vendredi , 14 août 2020

Décision reportée pour Monsieur cyber suisse et les Tesla de la police bâloise trop gourmandes en données #veille (17 au 23 déc 2018)

Pour faire vite en cette veille de Noël, on notera que le Conseil Fédéral a repoussé sa décision concernant la désignation d’un Monsieur ou Madame cybersécurité suisse. Les discussion avancent mais il n’a en effet pas réussi à trouver un terrain d’entente sur le futur centre de compétences.

Toujours en Suisse, on remarquera que les Tesla achetées par la police bâloise sont contraintes de rester pour l’instant dans leur garage; en cause, un blocage du préposé à la protection des données qui met le doigt sur la problématique générale des objets connectés. Comment est maîtrisée la collecte de données à tout vent de données sans sans que nous puissions connaitre exactement la finalité de leur traitement, ni leur sécurité par exemple. Comment ne pas s’inquiéter de la présence d’un microphone (américain) dans une voiture de police (suisse) par exemple?


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Sinon, avant les fêtes, on apprendra que plusieurs forces de l’ordre ont fermé une quinzaine de sites utilisés pour lancer des attaques de déni de service DDoS, que Facebook est une société commerciale qui partage nos données personnelles, que la NASA a subit une cyber-attaques et a prévenu ses employés qu’il pourraient avoir perdu des plumes données. Sans oublier le fait que tout le monde a couru pour mettre à jour les navigateurs IE pour éviter que des cybercriminels plombent le Noël en utilisant un méchante vulnérabilité 0-day.

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Facebook gave Amazon, Netflix, Spotify & others access to private user data

The social media giant Facebook has been making headlines for all the wrong reasons lately. Now, according to reports, Facebook allowed video streaming service Netflix, music streaming service Spotify, and Royal Bank of Canada to read, write and delete private messages of users and those participating in the conversation.

Les voitures Tesla acquises par la police bâloise sont trop connectées

Les nouvelles Tesla de patrouille acquises par la police de Bâle-Ville sont hyper-connectées. Beaucoup trop, même, aux yeux du préposé bâlois à la protection des données, qui les prive momentanément de sortie. Elles font pourtant la fierté de la police locale, ces sept Tesla flambant neuves.

L’Union européenne infiltrée par des pirates informatiques

Les câbles ont été postés sur un site Internet ouvert que les pirates ont mis en place au cours de leur attaque. Les câbles piratés comprennent des mémorandums de conversations avec des dirigeants d’Arabie saoudite, d’Israël et d’autres pays partagés au sein de l’Union européenne.

Un client d’Amazon a reçu 1700 enregistrements audio d’un utilisateur d’Alexa

Les commandes vocales et conversations intimes du propriétaire d’une enceinte Amazon ont été envoyées par erreur à un internaute allemand qui réclamait les archives de ses données personnelles.

Facebook waited months before admitting privacy bug exposed millions of users’ unposted photos * Graham Cluley

At the end of last week Facebook revealed that an API bug had given developers of third-party apps access to the photos of millions of users.But Facebook didn’t find out about the problem last week. It found out about it in September.

Cyber-attaques / fraudes

Les force de l’ordre font fermer plusieurs services de DdoS avant les fêtes de Noel

Sécurité : Les forces de l’ordre lancent une frappe préventive pour fermer certains des services DDoS susceptibles d’être utilisés pour attaquer les services de jeux vidéo pendant les vacances de Noël. Les autorités policières des États-Unis, du Royaume-Uni et des Pays-Bas ont saisi les domaines de 15 services de location de DDoS, a appris ZDNet.

Piratage : la NASA signale une intrusion sur l’un de ses serveurs

Alors qu’il y a quelques jours, la NASA réalisait la prouesse de faire entrer sa sonde Voyager 2 dans l’espace interstellaire, hier, par le biais d’une note de service interne adressée tous ses employés, la société a annoncé avoir été victime d’une cyber-attaque quelques mois auparavant.

Amazon Sends 1,700 Alexa Voice Recordings to a Random Person

The intimate recordings paint a detailed picture of a man’s life. UPDATE Amazon inadvertently sent 1,700 audio files containing recordings of Alexa interactions by a customer to a random person – and after a newspaper investigation exposed the snafu, characterized it as a “mishap” that came down to one employee’s mistake.

Failles / vulnérabilités

Hackers Bypass Gmail, Yahoo 2FA at Scale

A new Amnesty International report explains how cyberattackers are phishing second-factor authentication codes sent via SMS. Amnesty International this week released a report detailing how hackers can automatically bypass multifactor authentication (MFA) when the second factor is a text message, and they’re using this tactic to break into Gmail and Yahoo accounts at scale.

Un visage imprimé en 3D peut tromper la reconnaissance faciale des smartphones

Sur le marché du mobile, ce bon vieux code PIN n’a plus la cote depuis quelques années, remplacé aujourd’hui par des capteurs d’empreintes digitales, des scanners d’iris ou encore la reconnaissance faciale. De nombreux smartphones, comme l’iPhone X, le Galaxy Note 9 ou encore le OnePlus 6T sont compatibles avec cette technologie…

Windows Zero-Day PoC Lets You Read Any File with System Level Access

For a third time in four months, a security researcher announces a zero-day vulnerability in Microsoft Windows and provides exploit code that allows reading into unauthorized locations. Known by the moniker SandboxEscaper, the researcher released details about a security vulnerability affecting ReadFile.exe, which, as its name indicates, allows reading data from specific locations.

US ballistic missile systems have very poor cyber-security | ZDNet

No data encryption, no antivirus programs, no multifactor authentication mechanisms, and 28-year-old unpatched vulnerabilities are just some of the cyber-security failings described in a security audit of the US’ ballistic missile system released on Friday by the US Department of Defense Inspector General (DOD IG). Also: Blockchain voting: Can it help secure our elections?

Réglementaire / juridique

Deux Chinois inculpés pour piratage informatique

Les Etats-Unis ont annoncé jeudi l’inculpation de deux Chinois accusés d’avoir mené des cyberattaques contre 12 pays, s’attirant une réaction furieuse de Pékin. Zhu Hua et Zhang Shilong, “des pirates informatiques associés au gouvernement chinois”, sont notamment poursuivis pour “association de malfaiteurs” en vue de commettre des intrusions et des fraudes informatiques.

Divers

Suisse – Le Conseil fédéral se tâte sur le statut de “Mr Cyber”

La question de la cybersécurité agite beaucoup de monde dans l’administration fédérale mais il faudra encore patienter pour avoir la réponse. Le Conseil fédéral n’a en effet pas réussi à trouver un terrain d’entente mercredi sur le futur centre de compétences et a reporté sa décision à 2019, dans son édition du jeudi 20 décembre .

About Marc Barbezat

Blogueur et spécialiste en cybersécurité

Check Also

Les 6 principes de la persuasion #ingénieriesociale

Selon une récente étude sur l'ingénierie sociale, 48% des gens échangeraient leur mot de passe contre un morceau de chocolat

Le hack qui pourrait faire croire à la reconnaissance faciale que vous êtes quelqu’un d’autre

La reconnaissance faciale prolifère rapidement mais les derniers développements en intelligence artificielle confirme qu'elle est loin d'être infaillible

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter