du 16 novembre 2018
Date

Choisir une autre édition

Un opérateur laissait sa base de données SMS accessible à tout le monde, en quasi-temps réel

C'est la triste découverte faite par le chercheur allemand Sébastien Kaul et rapportée par TechCrunch. Il s'agit de Voxox (anciennement Telcentris), un opérateur de San Diego en Californie.

La cause de cette faille majeure de sécurité ? Simple comme bonjour, comme trop souvent malheureusement : « un serveur n’était pas protégé par un mot de passe, permettant à toute personne sachant où regarder de suivre les flux de messages texte en quasi temps réel », indiquent nos confrères. Le chercheur précise l'avoir trouvé via le moteur de recherche spécialisé Shodan.

« Pire encore, la base de données – exécutée sur Amazon Elasticsearch – était configurée avec une interface Kibana », facilitant ainsi la navigation et la recherche dans les messages. Avec chaque enregistrement se trouvait le numéro du destinataire, le contenu du message ainsi que l'identité du client Voxox.

Dans le lot, nos confrères ont trouvé des mots de passe envoyés en clair, des codes pour l'identification à deux facteurs sur plusieurs services (Booking, Google, etc.), des notifications d'expédition de produits par Amazon avec un lien de suivi, des rappels de rendez-vous d'hôpitaux, etc.

En plus de la confidentialité de certains messages exposés à la vue de tous, cette faille donnait accès aux codes d'identification en quasi-temps réel, permettant ainsi de contourner des protections. Pour rappel, la double authentification par SMS est déjà mise à mal à cause des réseaux mobiles, mais cette histoire ne va certainement pas arranger les choses.

Après une demande de renseignement de la part de nos confrères auprès de la société, la base de données a été mise hors ligne. Toujours selon TechCrunch, elle semblait contenir au moins 26 millions de SMS depuis le début de l'année, mais ce chiffre pourrait être largement supérieur.

Kevin Hertz, cofondateur et directeur technique de l'opérateur, indique à nos confrères qu'il « examine le problème et suit la politique standard en matière de violation de données ». Bien évidemment, la société est ainsi en train « d'évaluer l'impact » de cette faille majeure de sécurité.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le groupe audiovisuel explique que vous pouvez étendre sa capacité de 80 à 320 Go pour 10 euros en vous rendant dans la rubrique Abonnement, Mes options et Modifier mes options. 

Vous pouvez également demander un disque dur de 1 To ou demander l'échange de celui de 80 Go (qui devra être restitué sous peine de payer 55 euros). Cette option est facturée 50 euros et il faudra rendre le HDD à la fin. 

Bien évidemment, « vous pouvez connecter votre disque dur personnel (auto-alimenté) sur la prise USB ou eSATA du décodeur Canal+ ». On trouve des disques durs externes de 1 To pour 50 euros, mais celui-ci vous appartient à la fin de l'abonnement.

Copié dans le presse-papier !

L'Avicca se félicite de cette réouverture, demandée depuis deux ans et affirme que « la voie est donc entrouverte pour les 27 départements qui attendaient avec impatience cette annonce pour lancer la desserte en FTTH des 3 millions de foyers français qui étaient, jusqu’à aujourd’hui, exclus de toute perspective d’accompagnement par l’État ».

Pour son président Patrick Chaize, « il n’est pas indispensable de budgéter immédiatement les 600 millions d’euros nécessaire pour atteindre cet objectif [...] En revanche, les parlementaires devront impérativement se mobiliser dans le cadre du projet de loi de finances pour permettre à l’ensemble des premières demandes, prêtes à être déposées, d’être accompagnées ».

L'État ne pourrait en effet financer que 30 % des premiers dossiers. « S’il est bien confirmé que le reliquat du Plan France THD soit affecté à hauteur de 140 millions d’euros à l’atteinte de l’objectif du 100 % FTTH pour tous les Français, il convient donc de prévoir dans le cadre de la loi de finances d’une première autorisation de programme de 322 millions d’euros supplémentaires », explique l'Avicca.  

Copié dans le presse-papier !

Alors que les trois partenaires prévoyaient d'apporter 45 millions d'euros, il serait désormais question de 135 millions d'euros, selon La Lettre A.

Il faut dire que la concurrence sera rude pour la future plateforme de streaming. En plus de Netflix et d'Amazon Prime, elle devra faire face à Disney+, HBO Max, etc.

Nos confrères indiquent d'ailleurs que « des discussions ont eu lieu avec Disney sur une possible offre commune, mais n'ont pas abouti ». 

Copié dans le presse-papier !

Nous avions testé la fonctionnalité lors de son annonce en mars dernier. Elle a depuis été peaufiné par les développeurs afin de la rendre plus agréable et plus sûre à utiliser.

Elle est désormais accessible à tous, compatible avec les comptes locaux sous Windows 7, 8.1 et 10. Une vidéo a été mise en ligne.

Ceux qui utilisent plutôt les solution Active Directory / Azure doivent se tourner vers d'autres méthodes. Il en est de même si vous avez opté pour une connexion via votre compte Microsoft, qui contient ses propres mécaniques de double authentification.