septembre 14th, 2018

En Bref …

Posté on 14 Sep 2018 at 7:49

1,4 million de fichiers « patients » on fuité des système de la chaîne hospitalière US UnityPoint Health (source Dark Reading ).

En Bref …

Posté on 14 Sep 2018 at 7:22

5 nouvelles portes dérobées dans les équipements Cisco, nous apprend Tom’s Hardware . Encore des logins codés en dur, des comptes cachés… ce ne sont là que quelques oublis des procédures de debug, bien entendu.

En Bref …

Posté on 14 Sep 2018 at 6:52

Les grands magasins Saks Fifth Avenue et Lord & Taylor se sont fait dérober près de 5 millions d’identités bancaires, rapporte le NYT

En bref …

Posté on 14 Sep 2018 at 6:42

4 ans fermes pour Ronald L. Wheeler III, le « modérateur/animateur/conseiller en ligne » du serveur AlphaBay, rapporte Security News . Une peine allégée en raison de la « collaboration » de l’inculpé avec les forces de police.

En Bref …

Posté on 14 Sep 2018 at 6:38

Dmytro Fedorov, Fedir Hladyr, et Andrii Kolpakov, trois ressortissant Ukrainiens arrêtés en Europe au cours du premier trimestre, ont été inculpés par la justice US pour avoir appartenu au groupe de cyberdélinquants Fin7. Ce groupe s’attaquait à de grandes chaînes de restauration, d’hôtels et de casinos et pillaient les identités bancaires des clients.

IoT : encore quelques failles …

Posté on 14 Sep 2018 at 6:23

Encore un vol en formation de trous IoT. Ceux-ci nous sont gracieusement offerts par l’équipe Talos, qui a relevé la bagatelle d’une vingtaine de défauts de sécurité dans le hub d’IoTs de Samsung, dénommé SmartThings Hub. La saga, ainsi que l’interminable liste de CVEs qui l’accompagne, est à lire sur le blog de l’équipe de recherche

Encore quelques belles failles avec le groupe Jaguar-Land Rover cette f

ois. Car ces Britanniques véhicules, tous connectés qu’ils sont, peuvent enregistrer un volume considérable de données (coordonnées GPS, appels aux services de dépannage du réseau de concessionnaires, journal d’activité du système d’air conditionné et autres informations issues des ordinateurs de bord). Jusque-là, rien d’anormal. Lesdites données sont consultables à l’aide d’une appliquette de téléphone, mais sont également stockées sur un service Cloud, consultable à distance. Et c’est là que les choses se gâtent,
explique Matt Watts. En voulant utiliser ce service, il se rend compte que le précédent propriétaire de son automobile achetée d’occasion avait également accès à ses données privées.

Emois, lettre au constructeur, et réponse lapidaire d’ycelui : « We are not in a position to remove 

owner without their permission » (nous n’avons pas la possibilité de supprimer les données du propriétaire sans sa permission). Jaguar botte en touche à propos de cette fuite de données personnelles en se réfugiant derrière le respect des données à caractère personnel du précédent propriétaire. Probable Circular error, Abort, Ignore, Retry ? Seule solution proposée : contacter directement la personne en lui demandant de désactiver l’accès aux données.

Hack classique de caméra

Posté on 14 Sep 2018 at 5:19

C’est l’histoire totalement éculée d’un firmware de caméra associé à une « application » de surveillance à distance sous Android, elle-même incapable de différencier lesdites caméras les unes des autres. Rien de très nouveau, à un détail près : le bug a affecté une journaliste de la BBC, qui s’est émue de pouvoir, à son corps défendant, fliquer la vie privée de ses voisins. Il n’en fallait pas plus pour faire le Buzz.

Le problème a pu être analysé par un groupe de chercheurs, lequel a pu découvrir trois vulnérabilités majeures concernant l’identifiant des caméras, le système de chiffrement et le mot de passe root). Mais plus que ces failles relativement classiques, c’est le manque de réactivité du fabricant que fustigent les analystes sécurité.

Hack IoT : L’aspirateur était dans la tombe et regardait Caïn

Posté on 14 Sep 2018 at 5:04

Une marque Chinoise d’aspirateurs autonomes, affirme l’équipe de recherche de Positive Technologies est faillible soit à une attaque distante via le réseau local (à condition que l’authentification par défaut n’ait pas été modifiée), soit à une attaque nécessitant un « accès console » si l’on peut dire, attaque se limitant à l’insertion d’une carte SD dans cet appareil électro-ménager un peu trop intelligent.

« Comme tant d’autres IoT, continue le communiqué, ces robots peuvent être enrôlés dans une armée de zombies capables de lancer des attaques en déni de service distribué »… On imagine le tableau de ces hordes d’aspirateur, surveillant nos proches de leur œil cyclopéen, prêts à larguer des tonnes de poussières et détritus sur le tapis du salon. Les arts ménagers deviennent des arts martiaux.

Publicité

MORE_POSTS

Archives

septembre 2018
lun mar mer jeu ven sam dim
« Août   Oct »
 12
3456789
10111213141516
17181920212223
24252627282930