Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

LeBrief

du 31 août 2020
Une panne de plusieurs heures chez Level 3/CenturyLink fait « planter » une partie des services sur InternetCrédits : AKodisinghe/iStock

Hier aux alentours de 12h30, le transitaire Level 3/CenturyLink a été victime d’un bug. Sur Twitter, la société ne s’étend pas sur les détails, parlant simplement d’un problème « IP ». On a vu plus précis…

Comme nous l’avions récemment expliqué, un transitaire est un gestionnaire de réseaux internationaux chargés d’acheminer des données entre différentes parties du globe. Ils fournissent ainsi des « tuyaux » (de fibres optiques) pour faire circuler les données. Il est donc utilisé par des opérateurs plus petits pour toucher le monde entier.

En cas de panne, les répercussions sont donc mondiales. En France c’était par exemple le cas de CloudFlare, Canal+ et de Scaleway pour ne citer que ces trois-là. L‘hébergeur explique qu’il a retiré Level 3 de son « mix de transitaires », mais que des problèmes peuvent toujours survenir à cause de « saturations sur d'autres transits » ; le principe des vases communicants.

« Nous avons fait ce que nous pouvions pour nous libérer des problèmes de Level3, mais comme leur réseau ne traite pas les mises à jour BGP, il devient très difficile de contourner leur panne globale », ajoute la société. Pour ne rien arranger, Level 3/CenturyLink est l’un des plus gros – si ce n’est le plus gros – opérateurs de transit et CDN du monde.

Scaleway indiquait qu’il « semble y avoir un consensus mondial de la part des grands transitaires pour contourner le problème de leur côté, ils retirent maintenant Level 3 de leur peering. Nous devrions nous attendre à des améliorations de la connectivité ». Finalement, c’est à 17h12 heure française que Level 3/CenturyLink annonce un retour à la normale.

Espérons qu'un post mortem sera mis en ligne.

#LeBrief est de retour !

Après des vacances et un repos bien mérités, l'équipe reprend son rythme à compter d'aujourd'hui. Toute cette semaine vous retrouverez des éditions spéciales sur les grands moments des mois de juillet-août par thématiques, pour vous remettre à niveau.

Dès lundi prochain, nous mettrons à nouveau en ligne chaque matin votre dose d'actualité quotidienne, vous tenant informés de tout ce qu'il faut savoir pour bien attaquer la journée. Notez que Next INpact v7 permet de naviguer dans #LeBrief aussi bien sur mobile que sur ordinateur de bureau. Les éléments sont indexés dans le moteur de recherche.

Vous gardez l'accès à une page dédiée à chaque élément qui peut être commenté et partagé. Mais aussi à la newsletter quotidienne pour tout recevoir par email. Vous pouvez également suivre #LeBrief via notre flux RSS et notre compte Twitter.

Quelques ajustements sont encore nécessaires et seront mis en place dans les jours à venir. N'hésitez pas à nous faire part de vos remarques via le formulaire dédié ou notre dépôt GitHub en cas de problème.

Fuite de données chez Orange Business Services (OBS)

Début juillet, cette division de l’opérateur dédiée aux professionnels a été la cible d’un rançongiciel. Des données ont pu être dérobées. Orange a confirmé l'information et précise que ses équipes « se sont immédiatement mobilisées pour identifier l'origine de cette attaque et ont mis en place toutes les solutions nécessaires pour assurer la sécurité de nos systèmes ».

Des données de clients de l’offre Le Forfait informatique (des bureaux virtualisés) stockées sur la plateforme Neocles ont été accédées, mais « aucun autre service n'a été affecté », affirme le groupe. « Cependant, cette attaque semble avoir permis à des pirates d'accéder aux données d'une vingtaine de clients PRO/PME hébergés sur la plateforme ».

L’opérateur affirme avoir contacté chacun d’entre eux. 

Drame sur iOS : Lightroom 5.4 a définitivement supprimé des photos de certains utilisateurs

C’est un peu le scénario catastrophe pour l’éditeur puisqu’il a conduit à des pertes irrécupérables. La société s’en excuse d’ailleurs et indique qu’un correctif 5.4.1 a été mis en ligne pour éviter que cela ne se reproduise… c’est la moindre des choses.

Ce bug concernait « les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Mais cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n'avaient pas encore été synchronisés » en ligne. Certains utilisateurs ont perdu plusieurs années de photos, comme le rapporte 9to5Mac.

Cette triste histoire rappelle dans tous les cas l’importance de réaliser des sauvegardes de ses fichiers. 

Doctolib s’est fait dérober les « informations administratives de 6 128 rendez-vous »Crédits : utah778/iStock

La plateforme de gestion de rendez-vous n’a pas été épargnée durant l’été. Un ou plusieurs pirates ont en effet accédé « aux informations administratives de 6 128 rendez-vous ». La société affirme que « cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib », sans plus de précisions.

Dans le lot des données dérobées, on retrouve « le nom, le prénom, le sexe, le numéro de téléphone et l’adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous ». Les autorités compétentes et notamment la CNIL ont été informées. Une FAQ a été mise en ligne.

Doctolib affirme qu’aucune « donnée médicale n’a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné » ni aucun mot de passe. Avec la spécialité du médecin, il est néanmoins parfois facile d’en déduire certaines pathologies. 

Cette fuite arrive quelques semaines seulement après une longue enquête de Télérama sur la sécurité au sein de la plateforme, mettant en avant d’importantes lacunes. La société affirmait de son côté qu’il s’agissait de « fausses accusations ».

Un groupe menacerait les transactions de bitcoins via le réseau Tor

C’est en tout cas ce qu’affirme un chercheur en cybersécurité – sous le pseudonyme nusenu – dans une publication sur Medium, reprise par Coindesk.

« Une seule entité malveillante contrôle près d'un quart de tous les nœuds utilisés sur le réseau Tor et utilise sa position pour voler des bitcoins et d'autres cryptomonnaies » transitant via des mixers de bitcoins, explique le site spécialisé dans les bitcoins. En contrôlant ainsi une partie du réseau, le (ou les) pirate(s) pourrai(en)t lancer des attaques de type homme du milieu.

Le détail des sommes qui auraient été dérobées n’est pas précisé, pas plus que d’éventuels autres dommages. 

Ledger piraté : des données personnelles dérobées, la sécurité des portefeuilles n'est pas menacée

La société a été informée le 14 juillet (via son programme de bug bounty) d'une faille sur son site, corrigée dans la foulée. Durant l'enquête, il a été découvert qu'elle avait été exploitée le 25 juin pour récupérer des données dans les bases ecommerce et marketing. Il est notamment question d'adresses email, de noms, adresses, numéros de téléphone et détail de commandes.

Les adresses emails sont les plus nombreuses avec environ un million de clients impactés. Les autres informations récupérées concernent 9 500 clients, qui ont été prévenus individuellement. Ledger en profite pour rassurer ses utilisateurs : « Cette fuite de données n’a aucun lien ni impact avec nos portefeuilles électroniques, la sécurité de Ledger Live ou vos actifs en cryptomonnaies, qui sont en sécurité et n’ont jamais été exposé. Vous êtes le seul à avoir le contrôle et à accéder à ces informations ».

La CNIL a été informée de l'incident. On apprécie en tous cas la transparence dans la gestion de cet incident.

Carlson Wagonlit aurait payé 4,5 millions de dollars pour se débarrasser d'un rançongiciel

La société spécialisée dans la gestion des voyages d’affaires et de loisirs a également fait les frais d'un maître chanteur. Elle confirme au MagIT avoir « fait l’expérience d’un cyber-incident durant le week-end » du 25 et 26 juillet. Elle ajoute : « après avoir temporairement arrêté nos systèmes par précaution [ils] sont de nouveaux en ligne et l’incident a cessé ». 

Selon un porte-parole de la société interrogé par nos confrères, rien n'indiquerait que des « informations personnellement identifiables de clients et de voyageurs aient été compromises ». Mais un chercheur de l’équipe Malware Hunter Team n'est pas d'accord : « informations de facturation, de cas d’assurance, de rapports financiers, d’audits, de comptes en banques » auraient fuité, de même que des données de certains clients comme Axa, Amazon, Boston Scientific, Facebook, Estée Lauder, etc.

Selon nos confrères, Carlson Wagonlit aurait fait comme Garmin : payer les pirates. Le montant de la rançon serait de 4,5 millions de dollars. La société n’a évidemment pas fait de commentaire sur ce point.

« Bourrage de justificatifs » : des services officiels du Canada victimes d’une cyberattaqueCrédits : daoleduc/iStock

L’Agence du Revenu du Canada (ARC) ainsi que le service CléGC – utilisé par une trentaine de ministères fédéraux et qui « permet d’accéder en toute sécurité aux services en ligne du gouvernement du Canada » – étaient la cible de pirates.

Le Secrétariat du Conseil du Trésor donne des détails : « Ces attaques, qui utilisaient des noms d’utilisateur et des mots de passe recueillis à la suite de précédents piratages de comptes dans le monde entier, tiraient parti du fait que de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour plusieurs comptes ».

« Sur les quelque 12 millions de comptes CléGC actifs au Canada, les mots de passe et noms d’usager de 9 041 détenteurs de compte ont été acquis de manière frauduleuse et utilisés pour tenter d’accéder à des services gouvernementaux » ; une technique baptisée « bourrage de justificatifs » chez nos cousins.

« Le tiers fait actuellement l’objet d’un examen approfondi afin de déterminer si des activités suspectes ont eu lieu », expliquent les officiels Canadiens. Évidemment, les comptes impactés ont été bloqués. Près de 5 500 comptes de l’ARC ont aussi été ciblés.

L’enquête suit son cours afin de « déterminer s’il y a eu des atteintes à la vie privée et si des renseignements ont été obtenus à partir de ces comptes ». Comme toujours, c’est l’occasion de rappeler qu’il ne faut jamais réutiliser son mot de passe, un gestionnaire peut vous aider au besoin.

Docker revient en détail sur son incident de début juillet

Entre le 5 juillet 21h et le 6 juillet 8h30, « les utilisateurs d'Amazon Linux dans plusieurs régions ont rencontré des téléchargements interrompus par intermittences d'images Docker à partir du registre Docker Hub ».

Le défaut n’a pas duré très longtemps, mais un post mortem détaillé a tout de même été mis en ligne, une attitude appréciable. « Le problème provenait d'un mécanisme de protection anti-botnet déployé par notre fournisseur de CDN CloudFlare », explique Docker.

Ce dernier affirme avoir travaillé de concert avec CloudFlare et AWS pour résoudre le problème. Comme toujours, les causes et les mesures mises en place sont intéressantes à lire pour éviter qu’une telle situation ne se reproduise.

Une faille dans Safari permet de récupérer des fichiers locaux

Pawel Wylecial détaille le fonctionnement dans un billet de blog. Dans les grandes lignes, cela passe par la Web Share API qui permet de récupérer des fichiers normalement inaccessibles : liste des mots de passe, historique de navigation, etc.

Apple a été informé le 17 avril, reconnaissant le bug et enquêtant dessus. Sans nouvelle, la marque à la Pomme est relancée à plusieurs reprises par Pawel Wylecial et fini par répondre qu’elle prévoit de corriger la faille au… printemps 2021.

Un délai « inacceptable » pour le chercheur, qui a décidé de publier les détails sans attendre davantage. Selon certains utilisateurs, cette vulnérabilité serait au moins en partie corrigée dans les dernières bêta d’IOS 14. Reste le cas de macOS.

Importante faille Gmail : Google met 137 jours pour la corriger

Sur son blog, Allison Husain explique avoir informé l'entreprise le 3 avril 2020 d’une vulnérabilité dans sa messagerie. Elle a découvert un problème dans la configuration permettant « à un attaquant d'envoyer des e-mails en se faisant passer pour n'importe quel autre utilisateur ou client G Suite, tout en passant à travers les règles SPF et DMARC les plus restrictives ».

