Cette semaine est animée par 2 principales actualités. La première concerne le logiciel CCleaner qui a diffusé une version vérolée depuis ses serveurs officiels avec une signature valable. Des pirates ont réussi à saboter l’outil de nettoyage système gratuit et ultra-populaire CCleaner en y insérant une porte dérobée dans une mise à jour de l’application. Plus de 2 millions d’ordinateurs personnels étaient concernés. La météo n’est donc pas au beau pour la société Avast qui a racheté ce produit CCleaner en juillet dernier.
La deuxième nouvelle concerne le gendarme boursier américain, la SEC, lui aussi victime d’un piratage. Des données confidentielles ont été compromises et des pirates ont ainsi pu profiter d’informations d’initiés. Une bonne occasion pour réaliser quelques opérations financières fructueuses.
Le reste de l’actualité est parsemé des habituels pertes et vols de données ou cyber-attaques. Concernant les algorithmes de chiffrement, vous remarquerez que ISO a rejeté ceux proposés par la NSA. La surveillance des masses restent donc un sujet chaud et ce n’est certainement pas les 75’000 Turcs arrêtés pour utiliser une application de chiffrement interdite par leur gouvernement qui diront le contraire.
En attendant les prochaines nouvelles #cybersec et #infosec, voici la sélection des actualités intéressantes de la semaine passée:
-
CCleaner piraté, plus de 2 millions d’utilisateurs concernés.
“La société derrière CCleaner, Piriform, a annoncé dans une publication sur son blog que certaines versions de son logiciel avaient été compromises. 2,27 millions d’utilisateurs sont concernés.”
-
Auto Tracking Company Leaks Hundreds of Thousands of Records
“The repository contained over a half of a million records with logins / passwords, emails, VIN (vehicle identification number), IMEI numbers of GPS devices and other data that is collected on their devices, customers and auto dealerships. Interestingly, exposed database also contained information where exactly in the car the tracking unit was hidden.”
-
Verizon Wireless Internal Credentials, Infrastructure Details Exposed in Amazon S3 Bucket
“The researchers said there was no customer information in the exposed archive, but the 100MB of data included files marked “VZ Confidential” and “Verizon Confidential.” Those files included usernames and passwords that could have allowed attackers to access Verizon’s internal network.”
-
Le DRM pour le Web a été adopté sur fond de polémique
“Après une singulière procédure d’appel et des débats houleux, l’interface pour les verrous de contenus EME vient d’être officialisée. Les fournisseurs de contenu ont finalement obtenu gain de cause après une guerre de tranchée contre les anti-DRM.”
-
ISO Rejects NSA Encryption Algorithms
“The ISO has decided not to approve two NSA-designed block encryption algorithms: Speck and Simon. It’s because the NSA is not trusted to put security ahead of surveillance”
-
Vers la création d’une agence de cybersécurité européenne
“Pour aider les entreprises de plus en plus prises pour cible de cyberattaques, la Commission Européenne propose la création d’une agence de cybersécurité commune.”
-
30,000 Irish Teachers Hit By Union Breach
“The Irish National Teachers’ Organization has suffered a breach affecting more than 30,000 teachers in that country”
-
German intelligence first developed attacks against the Tor network and advises not to use it
“Now secret documents reveal that the German spy agency BND has developed a system to monitor the Tor network and unmask Tor users. According to the report, the BND warned federal agencies of the possibility to track users even when they are hiding their identities behind the popular anonymizing network.”
-
Erdogan arrests 75,000 people for using ByLock messaging app
“75,000 Turkish citizens were arrested or fired from their jobs for downloading ByLock, a secure messaging and calling tool, writes The Guardian.”
-
46,000 new phishing sites are created every day
“An average of 1.385 million new, unique phishing sites are created each month, with a high of 2.3 million sites created in May. The data collected by Webroot shows today’s phishing attacks are highly targeted, sophisticated, hard to detect, and difficult for users to avoid. “
-
After massive data breach, Equifax sent victims to fake phishing site for support
“After a breach of 143 million people’s personal information, the official Equifax Twitter account accidentally tweeted a link to a phishing website for victims who needed support.”
-
SEC Says Intruders May Have Accessed Insider Data …
“The Securities and Exchange Commission’s (SEC) credibility as an enforcer of cybersecurity requirements took a bit of beating this week after it disclosed a 2016 data breach that might have given intruders access to nonpublic information for illegal trading.”
-
1.9 Billion Data Records Exposed in First Half of 2017
“Every second, 122 records are exposed in breaches around the globe, a new report shows. And that’s doesn’t even include the new Equifax breach data”
Posted from Diigo. The rest of my favorite links are here.