Il se passe tellement de choses chaque mois dans le monde de la cybersécurité, de la confidentialité en ligne et de la protection des données. C'est difficile de suivre !
Notre résumé mensuel de la sécurité vous aidera à garder un œil sur les nouvelles les plus importantes en matière de sécurité et de confidentialité chaque mois. Voici ce qui s'est passé en septembre.
La dernière semaine de septembre a vu l'une des plus grosses nouvelles :50 millions de comptes d'utilisateurs Facebook individuels ont été piratés. Facebook a réinitialisé les mots de passe de 90 millions de comptes, juste pour être sûr, indiquant que le nombre final de comptes compromis pourrait augmenter.
Les attaquants ont exploité une vulnérabilité dans la fonctionnalité "Afficher comme" de Facebook, qui permet aux utilisateurs de voir à quoi ressemble leur propre compte pour les autres. La vulnérabilité de Facebook provient de trois bogues. Le premier permet à l'outil de téléchargement de vidéos Facebook d'apparaître sur la page Afficher en tant que. La seconde permet à l'outil de téléchargement de générer un code d'accès. Un dernier bogue permet à la page Afficher en tant que de générer un code d'accès pour l'utilisateur souhaité par le pirate.
Le problème ne se limite pas non plus au site Facebook. D'autres services Facebook tels qu'Instagram sont également vulnérables, ainsi que les sites et services utilisant la connexion Facebook désormais omniprésente. (C'est ainsi que vous sécurisez vos comptes lorsque vous utilisez la connexion sociale.)
Initialement, la seule façon de savoir si vous êtes une victime est si Facebook vous a déconnecté de votre compte sans avertissement. Cependant, Facebook indique désormais qu'il publiera un message en haut de votre fil d'actualité si votre compte était impliqué.
Le piratage de Facebook revêt une importance particulière pour les lecteurs européens de MakeUseOf ; il s'agit de la première violation importante de données par une grande entreprise technologique depuis que l'UE a promulgué la loi générale sur la protection des données (RGPD) en mai 2018
Étant donné que Facebook est enregistré en Irlande, la Commission irlandaise de protection des données pourrait infliger à Facebook une énorme amende en vertu du RGPD, mais le commissaire n'a pas encore clarifié "la nature de la violation et le risque pour les utilisateurs".
Si vous êtes victime d'un piratage Facebook, voici quatre choses que vous devez faire immédiatement.
"Les gouvernements des États-Unis, du Royaume-Uni, du Canada, de l'Australie et de la Nouvelle-Zélande se sont engagés à respecter les droits personnels et la vie privée, et soutiennent le rôle du chiffrement dans la protection de ces droits."
Les ministres des gouvernements Five Eyes --- les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande --- se sont réunis en Australie pour le FCM annuel. C'est lors de cette réunion ministérielle des cinq pays que la déclaration ci-dessus a été rédigée.
Cependant, un examen plus approfondi de la déclaration commune révèle que les alliés de Five Eyes menacent d'introduire une législation obligeant les géants de la technologie tels qu'Apple, Facebook et Google à fournir des "solutions d'accès licites" à leurs produits. En d'autres termes :les gouvernements des pays Five Eyes veulent des portes dérobées de chiffrement, et ils les veulent maintenant.
Malheureusement, ce n'est tout simplement pas possible. Créer une porte dérobée pour une personne ne l'empêche pas d'exister pour les autres. Une fois la porte dérobée de chiffrement ouverte, la sécurité de centaines de millions d'autres utilisateurs respectueux des lois s'évapore.
Ce n'est pas un problème qui va disparaître de si tôt. De plus, il existe de nombreux arguments contre la rupture du cryptage, mais très peu pour. Parfois, des outils de rupture de cryptage tels que GrayKey pop-up pour donner une pause aux forces de l'ordre, mais ils sont rares. D'autres pays envisagent une approche alternative. Par exemple, des documents du ministère allemand de l'Intérieur font référence à l'utilisation d'un logiciel d'interception des communications à distance pour cibler les appareils iOS, Android et Blackberry sans avoir à s'appuyer sur des fournisseurs de services comme Apple, Google, Facebook, etc.
La police installe des backdoors sur les appareils de ses suspects ? C'est une autre histoire.
La compagnie aérienne britannique British Airways (BA) a révélé qu'au cours de la période allant de 22h58 le 21 st Août 2018 à 21h45 le 5 e Septembre 2018, les détails de paiement de 300 000 clients ont été piratés. (Oui, ces horaires étrangement spécifiques viennent de BA.)
Les informations volées contenaient les informations personnelles et financières de tous les clients ayant réservé avec BA pendant cette période. Cependant, il n'incluait pas les données du passeport ou du document d'identité de ces clients. S'exprimant dans l'émission Today on Friday de BBC Radio 4, le président-directeur général de BA, Alex Cruz, a déclaré que le piratage était "une attaque criminelle sophistiquée et malveillante" et que BA est "extrêmement désolé de ce qui s'est passé". Cruz a également promis que BA s'engageait "à 100 %" à indemniser les clients concernés.
