Sélection de l’actualité de la semaine

Données personnelles

Sur Google, on trouve en un clic des milliers de numéros français liés à WhatsApp

La fonctionnalité « Inviter à intégrer le groupe via un lien » des groupes de discussion WhatsApp expose publiquement les numéros de téléphone des utilisateurs de la messagerie, propriété de Facebook. Cette fonctionnalité est initialement prévue pour inviter des personnes à rejoindre un groupe via un lien ; ce lien permet d’accéder aux groupes et aux utilisateurs qui en sont membres. Parmi les informations accessibles à ce stade, on retrouve les numéros de téléphone et les photos de profils, ce qui facilite l’identification d’une personne, et relève donc des données personnelles selon le RGPD. Or, le lien généré pour rejoindre les groupes est indexé par les moteurs de recherche (Google, Qwant, DuckDuckGo, Bing, etc.) ; cela signifie que par une recherche ciblée, utilisant les techniques de « Google Hacking », il est possible de retrouver des liens de groupes de conversations et donc les numéros de téléphone et les photos de profils des membres. Cette exposition de données personnelles permettrait à des personnes mal intentionnées de retrouver de nombreuses informations concernant plusieurs centaines de milliers de personnes. Un chercheur en cybersécurité a remonté la faille à Facebook en novembre 2019 qui a répondu qu’il ne s’agissait pas d’une faille, mais bien d’un choix délibéré, autorisant cette fonctionnalité. Depuis le signalement de cette fonctionnalité, Google a arrêté d’indexer les liens.

Google envisage de placer les données de ses utilisateurs britanniques sous juridiction américaine

En raison du Brexit, et donc de la sortie du Royaume-Uni de la réglementation européenne, Google envisage de placer les données des citoyens britanniques, actuellement stockées en Irlande, sous juridiction américaine. Google aurait décidé de transférer les données des utilisateurs britanniques hors de la juridiction irlandaise, et donc soumises au RGPD. L’agence Reuters indique que le Royaume-Uni et les Etats-Unis auraient travaillé ensemble à définir les conditions d’accès aux données personnelles des utilisateurs par les autorités, dans le cadre de la renégociation d’un accord commercial bilatéral post-Brexit. Ce dernier faciliterait les accès aux données personnelles des utilisateurs par les autorités britanniques, aujourd’hui strictement encadrés par le RGPD. Cependant, comme le rappelle un ancien responsable de la vie privée de chez Google, « ne négligez jamais le désir des entreprises numériques de ne pas être prises entre deux gouvernements différents ». La multinationale s’est d’ailleurs voulue rassurante en indiquant que « rien ne changera concernant nos services ou notre approche de la confidentialité, y compris la façon dont nous collectons ou traitons les données, et comment nous répondons aux demandes des autorités chargées de l’application des informations des utilisateurs ». La situation créée par le Brexit va en effet contraindre de nombreuses entreprises qui se trouvent dans la même situation que Google, et notamment Facebook.

La DISA (U.S.) touchée par une fuite de données massive

L’agence Reuters a indiqué la semaine dernière avoir eu connaissance d’une compromission de données personnelles des salariés de la Defense Information Systems Agency. L’agence a envoyé des courriers notifiant ses salariés qu’une « potentielle fuite de données personnelles a pu avoir lieu entre mai et juillet 2019 » ; le porte-parole du Ministère de la Défense américaine a confirmé que la fuite de données a pu concerner plus de 200 000 personnes, mais qu’il n’y avait « pas de preuves que les données exposées ont été utilisées par des individus malveillants à ce jour ». L’information pourrait rester anecdotique si ce n’est que la DISA est l’agence fédérale américaine de soutien au combat du ministère de la Défense (DoD), chargée de « gérer les réseaux de communication du DoD (DODIN) pour les opérations interarmées afin de permettre la létalité dans tous les domaines de la guerre pour la défense de notre nation » (sic).

Decathlon subit une attaque informatique et expose 123 millions de données clients

Toujours dans le cadre de son « projet de cartographie d’Internet », les équipes de vpnMentor ont encore frappé. Une mauvaise configuration d’un serveur de la filiale espagnole du groupe Decathlon a conduit à l’exposition de plus de 123 millions de données provenant de différents magasins, d’employés du groupe et de clients. Dans un communiqué, le groupe assure qu’aucune donnée à caractère personnel n’a été exposée. La société de cybersécurité vpnMentor, qui a révélé la semaine dernière l’exposition de données de l’application PhotoSquarred, a identifié une base de données exposée, liée à Decathlon Espagne et à Decathlon Royaume-Uni. Parmi les 9GB trouvées, les équipes de vpnMentor ont obtenu des noms, des numéros de téléphone, des numéros de sécurité sociale, des adresses, des données relatives à leurs fonctions au sein du groupe (poste occupé, dates d’embauche, etc.). Comme d’accoutumé, le groupe touché par cette erreur de configuration se veut rassurant, indiquant que « selon [leurs] analyses, de toutes les données exposées dans l’incident, seulement 0,03 % sont des données personnelles, et les 99,97 % restants sont des données techniques internes », et de préciser qu’ « en aucun cas, ni les mots de passe, ni les numéros de carte de crédit, ni les renseignements personnels n’ont été exposés ».

Les enceintes connectées vous écoutent plus souvent que ce que vous pensez

Des chercheurs de la Northeastern University et du Imperial College London ont cherché à savoir dans quelle mesure les assistants vocaux et enceintes connectées se déclenchaient en raison de faux positifs (i.e. des phrases courantes qui ne contiennent pas les mots prévus pour déclencher l’écoute par les appareils mais qui sont mal-interprétées par ces derniers). Pour simuler des conditions suffisamment proches de la réalité, les équipes de recherche ont diffusé 125 heures de différents programmes issus de Netflix (parmi les plus populaires) et ont surveillé lorsque les haut-parleurs enregistraient en capturant des flux vidéo pour déterminer si leurs lumières s’activaient. Ils ont également surveillé le réseau pour repérer tout trafic qu’ils envoyaient vers le nuage, et ont vérifié leurs comptes cloud pour surveiller les enregistrements auto-déclarés. Parmi les appareils étudiés (Google Home Mini, HomePod de première génération d’Apple, Echo Dot d’Amazon de deuxième et troisième génération, et Harmon Kardon Invoke, qui a Cortana de Microsoft intégré), l’expérience a montré que e taux moyen d’activations par appareil se situe entre 1,5 et 19 fois par jour (24 heures). Les appareils HomePod et Cortana s’activent le plus, suivis de la série Echo Dot 2, Google Home Mini et Echo Dot series 3. Toutefois, les équipes n’ont pas constaté d’écoute permanente ou prolongée par les appareils ; la durée d’activation varie entre les appareils, allant de 6″ ou plus pour les plus courtes, jusqu’à 20-43″ pour les activations les plus longues. Cela laisse le temps aux appareils d’enregistrer des informations privées et non voulues par les utilisateurs.

Le Ministère des Armées certifié Hébergeur de Données de Santé (HDS)

Le Ministère des Armées a fait savoir qu’il avait obtenu la certification HDS, par la voix d’un communiqué. Cette démarche s’inscrit dans la volonté du ministère de traiter les données de santé des ressortissants français de manière sécurisée. La Direction interarmées des réseaux d’infrastructure et des systèmes d’information de la défense (DIRISI) a donc « entrepris de se faire certifier sur l’intégralité des domaines et de répondre ainsi aux exigences attendues pour l’ensemble des six activités d’hébergement d’infrastructures physiques et de services de gestion des données de santé ».

Hacking & Sécurité

Une faille dans la sécurité des communications 4G permet une usurpation d’identité

Le problème réside dans le manque de protection de l’intégrité des données échangées : les paquets de données sont transmis chiffrés entre le téléphone mobile et la station de base, ce qui protège les données contre les écoutes. Cependant, il est possible de modifier les paquets échangés entre le téléphone et la base ; en inversant des octets, les attaquants provoquent des erreurs forçant le téléphone et la station de base à chiffrer ou déchiffrer les données échangées. Ils peuvent ainsi transformer des données chiffrées en texte clair, mais ils peuvent également insérer des commandes envoyées chiffrées au téléphone, qui les transmettra au fournisseur d’accès mobile. Ainsi, les attaquants peuvent usurper l’identité du propriétaire du téléphone et effectuer des actions illégitimes. Pour parvenir à réaliser cette attaque, les équipes de Ruhr-Universität Bochum ont utilisé une software-defined radio, qui permet de faire croire au téléphone qu’elle est la station de base et à la station de base qu’elle est le téléphone. L’attaque, semblable aux attaques de type man-in-the-middle déjà utilisées pour exploiter des failles des communications 4G, n’est cependant possible qu’en étant à proximité du téléphone ciblé.