Le 16 avril, Google accepte la soumission. Quatre mois plus tard, rien n’a bougé. Allison Husain prévient alors de son intention de publier sa découverte en fixant une date butoir au 17 août. Quatre jours plus tard, le 5 août Google répond qu’un « correctif est en préparation et indique que certaines atténuations devraient être mises en place avant le 17 août ».

Finalement, le 14 août le ticket d’incident est mis à jour, le correctif est prévu pour le 17… septembre. La chercheuse décide de ne pas attendre plus longtemps. 137 jours après la découverte, le 19 août, la faille est dévoilée publiquement. Il ne faudra alors que quelques heures à Google pour la boucher.

C’est un peu l’histoire de l’arroseur arrosé étant donné que Google est le premier à imposer un délai de 90 jours (parfois extensibles sous la forme d’une période de grâce) pour la résolution de bugs et à publier des détails, que la brèche soit corrigée ou non.

« Erreur w5 » : Google remplace les thermostats Nest défectueux

Certains clients ont eu la désagréable surprise de voir ce message sur l’écran de leur thermostat connecté. Cette erreur indique qu'il « ne peut pas se connecter au réseau Wi-Fi ».

Le fonctionnement local fonctionne bien pour régler sa température, mais pas celui à distance. Le constructeur a précisé à plusieurs de nos confrères américains qu’il remplaçait les produits défectueux, qui seraient peu nombreux (sans plus de détail).

 La procédure à suivre est précisée sur cette page.

Une faille dans TeamViewer 8 à 15 permettait de récupérer les mots de passe du système

C’est un scénario catastrophe, avec les conséquences que l’on peut facilement imaginer. La faille porte la référence CVE 2020-13699 et a été transmise par Jeffrey Hofmann à l’éditeur, comme le rapporte The Hacker News.

TeamViewer a publié un correctif, pour toutes les versions concernées, soit 8 à 15 sur Windows : « Nous avons mis en œuvre certaines améliorations dans le traitement des URI relatives au CVE 2020-13699 », explique la société.

Si ce n’est pas déjà fait, pensez à vérifier que vous êtes bien à jour.

Amazon bouche une importante faille dans son assistant numérique Alexa

Elle « permettait un accès non autorisé à des informations personnelles d’utilisateurs », indique l’AFP, en se basant sur un rapport de Check Point. Amazon confirme à nos confrères la situation, précisant avoir apporté des modifications et que cette brèche n’aurait pas été utilisée par des pirates.

Les risques étaient importants puisque la faille permettait – selon des propos de Check Point repris par l’AFP – de « supprimer-installer des "Skills" sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles ». Il serait notamment question d’informations bancaires, de numéros de téléphone et d’adresse.

Des bases de données avec 235 millions de profils « publics » trainaient sur le NetCrédits : mactrunk/iStock

Il n’y a pas que les fuites de données dans la vie numérique, il y a aussi la récupération et l’agrégation d’informations. Cette technique, connue sous le nom de scraping, est généralement interdite dans les conditions d’utilisation des réseaux sociaux, mais cela n’empêche pas certains de l’utiliser. Les chercheurs en sécurité de Comparitech peuvent en témoigner.

Ils sont tombés sur des bases de données librement accessibles, avec des noms, informations de contact et personnelles, images et statistiques sur des services comme Instagram, TikTok et YouTube. Selon l’entreprise, les données proviendraient de la défunte société Deep Social. Comparitech l’a contacté, la demande a été transmise à Social Data qui a fermé l’accès en trois heures.

Un porte-parole de l'entreprise tenait à préciser que « la connotation négative selon laquelle les données ont été piratées implique que les informations ont été obtenues subrepticement. Ce n'est tout simplement pas vrai, toutes les données sont disponibles gratuitement à TOUTE PERSONNE ayant accès à Internet ». Un porte-parole de Facebook indique de son côté que le scraping « constitue une violation flagrante de ses politiques » : « Nous avons révoqué l'accès de Deep Social à notre plateforme en juin 2018 et envoyé un acte juridique interdisant toute nouvelle collecte de données », ajoute-t-il.

Cette affaire est l’occasion de rappeler de bien faire attention aux informations que vous partagez sur les réseaux sociaux.

