💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Des piratages et des bug bounties #veille (17 fév 2019)

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

📚💡️idée de lecture : Sécurité informatique - Ethical Hacking📘 Voir sur Amazon

Beaucoup d’articles sélectionnés cette semaine (qui finalement couvre les 2 dernières semaines). Après collection#1, un nouveau piratage a été révélé avec 620 millions de données de sites web a priori très actuelles et donc nettement plus sensibles. La liste de sites concerné est longue 🙁 : Dubsmash (162 millions), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), … sans oublier également un autre piratage qui a touché le site de photos 500px qui organise également de son côté la réinitialisation des ses comptes


Our engineering team recently learned of a potential security issue affecting your 500px user account. We are taking this issue extremely seriously and have taken immediate action to address the situation and ensure the protection of our users’ data. Although there is no indication of unauthorized access to your account, as a precautionary measure, we require you to reset your 500px account password.

l’équipe 500px, Canada

Mis à part les autres nombreux vols ou pertes de données capté dans cette veille, il y a une autre particularité: l’intérêt pour les bug bounties et ce n’est pas la levée de fond de 4 Mios de Yes We Hack qui va le contredire.

Comme vous pourrez le voir ci-dessous, il y a beaucoup d’actualités intéressantes et diverses recueillies cette semaine … à vous de voir 🙂 Belle semaine à vous!

Vol / perte de données

Les données de 620 millions de comptes ont été piratées

MyFitnessPal ou MyHeritage sont les deux sites qui ont été le plus touchés par le piratage massif d’une dizaine de sites, dont le butin total avoisine les 620 millions de comptes piratés.

Hacker who stole 620 million records strikes again, stealing 127 million more

A hacker who stole close to 620 million user records from 16 websites has stolen another 127 million records from eight more websites, TechCrunch has learned.

Millions Affected by 500px Data Breach

Photo network resets passwords after incident last July

Les données personnelles des cadors de la cyberdéfense française ont fuité sur la Toile

Plus de 2 200 noms et coordonnées personnelles des principaux directeurs en sécurité informatique de la Nation étaient en accès libre sur le site Web du Clusif, le club des experts en sécurité informatique français.

Devastating Cyberattack on Email Provider Destroys 18 Years of Data

All data belonging to US users-including backup copies-have been deleted in catastrophe, VFEmail says.

Google Chrome extension warns if your password has been leaked

Google has released an optional extension for its Chrome browser that will trigger a visual warning if it determines you are using a username/password combination that it knows to be unsafe.

Donald Trump’s ‘Executive Time’ leak – journalists retype documents to protect White House source

Such a leak is likely to anger Trump and the White House, of course, and so Axios had to be careful not to throw their source under the bus.

Cyber-attaques / fraudes

Two hacker groups responsible for 60 percent of all publicly reported hacks

The two hacker groups suspected of stealing around $1 billion worth of cryptocurrency.

Runet : la Russie va se déconnecter d’internet et tester son propre réseau

La Russie va se déconnecter du web mondial le temps d’un test prévu pour le 1er avril 2019. Le pays …

Hackers tried to steal €13 million from Malta’s Bank of Valletta

Hackers tried to send funds to banks in the UK, the US, the Czech Republic, and Honk Kong. Transactions are being reverted.

Russian ISPs plan internet disconnection test for entire country

Russia’s major ISPs plan to temporarily disconnect servers from the internet, effectively cutting the country off from the outside world.

Failles / vulnérabilités

Suisse : 200 000 dollars de récompense, pour pirater le système de vote électronique

Pour tester son nouveau système de vote électronique, la Poste Suisse organise un grand test public d’intrusion, qui aura lieu du 25 février au 24 mars 2019.

https://www.welivesecurity.com/fr/2019/02/07/union-europeenne-bug-bounty/

UK Launches £6m IoT Security Competition

Government is looking for innovative ideas from British firms

Comment cette ampoule intelligente divulguait votre mot de passe Wi-Fi (entre autre)

Les ampoules intelligentes LIFX contenaient des vulnérabilités qui pouvaient être exploitées avec un peu d’ingéniosité. Et d’une scie à métaux.

Android : une simple image PNG permet de pirater n’importe quel smartphone

Google a découvert plus d’une quaantaine de failles de sécurtié dans Android dont l’une permet de pirater n’importe quel smartphone grâce à une image PNG.

Microsoft ne veut plus que vous utilisiez Internet Explorer

Utiliser Internet Explorer comme navigateur par défaut constitue un risque. Et c’est Microsoft qui le dit. Aujourd’hui, la firme de Redmond voit IE comme un outil de compatibilité, plutôt que comme un vrai navigateur.

Yes We Hack lève 4 millions d’euros pour renforcer sa plateforme d’hackers éthiques à l’international

De plus en plus d’entreprises font appel au système du Bug Bounty ou « prime à la faille ».

Vidéo : on a hacké une trottinette Xiaomi en quelques secondes !

Une application Android permet à n’importe qui de verrouiller à distance une trottinette Xiaomi M365 / Mi Electric Scooter. Nos tests montrent que ce piratage fonctionne sans problème et qu’il est loin d’être inoffensif pour les utilisateurs.

Il a trouvé une faille critique dans macOS… mais ne veut pas la livrer à Apple

Un chercheur en sécurité a révélé une faille zero-day dans le coffre-fort des mots de passe de macOS. Mais il ne veut pas transmettre les détails à Apple tant que celui-ci ne proposera pas de bug bounty. Une question de principe, selon lui.

Réglementaire / juridique

404

Suite à la récente migration de www.melani.admin.ch à www.ncsc.admin.ch, la structure du site a été modifiée, ce qui peut aboutir à des liens erronés et à un tel message d’erreur. Les moyens de recherche suivant sont à votre disposition :

Des journalistes français rattrapés par leur passé de cyberharceleurs

Le cyberharcèlement sur les réseaux sociaux laisse des traces: plusieurs journalistes français ont été suspendus par leurs employeurs lundi pour avoir appartenu à « La ligue du LOL », un groupe dénoncé par de nombreuses victimes ces derniers jours.

Ils ont soutiré deux millions d’euros grâce à un faux support informatique

Trois hommes ont organisé une vaste fraude qui, à coup de messages anxiogènes, consistait à inciter des internautes français à payer pour un faux service de dépannage informatique. Plus de 8 000 personnes sont tombées dans le panneau.

European Commission orders mass recall of creepy, leaky child-tracking smartwatch

Hackers can talk to and locate the wearer, warns notice

Bank IT Manager Gets 10 Years for ATM Exploit

Huaxia Bank employee stole $1m from cash points

China Police Get Power to Remotely ‘Inspect’ Company Networks in China

In June 2017, China’s new cybersecurity law gave its Ministry of State Security (basically, China’s spy agency) new powers over foreign technology. Now, new provisions announced in November 2018 under the title ‘Internet Safety Supervision and Inspection Regulations’ have expanded the intrusive capabilities of the Ministry of Public Security (MPS) — China’s internal police authority.

Divers

La Confédération condamne Whatsapp au profit de l’app suisse Threema

Pour que ses collaborateurs cessent d’utiliser Whatsapp à titre professionnel, la Confédération introduit l’alternative suisse Threema Work.

La Suisse va commencer à évaluer le risque Huawei

La Commission de politique de sécurité interrogera bientôt le Service de renseignement de la Confédération sur le géant chinois.

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

1 commentaire
  1. Ping : Veille Cyber N219 – 25 février 2019 |

Commentaires désactivés.

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