Des experts en sécurité ont découvert une faille de sécurité critique
sur les smartphones Android. Celle-ci permet aux pirates d’installer
des malwares dans l’appareil via la fonctionnalité Bluetooth. Google a
publié une mise à jour pour corriger le bug.
La faille a été détectée sur les smartphones exécutant Android 8 et 9. Sans que l’utilisateur ne puisse le détecter, elle permet aux hackers de s’introduire dans les appareils se trouvant à proximité et dont la fonction Bluetooth est activée. Les pirates peuvent alors extraire librement des données du smartphone, ou encore y installer des logiciels malveillants.
Le bug a été signalé à Google en novembre dernier par des experts en cybersécurité de la société allemande ERNW. Pour mener leur attaque, les pirates ont seulement besoin de l’adresse MAC Bluetooth des appareils ciblés, expliquent les chercheurs. En outre, le processus ne requiert aucune intervention de l’utilisateur, qui ne se rend donc pas compte de l’intrusion.
Comment corriger cette faille de sécurité d’Android 9 ?
Google a publié un correctif dans sa mise à jour de sécurité de février.
Si votre appareil exploite Android 8 ou 9 ou une version plus ancienne,
il est donc primordial de télécharger le patch au plus vite. Si la mise
à jour n’est pas encore disponible sur votre smartphone, il est
fortement conseillé de prendre des précautions quant à l’utilisation de
votre Bluetooth. Pensez notamment à désactiver la fonction lorsque vous ne l’utilisez pas, en particulier lorsque vous vous trouvez dans un lieu public. Il également recommandé de ne pas laisser votre appareil détectable par d’autres.
Les smartphones tournant sous Android 10 ne sont pas vulnérables. Les versions plus antérieures de l’OS pourraient cependant être affectées.
Les chercheurs prévoient de fournir un rapport plus détaillé sur la
vulnérabilité une fois que les correctifs ont auront été téléchargés par
les utilisateurs.
Des experts en sécurité informatique ont pu pirater le réseau local
d’une maison équipée par des ampoules intelligentes Phillips Hue. Une
brèche de sécurité sérieuse qui leur a permis de pirater tous les
objets connectés au réseau. Comment se protéger de cette faille? Est-ce
qu’on a vraiment besoin d’ampoules intelligentes compte tenu des risques
encourus?
En utilisant des drones qui ont survolé des maisons équipées par des
ampoules Phillips Hue. Des auditeurs en cybersécurité de la firme Check Point Software ont
découvert des brèches dans le protocole ZigBee. Un protocole qui régit
les ampoules Phillips Hue et la plupart des objets connectés. Une fois
piraté, l’ensemble du réseau local ( ordinateur, télévision, cuisinière,
etc.) peut être contrôlé, voire infecté par des logiciels malveillants
causant notamment leur dysfonctionnement ainsi que le vol des données
personnelles des utilisateurs.
Le pirate change la couleur ou l’intensité de la lumière de la
lampe. L’utilisateur, croyant qu’un problème technique est derrière ce
dysfonctionnement, essayera de la « réinitialiser » sur l’application Phillips Hue ou sur les assistants personnels de Google, Apple et d’Amazon.
Pour la réinitialiser, il faut supprimer l’ampoule de l’application et de la retrouver, ensuite, sur le au pont de contrôle.
Une fois trouvé, l’utilisateur réintègre la lampe qui est maintenant « infectée »
Le pirate exploite une vieille vulnérabilité (découverte en 2017 et
qui n’a pas été corrigée entièrement) pour déclencher un « débordement
de tampon» ( lien), un flot de données et surtout l’installation sur le
pont qui contamine à son tour le réseau local de la maison ou de
l’entreprise
Le logiciel malveillant se connecte de nouveau au pirate via un
utilitaire comme EternalBlue qui lui permet d’attaquer le réseau IP
cible en y diffusant, entre autres, des rançogiciels et des logiciels
espions
Comment réparer une faille de sécurité dans une ampoule Phillips Hue?
Installer dans l’application Phillips Hue
le correctif («firmware» 1935144040, publié fin janvier dernier) ou
lancer la mise à jour automatique de la dernière version de
l’application.
Les vulnérabilités des objets connectés soulèvent des questions de
leur pertinence et surtout du risque encouru par leur usage : a-t-on
vraiment besoin d’une lampe qu’on change de couleur à distance selon nos
désirs tout en courant le risque qu’elle soit une porte d’entrée
d’actes de malveillance, de sabotage d’équipements, d’intrusion et
d’espionnage de nos vies privées et professionnelles? Zoubeir Jazi
Des chercheurs en cybersécurité ont découvert il y a peu une base de
données gigantesque, stockée en ligne, et qui est composée de 267 millions de profils d’utilisateurs de Facebook
intégrant aussi leurs coordonnées. Elle était accessible gratuitement,
permettant à quiconque le souhaitait de la télécharger pour en extraire
les informations qui l’intéressent. Et ce, tout juste quelques semaines
après une alerte similaire.
On
y trouvait notamment des numéros de téléphone qui, associés à des noms
et prénoms, permettent par exemple d’envoyer des SMS frauduleux via la
technique du fishing*. Si vous avez reçu un texto suspect, ne le supprimez pas et transmettez-le plutôt à l’ANSSI, l’organisme lié au gouvernement qui analyse les menaces.
Les précautions à prendre
Pour le moment, impossible de savoir qui a été visé via cette brèche
dans le code du réseau social créé par Mark Zuckerberg. Néanmoins,
étant donné que c’est loin d’être la première fois que Palo Alto fait
face à ce genre d’attaque, voici quelques conseils pour vous prémunir
des risques les plus importants.
ne transmettez vos données personnelles
à un service que lorsqu’une de ses fonctionnalités vraiment utile pour
vous ne peut pas se lancer correctement sans ces informations
vérifiez
toujours l’URL des liens que l’on vous envoie, afin d’éviter de cliquer
vers une page infectée (et plus particulièrement lorsque vous ne
connaissez pas l’expéditeur)
optimisez vos paramètres de confidentialité
sur Facebook, notamment en ne rendant pas votre profil public (il doit
être visible par vos amis uniquement, que vous devez sélectionner avec
soin)
Pas convaincu ? Il est aussi possible de supprimer votre compte.
*fishing : redirection vers un site avec un nom de domaine ressemblant à l’original, se faisant passer pour l’officiel (hameçonnage)
Hackers, microsoft, vol de donné, vol d'identité, fuite, failles,
REF.: François Manens
-
Accueil
250 milllions de données de Microsoft ont fuité : quelles conséquences ?
250 millions de données liées aux
services de Microsoft étaient en accès ouvert pendant un mois. Nous vous
expliquons les enjeux de la fuite.
Nouveau problème pour Microsoft : plus tôt dans le mois, elle révélait une faille critique sur Windows 10, sans conséquence pour l’instant, suivi d’une autre sur son navigateur Internet Explorer.
Cette fois, des centaines de millions de données relatives à son
service client et à l’assistance technique de ses logiciels ont fuité.
L’entreprise américaine a depuis résolu le problème et a rendu son enquête interne publique ce mercredi 22 janvier 2020. C’est
la troisième fois depuis le début de l’année que Microsoft est
confronté à un problème majeur de cyber-sécurité. // Source : Microsoft
Que s’est-il passé ?
Le 31 décembre, le chercheur en cyber-sécurité Bob Diachenko a découvert la fuite. Avec son équipe de Comparitech,
il a immédiatement contacté Microsoft. Dès le lendemain, les équipes de
l’entreprise américaine avaient stoppé la fuite. Elles ont ensuite
lancé une enquête interne pour évaluer les dégâts qu’auraient pu
engendrer la fuite. Les auteurs y précisent que les données sont restées
en clair pendant près d’un mois, du 5 au 31 décembre.
Accessible par n’importe qui, depuis un navigateur web
De nombreux chercheurs, indépendants ou rattachés à des entreprises
comme Bob Diachenko, scannent le web à la recherche de ce type de fuite.
Celle de Microsoft est malheureusement commune et concerne un type de
serveur particulier, les ElasticSearch. Ce sont des serveurs très
utilisés pour les applications cloud, et donc connectés à Internet.
Quand ils sont bien configurés, ces serveurs requièrent un ou plusieurs
moyens d’authentification (des mots de passe ou des systèmes plus
élaborés) pour autoriser l’accès aux données qu’ils contiennent.
Mais quand la configuration n’a pas été faite correctement, les
serveurs restent ouverts à la vue de qui tombera dessus. Toute personne
disposant de l’adresse de ces serveurs n’a plus qu’à l’entrer sur un
navigateur (comme Chrome ou Firefox) pour accéder à leur contenu.
Microsoft précise que c’est une mise à jour du système de sécurité de
leurs bases de données qui a reconfiguré les paramètres et exposé les
données.
Quelles données étaient exposées ?
Bob Diachenko a trouvé cinq serveurs ElasticSearch, qui contenaient
chacun une copie en apparence similaire des 250 millions
d’enregistrements. Ces données sont étalées sur 14 ans, de 2005 à
décembre 2019, et la fuite touche des clients situés dans le monde
entier.
D’après le chercheur, la majorité des données les plus sensibles
-comme les adresses emails, les numéros de contrat ou les informations
de paiement- étaient tronquées, et n’auraient pas pu être utilisées.
Mais d’autres données étaient parfaitement lisibles. Comparitech en
fait la liste : adresses emails des clients, adresses IP, localisation,
emails d’agents du service client de Microsoft, numéros de dossier
accompagnés de remarques et de leur statut, et enfin des notes internes
étiquetées comme confidentielles.
Quels sont les risques si une personne malveillante met la main sur ces données ?
Dans son communiqué, Microsoft indique ne pas avoir identifié
d’utilisation malveillante de la fuite. Mais ce type de données peut
servir à des arnaqueurs. De façon routinière, les arnaqueurs se font
passer pour des représentants de Microsoft auprès des centaines de
millions de clients du géant américain. Leurs objectifs : récolter
auprès des victimes des informations sensibles, ou prendre contrôle de
leurs systèmes via des logiciels de bureaux à distance, couramment
utilisés dans les opérations de maintenance.
Plus les arnaqueurs auront de données à disposition (le numéro de
dossier d’un problème par exemple), plus leur usurpation d’identité sera
convaincante, et plus les victimes baisseront leur garde.
À juste titre, Comparitech rappelle que les services d’assistance
technique de Microsoft ne contactent jamais leurs clients en premier. De
même, ils ne demanderont jamais ni de communiquer vos mots de passe, ni
d’installer des logiciels de bureau à distance.
Suis-je concerné ?
Microsoft affirme qu’il a commencé à contacter les clients concernés
par la fuite, qui peuvent être des entreprises comme des personnes. En
Europe, il s’agit tout simplement d’une obligation légale, et vous devriez donc être contacté si vos données ont été exposées.
Plus généralement, des outils comme Have I Been Pwned ?
permettent de vérifier si vos informations ont fait partie d’une fuite
ou de l’exploitation d’une faille, simplement en indiquant votre adresse
email.
Hackers, failles, banque, vol de donné, vol d'identité,
photo jean-françois desgagnésPascal Desgagnés a
comparu jeudi au palais de justice de Québec pour faire face à de
multiples accusations dont vol et fraude à l’identité.
Les maîtres de l’informatique comme Pascal Desgagnés, qui
sont « dangereux » pour les organisations selon certains experts,
continueront de nuire à la vie privée des citoyens et des vedettes qui
protègent mal leurs informations sensibles.
« Les victimes, comme la majorité du monde, ont de mauvais mots de
passe et ils n’ont pas un deuxième facteur d’authentification », assure
le créateur du Hackfest et expert reconnu en sécurité informatique,
Patrick Mathieu.
Pour le moment, la méthode précise utilisée par Desgagnés pour
pirater les cellulaires des personnalités comme Véronique Cloutier reste
nébuleuse.
Cependant, tout porte à croire qu’il s’agit d’une fuite de photos
similaire à celle vécue par des vedettes américaines en 2014, de type « fappening ».
Il s’agit d’un pirate qui trouve facilement les mots de passe des
iCloud des vedettes. « Ils ont ensuite accès à la sauvegarde de leurs
cellulaires », explique M. Mathieu. Organisations à risque
De son côté, le président du Groupe Vigiteck, une firme en
informatique judiciaire, estime que les individus considérés comme des
génies de l’informatique comme Desgagnés peuvent être dangereux pour
toutes organisations privées et gouvernementales.
« Ces gens ont des expertises de niche et ils sont en demande. Ils
font leur travail et si le gestionnaire n’est pas alerte, il peut avoir
de lourds impacts », prévient Paul Laurier, également ex-policier à la
Sûreté du Québec.
Selon l’expert, les entreprises et les ministères ne supervisent
pas assez l’évolution du travail de leurs informaticiens. Il estime que
l’incident avec Pascal Desgagnés n’est que « la pointe de l’iceberg
».
« Je fais des dossiers dans le privé et 80 % du temps l’entreprise
et l’informaticien règlent à l’amiable. De cette manière, il peut aller
travailler ailleurs. Il n’est pas le seul. Il y en a d’autres »,
assure-t-il.
Le PDG d’EVA-Technologies, une firme en cybersécurité, est
également d’avis que les entreprises n’encadrent pas assez leurs
experts.
« Les informaticiens ont souvent des droits plus élevés que la
moyenne au sein d’une organisation. C’est certain qu’il y a un risque
plus élevé s’il n’y a pas une bonne supervision », souligne Éric
Parent. Desjardins, victime
Le Mouvement Desjardins est un bel exemple où l’organisation n’a peut-être pas suivi d’assez près Pascal Desgagnés.
Selon notre Bureau d’enquête, il a ruiné un logiciel de gestion de
projets et fait perdre des milliers de dollars à la coopérative. À partir d’un logiciel Microsoft, il devait créer un outil personnalisé selon les besoins de la coopérative financière. Or, il a tellement modifié l’outil de gestion pour répondre au
besoin du client, qu’une fois parti, plus personne ne pouvait entretenir
le logiciel chez Desjardins. Il avait ajouté des « bouts de code », il a « joué dans les bases
de données du produit » même s’il n’en avait pas l’autorisation. (C'est non éthique aux produits Microsoft, a la limite de reverseingenering)
En raison de son improvisation, Desjardins a dû faire table rase du
projet. Précisons que cet incident n’a pas de lien avec la fuite de
données. « Pas gérable »
Ce n’était « pas gérable », nous a confirmé une source bien au fait
du dossier. Pourtant, Desjardins y avait injecté plusieurs centaines de
milliers de dollars.
Par ailleurs, après avoir réalisé une enquête interne, Revenu
Québec a assuré hier qu’aucune donnée n’a été compromise dans le cadre
de son contrat avec Pascal Desgagnés.
Le suspect agissait comme consultant au fisc depuis deux ans pour la firme R3D Conseil.
Il travaillait comme « pigiste » pour R3D Conseil depuis 2015.
Les trois victimes identifiées
Seulement trois des 32 victimes alléguées de Pascal Desgagnés sont connues jusqu’ici. Véronique Cloutier
Photo Stevens LeBlanc
Animatrice
Jessica Harnois
Photo Pierre-Paul Poulin
Sommelière
Martine Forget
Photo Ghyslain Lavoie
Mannequin et épouse du gardien des Red Wings Jonathan Bernier
Les initiales des 29 autres
A.N.
J. M-T.
F.B.
J.M.
C.M.
J.R.
M.C.
L.M.
A.G.
K.K.
I.V.
E.F.
C.P.
K.R.
A.B.
M.B.
E.F.
A.L.
G.O.C.
M.-P.D.
M.-M.B.
A.A.
B.C.-M.
B.H.
C.L.
F.S.
K.T.
M.-O.P.
N.G.-V.
Revenu Québec met un terme à son contrat avec l’homme
soupçonné d’avoir espionné les cellulaires de personnalités publiques.
Il avait aussi accès au système informatique de l'Assemblée nationale.
Selon son profil LinkedIn, Pascal Desgagnés avait un mandat d’un
an comme consultant avec le fisc. Il a également collaboré avec le
Mouvement Desjardins et la Ville de Québec sur des projets
informatiques.
Jeudi, Revenu Québec n’a pas voulu dire le rôle de l’homme de 45
ans dans son organisation. Il n’a également pas été possible d’obtenir
plus d’information sur les accès qu’il avait dans les systèmes de
l’agence.
«Revenu Québec a mis fin au lien contractuel qu’il entretenait
avec Pascal Desgagnés, à la suite de son arrestation et de sa mise en
accusation par le Service de police de l’agglomération de Longueuil,
hier», a indiqué au Journal la porte-parole, Geneviève Laurier,
ajoutant qu’aucun autre commentaire ne sera émis afin de ne pas nuire
au processus judiciaire. Consultation des dossiers
Selon l’expert en sécurité informatique, Éric Parent, en raison de
son profil, le suspect pourrait effectivement «par curiosité» avoir pu
consulter des dossiers de gens chez Revenu Québec. Actuellement,
précisons qu’aucune des victimes n’aurait subi de dommages financiers.
«Tout dépendamment de ses accès, c’est quasiment une certitude
qu’il a jeté un coup d’œil. Il ne s’est pas gêné pour le faire avec les
cellulaires», indique le PDG d’EVA-Technologies, une firme en
cybersécurité.
Photo Jean-François Desgagnés
Le suspect était aussi consultant externe en informatique à
l'Assemblée nationale. Son accès au système lui a été retiré hier soir.
«J’ai comme information que ses accès informatiques étaient très
limités. Nous effectuons actuellement des vérifications», note la
porte-parole de l'Assemblée nationale, Julie Champagne.
Cette dernière n’était pas en mesure de dire, jeudi, si l’homme a écouté ou non des conversations de députés.
Du côté de la Ville de Québec, la direction confirme que Pascal
Desgagnés a collaboré avec la municipalité comme consultant notamment
avec la firme Fujitsu de 2011 à 2012.
«Il était mandaté sur des systèmes de gestion de projet à titre de
spécialiste Sharepoint.Il n'avait pas accès aux systèmes et données
sensibles de la Ville», a souligné le porte-parole, David O’Brien.
Jeudi, Pascal Desgagnés, qui aurait commencé à sévir le 20
décembre 2013, a comparu au palais de justice de Québec. L’homme qui
fait notamment face à des accusations pour vol d’identité et de fraude à
l’identité a été libéré et reviendra devant le tribunal le 31 mars.
Pascal Desgagnés est le président de la firme Conseil TI Newcolorz.
À quelques mois du déploiement de la 5G en France, des chercheurs ont
révélé des problèmes majeurs qui permettraient notamment à des
attaquants de localiser les utilisateurs.
Le réseau 5G, déjà déployé dans plusieurs pays comme la Corée du Sud
ou la Suisse, devrait arriver en France à l’horizon 2020. Plus fiable et
surtout beaucoup plus rapide (jusqu’à 100 fois plus que la 4G), le nouveau standard 5G souffrirait aussi d’importantes vulnérabilités selon des experts américains.
Des failles exploitables moyennant quelques centaines de dollars
Lors de la conférence ACM CSS qui s’est tenue à Londres le 12
novembre, des chercheurs de l’Université Purdue et de l’Université de
l’Iowa ont en effet détaillé 11 problèmes de conception dans le standard 5G.
Ces failles sont susceptibles de révéler votre localisation, de
rétrograder votre service sur d’anciens réseaux de données mobiles,
d’augmenter vos factures ou carrément de suivre vos appels, SMS, etc. et
de naviguer sur le web à votre insu. Plusieurs de ces vulnérabilités
seraient héritées de la 3G et de la 4G.
Des failles particulièrement inquiétantes quand on sait que la 5G, contrairement aux normes précédentes, est censée justement protéger les identifiants de téléphone
pour empêcher le suivi et les attaques ciblées. Les chercheurs en
concluent que les nouvelles fonctionnalités de la 5G n’ont peut-être pas
encore fait l’objet d’une évaluation de sécurité rigoureuse.
À quelques mois de son déploiement commercial en France, la mise à
jour de la 5G devient donc particulièrement urgente. Après Orange, Free a en effet testé récemment sa toute première antenne 5G. Les chercheurs à l’origine de cette découverte ont en effet précisé que ces attaques peuvent être réalisées par radio avec des logiciels qui ne coûtent que quelques centaines de dollars.
L’organisme de normalisation GSMA affirme de son côté que les scénarios
présentés par ces chercheurs sont jugés « nuls ou à faible impact dans
la pratique », tout en s’attellant déjà à travailler sur des correctifs.
Source : Wired
Il semble que Facebook utilise peut-être activement votre appareil photo à votre insu lorsque vous faites défiler votre flux.
Le problème est apparu après qu'un utilisateur du nom de Joshua Maddux ait consulté Twitter pour signaler le comportement inhabituel qui se produit dans l'application Facebook pour iOS. Dans la séquence qu'il a partagée, vous pouvez voir sa caméra travailler activement en arrière-plan pendant qu'il fait défiler son flux. Le problème devient évident en raison d'un bogue qui affiche le flux de la caméra dans un petit éclat sur le côté gauche de votre écran, lorsque vous ouvrez une photo dans l'application et glissez vers le bas. TNW a depuis été capable de reproduire le problème de manière indépendante.
Voici à quoi cela ressemble:
Trouvé un problème avec @facebook #security & #privacy. Lorsque l'application est ouverte, elle utilise activement l'appareil photo. J'ai trouvé un bug dans l'application qui vous permettait de voir la caméra ouverte derrière votre flux. Notez que j'ai fait pointer l'appareil photo sur le tapis. pic.twitter.com/B8b9oE1nbl
- Joshua Maddux (@JoshuaMaddux) 10 novembre 2019
Maddux ajoute qu'il a trouvé le même problème sur cinq appareils iPhone exécutant iOS 13.2.2, mais qu'il n'a pas été en mesure de le reproduire sur iOS 12. «Je noterai que les iPhones exécutant iOS 12 ne montrent pas l'appareil photo (pour ne pas dire que ce n'est pas le cas. utilisé) ", at-il dit.
Les résultats sont compatibles avec nos propres tentatives. Bien que les iPhones sous iOS 13.2.2 montrent effectivement que l'appareil photo fonctionne activement en arrière-plan, le problème ne semble pas affecter iOS 13.1.3. Nous avons également remarqué que le problème ne se produisait que si vous avez autorisé l'application Facebook à accéder à votre appareil photo. Si ce n'est pas le cas, il semblerait que l'application Facebook essaie d'y accéder, mais iOS bloque la tentative.
Il n’est pas clair s’il s’agit d’un comportement attendu ou simplement d’un bogue dans le logiciel pour iOS (nous savons tous ce que Facebook va dire; spoiler: «Muh, duh, euh, c’est un bogue. Nous sommes désolés.»). Pour ce que cela vaut, nous n’avons pas été en mesure de reproduire le problème sur Android (version 10, utilisé sur Google Pixel 4).
Quelle que soit la raison, ce comportement est particulièrement préoccupant - en particulier si l’on considère le bilan atroce de Facebook en matière de confidentialité des utilisateurs (vous vous souvenez de Cambrdige Analytica?).
À présent, tout le monde devrait savoir que toute application iOS ayant obtenu l'accès à votre appareil photo peut vous enregistrer en secret. En 2017, le chercheur Felix Krause a parlé à TNW du même sujet.
À ce moment-là, l’enquêteur a fait remarquer que l’un des moyens de résoudre ce problème de confidentialité était de révoquer l’accès à la caméra (bien que cela ne permette certes pas une expérience logicielle fluide). Il a également suggéré de dissimuler votre appareil photo, comme le faisait l'ancien président du FBI, James Comey, et le propre empereur de Facebook, Mark Zuckerberg. Apprenez des avantages, je suppose.
Nous avons contacté Facebook pour obtenir d'autres commentaires et mettrons à jour cet article en conséquence, si nous le recevons.
Mise à jour le 13 novembre à 7 h 20 UTC: Facebook a confirmé le problème, en l’appelant un bogue (qui l’aurait deviné, non?).
«Nous avons récemment découvert notre application iOS lancée de manière incorrecte dans le paysage. En corrigeant cela la semaine dernière dans la V246, nous avons introduit par inadvertance un bogue dans lequel l'application accède partiellement à l'écran de la caméra lorsqu'une photo est exploitée », a tweeté Guy VP, vice-président de Facebook pour l'intégrité. "Nous n'avons aucune preuve de photos / vidéos téléchargées à cause de cela."
Donc au moins ça.
Dans l'intervalle, Rosen a déclaré que Facebook soumettait un correctif à l'App Store.
Une personne extérieure non autorisée est parvenue à pénétrer dans
les systèmes du constructeur mobile OnePlus, lequel s'est fait dérober
une série d'informations personnelles appartenant à ses clients.
OnePlus a fait l'objet d'une intrusion informatique mettant en péril des
données directement liées à ses utilisateurs. Depuis, la faille
dénichée par ses équipes a été sécurisée. Voilà ce qu'il faut retenir du
message publié par Ziv C., membre du pôle sécurité du fabricant
chinois, sur le forum de l'entreprise, vendredi 22 novembre.
Les données bancaires épargnées
Une
personne tierce non autorisée à pénétrer dans ses systèmes a en effet
eu accès à une série d'informations personnelles directement liées aux
clients du groupe. Heureusement pour eux, aucune data ultra sensible
(donnée bancaire, mot de passe) n'a été dérobée. Seuls les noms, numéros
de téléphone, emails et adresses de livraisons de certaines personnes
ont été exposées.
Les personnes concernées, justement, ont été directement contactées par
la firme de l'Empire du milieu via un courrier électronique. La filiale
de BBK Electronics appelle cependant à la prudence : des emails de spam
et de phishing sont susceptibles de cibler les victimes. La vigilance
est donc de mise.
Sécurité renforcée
Face à cette violation de données, l'entreprise asiatique a rapidement pris des mesures adéquates : faire en sorte « de stopper l'intrus et renforcer la sécurité » de ses systèmes en travaillant avec des autorités compétentes. L'enquête suit actuellement son cours.
En cas de questions plus précises, n'hésitez pas à contacter le support client de la compagnie.
Un système de sécurité laisse fuiter plus d'un million d'empreintes digitales
Un grand nombre de sociétés se reposent sur une base de données
biométrique pour permettre aux employés d'entrer dans des locaux
protégés. Mais comme parfois en sécurité informatique, des failles sont
présentes et permettent d'accéder à ces données sensibles.
Et c'est une affaire du genre qui a touché le système de sécurité BioStar 2 de la société Suprema. Une faille de sécurité
majeure détectée, par une équipe de recherche en cybersécurité appelée
vpnMentor. Cette découverte a été relayée par Noam Rotem, l'un des
chercheurs de l'équipe. Suprema a depuis expliqué que la faille a été
comblée suite à ces révélations.
Un million d'empreintes digitales exposés
C'est une faille de taille que présentait le système de sécurité BioStar
2, développé par Suprema. Un système utilisé par des instances
importantes, comme la police britannique ou encore des banques. Dans le
fichier se trouvait notamment un million d'empreintes digitales permettant aux personnes autorisées d'accéder à certains bâtiments.
À travers cette faille, le chercheur Noam Rotem de vpnMentor, à l'origine de la découverte, explique qu'il était possible d'ajouter son empreinte digitale dans la base de données ou de remplacer celle de quelqu'un déjà enregistré.
L'affaire est d'autant plus grave qu'en plus du million d'empreintes digitales, des mots de passe et données liées à la reconnaissance faciale n'étaient pas cryptés. N'importe qui aurait pu les utiliser à des fins malveillantes.
Comme l'explique Suprema, c'est depuis mercredi dernier que la faille de sécurité a été corrigée. Il aura fallu que l'affaire soit révélée pour que les dispositions soient prises.
Et pour cause : Noam Rotem explique avoir tenté d'alerter Suprema quant à
cette faille majeure, mais que la firme n'a jamais répondu. Face à ce
silence, le chercheur de vpnMentor a donc décidé de dévoiler à la
presse, comme l'important The Guardian, la présence de cette faille
exposant plus d'un million d'empreintes digitales, mots de passe et
autres données sensibles.
Pour Noam Rotem, l'un des points les plus graves vient notamment du fait
que, contrairement à un mot de passe, modifier une empreinte digitale
ou un visage (pour la reconnaissance faciale) est impossible à détecter
en cas d'ingérence.
Lors de la DEF CON 27, conférence sur la sécurité qui avait lieu ce
week-end à Las Vegas, des chercheurs de la société Eclypsium ont
présenté un exposé sur les défauts de conception courants détectés dans plus de 40 pilotes de noyau de 20 fournisseurs de matériel différents.
Le défaut le plus courant permet aux applications à faible
privilège d’ utiliser des fonctions de pilote légitimes pour exécuter
des actions malveillantes dans les zones les plus sensibles du système
d'exploitation Windows, telles que le noyau Windows.
"Il existe un certain nombre de ressources matérielles qui ne
sont normalement accessibles que par des logiciels privilégiés tels que
le noyau Windows et qui doivent être protégées contre les attaques en
lecture / écriture malveillantes depuis les applications de l'espace
utilisateur", a déclaré Mickey Shkatov, chercheur principal chez
Eclypsium.
"Ce défaut de conception fait surface lorsque les pilotes signés
fournissent des fonctionnalités qui peuvent être utilisées à mauvais
escient par des applications en espace utilisateur pour effectuer des
lectures / écritures arbitraires sur ces ressources sensibles sans
aucune restriction ni vérification de la part de Microsoft", a-t-il
ajouté.
Shkatov attribue les problèmes qu'il a découverts à de mauvaises
pratiques de codage, qui ne tiennent pas compte de la sécurité.
"C’est un modèle courant de la conception logicielle dans lequel, plutôt
que de faire en sorte que le pilote n’exécute que des tâches
spécifiques, il est écrit de manière flexible pour effectuer uniquement
des actions arbitraires pour le compte de l’espace utilisateur", a-t-il
déclaré à ZDNet.
"Il est plus facile de développer des logiciels en structurant les
pilotes et les applications de cette façon, mais cela ouvre la
possibilité de l’exploitation des vulnérabilités."
Fournisseurs affectés
Shkatov a déclaré que sa société avait informé chacun des fournisseurs
de matériel concernés. Les fournisseurs qui ont publié des mises à jour
sont répertoriés ci-dessous.
American Megatrends International (AMI)
ASRock
ASUSTeK Computer
ATI Technologies (AMD)
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
Micro-Star International (MSI)
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
"Certains fournisseurs, tels qu'Intel et Huawei, ont déjà publié des
mises à jour. Certains, qui sont des fournisseurs de BIOS indépendants,
tels que Phoenix et Insyde, publient leurs mises à jour pour les
fabricants OEM de leurs clients", a déclaré Shkatov à ZDNet.
Le chercheur d’Eclypsium a déclaré qu’il n’avait pas nommé tous les
fournisseurs concernés, car certains "avaient besoin de temps
supplémentaire en raison de circonstances spéciales" et que d’autres
correctifs et des avis seraient publiés à l’avenir.
Le chercheur d’Eclypsium a déclaré qu’il envisageait de publier la liste
des pilotes concernés et leur hashs sur GitHub, après la discussion,
afin que les utilisateurs et les administrateurs puissent bloquer les
pilotes concernés.
En outre, Shaktov a déclaré que Microsoft utilisera sa capacité
HVCI (intégrité de code imposée par l'hyperviseur) pour mettre en liste
noire les pilotes signalés.
Cependant, Shaktov a expliqué que la fonctionnalité HVCI n'est prise en
charge que sur les processeurs Intel de 7e génération et plus. Une
intervention manuelle sera nécessaire sur les systèmes plus anciens, et
même sur les nouveaux processeurs Intel sur lesquels HVCI ne peut pas
être activé.
"Pour exploiter des pilotes vulnérables, un attaquant doit déjà
avoir compromis l'ordinateur", a déclaré Microsoft dans un communiqué.
