En ce début d’année, une seule information apparaît sur tous les sites traitant de la cybersécurité : les vulnérabilités Intel Spectre and Meltdown.
Apple, Google, Microsoft et les autres géants de la technologie ont déjà publié des mises à jour pour cette paire de failles présentes dans la plupart des ordinateurs modernes, smartphones, tablettes et appareils mobiles. Comme le rapporte Brian Krebs ici, ces deux vulnérabilités différentes ont été découvertes indépendamment et rapportées par des chercheurs en sécurité de Cyberus Technology, Google et l’Université de Technologie de Graz.
Les détails de ces vulnérabilités sont très techniques et se situent au niveau du design des processeurs Intel. A cet endroit, les programmes ne sont généralement pas autorisés à lire les données d’autres programmes mais un programme malveillant peut aujourd’hui exploiter Meltdown et Spectre pour obtenir des secrets stockés dans la mémoire d’autres programmes en cours d’exécution. Cela peut inclure des mots de passe stockés dans un gestionnaire de mots de passe ou un navigateur web, vos photos personnelles, vos e-mails, vos messages instantanés, etc. A défaut de pouvoir bien sûr changer le design des chips d’Intel, l’alternative est de déployer une couche de contrôle supplémentaire au niveau des systèmes et des applications. Le problème est maintenant de déterminer quelle sera la conséquence de ces patches sur la performance des applications et des machines. Les premiers retours semblent toutefois réconfortants par rapport aux craintes initiales (-30% de performance quelques fois annoncé initialement).
Par rapport à la taille de ce problème, rien de particulier à relever cette semaine … si ce n’est peut-être ces 240’000 données d’employés de l’administration américaine ouvertes sur Internet.
En attendant les prochaines nouvelles #cybersec et #infosec, voici les actualités intéressantes sélectionnées pour ce rapport de veille :
-
Failles CPU : ouf, les patchs ne devraient pas plomber les performances de votre PC
“Les premiers tests de performance réalisés ne font apparaître qu’un faible impact pour les usages bureautiques ou ludiques sur macOS et Windows 10. Côté serveurs Linux, en revanche, c’est une autre paire de manche…”
-
Failles CPU : Intel compte immuniser la plupart de ses puces d’ici mi-janvier
“Selon le géant américain, 90 % des puces des cinq dernières années seront protégées contre les attaques Meltdown et Spectre d’ici à la fin de la semaine prochaine.”
-
Faille de sécurité majeure dans les processeurs Intel, vers des performances en baisse ?
“Dans un récent rapport de The Register, l’on apprend qu’une faille de sécurité majeure a été découverte dans les processeurs Intel. Cela arrive assez fréquemment, mais celle-ci est d’une telle ampleur qu’elle nécessite de repenser significativement les noyaux Linux et Windows, et cela pourrait impacter grandement les performances.”
-
Intel dans la tourmente après la découverte d’une faille de sécurité
“2018 commence de la pire des manières pour Intel. En effet, la presse anglo-saxonne a révélé cette semaine que les puces de la firme américaine présentaient une faille de sécurité. Sa portée suscite son lot d’inquiétudes puisqu’elle concerne tous les processeurs construits depuis près d’une décennie. Ainsi, la faille «Meltdown» concerne les puces d’Intel, tandis que la faille appelée «Spectre» affecte également les puces d’Intel, mais aussi celles d’AMD et ARM.”
-
BlackBerry Mobile Website hacked to mine Monero via Coinhive
“A Coinhive user hacked BlackBerry Mobile website to mine Monero coins before the scam was identified and details of which were published on Reddit.”
-
A security breach in India has left a billion people at risk of identity theft
“Over a billion Indian citizens may be vulnerable to identity theft and intrusions of privacy after a newspaper sting uncovered a security breach in the country’s vast biometric database, which contains the personal data of almost every citizen.”
-
Anonymous Italia hacked speed camera database and took over the police systems in Correggio
“Last week, Anonymous hacked a Speed Camera Database in Italy, the hacktivists took control of a local police computer system in Correggio, Italy and erased the entire archive containing speed camera tickets. According to Gazzetta di Reggio, the hackers also released internal emails and documents.”
-
Marketers accused of exploiting web browser autofill feature to identify users
“Marketing companies have been accused of using built-in browser autofill features to learn the email addresses of, and potentially identify, web users, according to research published last week.”
-
240,000 Federal Employees’ PII Potentially Exposed in DHS Data Breach
“A data breach involving the U.S. Department of Homeland Security (DHS) might have exposed more than 240,000 current and former federal employees’ personally identifiable information (PII).”
-
Forever 21 Says PoS Systems Exposed Customer Data for 8 Months
“The company had stated that a lack of encryption used on some of its point-of-sales payment terminals could have resulted in unauthorized access to payment card data. In its most recent update, issued last week, Forever 21 now states affected PoS terminals allowed hackers to install malicious software for nearly eight months in 2017”
