Violation massive de données chez Marriott : 500 millions de clients impactés et actualités cybersécurité de novembre 2018

Le secteur de la cybersécurité, de la confidentialité en ligne et de la protection des données connaît un rythme effréné d'événements chaque mois. Il est difficile de tout suivre !

Notre résumé mensuel dédié à la sécurité vous permet de rester informé des actualités les plus marquantes en matière de cybersécurité et de confidentialité. Voici les temps forts de novembre 2018.

1. Marriott International victime d'une violation de données record touchant 500 millions de dossiers

Comme souvent, l'une des plus importantes nouvelles arrive en fin de mois.

Novembre s'est achevé sur la révélation par le groupe hôtelier Marriott International d'une massive violation de données. Jusqu'à 500 millions de dossiers clients pourraient être concernés, l'attaquant ayant accédé au réseau de la division Starwood de Marriott depuis 2014.

Marriott a acquis Starwood en 2016, formant ainsi la plus grande chaîne hôtelière mondiale avec plus de 5 800 établissements.

Cette fuite impacte divers types d'informations selon les utilisateurs, incluant :

• Nom
• Adresse
• Numéro de téléphone
• Adresse e-mail
• Numéro de passeport
• Informations de compte
• Date de naissance
• Sexe
• Informations sur les dates d'arrivée et de départ

Point critique : Marriott indique que certains enregistrements contenaient des informations de cartes cryptées, sans pouvoir exclure le vol des clés privées.

En résumé, si vous avez séjourné dans un hôtel Marriott ou Starwood (y compris en multipropriété) avant le 10 septembre 2018, vos données pourraient être compromises.

Marriott propose des mesures de protection : un abonnement gratuit d'un an à WebWatcher, et pour les citoyens américains, une consultation fraude gratuite et une couverture de remboursement. Trois sites d'inscription sont disponibles :

• États-Unis
• Canada
• Royaume-Uni

Sinon, voici trois façons simples de protéger vos données après une violation majeure.

2. La bibliothèque JavaScript Event-Stream infectée par un malware voleur de cryptomonnaies

Une bibliothèque JavaScript téléchargée plus de 2 millions de fois par semaine a été contaminée par un code malveillant visant les cryptomonnaies.

Event-Stream, package facilitant le streaming Node.js, contenait du code obscurci visant à voler des bitcoins. L'analyse révèle une cible sur les portefeuilles Bitcoin Copay (mobile et desktop). Le malware tente de vider le portefeuille et se connecte à une IP malaisienne.

Le code a été injecté après que Dominic Tarr, développeur original, ait transmis le contrôle à right9ctrl, qui a publié une version malveillante. Par la suite, une version propre a été déployée, coïncidant avec les mises à jour de Copay supprimant les dépendances vulnérables.

3. Amazon touché par une violation de données juste avant le Black Friday

Quelques jours avant la plus grande journée shopping (hors Journée des Célibataires en Chine), Amazon a subi une fuite de données.

"Nous vous contactons pour vous informer que notre site Web a divulgué par inadvertance votre nom et votre adresse e-mail en raison d'une erreur technique. Le problème a été résolu. Ce n'est pas le résultat de ce que vous avez fait, et il n'est pas nécessaire de changer votre mot de passe ou d'effectuer toute autre action."

Les détails précis manquent, mais des utilisateurs au Royaume-Uni, États-Unis, Corée du Sud et Pays-Bas ont été notifiés, indiquant une portée mondiale. Il s'agissait d'une erreur technique, sans données bancaires exposées.

Cependant, contrairement au message d'Amazon, changez votre mot de passe si vous êtes concerné.

4. Vulnérabilités critiques dans les SSD auto-chiffrants Samsung et Crucial

Des chercheurs ont identifié des failles graves dans plusieurs SSD Samsung et Crucial auto-chiffrants.

Carlo Meijer et Bernard van Gastel (Université Radboud, Pays-Bas) ont testé trois SSD Crucial et quatre Samsung, révélant des problèmes dans les implémentations ATA Security et TCG Opal [PDF].

Problèmes principaux :

• Absence de liaison cryptographique entre mot de passe et clé de chiffrement, permettant de contourner la validation.
• Crucial MX300 avec mot de passe fabricant vide.
• Récupération de clés Samsung via nivellement d'usure SSD.

Ces failles pourraient toucher d'autres modèles et fabricants. Pour protéger vos disques, utilisez VeraCrypt, outil open source de chiffrement.

5. Campagne malvertising Apple Pay visant les utilisateurs iPhone

Les iPhone sont ciblés par une campagne de publicité malveillante impliquant Apple Pay.

PayLeak utilise des pop-ups phishing sur des sites premium iOS pour voler des identifiants Apple Pay, redirigeant vers un domaine chinois.

Le malware vérifie l'appareil (mouvement, type, OS, antivirus) et cible différemment : phishing Amazon pour Android, fausses mises à jour iPhone pour iOS, volant les infos cartes.

6. Un million de montres GPS pour enfants vulnérables

Au moins un million de montres GPS pour enfants sont truffées de failles.

Pen Test Partners a analysé la montre MiSafe : IDs appareils exposés permettent de localiser l'enfant, voir sa photo, écouter conversations, appeler ou message.

"Nos tests sur 'Misafes kids watcher' affectent jusqu'à 30 000 unités, mais 53 autres marques présentent des problèmes similaires."

Conseil d'Aaron Zander (HackerOne) : évitez les jouets connectés bon marché ; signalez les failles aux autorités.

Tour d'horizon complet des actualités sécurité de novembre 2018

Six grandes histoires, mais bien plus :

• Sous-chef cybersécurité japonais sans ordinateur.
• Stuxnet frappe l'Iran (encore).
• Zero-days sur iPhone X, Galaxy S9, Mi6.
• Microsoft patch zero-day Windows.
• Pegasus espionne journalistes mexicains.

Le monde cybersécurité évolue vite. Abonnez-vous à nos résumés mensuels. Rendez-vous en décembre pour l'édition 2018 et 5 astuces pour sécuriser vos objets connectés.

Crédit image : Karlis Dambrans/Flickr