Quand les objets connectés deviennent des armes pour attaquer Internet
Internet a été visé par une attaque de grande ampleur vendredi, affectant des sites comme Twitter ou Amazon. Une attaque à la puissance décuplée... grâce aux objets connectés. Que s'est-il passé sur Internet vendredi ?
Données personnelles : Facebook condamné par la CNIL à 150 000 euros d’amende
L’autorité de protection des données personnelles pointe « de nombreux manquements à la loi Informatique et libertés ». Elle lui reproche notamment d’avoir tracé des internautes « avec ou sans compte ». La sanction est finalement tombée : après des mois d’enquête et une mise en demeure, la Commission nationale de l’informatique et des libertés (CNIL) a décidé, mardi 16 mai, d’infliger une sanction de 150 000 euros à Facebook. Et ce pour « de nombreux manquements à la loi Informatique et libertés ». La CNIL reproche notamment au plus grand réseau social au monde d’avoir procédé « à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire », peut-on lire dans un communiqué. « Si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori.
AWS indisponible suite à une panne de courant
Un défaut d'alimentation dans un datacenter d'Amazon Web Services a provoqué une interruption de ses services cloud EC2 sur la région US-East 1. Le fournisseur a précisé que le courant a été rétabli au bout de 30 minutes mais certaines instances ont été indisponibles plusieurs heures durant. Cette fois point d'erreur humaine. Si on se souvient - entre autre - de la panne massive des services cloud AWS liées à une intervention malencontreuse d'un opérateur, la dernière qui vient d'arriver est cette fois entièrement technique.
C'est officiel, Microsoft rachète GitHub : un séisme pour les développeurs
Microsoft a annoncé le rachat GitHub pour 7,5 milliards de dollars. Mise à jour à 15h30: Comme prévu, Microsoft a officiellement annoncé avoir racheté GitHub. Prix de l’opération : 7,5 milliards de dollars. Article original du 4 juin 2018 à 7h :
Des sites chinois attaqués via un nouveau bug de framework PHP
ZDNet a appris que plus de 45.000 sites Web chinois ont fait l'objet d'attaques massives destinées à accéder à des serveurs Web. Les attaques ont ciblé des sites Web construits avec ThinkPHP, un framework PHP chinois très populaire là bas. Toutes les attaques ont commencé après que la société chinoise de cybersécurité VulnSpy ait posté une preuve d'exploit pour ThinkPHP sur ExploitDB, un site Web connu pour héberger et mettre à disposition gratuitement du code pour réaliser des exploits. Le PoC exploite une vulnérabilité dans la méthode invokeFunction du framework pour exécuter un code malveillant sur le serveur. La vulnérabilité est exploitable à distance, comme la plupart des vulnérabilités dans les applications Web, et peut permettre à un attaquant de prendre le contrôle du serveur. Les attaques ont commencé en moins d'une journée
MyFitnessPal : les données de 150 millions d’utilisateurs exposées à la suite d’un piratage
Le site, aussi décliné en application, permet de compter le nombre de calories ingérées quotidiennement. Il a été piraté en février. LE MONDE | • Mis à jour le | Par Perrine Signoret Jeudi 29 mars, les utilisateurs de MyFitnessPal ont eu la mauvaise surprise de recevoir un e-mail d’alerte dans leur boîte de réception. Celui-ci annonçait que leurs données personnelles contenues sur le site ou l’application, qui permettent de suivre son alimentation et compter les calories ingérées au quotidien, avaient été dérobées à la suite d’un piratage.
Face à la fronde, Google abandonnera sa collaboration avec le Pentagone
Google a beau avoir récemment effacé toute trace de son slogan « Don’t be evil » de son code de bonne conduite, celui-ci reste bien ancré chez ses employés. La société de Mountain View avait en effet été largement critiquée en interne pour son engagement sur un projet baptisé « Maven » : celui-ci envisageait la mise en place d’une coopération avec l’armée américaine afin de mettre les outils d’analyse d’image par IA de Google à la disposition des drones des l’armée US. Mais lors d’une réunion interne relatée par Gizmodo, Diane Greene, dirigeante de l’activité Cloud de Google, a officiellement annoncé que le contrat passé avec le gouvernement américain ne serait pas renouvelé en 2019.
Microsoft dépasse Google en Bourse
La stratégie multiplateformes et « dans le nuage » de Satya Nadella, le CEO de Microsoft, porte ses fruits. On le voit dans les résultats trimestriels qui ne cessent de s’améliorer, mais aussi auprès des boursicoteurs qui font la fête à l’action du géant du logiciel. Microsoft et Google jouent à cache-cache
La France booste la cybersécurité - Le Parisien
Informatique. Les entreprises françaises investissent de plus en plus dans la sécurité de leurs réseaux. Les bons profils professionnels, encore trop rares, sont recherchés. L'attaque orchestrée contre Vinci mercredi l'a prouvé : les cyberattaques n'épargnent pas les entreprises françaises. Une étude de PricewaterhouseCoopers (PWC) en a dénombré 4 165 dans l'Hexagone en 2016. 59 % des entreprises françaises ont d'ailleurs augmenté leurs dépenses de cybersécurité cette année.
400 millions de PC Windows sous la menace de Bashware
Selon Chek Point, la console Bash pour Linux sous Windows 10 permet d’exécuter des malware à la barbe de l’OS de Microsoft et des antivirus. Les quelque 400 millions de PC opérés par Windows 10 aujourd’hui sont exposés à une nouvelle technique d’attaque baptisée Bashware. « Nous avons récemment trouvé une méthode nouvelle et alarmante qui permet à tous les logiciels malveillants connus de contourner les solutions de sécurité les plus courantes, telles que les antivirus de prochaine génération, les outils d’inspection et les systèmes anti-ransomware, alerte Check Point par voie de blog. “Cette technique, baptisée Bashware, exploite une nouvelle fonctionnalité de Windows 10 appelée Subsystem for Linux (WSL), qui vient de sortir de son statut bêta [en juillet dernier, NDLR] pour s’inscrire comme une fonctionnalité intrinsèque à Windows. »
Failles critiques chez Cisco, des millions de Switch vulnérables
Il va falloir patcher vos équipements Cisco. L'équipementier vient de rendre disponible une série de correctifs s'attaquant à 34 failles dans ses produits qui affectent notamment IOS et IOS XE, ses logiciels réseaux. Une d'entre-elles semble particulièrement sérieuse. La faille estampillée CVE-2018-0171 est présente dans Smart Install, un logiciel client maison qui permet de déployer rapidement des nouveaux switchs. De très nombreux routeurs et de switchs Cisco sont supportés par ce logiciel, ce qui vaut à la vulnérabilité le score de dangerosité de 9,8/10. Un attaquant distant peut l'exploiter afin d'exécuter du code ou provoquer un déni de service.