"Pour aider à atténuer cette catégorie de problèmes, Microsoft
recommande aux clients d’utiliser Windows Defender Application Control
pour bloquer les logiciels et les pilotes vulnérables connus. Les
clients peuvent se protéger davantage en activant l’intégrité de la
mémoire des périphériques compatibles dans Windows Security. Microsoft
collabore avec les partenaires afin de répondre à ces vulnérabilités et
travailler ensemble pour aider à protéger les clients. "
Plus de détails seront disponibles sur le blog Eclypsium plus tard aujourd'hui. Source : Researchers find security flaws in 40 kernel drivers from 20 vendors
De nouvelles failles d’exécution spéculative découvertes dans les processeurs Intel
Sécurité : Des chercheurs
ont découvert de nouvelles failles liées aux mécanismes d’exécution
spéculative dans les processeurs Intel. Cette nouvelle faille contourne
les mesures de protection mises en place suite à la découverte de
Meltdown et Spectre.
Les chercheurs à l’origine de Meltdown et Spectre l’avaient expliqué :
plus que de simples failles, c’était toute une nouvelle catégorie de
vulnérabilité qu’ils avaient découverte. Pas étonnant donc que depuis,
les failles reposant sur l’exécution spéculative se multiplient.
Aujourd’hui, c’est au tour des chercheurs de Bitdefender de présenter leurs vulnérabilités à l’occasion d’une conférence donnée à la Black Hat, qui se déroule cette semaine à Las Vegas. La faille a reçu l’identifiant CVE-2019-1125, la vulnérabilité est également baptisée SWAPGSAttack par certains chercheurs du fait de son fonctionnement.
La faille vise en effet SWAPGS, un jeu d’instruction à
destination des processeurs x86/x64 et permet à des attaquants d’accéder
à des espaces mémoire réservés au kernel, ce qui ouvre la possibilité
de fuites de données sensibles telles que des identifiants et clef de
chiffrement normalement inaccessible à un simple utilisateur. La faille
est décrite comme une variante de Spectre : le rapport publié par Red Hat au sujet de la vulnérabilité
offre une description plus précise de son fonctionnement et de la façon
dont elle exploite SWAPGS. L’attaque n’est pas exploitable à distance
et demande l’accès physique à la machine visée pour être fonctionnelle.
L'exécution spéculative, péché originel d'Intel
Les
chercheurs de Bitdefender ont présenté cette vulnérabilité à l’occasion
de la Defcon, mais travaillent avec Intel depuis plus d’un an afin de
corriger celle-ci. Intel a d’ailleurs communiqué
au sujet de cette vulnérabilité, mais précise dans son message que les
correctifs pour cette faille interviendront plutôt au niveau logiciel,
principalement du côté des concepteurs de systèmes d’exploitation.
Microsoft
a publié des correctifs pour cette vulnérabilité le 9 juillet 2019 et
les autres concepteurs d’OS sont en train d’emboîter le pas : Google planche sur un correctif
pour ChromeOS, et les différentes distributions Linux préparent ou
publient des correctifs, bien que la faille de sécurité soit « plus
difficile à exploiter » sur Linux selon les chercheurs de BitDefender.
AMD a de son côté publié un communiqué indiquant que ses processeurs n’étaient pas affectés par cette faille de sécurité.
Les failles d’exécutions spéculatives affectent durement Intel,
qui a largement utilisé cette technologie afin d’améliorer la vitesse de
ses processeurs. Ces vulnérabilités restent difficiles à corriger et
demandent les efforts conjoints de plusieurs acteurs afin de déterminer
les meilleurs correctifs à appliquer. L’application de ces correctifs peut également avoir un impact sur les performances des processeurs, un sujet qui avait fait couler beaucoup d’encre à l’époque de Spectre et Meltdown.
Les
chercheurs de BitDefender précisent néanmoins que cette fois-ci,
l’application du correctif devrait avoir un impact négligeable sur les
performances. Dans son avis, Red Hat précise néanmoins que certaines
applications spécifiques, qui ont besoin d’accéder rapidement et
fréquemment aux espaces mémoire utilisés par le kernel, pourraient voir
leurs performances affectées par ce correcti
Les
logiciels malveillants VPNFilter ciblaient les appareils dans le monde
entier à partir de Linksys, MikroTik, Netgear et TP-Link.Plus
d'un demi-million de routeurs et de périphériques réseau dans 54 pays
ont été infectés par des logiciels malveillants sophistiqués, ont averti
des chercheurs du groupe Cisco Talos Intelligence. Les
logiciels malveillants, que les chercheurs en sécurité appellent
VPNFilter, contiennent un commutateur Kills pour les routeurs, peuvent
voler des identifiants et des mots de passe, et peuvent surveiller les
systèmes de contrôle industriels. Une
attaque pourrait couper l’accès à Internet pour tous les appareils, a
déclaré mercredi un chercheur de Talos, William Largent, dans un billet
de blog. Tard
mercredi, le FBI a reçu l’autorisation du tribunal de saisir un domaine
Internet que le ministère de la Justice affirme qu’un groupe de
piratage russe, connu sous le nom de Sofacy Group, utilisait pour
contrôler les appareils infectés. Le
groupe, qui s'appelle également Apt28 et Fancy Bear, a ciblé les
organisations gouvernementales, militaires et de sécurité depuis au
moins 2007. «Cette
opération est la première étape dans la perturbation d’un réseau de
robots qui fournit aux acteurs de Sofacy un éventail de fonctionnalités
pouvant être utilisées à des fins malveillantes, notamment la collecte
de renseignements, le vol d’informations précieuses, les attaques
destructrices et une
mauvaise répartition de ces activités », a déclaré le procureur général
adjoint à la sécurité nationale, John Demers, dans un communiqué. Les
attaques sur les routeurs constituent un atout non seulement parce
qu’elles peuvent bloquer l’accès à Internet, mais aussi parce que les
pirates peuvent utiliser le logiciel malveillant pour surveiller
l’activité sur le Web, y compris l’utilisation de mots de passe. En
avril, des responsables américains et britanniques ont mis en garde
contre des pirates informatiques russes ciblant des millions de routeurs
à travers le monde et prévoyant de mener des attaques massives en
exploitant ces appareils. Dans cette annonce, le FBI a appelé les routeurs "une arme formidable entre les mains d’un adversaire". "Tout
