L’actualité cyber sécurité de la semaine dernière (20 au 26 novembre 2017)

de | 26 novembre 2017

Après 2 semaines d’absence, voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : les preuves contre la Corée du Nord sur leurs activités de cyber espionnages s’accumulent, le secteur de l’hôtellerie nouvelle cible des attaques contre leurs points de vente, 1.8 milliards messages collectés par le Pentagone sont publiquement accessibles, des failles très très critiques découverte dans le système de contrôle parental de la navigation web « Circle with Disney », le fabriquant chinois de drones DJI pas très fair-play avec les participants à son programme bug bounty, une importante faille de sécurité sur le site du géant du commerce en ligne AliExpress annoncée en plein black friday, importante faille dans 54 modèles d’imprimante professionnelle HP.


Le parti d’opposition sud-coréen, Liberty Korea Party, a annoncé que le fabricant de navire militaire Daewoo Shipbuilding & Marine Engineering Co Ltd a été piraté par la Corée du Nord. Les plans de navires militaires ont ainsi été dérobés pendant le piratage : Daewoo Shipbuilding n’a pas encore confirmé l’attaque. Par ailleurs, la Corée du Nord est soupçonnée d’avoir piraté des passerelles d’accès au système international d’échanger de transactions financières SWIFT localisées à Taiwan.


La chaîne d’hôtels Hilton a payé 700 000€ d’amende suite à deux fuites de données, dont des données de cartes de paiement, découvertes en 2015. Par ailleurs, les investigations ont montré que la chaîne n’a pas notifié dans un délai raisonnable leurs clients concernés par la fuite de données. Ces derniers ont été informés seulement neuf mois après de la découverte de la fuite !

Cette compromission confirme la recrudescence des attaques contre le secteur de l’hôtellerie : de nombreuses grandes chaînes tels que Hyatt, Trump, Intercontinental, HEI Hotels & Resorts, etc. ont été des victimes d’attaques informatiques ces derniers mois.


Dans la série bucket S3 accessibles publiquement le vainqueur de la semaine est le Pentagone : plus 1.8 milliards de messages collectés par le département de la défense depuis 2009 dans les réseaux sociaux dans le cadre de ses actions de renseignement.

Les données exposées concernent principalement les commentaires publiés dans les sites d’information, des publications dans des blogs et des messages dans les réseaux sociaux localisés dans les régions du Moyen-Orient, d’Asie et l’Australie.


Pas loin de 23 vulnérabilités ont été découvertes dans le système « Circle with Disney » qui permet au parent de contrôler, filtrer et couper la navigation web de leurs enfants à la maison. Le principe : un boitier connecté au routeur internet et une application mobile pour la gestion de la navigation (bonjour la confiance à la maison)… bref, les failles découvertes permettent à une personne malveillante de prendre le contrôle à distance du système, de modifier le contenu du trafic, l’injection à distance de code malveillant (la pire des vulnérabilités), le bypass de l’authentification, l’installation d’un firmware non-officiel… Le score CVSS de la pire des vulnérabilités a été évalué à 10, soit le plus haut au score possible. Le score CVSS d’une autre vulnérabilité a été évalué à 9.9.

En résumé un produit conçu avec des pieds !


Un chercheur en cyber sécurité a découvert une faille importante dans le système d’information du constructeur de drones DJI, qui commercialise notamment le célèbre drone Phantom. La faille lui a permis d’accéder aux traces des vols de drones acquis par les clients du constructeur ainsi que les photos prises par les drones et téléchargées dans le système d’information de DJI. Certaines de ces informations sont issues d’utilisation des drones DJI à des fins militaires.

Dans un premier temps, DJI avait annoncé au chercheur que la faille lui vaudrait une prime de 30 000 $ dans le cadre de son programme bug bounty voire même lui a proposé de le recruter pour évaluer la sécurité de ses systèmes. Quelques mois plus tard, le constructeur a demandé au chercheur de signer un document qui comprend une clause qui ne garantit pas la protection du chercheur contre des poursuites judiciaires. Cette posture de DJI obligeant le chercheur à ne pas communiquer sur la faille. Après de nouveaux échanges, le service juridique du constructeur a ordonné la suppression de l’ensemble des données relatives à la faille sous peine de poursuite judiciaire

Le chercheur a donc décidé de rendre public les résultats de ses recherches. De son côté, le constructeur a porté plainte auprès de la CFAA, Computer Fraud and Abuse Act, déclarant que le chercheur est un pirate informatique, car ses chercheurs concernaient un périmètre qui ne faisant pas partie du programme bug bounty.

Un précédent qui ne simplifiera pas l’échange d’informations sur les failles entre les chercheurs et les éditeurs/constructeurs !


L’éditeur de produits de sécurité CheckPoint a annoncé qu’une faille de sécurité avait été découverte le 9 octobre dernier sur le site du géant du commerce en ligne AliExpress. Pour rappel, le site génère un chiffre d’affaires annuel de 23 milliards de dollars par an et dispose 100 millions de clients.

AliExpress a été notifié dans la foulée de la faille de type cross-scripting qui a été corrigé en 48 heures. Une (ré)action rapide du géant qui était nécessaire à quelques semaines du démarrage du black friday… reste à expliquer la raison de l’annonce de CheckPoint pendant cette période importante pour AliExpresse et l’ensemble des acteurs du eCommerce !


Une importante faille de sécurité a été découverte sur les imprimantes d’entreprise du constructeur HP. La faille concerne 54 modèles des gammes HP LaserJet Enterprise printers, HP PageWide Enterprise printers, HP LaserJet Managed printers et HP OfficeJet Enterprise printers : une personne malveillante est capable d’exécuter un code à distance (la pire des vulnérabilités) sur les imprimantes afin de les compromettre. Ces imprimantes réseau peuvent devenir un vecteur d’attaque contre les systèmes d’information, car elles sont accessibles par l’ensemble des postes de travail de l’organisation.

Le constructeur avait été notifié de la faille le 21 août dernier, un correctif est disponible sur le site web > à déployer au plus tôt, car l’exploit est disponible sur github !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *