NiceHash se serait fait dérober plus de 4 700 bitcoins

Sur Reddit, l'entreprise affirme qu'une faille de sécurité mettant en cause son site web a permis à des malfaiteurs de s'emparer de son portefeuille bitcoin.

Elle ne communique pas encore sur le montant exact du préjudice mais, selon sa communauté, il serait question de 4 736,42 BTC, qui dorment aujourd'hui à cette adresse. Au cours actuel, cela représente 68,2 millions de dollars, ou 53,2 millions d'euros. « Nice hack », diront certains.

Pour l'heure, le site de l'entreprise est fermé en attendant l'arrivée de mesures renforçant sa sécurité. Il permet pour rappel à des particuliers et entreprises d'acheter ou de vendre de la puissance de calcul à des fins de minage. NiceHash appelle enfin ses utilisateurs à changer leurs mots de passe par précaution, en attendant de voir si leurs données personnelles ont elles aussi été touchées ou non.  

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La néobanque a apporté quelques modifications à ses CGU, afin de s'adapter à la directive européenne PSD2. Le principal changement consiste à « permettre à des services de paiement tiers d’accéder directement à notre infrastructure bancaire si le client le permet, et donc l’agrégation de plusieurs comptes bancaires ».

Les frais de rejet de prélèvement voient leur prix se maintenir à 3 euros, mais la néobanque facture désormais le rejet en lui-même plutôt que sa notification.

Enfin, le coût de la commande d'une nouvelle carte bancaire baisse de 10 à 6 euros, mais s'appliquera désormais à toutes les commandes, et plus seulement celles faisant suite à un vol.

En cas de refus de ces nouvelles CGU, N26 fermera votre compte avec un préavis de deux mois.

Copié dans le presse-papier !

Il y a un peu plus de deux semaines, Uber faisait les gros titres : la société s'était fait pirater en 2016 et 57 millions de comptes étaient concernés. Les réactions étaient nombreuses suite à cette tentative de cacher sous le tapis cette importante fuite. Uber avait en effet payé 100 000 dollars au pirate pour effacer les données et tenter d'étouffer l'affaire. L'identité de ce dernier n'avait par contre pas été dévoilée.

Citant des sources proches du dossier, Reuters affirme qu'il s'agit d'un jeune homme d'une vingtaine d'années habitant en Floride. Il aurait également eu de l'aide d'un complice, mais l'identité précise des deux protagonistes n'est toujours pas connue. La société se refuse à tout commentaire.

Les sources de Reuters ajoutent que « le paiement de l'année dernière a été réalisé via un programme conçu pour récompenser les chercheurs en sécurité signalant des failles dans les logiciels d'une entreprise ». Ce bug bounty est hébergé par HackerOne, mais ce dernier se refuse à commenter les programmes de ses clients.

Nos confrères ajoutent que l'ancien PDG, Travis Kalanick, était au courant de la faille et du paiement de 100 000 dollars en novembre 2016, mais il refuse lui aussi de commenter. Enfin, Reuters indique qu'Uber a décidé de payer « pour confirmer l'identité du pirate et lui faire signer un accord de non-divulgation pour dissuader d'autres actes répréhensibles » par la suite.

Selon une source de nos confrères « l'équipe de sécurité d'Uber ne voulait pas poursuivre une personne qui ne semblait plus constituer une menace ».

Copié dans le presse-papier !

Hier, Patreon annonçait du changement au sein de ses tarifs. Le service, qui permet à des créateurs de recevoir de l'argent de la part de leur communauté, a dû faire face à une grogne, l'obligeant à détailler sa position.

Jusqu'à maintenant, Patreon percevait 5 % des revenus, hors frais du service de paiement en ligne (de 2 à 10 %). Mais à partir du 18 décembre, ces derniers seront remplacés par des frais de service de 2,9 % et 35 cents de commission fixe facturés aux donateurs connus sous le petit nom de « Patrons ».

De quoi permettre à la plateforme de clamer qu'elle reverse 95 % des revenus, mais cela n'est pas pour plaire à tout le monde. En effet, ceux qui acceptent de petits paiements vont voir le tarif augmenter pour leurs « Patrons » avec cette méthode de calcul. Une fronde s'est ainsi organisée sur les réseaux sociaux par de nombreux créateurs mécontents.

Se pose notamment la question de la dépendance à une telle plateforme, qui peut revoir ses tarifs du jour au lendemain, sans possibilité de transférer des abonnements vers un autre service en cas de désaccord.

Dans une mise à jour de son billet de blog et une réponse dans sa FAQ, Patreon tente de déminer la situation, expliquant les raisons de l'évolution de son système de paiement, notamment pour la gestion des dates anniversaire où la situation actuelle n'était pas satisfaisante. Cela permettait néanmoins de regrouper les paiements et de limiter les frais.

Le nouveau dispositif doit ainsi permettre un ensemble plus clair pour les paiements, et une facturation à tarif unique séparée entre créateurs et « Patrons ». Mais cela ne rassurera sans doute pas ceux proposant de petits montants, et qui vont sans doute devoir rapidement changer de stratégie, ou de plateforme.

Copié dans le presse-papier !

Toutes les plateformes actuellement supportées par Microsoft peuvent récupérer dans Windows Update un important correctif pour Defender, plus particulièrement son Malware Protection Engine. Le bulletin CVE-2017-11937 évoque une faille critique, exploitable à distance et permettant d'exécuter arbitrairement du code, ce qui est le pire des scénarios.

L'exploitation peut se faire via un fichier spécifiquement conçu, analysé par Defender. L'éditeur avertit lui-même que faire lire un fichier à un utilisateur n'a rien de particulièrement difficile, soulignant ainsi la dangerosité de la brèche. Selon Microsoft, aucune exploitation active de la faille n'a été remarquée, mais elle est suffisamment grave pour que la société n'attende pas le prochain Patch Tuesday, qui arrive pourtant dans quelques jours.

Point « amusant », les détails de la faille ont été communiqués confidentiellement à Microsoft par le GCHQ, l'équivalent anglais de la NSA. Le correctif se télécharge dès maintenant depuis Windows Update.

Copié dans le presse-papier !

Nos confrères ont tenté l'expérience de la serrure connectée du géant de la vente en ligne permettant à ses livreurs d'accéder à votre domicile. Ils nous proposent un retour détaillé dans un long billet.

Le moins que l'on puisse dire, c'est qu'ils ne sont pas franchement emballés : « Après deux semaines, il s'avère que le fait de laisser entrer des étrangers a été la partie la moins troublante de l'expérience ». Si aucun cambriolage n'est à déplorer, d'autres griefs remontent rapidement à la surface.

Pêle-mêle, il est question de blocages de la serrure, de la difficulté de proposer un accès temporaire à sa maison à des amis (contrairement aux livreurs Amazon où tout est simplifié) et enfin d'être complètement enfermé dans l'écosystème d'Amazon : d'autres sociétés ne peuvent pas profiter de ce dispositif.