est possible, cette attaque met en place un réseau caché pour permettre
à un acteur d’attaquer le monde à partir d’une position qui rend
l’attribution assez difficile", a déclaré Craig Williams, directeur de
Talos, dans un courriel. VPNFilter
a notamment infecté des routeurs en Ukraine à un «rythme alarmant»,
avec un pic d’infections dans les pays d’Europe de l’Est les 8 et 17
mai. Les
chercheurs ont déclaré que le nouveau programme malveillant partage
plusieurs des mêmes codes utilisés dans les cyberattaques russes connues
et a qualifié l'attaque de "probablement parrainée par l'Etat". Les
chercheurs de Talos étudient toujours la manière dont les logiciels
malveillants infectent les routeurs, mais affirment que les routeurs de
Linksys, MikroTik, Netgear et TP-Link sont concernés. Netgear a déclaré connaître VPNFilter et conseillait à ses utilisateurs de mettre à jour leurs routeurs. "Netgear
enquête et mettra à jour cet avis au fur et à mesure que de nouvelles
informations seront disponibles", a déclaré un porte-parole dans une
déclaration envoyée par courrier électronique. MicroTik
a reconnu que Cisco l’avait informé d’un outil malveillant trouvé sur
trois appareils qu’il avait fabriqués et qu’il avait déjà appliqué un
correctif pour mettre fin à la vulnérabilité par laquelle le logiciel
malveillant était installé. "La
simple mise à niveau du logiciel RouterOS supprime les logiciels
malveillants et tous les fichiers tiers et ferme la vulnérabilité", a
déclaré un porte-parole. TP-Link a déclaré qu'il enquêtait et a ajouté qu'il n'était au courant d'aucun produit affecté par VPNFilter. Linksys n'a pas répondu à une demande de commentaire. Les chercheurs ont publié leurs conclusions maintenant préoccupées par une éventuelle attaque à venir contre l'Ukraine. Le
pays a été à plusieurs reprises victime de cyberattaques russes, dont
le rançongiciel NotPetya, que les responsables américains et
britanniques ont qualifié de "cyberattaque la plus destructrice de tous
les temps". Les
chercheurs ont également attribué à une panne d'électricité en Ukraine
en 2016 les pirates informatiques russes qui utilisaient des logiciels
malveillants pour cibler les systèmes de contrôle industriels. La
Cyber Threat Alliance, dont Cisco est membre, a informé les
entreprises du programme malveillant destructeur, qualifiant VPNFilter
de "menace sérieuse". "Il
a une capacité destructive. La structure de commande flexible du
logiciel malveillant permet à l'adversaire de l'utiliser pour" bricoler
"ces périphériques. Talos
recommande aux utilisateurs de réinitialiser leurs routeurs aux
paramètres d'usine afin de supprimer les logiciels malveillants
potentiellement destructeurs et de mettre à jour leurs périphériques dès
que possible.
Sécurité : Des correctifs
sont en cours pour un bug du Bluetooth qui pourrait affecter Apple,
Intel, Broadcom et certains terminaux Android. L'attaque exploitant la
vulnérabilité reste cependant complexe à mettre en oeuvre.
REF.: Par
Liam Tung
Un
bug cryptographique dans de nombreux firmwares Bluetooth et pilotes
pour systèmes d'exploitation pourrait permettre à un attaquant dans un
rayon d'environ 30 mètres de capturer et de déchiffrer les données
partagées entre des terminaux associés en Bluetooth.
La faille a été découverte par Lior Neumann et Eli Biham, de l’Israël Institute of Technology, et signalée aujourd’hui par le CERT
de l’Université Carnegie Mellon. La vulnérabilité, qui fait l'objet
d'un suivi sous la référence CVE-2018-5383, a été confirmée pour
affecter Apple, Broadcom, Intel et Qualcomm, ainsi que certains
terminaux Android.
Cela affecte le couplage simple sécurisé
(Secure Simple Pairing) et les connexions sécurisées à faible
consommation d'énergie (Low Energy Secure Connections) du Bluetooth.
Heureusement pour les utilisateurs de macOS, Apple a publié un correctif pour la faille en juillet.
Incertitude sur Android
Comme
l'explique la note du CERT, la vulnérabilité est due aux
implémentations Bluetooth de certains fournisseurs qui ne valident pas
correctement l'échange de clés cryptographiques lorsque des
périphériques Bluetooth sont associés. La faille s'est glissée dans
l'implémentation d'échange de clés Bluetooth qui utilise l'échange de
clés ECDH (Diffie-Hellman à courbe elliptique) pour établir une
connexion sécurisée sur un canal non sécurisé.
Cela peut
permettre à un attaquant proche, mais à distance, d'injecter une clé
publique bidon afin de déterminer la clé de session lors de l'échange de
clés public-privé. Il pourrait alors mener une attaque de type
"man-in-the-middle" et "intercepter et déchiffrer passivement tous les
messages du terminal, et/ou forger et injecter des messages
malveillants."
Même si Microsoft a indiqué que Windows n'était pas directement concerné, Intel a répertorié de nombreux modules de puces sans fil pour Windows 7, 8.1 et 10 qui le sont, ainsi que des modules sans fil pour les machines Chrome OS et Linux.
Intel
recommande aux utilisateurs d'effectuer la mise à niveau vers le
dernier pilote et de vérifier auprès des fournisseurs s'ils fournissent
un pilote corrigé dans leurs mises à jour respectives. Dell a publié un
nouveau pilote pour le driver Qualcomm qu’il utilise, tandis que la mise à jour de Lenovo concerne la vulnérabilité du logiciel Intel.
LG
et Huawei ont référencé des correctifs pour CVE-2018-5383 dans leurs
mises à jour de juillet respectives pour les terminaux mobiles.
Le
CERT précise qu'on ignore si Android, Google ou le noyau Linux sont
affectés. Il n’en est pas fait mention dans le bulletin de sécurité
Android de juillet de Google ni dans les bulletins antérieurs.
Comme
l'explique le CERT, l'ECDH est constitué d'une clé privée et d'une clé
publique, cette dernière étant échangée pour créer une clé d'appariement
partagée.
Des conditions pour une attaque réelle
"Les
terminaux doivent également s’accorder sur les paramètres de la courbe
elliptique utilisés. Des travaux antérieurs sur "Invalid Curve Attack"
ont montré que les paramètres ECDH ne sont pas toujours validés avant
d’être utilisés pour calculer la clé partagée résultante, ce qui réduit
l'effort de l'attaquant pour obtenir la clé privée du périphérique
attaqué si l'implémentation ne valide pas tous les paramètres avant de
calculer la clé partagée" écrit Garret Wassermann du CERT.
