du 16 novembre 2018
Date

Choisir une autre édition

Un opérateur laissait sa base de données SMS accessible à tout le monde, en quasi-temps réel

C'est la triste découverte faite par le chercheur allemand Sébastien Kaul et rapportée par TechCrunch. Il s'agit de Voxox (anciennement Telcentris), un opérateur de San Diego en Californie.

La cause de cette faille majeure de sécurité ? Simple comme bonjour, comme trop souvent malheureusement : « un serveur n’était pas protégé par un mot de passe, permettant à toute personne sachant où regarder de suivre les flux de messages texte en quasi temps réel », indiquent nos confrères. Le chercheur précise l'avoir trouvé via le moteur de recherche spécialisé Shodan.

« Pire encore, la base de données – exécutée sur Amazon Elasticsearch – était configurée avec une interface Kibana », facilitant ainsi la navigation et la recherche dans les messages. Avec chaque enregistrement se trouvait le numéro du destinataire, le contenu du message ainsi que l'identité du client Voxox.

Dans le lot, nos confrères ont trouvé des mots de passe envoyés en clair, des codes pour l'identification à deux facteurs sur plusieurs services (Booking, Google, etc.), des notifications d'expédition de produits par Amazon avec un lien de suivi, des rappels de rendez-vous d'hôpitaux, etc.

En plus de la confidentialité de certains messages exposés à la vue de tous, cette faille donnait accès aux codes d'identification en quasi-temps réel, permettant ainsi de contourner des protections. Pour rappel, la double authentification par SMS est déjà mise à mal à cause des réseaux mobiles, mais cette histoire ne va certainement pas arranger les choses.

Après une demande de renseignement de la part de nos confrères auprès de la société, la base de données a été mise hors ligne. Toujours selon TechCrunch, elle semblait contenir au moins 26 millions de SMS depuis le début de l'année, mais ce chiffre pourrait être largement supérieur.

Kevin Hertz, cofondateur et directeur technique de l'opérateur, indique à nos confrères qu'il « examine le problème et suit la politique standard en matière de violation de données ». Bien évidemment, la société est ainsi en train « d'évaluer l'impact » de cette faille majeure de sécurité.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Microsoft va offrir sa protection AccountGuard à certaines institutions européennes pour qu’elles puissent parer à une hausse des tentatives d’intrusions, sur laquelle tout le monde semble tabler.

AccountGuard n’est pas un produit à installer mais un service supplémentaire, d’ordinaire payant et offert par l’entreprise aux pays traversant des élections. Une initiative de son Defending Democracy Program, au titre très américain.

AccountGuard couvre deux aspects. D’abord une protection supplémentaire pour les comptes Office 365, Microsoft entrainant depuis des années son machine learning à la détection de menace, avec notification à la clé. L’éditeur cible tout spécialement les acteurs malveillants de haute volée, soutenus par des États.

Ensuite, des conseils et entrainements autour de la sécurité, sous forme de guide des meilleures pratiques ou des recommandations plus personnalisées pour l’espace politique. Le service débloque également des séminaires et ateliers.

Ce programme va être étendu à douze marchés européens supplémentaires, dont l’Allemagne, l’Espagne et la France. L’éditeur en aurait décidé ainsi après avoir détecté des attaques via ses Threat Intelligence Center (MSTIC) et Digital Crimes Unit (DCU).

Plus en détail, 104 employés d’institutions démocratiques auraient été visés par des attaques spécifiques de septembre à décembre derniers. La plupart seraient attribuées au groupe Strontium, connu depuis des années. Microsoft dit avoir averti les autorités concernées et aborder désormais le sujet avec leur autorisation.

Offrir AccountGuard n’est pas nouveau et permet à Microsoft de se positionner en champion de la défense informatique pendant des évènements critiques. De quoi peut-être donner des envies d’abonnement à Office 365 aux instances faisant ses courses à d’autres crèmeries.

Copié dans le presse-papier !

La start-up, qui a obtenu sa licence bancaire en décembre, continue sur sa lancée et affiche une belle croissance. Après trois millions d'utilisateurs en mi-novembre, elle passe à quatre millions en un peu plus de trois mois. Pour rappel, il lui avait fallu cinq mois pour passer de deux à trois millions.

Pour le moment, la banque en ligne n'est disponible que dans les pays de l'espace économique européen, mais elle prévoit de se lancer dans le reste du monde, sans plus de détails pour l'instant.

Copié dans le presse-papier !

Après Damien Triolet de Hardware.fr, c'est Mark Walton qui rejoint les rangs du géant américain. Basé à Londres, il devient le responsable marketing technique pour la zone EMEA.

Il a précédemment travaillé pour des titres du groupe Condé Nast, comme Ars Technica ou Wired, mais aussi Gamespot pendant près de 8 ans, de 2007 à 2015.

Depuis l'année dernière, il était directeur créatif au sein du groupe Future.

Copié dans le presse-papier !

Le groupe vient de dévoiler ses résultats pour l'année 2018. Avant d'y revenir en détail, commençons par un point sur Orange Bank.

La banque en ligne de l'opérateur a été lancée début novembre 2017 et avait plutôt bien débuté avec 30 000 clients en deux semaines. Il faudra ensuite attendre février 2018 pour arriver à 100 000, puis un an d'existence pour doubler la mise (200 000 en novembre 2018).

Orange Bank semble donc avoir accéléré sur fin 2018 puisqu'il revendique 248 000 clients au 31 décembre, soit 48 000 clients supplémentaires en deux mois. Comme toujours, aucune précision n'est donnée, notamment sur le nombre d'utilisateurs actifs.

Le produit net bancaire est de 43 millions d'euros en 2018, contre 73 millions d'euros en 2017. Une baisse de 41,1 % « notamment liée aux coûts d’acquisition des clients ». C'était déjà la même rengaine l'année dernière, après une baisse de 12 millions d'euros.

Les pertes sur l'année passée sont de 169 millions (68 millions sur le premier semestre 2018), contre 93 millions en 2017. « Cette évolution reflète la diminution du produit net bancaire et l’augmentation des charges d’exploitation liées au développement de l'activité ».

En janvier, Orange Bank a dévoilé des changements pour tenter d'inverser la tendance tout en augmentant les recrutements : une augmentation de certains frais et une carte VISA Premium facturée 7,99 euros par mois, actuellement en test auprès de certains clients.

Copié dans le presse-papier !

La députée Bérengère Poletti, suivie par une trentaine d’élus LR, vient de déposer une proposition de loi encourageant le gouvernement à « étudier la dématérialisation du livret de famille », dont l’actuel support papier est jugé « désuet et peu pratique à utiliser ».

La parlementaire explique surtout qu’il s’avère parfois compliqué de mettre à jour ce document administratif (ce qui est obligatoire en cas de naissance, de mariage...), notamment pour les familles recomposées.

Face aux progrès de « la transition numérique et de la digitalisation de nombreux documents administratifs », Bérengère Poletti estime que le livret de famille pourrait évoluer « sur un format voisin de la carte national d’identité ».