du 15 mars 2019
Date

Choisir une autre édition

Gearbest : très importante fuite de données, la société fait l'autruche

Le chercheur en sécurité Naom Rotem a trouvé un serveur Elasticsearch « laissant fuiter des millions d’enregistrements chaque semaine, y compris des données, commandes et dossiers de paiements de ses clients », comme le rapporte TechCrunch. Certaines informations semblent chiffrées (ou corrompues), mais c'est loin d'être le cas général.

Nos confrères ont examiné une partie de la base de données et ont constaté qu'elle contenait « exactement ce que les clients avaient acheté, quand et aussi où les articles avaient été livrés ». Adresses IP et postale, email, nom, date de naissance, numéro de carte d'identité, etc. sont autant d'éléments présents.

Il suffit de connaître l'URL puisque l'accès au serveur n'est pas protégé par le moindre mot de passe. Bien évidemment, le chercheur et nos confrères ont essayé de contacter la société, sans aucune réponse pour le moment. Pire, le serveur est toujours accessible.

Noam Rotem et l'équipe de VPNMentor expliquent avoir décidé de publier leur article malgré le fait que le serveur ne soit toujours pas sécurisé pour informer les clients que leurs commandes peuvent être dévoilées sur Internet, avec les risques qui peuvent en découler. Ils précisent que la société a eu plusieurs jours pour leur répondre et/ou boucher la brèche.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La nouvelle version majeure de la distribution Linux est donc proche, après un retard dû à une focalisation des développeurs sur la mouture 7.7, qui doit apporter des corrections aux installations actuelles.

CentOS est un système important puisqu’il représente en moyenne un serveur Linux sur cinq. Le projet est en quelque sorte une version gratuite de RHEL (Red Hat Enterprise Linux), puisqu’elle en récupère les sources pour compiler des binaires 100 % compatibles.

CentOS 8 devrait donc reprendre les nouveautés de RHEL 8, dont l’interface Cockpit par défaut pour l’administration, un nouveau YUM basé sur DNF, une architecture divisée en trois dépôts (BaseOS, Application Streams et CodeReady Builder), Wayland comme serveur d’affichage par défaut, le remplacement d’iptables par nftables, etc.

Notez que le tweet initial de l’équipe de CentOS était flou : une nouvelle version annoncée pour le 24 septembre. Mais puisque la mouture 8 avait été repoussée pour finir la 7.7, certains se demandaient ce qui allait vraiment paraître en ce début d’automne.

Le wiki du projet, entre temps mis à jour, confirme cependant bien l’arrivée de CentOS 8. La 7.7 reste « imminente ». 

Copié dans le presse-papier !

La vulnérabilité a été découverte par Tavis Ormandy, chercheur en sécurité membre du programme Project Zero de Google.

Elle résidait dans l’extension pour les navigateurs. Celle-ci, plutôt que d’utiliser la méthode do_popupregister(), se servait de la dernière valeur en cache, via ftd_get_frameparenturl().

Il devenait en théorie possible pour un site frauduleux de créer un iframe lié au fichier popupfilltab.html de LastPass et d’y afficher le dernier mot de passe utilisé. La faille a été signalée confidentiellement à LastPass, qui l’a rapidement corrigée.

Dans un billet publié vendredi, l’éditeur explique qu’il fallait un lot de circonstances bien particulier pour exploiter la brèche, limitant son impact potentiel. Il dit ne pas être au courant d’une quelconque exploitation. Les détails, eux, ont été publiés dimanche par Ormandy.

Une nouvelle version 4.33 de LastPass a été distribuée à l’ensemble des boutiques d’extensions pour les navigateurs. Mieux vaut donc contrôler que vous êtes à jour, même si les extensions sont en théorie automatiquement remplacées quand une nouvelle version est publiée. Les applications mobiles ne sont pas concernées.

Rappelons que les gestionnaires de mots de passe sont des outils pratiques, mais ne représentent pas l’alpha et l’oméga de la sécurité. Ils permettent de stocker des centaines ou milliers de mots de passe, de créer de longues séquences aléatoires de caractères, tout en les rendant disponibles sur presque toutes les plateformes.

Mais en cas de problème de sécurité, cette base de données est en danger. Les mots de passe ne suffisent plus depuis longtemps. Sans remettre en cause ces outils bien pratiques, nous vous conseillons d’activer une protection supplémentaire comme l’authentification à deux facteurs, partout où c’est possible.

Copié dans le presse-papier !

Avec cette consultation, l’autorité compte réviser ses lignes directrices sur ce créneau sensible. Le projet veut tenir compte de plusieurs évolutions depuis 2013. 

Sont visées notamment les contraintes formelles en matière de projet de concentration. L’entité veut aussi dresser une liste d’opérations qui ne seront a priori pas  susceptibles de générer des problèmes de concurrence.  

« La réorganisation de la structure des lignes directrices a vocation à rendre le document davantage intelligible et maniable, au bénéfice des opérateurs économiques, qui ne sont pas toujours coutumiers de la procédure de contrôle des concentrations et du mode de raisonnement des autorités de concurrence » explique-t-elle.

Sont intégrées également diverses jurisprudences en matière de contrôle des engagements pris par les entreprises. 

Sont citées ses décisions relatives à Fnac et Darty (cession de trois magasins non réalisée), le raccordement des immeubles dans le cadre du contrat de co-investissement entre SFR et Bouygues Telecom ou encore la situation d’Altice/Numericable et Outre-Mer Télécom.

Copié dans le presse-papier !

Lancé en 2016, ce projet permet aux communes de profiter d'un coupon de 15 000 euros pour financer l'achat du matériel afin de proposer du Wi-Fi gratuit pendant au moins 3 ans.

2 800 coupons ont été distribués en novembre 2018, puis 3 400 en avril 2019. Comme prévu, un troisième appel à candidatures arrivera d'ici la fin de l'année. La Commission européenne précise qu'il ouvrira ses portes le 19 septembre à 13h (CEST). 

Pour rappel, le principe d'attribution est « premier arrivé, premier servi », avec « une répartition géographique équilibrée entre les pays ». Depuis le second appel, les conditions ont été légèrement revues, avec 15 % maximum des coupons par pays (au lieu de 8 % auparavant).