Une faille tenace chez Microsoft, Google dévoile les détails

Début mai, la société de Mountain View prévenait le père de Windows de la présence d’une brèche complexe – les détails sont donnés ici – permettant de contourner l'authentification sur le réseau.  

En prenant en compte la période de 90 jours, l’entreprise de Redmond avait jusqu’au 5 août, mais elle a pu bénéficier d’un report jusqu’au Patch Tuesday quelques jours plus tard. Problème, cette mise à jour n’a pas entièrement bouché la faille selon Google. 

L'entreprise a donc publié les détails, expliquant qu’un patch partiel ne permettait pas d’augmenter la période des 90 jours. Microsoft ne semble pour le moment pas avoir mis en ligne de nouveaux correctifs.

Android : une faille dans la bibliothèque Play Core permettait de récupérer des données personnelles

Découverte par Sergey Toshin, fondateur de la société Oversecured, son exploitation serait « plutôt facile ». Il explique à TechCrunch que Play Core permet aux développeurs de déployer des mises à jour et de nouveaux modules à leurs applications.

« Une application malveillante sur le même appareil Android pourrait exploiter cette vulnérabilité en injectant des modules malveillants dans d'autres applications qui s'appuient sur la bibliothèque pour voler des informations privées, telles que des mots de passe et des numéros de carte de crédit, à l'intérieur de l'application », ajoute le chercheur.

Google a confirmé de son côté, attribuant à cette brèche la note de 8,8 sur 10. Elle a été bouchée dans la version 1.7.2 de Play Core. Si ce n’est pas encore fait, il est donc recommandé aux développeurs de se mettre à jour.

AMD, ARM, IBM, Intel et Qualcomm : des failles sur les CPU et SoC comme s’il en pleuvait

Que serait un été sans la moindre annonce d’une nouvelle brèche dans les processeurs ? Rassurez-vous ce n’est pas en 2020 qu’on devra répondre à cette question.

Des chercheurs ont publié un rapport sur de nouvelles attaques de type « side-channel ». AMD, ARM, IBM et Intel sont concernés. Qualcomm n’est pas en reste avec pas moins de… 400 vulnérabilités, comme le rapporte Check Point qui a présenté ses découvertes à la DEFCON.

Cookies de connexion, tracking des utilisateurs : les failles (corrigées) de Boursorama

Au milieu de l’été, Pixel de tracking a découvert une faille de sécurité sur les données de connexion de la banque en ligne : « la filiale de la Société Générale permet à AT Internet et à Smart AdServer d'accéder à votre compte bancaire », affirme le site.

Pour résumer, l’explication se trouve dans la gestion des cookies et le suivi des utilisateurs. AT Internet (ex-Xiti) « se dissimule donc chez Boursorama : un sous-domaine Boursorama qui n'attire pas l'attention (c0011.boursorama.com), mais qui pointe vers un obscur domaine (at-o.net) ». On retrouve plus ou moins la même chose avec Smart AdServer.

Les risques sont importants : « Si le site partenaire n'a pas pris ses précautions, AT Internet peut lire tous les cookies déposés, et pas simplement les cookies créés par AT Internet ». C’est notamment le cas de ceux servant à rester connecté. Le danger reste limité, car la session expire au bout d'un certain temps, mais « cela veut dire qu'un employé mal intentionné d'AT Internet peut se connecter au compte Boursorama Banque de n'importe qui. Menace théorique bien sûr, cet employé devra avoir les compétences techniques et le bon niveau d'autorisation pour analyser les logs serveurs ».

Dans une mise à jour du 11 août, Pixel de tracking précise que le problème est résolu : « les données envoyées à AT Internet passent désormais par le domaine c0012.brsimg.com, celles envoyées à Smart AdServer passent par plusieurs domaines dont ww16.smartadserver.com ». Mais ce n’était pas le seul point noir identifié : si vous « refusez le pistage, Boursorama n'en tient pas compte ». La situation s’est également améliorée : « Boursorama respecte maintenant votre choix si vous refusez d'être pisté sur le web (excepté pour AT Internet qui dispose d'une exemption de la CNIL) ».

Il reste néanmoins du travail pour notre confrère : « Boursorama a toujours une attitude hostile envers les utilisateurs d'adblock, et ne vous permet pas de refuser le pistage sur son App iOS, mais c'est déjà un gros progrès ». Il a d'ailleurs depuis publié un nouvel article en s'intéressant aux pratiques du site du journal Le Monde.

Twitter : une faille sur l'application Android pouvait permettre d'accéder aux données, dont les DM

En plus de la cyberattaque sur des gros comptes de début juillet, Twitter a fait face à une faille sur son application Android. Via une application malveillante installée sur le smartphone, un pirate aurait pu « accéder aux données Twitter privées qui se trouvent sur celui‑ci (comme les Messages Privés), en contournant les autorisations système ».

La société se veut rassurante : seuls Android 8 et 9 sont concernés (finalement pas spécialement rassurant puisque cela doit représenter une part non négligeable du parc) et elle estime « que 96 % des utilisateurs de Twitter pour Android ont déjà installé un correctif de sécurité Android qui les protège contre cette faille ».

Le réseau social affirme qu'elle ne dispose « d'aucune preuve indiquant qu'elle a été exploitée par des pirates ». L'application a tout de même été mise à jour pour boucher cette brèche et les utilisateurs potentiellement touchés ont normalement été prévenus.

Garmin victime d'un rançongiciel, la société aurait payé les pirates

Durant l'été, Garmin a été la cible d'une cyberattaque d'envergure paralysant une bonne partie de ses services. Le rançongiciel WastedLocker serait en cause, comme l'indique BleepingComputer.

Trois jours plus tard, Garmin annonce un retour à la normale. Nos confrères évoquaient alors la possibilité que l'entreprise ait cédé en payant la rançon. Quelques jours plus tard, ils auraient obtenu la confirmation que ce serait bien le cas.

Selon un employé souhaitant garder l'anonymat, 10 millions de dollars étaient demandés, mais la somme qui aurait été versée n'a pas été précisée. L'éditeur s'est sans aucune surprise refusé à tout commentaire

En plus de la clé pour récupérer les données, les pirates auraient livré des outils censés renforcer la sécurité. Maintenant que Garmin a payé une rançon, nul doute que d'autres pirates vont tenter de percer ses défenses pour faire de même

Gigaleak : code source et ressources de jeux Nintendo comme s’il en pleuvait

Les fichiers sont apparus fin juillet sur 4Chan. Ils concernent d’anciens jeux, ce qui devrait ravir les amateurs de rétrogaming. Selon Ars Technica, les fuites datent de l’époque des consoles Super NES, Game Boy et N64, avec des titres comme Mario, Mario Kart, Zelda, F-Zero, Pokemon

On y trouve des sons, des niveaux et même des jeux qui n’ont jamais été publiés auparavant. L’année 2020 est donc particulièrement compliquée pour Nintendo qui a déjà dû faire face à une fuite de données en mai et une faille sur les comptes NNID/Nintendo.

Ce n’est pas la seule société confrontée à un tel problème. Parmi les « heureux » élus : Microsoft, Adobe, Lenovo, AMD, Intel, Qualcomm, Motorola, Hisilicon (Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls, etc. Excusez du peu.

Après son piratage, Twitter fait le point sur l’étendue des dégâtsCrédits : VladSt/iStock

Mi-juillet, Twitter était la cible de pirates ayant réussi à prendre le contrôle de gros comptes officiels… via des outils internes. Un « god mod » qui a fait couler beaucoup d’encre d’autant qu’Apple, Barack Obama, Elon Musk, Jeff Bezos, Joe Biden et Uber étaient parmi les victimes.

Deux jours plus tard, le réseau social expliquait que 130 comptes avaient été ciblés par les pirates. Les mots de passe n’auraient pas été récupérés, mais une campagne de réinitialisation avait été lancée par précaution. L’enquête officielle était toujours en cours. Dans un nouveau message, la société détaille davantage l'attaque.

Des employés ont été victimes de phishing, ce qui a permis aux pirates d’accéder aux outils internes, mais pas de les utiliser dans un premier temps. Ils ont continué leur campagne de phishing jusqu’à obtenir des identifiants d’employés suffisamment habilités.

Trois personnes de 17, 19 et 22 ans soupçonnées d’être à l’origine du piratage ont été arrêtées. Le plus jeune serait le « cerveau » de la bande. Le bilan est salé et révèle que Twitter permet à des employés d’accéder et de publier au nom d’autres comptes : « En utilisant les informations d’identification des employés ayant accès à ces outils, les attaquants ont ciblé 130 comptes Twitter, ont pu tweeter à partir de 45 d’entre eux, ont accédé aux DM de 36, et ont téléchargé une archive des données de 7 ».

Le service marche ensuite sur des œufs en expliquant que l’accès à ces outils est strictement limité et encadré… ce qui n'empêche pas les problèmes comme nous venons de le voir. Bien évidemment, l'équipe promet d’en renforcer la sécurité.

Drones DJI : l’application Go 4 pour Android serait bien trop curieuse

Le New York Times s’est fait l’écho de deux enquêtes – du français Synacktiv et de l’américain GRIMM – visant le fabricant chinois. Elles concernent plus particulièrement l’application Android. Il existerait des risques : « de grandes quantités d’informations personnelles pourraient être exploitées par le gouvernement chinois », expliquent nos confrères.

« Le téléphone accède à tout ce que fait le drone, mais les informations dont nous parlons ici sont celles du téléphone […] Nous ne voyons pas pourquoi DJI aurait besoin de ces données », explique Tiphaine Romand-Latapie (ingénieure chez Synacktiv). Voilà qui devrait remettre une pièce dans la guerre commerciale que se livrent les États-Unis avec d’autres pays contre la Chine.

DJI utiliserait aussi des techniques que l’on retrouve généralement dans les logiciels malveillants (obfuscation par exemple), pour « cacher » certaines actions de son application. Elle procéderait à des installations « forcées » de mises à jour, ce qui serait contraire aux règles du Play Store. Un porte-parole de Google précise qu’une enquête a été ouverte. 

Le fabricant se défend en affirmant qu’il s’agit d’une mesure visant à empêcher l’utilisation d’une « version piratée pour outrepasser les fonctionnalités de sécurité ». Cette « fonctionnalité » n’a pas été trouvée dans la version iOS.

Quand le DNS de CloudFlare plante, une partie d’Internet toussote

Mi-juillet, de nombreux sites étaient inaccessibles pendant quelques dizaines de minutes. Alors que certains pointaient du doigt les DNS de Google, c’est finalement ceux de CloudFlare qui étaient en cause.

Matthew Prince, directeur général de la société, a publié un message sur Twitter pour expliquer qu'il s'agissait d’une erreur sur un routeur à Atlanta (avec des conséquences mondiales). Il a été isolé et le trafic réacheminé en passant par des transitaires.

L’incident a duré environ une heure selon cette page dédiée de CloudFlare.

Cyberattaque contre MMA, les services indisponibles pendant plusieurs jours

Quasiment en même temps que la fuite de donnée chez Orange, le groupe mutualiste MMA était la cible d’une cyberattaque. Sur Facebook, un premier message daté du 18 juillet parlait d’un « incident informatique » entrainant une « panne ».

Mais la situation était plus grave. Deux jours plus tard, des précisions étaient données : « MMA a subi une tentative d’acte malveillant qui a nécessité l’arrêt des systèmes informatiques à titre conservatoire entrainant des difficultés d'accessibilité  sur  le site mma.fr et sur l'ensemble de ses services de gestion ». La CGT Covea affirme sur cette page qu’une « rançon, dont le montant n’a pas été communiqué, a été réclamée mais n’a pas été payée par l’entreprise ».

La situation n’est revenue à la normale qu’une dizaine de jours plus tard, dès le 30 juillet. Dans une réponse à un commentaire, l’assureur indiquait que, « selon les informations qui [lui] ont été communiquées, […] aucune fuite de données n’a été constatée ».