Après des vacances et un repos bien mérités, l'équipe reprend son rythme à compter d'aujourd'hui. Toute cette semaine vous retrouverez des éditions spéciales sur les grands moments des mois de juillet-août par thématiques, pour vous remettre à niveau.

Dès lundi prochain, nous mettrons à nouveau en ligne chaque matin votre dose d'actualité quotidienne, vous tenant informés de tout ce qu'il faut savoir pour bien attaquer la journée. Notez que Next INpact v7 permet de naviguer dans #LeBrief aussi bien sur mobile que sur ordinateur de bureau. Les éléments sont indexés dans le moteur de recherche.

Vous gardez l'accès à une page dédiée à chaque élément qui peut être commenté et partagé. Mais aussi à la newsletter quotidienne pour tout recevoir par email. Vous pouvez également suivre #LeBrief via notre flux RSS et notre compte Twitter.

Quelques ajustements sont encore nécessaires et seront mis en place dans les jours à venir. N'hésitez pas à nous faire part de vos remarques via le formulaire dédié ou notre dépôt GitHub en cas de problème.

Début juillet, cette division de l’opérateur dédiée aux professionnels a été la cible d’un rançongiciel. Des données ont pu être dérobées. Orange a confirmé l'information et précise que ses équipes « se sont immédiatement mobilisées pour identifier l'origine de cette attaque et ont mis en place toutes les solutions nécessaires pour assurer la sécurité de nos systèmes ».

Des données de clients de l’offre Le Forfait informatique (des bureaux virtualisés) stockées sur la plateforme Neocles ont été accédées, mais « aucun autre service n'a été affecté », affirme le groupe. « Cependant, cette attaque semble avoir permis à des pirates d'accéder aux données d'une vingtaine de clients PRO/PME hébergés sur la plateforme ».

L’opérateur affirme avoir contacté chacun d’entre eux. 

C’est un peu le scénario catastrophe pour l’éditeur puisqu’il a conduit à des pertes irrécupérables. La société s’en excuse d’ailleurs et indique qu’un correctif 5.4.1 a été mis en ligne pour éviter que cela ne se reproduise… c’est la moindre des choses.

Ce bug concernait « les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Mais cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n'avaient pas encore été synchronisés » en ligne. Certains utilisateurs ont perdu plusieurs années de photos, comme le rapporte 9to5Mac.

Cette triste histoire rappelle dans tous les cas l’importance de réaliser des sauvegardes de ses fichiers. 

• Qu'est-ce que la stratégie de sauvegarde 3-2-1 ?

C’est en tout cas ce qu’affirme un chercheur en cybersécurité – sous le pseudonyme nusenu – dans une publication sur Medium, reprise par Coindesk.

« Une seule entité malveillante contrôle près d'un quart de tous les nœuds utilisés sur le réseau Tor et utilise sa position pour voler des bitcoins et d'autres cryptomonnaies » transitant via des mixers de bitcoins, explique le site spécialisé dans les bitcoins. En contrôlant ainsi une partie du réseau, le (ou les) pirate(s) pourrai(en)t lancer des attaques de type homme du milieu.

Le détail des sommes qui auraient été dérobées n’est pas précisé, pas plus que d’éventuels autres dommages. 

La société a été informée le 14 juillet (via son programme de bug bounty) d'une faille sur son site, corrigée dans la foulée. Durant l'enquête, il a été découvert qu'elle avait été exploitée le 25 juin pour récupérer des données dans les bases ecommerce et marketing. Il est notamment question d'adresses email, de noms, adresses, numéros de téléphone et détail de commandes.

Les adresses emails sont les plus nombreuses avec environ un million de clients impactés. Les autres informations récupérées concernent 9 500 clients, qui ont été prévenus individuellement. Ledger en profite pour rassurer ses utilisateurs : « Cette fuite de données n’a aucun lien ni impact avec nos portefeuilles électroniques, la sécurité de Ledger Live ou vos actifs en cryptomonnaies, qui sont en sécurité et n’ont jamais été exposé. Vous êtes le seul à avoir le contrôle et à accéder à ces informations ».

La CNIL a été informée de l'incident. On apprécie en tous cas la transparence dans la gestion de cet incident.

La société spécialisée dans la gestion des voyages d’affaires et de loisirs a également fait les frais d'un maître chanteur. Elle confirme au MagIT avoir « fait l’expérience d’un cyber-incident durant le week-end » du 25 et 26 juillet. Elle ajoute : « après avoir temporairement arrêté nos systèmes par précaution [ils] sont de nouveaux en ligne et l’incident a cessé ». 

Selon un porte-parole de la société interrogé par nos confrères, rien n'indiquerait que des « informations personnellement identifiables de clients et de voyageurs aient été compromises ». Mais un chercheur de l’équipe Malware Hunter Team n'est pas d'accord : « informations de facturation, de cas d’assurance, de rapports financiers, d’audits, de comptes en banques » auraient fuité, de même que des données de certains clients comme Axa, Amazon, Boston Scientific, Facebook, Estée Lauder, etc.

Selon nos confrères, Carlson Wagonlit aurait fait comme Garmin : payer les pirates. Le montant de la rançon serait de 4,5 millions de dollars. La société n’a évidemment pas fait de commentaire sur ce point.

Entre le 5 juillet 21h et le 6 juillet 8h30, « les utilisateurs d'Amazon Linux dans plusieurs régions ont rencontré des téléchargements interrompus par intermittences d'images Docker à partir du registre Docker Hub ».

Le défaut n’a pas duré très longtemps, mais un post mortem détaillé a tout de même été mis en ligne, une attitude appréciable. « Le problème provenait d'un mécanisme de protection anti-botnet déployé par notre fournisseur de CDN CloudFlare », explique Docker.

Ce dernier affirme avoir travaillé de concert avec CloudFlare et AWS pour résoudre le problème. Comme toujours, les causes et les mesures mises en place sont intéressantes à lire pour éviter qu’une telle situation ne se reproduise.

Pawel Wylecial détaille le fonctionnement dans un billet de blog. Dans les grandes lignes, cela passe par la Web Share API qui permet de récupérer des fichiers normalement inaccessibles : liste des mots de passe, historique de navigation, etc.

Apple a été informé le 17 avril, reconnaissant le bug et enquêtant dessus. Sans nouvelle, la marque à la Pomme est relancée à plusieurs reprises par Pawel Wylecial et fini par répondre qu’elle prévoit de corriger la faille au… printemps 2021.

Un délai « inacceptable » pour le chercheur, qui a décidé de publier les détails sans attendre davantage. Selon certains utilisateurs, cette vulnérabilité serait au moins en partie corrigée dans les dernières bêta d’IOS 14. Reste le cas de macOS.

Certains clients ont eu la désagréable surprise de voir ce message sur l’écran de leur thermostat connecté. Cette erreur indique qu'il « ne peut pas se connecter au réseau Wi-Fi ».

Le fonctionnement local fonctionne bien pour régler sa température, mais pas celui à distance. Le constructeur a précisé à plusieurs de nos confrères américains qu’il remplaçait les produits défectueux, qui seraient peu nombreux (sans plus de détail).

 La procédure à suivre est précisée sur cette page.

C’est un scénario catastrophe, avec les conséquences que l’on peut facilement imaginer. La faille porte la référence CVE 2020-13699 et a été transmise par Jeffrey Hofmann à l’éditeur, comme le rapporte The Hacker News.

TeamViewer a publié un correctif, pour toutes les versions concernées, soit 8 à 15 sur Windows : « Nous avons mis en œuvre certaines améliorations dans le traitement des URI relatives au CVE 2020-13699 », explique la société.

Si ce n’est pas déjà fait, pensez à vérifier que vous êtes bien à jour.

Elle « permettait un accès non autorisé à des informations personnelles d’utilisateurs », indique l’AFP, en se basant sur un rapport de Check Point. Amazon confirme à nos confrères la situation, précisant avoir apporté des modifications et que cette brèche n’aurait pas été utilisée par des pirates.

Les risques étaient importants puisque la faille permettait – selon des propos de Check Point repris par l’AFP – de « supprimer-installer des "Skills" sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles ». Il serait notamment question d’informations bancaires, de numéros de téléphone et d’adresse.

Début mai, la société de Mountain View prévenait le père de Windows de la présence d’une brèche complexe – les détails sont donnés ici – permettant de contourner l'authentification sur le réseau.  

En prenant en compte la période de 90 jours, l’entreprise de Redmond avait jusqu’au 5 août, mais elle a pu bénéficier d’un report jusqu’au Patch Tuesday quelques jours plus tard. Problème, cette mise à jour n’a pas entièrement bouché la faille selon Google. 

L'entreprise a donc publié les détails, expliquant qu’un patch partiel ne permettait pas d’augmenter la période des 90 jours. Microsoft ne semble pour le moment pas avoir mis en ligne de nouveaux correctifs.

Découverte par Sergey Toshin, fondateur de la société Oversecured, son exploitation serait « plutôt facile ». Il explique à TechCrunch que Play Core permet aux développeurs de déployer des mises à jour et de nouveaux modules à leurs applications.

« Une application malveillante sur le même appareil Android pourrait exploiter cette vulnérabilité en injectant des modules malveillants dans d'autres applications qui s'appuient sur la bibliothèque pour voler des informations privées, telles que des mots de passe et des numéros de carte de crédit, à l'intérieur de l'application », ajoute le chercheur.

Google a confirmé de son côté, attribuant à cette brèche la note de 8,8 sur 10. Elle a été bouchée dans la version 1.7.2 de Play Core. Si ce n’est pas encore fait, il est donc recommandé aux développeurs de se mettre à jour.

Que serait un été sans la moindre annonce d’une nouvelle brèche dans les processeurs ? Rassurez-vous ce n’est pas en 2020 qu’on devra répondre à cette question.

Des chercheurs ont publié un rapport sur de nouvelles attaques de type « side-channel ». AMD, ARM, IBM et Intel sont concernés. Qualcomm n’est pas en reste avec pas moins de… 400 vulnérabilités, comme le rapporte Check Point qui a présenté ses découvertes à la DEFCON.

En plus de la cyberattaque sur des gros comptes de début juillet, Twitter a fait face à une faille sur son application Android. Via une application malveillante installée sur le smartphone, un pirate aurait pu « accéder aux données Twitter privées qui se trouvent sur celui‑ci (comme les Messages Privés), en contournant les autorisations système ».

La société se veut rassurante : seuls Android 8 et 9 sont concernés (finalement pas spécialement rassurant puisque cela doit représenter une part non négligeable du parc) et elle estime « que 96 % des utilisateurs de Twitter pour Android ont déjà installé un correctif de sécurité Android qui les protège contre cette faille ».

Le réseau social affirme qu'elle ne dispose « d'aucune preuve indiquant qu'elle a été exploitée par des pirates ». L'application a tout de même été mise à jour pour boucher cette brèche et les utilisateurs potentiellement touchés ont normalement été prévenus.

Durant l'été, Garmin a été la cible d'une cyberattaque d'envergure paralysant une bonne partie de ses services. Le rançongiciel WastedLocker serait en cause, comme l'indique BleepingComputer.

Trois jours plus tard, Garmin annonce un retour à la normale. Nos confrères évoquaient alors la possibilité que l'entreprise ait cédé en payant la rançon. Quelques jours plus tard, ils auraient obtenu la confirmation que ce serait bien le cas.

Selon un employé souhaitant garder l'anonymat, 10 millions de dollars étaient demandés, mais la somme qui aurait été versée n'a pas été précisée. L'éditeur s'est sans aucune surprise refusé à tout commentaire

En plus de la clé pour récupérer les données, les pirates auraient livré des outils censés renforcer la sécurité. Maintenant que Garmin a payé une rançon, nul doute que d'autres pirates vont tenter de percer ses défenses pour faire de même

Les fichiers sont apparus fin juillet sur 4Chan. Ils concernent d’anciens jeux, ce qui devrait ravir les amateurs de rétrogaming. Selon Ars Technica, les fuites datent de l’époque des consoles Super NES, Game Boy et N64, avec des titres comme Mario, Mario Kart, Zelda, F-Zero, Pokemon…

On y trouve des sons, des niveaux et même des jeux qui n’ont jamais été publiés auparavant. L’année 2020 est donc particulièrement compliquée pour Nintendo qui a déjà dû faire face à une fuite de données en mai et une faille sur les comptes NNID/Nintendo.

Ce n’est pas la seule société confrontée à un tel problème. Parmi les « heureux » élus : Microsoft, Adobe, Lenovo, AMD, Intel, Qualcomm, Motorola, Hisilicon (Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls, etc. Excusez du peu.

Le New York Times s’est fait l’écho de deux enquêtes – du français Synacktiv et de l’américain GRIMM – visant le fabricant chinois. Elles concernent plus particulièrement l’application Android. Il existerait des risques : « de grandes quantités d’informations personnelles pourraient être exploitées par le gouvernement chinois », expliquent nos confrères.

« Le téléphone accède à tout ce que fait le drone, mais les informations dont nous parlons ici sont celles du téléphone […] Nous ne voyons pas pourquoi DJI aurait besoin de ces données », explique Tiphaine Romand-Latapie (ingénieure chez Synacktiv). Voilà qui devrait remettre une pièce dans la guerre commerciale que se livrent les États-Unis avec d’autres pays contre la Chine.

DJI utiliserait aussi des techniques que l’on retrouve généralement dans les logiciels malveillants (obfuscation par exemple), pour « cacher » certaines actions de son application. Elle procéderait à des installations « forcées » de mises à jour, ce qui serait contraire aux règles du Play Store. Un porte-parole de Google précise qu’une enquête a été ouverte. 

Le fabricant se défend en affirmant qu’il s’agit d’une mesure visant à empêcher l’utilisation d’une « version piratée pour outrepasser les fonctionnalités de sécurité ». Cette « fonctionnalité » n’a pas été trouvée dans la version iOS.

Mi-juillet, de nombreux sites étaient inaccessibles pendant quelques dizaines de minutes. Alors que certains pointaient du doigt les DNS de Google, c’est finalement ceux de CloudFlare qui étaient en cause.

Matthew Prince, directeur général de la société, a publié un message sur Twitter pour expliquer qu'il s'agissait d’une erreur sur un routeur à Atlanta (avec des conséquences mondiales). Il a été isolé et le trafic réacheminé en passant par des transitaires.

L’incident a duré environ une heure selon cette page dédiée de CloudFlare.

Quasiment en même temps que la fuite de donnée chez Orange, le groupe mutualiste MMA était la cible d’une cyberattaque. Sur Facebook, un premier message daté du 18 juillet parlait d’un « incident informatique » entrainant une « panne ».

Mais la situation était plus grave. Deux jours plus tard, des précisions étaient données : « MMA a subi une tentative d’acte malveillant qui a nécessité l’arrêt des systèmes informatiques à titre conservatoire entrainant des difficultés d'accessibilité  sur  le site mma.fr et sur l'ensemble de ses services de gestion ». La CGT Covea affirme sur cette page qu’une « rançon, dont le montant n’a pas été communiqué, a été réclamée mais n’a pas été payée par l’entreprise ».

La situation n’est revenue à la normale qu’une dizaine de jours plus tard, dès le 30 juillet. Dans une réponse à un commentaire, l’assureur indiquait que, « selon les informations qui [lui] ont été communiquées, […] aucune fuite de données n’a été constatée ».