BA n'a pas officiellement révélé comment le piratage a eu lieu. Cependant, les chercheurs en sécurité de RiskIQ pensent que les pirates ont placé un code malveillant sur la page de paiement BA via une version modifiée de la bibliothèque JavaScript Modernizr. Le code malveillant téléchargeait des données volées sur un serveur hébergé en Roumanie. Cela fait à son tour partie d'un fournisseur VPS nommé Time4VPS, basé en Lituanie.
"L'infrastructure utilisée dans cette attaque a été configurée uniquement avec British Airways à l'esprit et des scripts délibérément ciblés qui se fondraient dans le traitement normal des paiements pour éviter d'être détectés."
Les chercheurs ont retracé le piratage jusqu'à un groupe appelé Magecart, également responsable des récentes attaques contre Ticketmaster et Newegg.
Les chercheurs en sécurité d'ESET ont découvert le tout premier rootkit basé sur UEFI dans la nature. Le rootkit permet à un pirate d'installer un logiciel malveillant persistant sur un système vulnérable avec le potentiel de survivre à un formatage complet du système.
La découverte d'un rootkit UEFI est particulièrement exaspérante car les systèmes UEFI sont traditionnellement restés protégés contre de telles menaces. Cependant, le rootkit présente un problème important car il nécessite un flashage complet du micrologiciel de la carte mère pour être supprimé. vos programmes antivirus et antimalware habituels ne s'approcheront pas du rootkit.
"Bien qu'il soit difficile de modifier l'image UEFI d'un système, il existe peu de solutions pour analyser les modules UEFI du système et détecter les modules malveillants", lit-on sur le blog ESET. "De plus, nettoyer le micrologiciel UEFI d'un système signifie le re-flasher, une opération rarement effectuée et certainement pas par l'utilisateur moyen. Ces avantages expliquent pourquoi des attaquants déterminés et ingénieux continueront à cibler l'UEFI des systèmes."
On pense que le rootkit, connu sous le nom de LoJack, est l'œuvre du tristement célèbre groupe de piratage lié au gouvernement russe, Fancy Bear. Les pirates ont modifié l'outil antivol légitime LoJack pour ordinateur portable d'Absolute Software. L'outil s'installe dans le BIOS du système pour survivre à un effacement du système. La modification remplace des parties du code LoJack d'origine pour réécrire les puces UEFI vulnérables.
Comment se protéger du rootkit UEFI ? La méthode la plus simple consiste à garder UEFI Secure Boot activé. Le micrologiciel de votre système rejettera alors tout fichier sans certificat de vérification approprié, protégeant ainsi votre système des dommages.
Le gouvernement américain a accusé et sanctionné un pirate informatique nord-coréen pour l'attaque mondiale de ransomworm WannaCry en 2017, ainsi que le piratage de Sony Pictures en 2014 qui a forcé la société à retirer son film à venir, The Interview. (The Interview est une comédie sur un complot visant à assassiner le dirigeant nord-coréen Kim Jong-un.)
L'acte d'accusation allègue que le programmeur nord-coréen, Park Jin Hyok, a travaillé pour une société écran du gouvernement avec des bureaux en Chine et en RPDC. Park et ses collègues auraient participé à des activités malveillantes au nom de l'armée nord-coréenne.
"L'ampleur et la portée des cybercrimes allégués par la plainte sont stupéfiantes et offensantes pour tous ceux qui respectent l'état de droit et les cybernormes acceptées par les nations responsables", a déclaré le procureur général adjoint John Demers. "La plainte allègue que le gouvernement nord-coréen, par l'intermédiaire d'un groupe parrainé par l'État, a volé une banque centrale et des citoyens d'autres pays, a exercé des représailles contre la liberté d'expression afin de la refroidir à l'autre bout du monde et a créé des logiciels malveillants perturbateurs qui ont affecté sans distinction les victimes dans plus de 150 autres pays, causant des centaines de millions, voire des milliards de dollars de dégâts."
On pense également que le groupe de piratage est responsable de la tentative de piratage infructueuse contre Lockheed Martin. Le groupe est également responsable d'attaques contre la Banque du Bangladesh, la Banco del Austro en Équateur, la banque vietnamienne Tien Phong et un certain nombre d'échanges de crypto-monnaie.
Le gouvernement nord-coréen a riposté à l'acte d'accusation américain, le qualifiant de "campagne de diffamation". Il affirme également que Park est une "non-entité". Compréhensible, vu les circonstances.
Ce sont cinq des principales histoires de sécurité de septembre 2018. Mais il s'est passé beaucoup plus de choses; nous n'avons tout simplement pas l'espace pour tout énumérer en détail. Voici cinq autres articles intéressants sur la sécurité qui sont apparus le mois dernier :
Une quantité énorme se produit chaque mois dans la cybersécurité, la confidentialité, la protection des données, les logiciels malveillants et le cryptage. Revenez au début du mois prochain pour votre tour d'horizon de la sécurité d'octobre 2018. En attendant, découvrez ces cinq failles de sécurité qui pourraient avoir mis vos données en danger !
Crédit image :Thought Catalog Books/Flickr