Google publie une mise à jour de sécurité pour corriger trois failles de sécurité dont une 0-day

L’information a été communiquée par le blog de Google Chrome Release et relayée par le CERT-Fr. Le navigateur Chrome (versions antérieures à 80.0.3987.122) est vulnérable à plusieurs attaques qui permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur. Parmi les trois failles corrigées (Integer overflow in ICU, CVE-2020-6407, CVE-2020-6418), la 0-day (VCE-2020-6418) renvoie à une « confusion de type dans la V8 », V8 étant le composant de Chrome qui traite le code JavaScript. Une « confusion des types » entraîne des erreurs logiques dans la mémoire de l’application, ce qui peut donc permettre à un attaquant d’exécuter un code malveillant sans restriction dans l’application.

Le constructeur Taïwanais Zyxel touché par une vulnérabilité sur l’ensemble de ses produits

Zyxel est un important constructeur Taïwanais de pare-feux, NAS, appliances de sécurité VPN, scanners de vulnérabilités, etc. Une vulnérabilité a été détectée dans tous leurs produit. Cette vulnérabilité permet la compromission directe, à travers Internet, des produits du constructeur. L’attaque permettant d’exploiter la vulnérabilité repose sur une injection de commandes dans la page de login des solutions qu’ils vendent, avant toute authentification, et les commandes exécutées le sont avec les droits les plus élevés sur le système. Bref une vulnérabilité qui ne devrait plus exister en 2020, telle qu’un stagiaire n’oserait pas mettre en place même en ayant jamais fait de sécurité. Ironiquement, le correctif de sécurité est distribué par Zyxel via FTP, qui est un protocole non chiffré (comme HTTP). Enfin, les firmwares à jour ne sont même pas signés cryptographiquement pour vérifier l’émetteur. Un code malveillant est en vente pour 20 000 $ sur le dark net pour exploiter la vulnérabilité automatiquement.

DoppelPaymer : un opérateur téléphonique français touché par une ransomware

Un opérateur télécom français aurait été victime du groupe à l’origine du ransomware éponyme, DoppelPaymer. Près de 150 machines seraient touchées par l’attaque ; le groupe a publié plusieurs conteneurs au format .zip pour démontrer la réussite de leurs attaques et demandent une rançon de 35BTC, soit plus de 300 000€ sans quoi les fichiers seront publiés publiquement. Dans le même temps, on apprend que le groupe DoppelPaymer a mis en ligne un site web répertoriant toutes leurs victimes, et surtout celles qui auraient voulu garder l’incident de sécurité secret.

Une nouvelle vulnérabilité découverte sur les réseaux wifi affecte des millions d’appareils.

Des chercheurs viennent de publier une attaque ciblant le protocole WPA2 (mode personnal et enterprise) à travers son implémentation dans les puces Broadcom et Cypress, très répandues (Apple, Xiaomi, Raspberry, Samsung, etc.). Nommée Kr00k, elle permet à un attaquant à proximité de capturer du trafic réseau en clair. Lorsque l’attaquant force la déconnexion d’un appareil, la puce wifi remet sa clé de chiffrement à zéro. Néanmoins, les informations en cours d’émission sont tout de même envoyées en utilisant cette clé nulle. C’est ce qui permet à un attaquant de les lire. Le processus peut être répété en provoquant des déconnexions en série, permettant alors à l’attaquant de lire de grandes quantités d’information.

Bilan de la RSA 2020 : Les objets connectés continuent de souffrir de vulnérabilités endémiques

La conférence RSA ferme ses portes ce soir. Cette édition 2020 aura à nouveau pointé du doigt les nombreuses vulnérabilités que l’on retrouve dans les fameux IoT ; parmi les secteurs les plus vulnérables, la santé souffre des innovations trop rapides. De plus, cette année, deux objets du quotidien en particulier ont focalisé l’attention :

– Un moniteur de baby phone utilisant des clés cryptographiques codées en dur ( https://lnkd.in/dqKFzJy ) ;

– Un aspirateur robot, dont les vulnérabilités permettent de le « bricker » ou de prendre le contrôle de la caméra embarquée ( https://lnkd.in/dbs-WmC ).

Une des solutions au problème ne serait-elle pas d’arrêter d’embarquer des caméras dans des objets qui n’en ont, à priori, pas un besoin fondamental ?

Géopolitique

La Commission Européenne décide d’utiliser Signal

Après avoir vu des câbles diplomatiques piratés et diffusés publiquement (décembre 2018), après avoir constaté que l’ambassade de l’Union européenne à Moscou a été piratée depuis 2017 et que des informations sensibles ont été exfiltrées (en juin 2019), l’Union Européenne a franchi le pas et a décidé d’imposer l’utilisation de la messagerie sécurisée Signal pour ses communications sensibles mais non-classifiées. L’UE continue donc de renforcer la cybersécurité en attendant de retravailler à l’amélioration de sa stratégie.

Marché & Industrie

5G : Bouygues Telecom vent debout contre une interdiction de Huawei

En attendant la publication de l’avis de l’ANSSI concernant les risques inhérents au déploiement de la 5G par l’équipementier chinois, le groupe Bouygues Telecom, partenaire traditionnel de Huawei, a indiqué par la voix de son PDG Martin Bouygues que le groupe envisagerait toutes les possibilités si les autorités françaises venaient à prendre une décision qui bannirait Huawei du marché français de la 5G. Bouygues Telecom rejoint SFR, également partenaire traditionnel de Huawei, pour enjoindre le gouvernement français à ne pas fermer le marché français de la 5G, déjà en retard par rapport aux autres pays, à l’équipementier de Shenzen. De son côté, Pékin a réagi en mettant en garde l’Élysée contre la prise de décision en faveur de mesures discriminatoires contre Huawei.

Huawei ouvrira sa première usine hors de Chine en France

Alors que la firme de Shenzen attend l’avis de l’ANSSI concernant les risques inhérents au déploiement de ses antennes 5G sur le territoire français, Huawei vient d’annoncer qu’elle ouvrirait son premier site de production d’équipements radio pour la 5G en France. Cette usine sera la première du genre en dehors des frontières chinoises pour la firme de Shenzhen ; le président, Liang Hua, a annoncé un investissement minimal de 200 millions d’euros et la création de 500 personnes directs. De quoi convaincre les autorités françaises ?

La santé digitale parmi les « marchés clés prioritaires » pour la France

Un rapport remis le 7 février aux ministères de l’Economie et des finances, et de l’Enseignement supérieur, de la recherche et de l’innovation, identifie le marché de la santé digitale comme priorité nécessitant une stratégie d’accélération accélérée. Le marché de la santé digitale renvoie à l’ensemble des outils et infrastructures informatiques intervenant en amont et en aval de la décision médicale ; le rapport identifie les points forts et les verrous industriels à lever pour favoriser l’émergence et la consolidation d’entreprises de taille intermédiaire (ETI) sur le marché et renforcer la filière industrielle française au niveau européen.

Y’a plus, je laisse ?

RETEX de Red Team : comment un hacker et sa mère ont réussi à pénétrer le système d’information d’une prison fédérale américaine

Wired raconte comment une société de cybersécurité, engagée pour tester la sécurité d’une prison fédérale américaine, a facilement réussi à pénétrer dans le système d’information de l’établissement. Leur arme secrète : la mère d’un des experts, qui s’est fait passer pour une inspectrice sanitaire et a pu donner une Rubber Ducky au directeur de la prison pour pirater l’ensemble du réseau.

(haut, haut, bas, bas, gauche, droite, gauche, droite, B, A)

Kazuhisa Hashimoto, l’inventeur du célèbre « Konami Code« , est décédé. Le Konami code, cheat code par excellence, est devenu culte au point de se diffuser hors du monde des jeux vidéo pour débloquer des fonctionnalités, des jeux ou des accès cachés.