Bluetooth
SIG, l'organisation responsable de Bluetooth, relativise les chances de
réussite d'une attaque réelle, en partie parce que cet exploit repose
sur la nécessité de se trouver à portée des deux appareils vulnérables.
Néanmoins, elle a mis à jour sa spécification pour exiger que les
fournisseurs valident toute clé publique reçue pendant l'échange.
"Pour
qu'une attaque réussisse, un terminal attaquant doit se trouver dans la
portée sans fil de deux périphériques Bluetooth vulnérables qui
subissent une procédure d'appairage" rappelle Bluetooth SIG.
"Le
terminal attaquant devrait intercepter l’échange de clés publiques en
bloquant chaque transmission, en envoyant un accusé de réception au
terminal émetteur, puis en injectant le paquet malveillant dans le
terminal de réception au cours d'une fenêtre de temps limitée. Si seul
un terminal est vulnérable, l'attaque ne pourrait réussir" ajoute
l'organisation.
Le protocole LTE
utilisé pour les réseaux mobiles a été une fois de plus mis à l'épreuve
par des chercheurs. De nouvelles failles ont été découvertes et ne
peuvent pas être corrigées.
Après la faille KRACK
qui avait mis à mal le protocole WiFi WPA2 en 2017, c'est au tour du
LTE de passer sous le feu des projecteurs. Utilisé partout dans le monde
pour assurer le transfert des données mobiles, le LTE - aussi connu vulgairement sous le nom de 4G - est censé être plus sécurisé que les protocoles utilisés pour le WiFi.
Des chercheurs allemands et américains ont mis au point trois nouvelles
attaques capables de briser les protections mises en place sur le LTE.
Ces attaques visent en priorité la couche deux, celle de la liaison de
données. La faille est donc au plus bas niveau du protocole, ce qui rend
impossible toute correction sans changer toute la structure en place...
Deux attaques sont de type passives et consistent à "écouter" les
communications de l'utilisateur afin de repérer ses habitudes. La
dernière attaque, active quant à elle, est nommé aLTEr par les chercheurs. S'appuyant sur des techniques de détournement DNS ou DNS spoofing,
elle permet aux malandrins de détourner le trafic de la cible vers des
sites malveillants. Bien que chiffré - AES-CTR - le protocole LTE n'est
pas protégé au niveau du contrôle d'intégrité des paquets encapsulés
dans la couche 2.
Quelles solutions pour se protéger ?
La faille découverte par les chercheurs est profondément ancrée dans les
premières couches du protocole LTE. Elle ne peut donc pas être résolue
sans un changement majeur du protocole lui-même, ce qui entrainerait
d'énormes investissements financiers à l'aube de l'arrivée de la 5G...
Il y a cependant matière à se rassurer en se disant que le matériel nécessaire à la réalisation d'une attaque de type aLTEr
est très couteux : plus de 3600€. Ce n'est donc pas à la portée du
premier pirate venu, sachant que la cible doit être proche de
l'utilisateur malveillant pour que le détournement des données puisse
fonctionner. Des agences gouvernementales auraient cependant les moyens
de réaliser de telles assauts à plus ou moins grande échelle.
Dès lors, comment éviter le pire ? Les chercheurs recommandent avant
tout une navigation sur le Web prudente et responsable. Il faut
idéalement utiliser des sites uniquement protégés par le protocole
HTTPS.
Et faute de patch, il faudra attendre l'arrivée de la 5G dans quelques
années. Les nouveaux protocoles mis en place devraient alors éviter ce
type de faille. Du moins sur le papier...
Vous
avez aimé les failles Spectre et Meltdown qui ont été révélées début
2018 et qui touchent, en gros, l'intégralité des processeurs en
circulation, qu'ils soient pour ordinateur ou portable et qu'ils soient
construits par AMD, Intel ou ARM ? Vous allez adorer les nouvelles
failles critiques découvertes par les équipes de l'entreprise
israélienne CTS Labs.
Petite particularité de ces nouvelles failles par rapport aux failles
Spectre et Meltdown : elles ne concernent que les processeurs du fondeur
AMD et, en particulier, les tous derniers, ceux basés sur
l'architecture Zen.
Les processeurs AMD contiendraient 13 failles critiques
Alors que les patchs pour Spectre et Meltdown sont progressivement
déployés par les fondeurs concernés, cette nouvelle découverte risque de
faire encore des remous. Selon les experts de CTS Labs,
qui ont dévoilé publiquement leurs découvertes, le 13 mars 2018, les
processeurs basés sur l'architecture Zen d'AMD contiennent 13 failles
critiques. Tous les processeurs, qu'ils soient destinés à des
ordinateurs fixes, des ordinateurs portables ou à des serveurs.
Les chercheurs ont divisé les failles en quatre classes principales :
trois failles sont appelées Masterkey et touchent de manière plus ou
moins dangereuse l'ensemble des processeurs Ryzen et EPYC ; trois sont
appelées Fallout et touchent exclusivement les processeurs EPYC (donc
les processeurs dédiés aux serveurs) ; quatre failles sont appelées
Ryzenfall et concernent essentiellement les processeurs Ryzen pour
ordinateurs fixes ; deux failles appelées Chimera touchent également les
ordinateurs fixes ; une dernière faille appelée PSP Privilege
escalation concernent tous les processeurs.
AMD n'a eu que 24 heures pour étudier les documents
CTS Labs confirme avoir pu exploiter ces failles 21 fois en fonction des
processeurs ciblés et soupçonne 11 potentielles attaques non
confirmées. Reste que l'ensemble des attaques nécessite un accès
physique à la machine ciblée, ce qui laisse supposer que ces failles
sont moins dangereuses que les failles Spectre et Meltdown dont il est
prouvé qu'elles peuvent être utilisées à distance. Seule la faille
Masterkey pourrait donner lieu à des attaques à distance.
Outre la découverte de ces failles, la révélation de CTS Labs soulève
une nouvelle fois une polémique : l'entreprise israélienne n'aurait
donné que 24 heures à AMD pour étudier les documents qui lui ont été
fournis avant la publication des résultats des recherches. Un laps de
temps extrêmement court qui pourrait en réalité mettre en danger les
utilisateurs de processeurs AMD.
Combler une faille de ce type, comme l'ont montré les patchs pour
Spectre et Meltdown, prend énormément de temps et ne manque pas de créer
des problèmes de compatibilité. AMD n'aurait jamais pu réussir à créer
un patch efficace en 24 heures, ce que CTS Labs ne pouvait pas ignorer.
