cards and TPMs allows an attacker to recover private keys from the public keys. Basically, the key generation algorithm sometimes creates public keys that are vulnerable to Coppersmith’s attack: »
-
Child safety smartwatches ‘easy’ to hack, watchdog says
« The Norwegian Consumer Council (NCC) tested watches from brands including Gator and GPS for Kids. It said it discovered that attackers could track, eavesdrop or even communicate with the wearers. »
-
Google Rolls Out Advanced Protection for High-Risk Users
« Google has implemented additional cyber-protections for users that are at particularly high risk of targeted online attacks, such as campaign staffers preparing for an upcoming election, journalists who need to protect the confidentiality of their sources, or people in abusive relationships seeking safety. »
-
Google wants bug hunters to probe popular Android apps for bugs
« While the name of the program might suggest that bug hunters will be after vulnerabilities in Google’s official Android app market, in reality they will be asked to unearth bugs in all of Google’s apps available on Google Play, as well as a short list of other popular ones. »
-
ATM Machine Malware Sold on Dark Web
« Cybercriminals are advertising ATM malware that’s designed to exploit hardware and software vulnerabilities on the cash-dispensing machines. »
-
‘Hacker Door’ Backdoor Resurfaces as RAT a Decade Later
« Sophisticated backdoor re-emerges as a RAT more than a decade after its 2004 public release, with updated advanced malicious functionality. »
-
Lancement national de la plateforme Cybermalveillance.gouv.fr
« Dans le cadre du Mois européen de la cybersécurité, le groupement d’intérêt public ACYMA ouvre au niveau national sa plateforme « cybermalveillance.gouv.fr », le dispositif d’assistance aux victimes de cybermalveillance. »
-
Un puissant botnet IoT prêt à sévir
« L’éditeur de sécurité Check Point alerte sur la formation d’un botnet se servant d’un nombre grandissant d’objets connectés. Son potentiel de dommage pourrait être encore plus important que Mirai en 2016. »
Posted from Diigo. The rest of my favorite links are here.
Cliquer pour accéder à ccs2017.pdf