L’actualité cyber sécurité de la semaine dernière (19 au 25 février 2018)

de | 26 février 2018

Classico oblige, avec un peu de retard, voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : Vos identifiants et mot de passe ainsi que vos informations personnelles circulent probablement dans le Dark Web : pas de RGPD dans ce monde. Les jeux olympiques d’hiver entachés par des cyber attaques. Faire confiance ou ne pas faire confiance aux applications que nous installons. l’US Air Force se met au bug bounty. Il faut arrêter d’acheter ces pseudos objets connectés qui semblent nous simplifier la vie… en exposant notre vie privée aux personnes malveillantes !

La société Hacked-DB a annoncé qu’elle a découvert 3000 bases de données contenant près de 200 millions de  comptes utilisateur incluant des adresses mails, des données personnelles (J’espère que le Dark Web sera RGPD compliant), des adresses IP, etc. La liste des fichiers des bases de données a été mise en ligne, sans le contenu. A voir si vous utiliser un de ces sites.

Je ne peux que vous recommander d’utiliser le site https://haveibeenpwned.com pour savoir si votre compte se trouve dans une de ces bases ou une autre compromise précédemment.

Source :


Les services en ligne des jeux olympiques d’hiver ont subi une cyber attaque avant et pendant la cérémonie d’ouverture : le site des jeux était indisponible… pas grave vous me direz, par contre, les services de retrait de billets était également indisponibles : laissant ainsi vacants de nombreuses places pendant la cérémonie. L’investigation montre par ailleurs que l’attaque avait pour objectif la prise de contrôle de l’éclairage du stade afin de plonger la cérémonie dans le noir.

L’attaque a été attribuée au groupe Fancy Bear proche des services de renseignements russe. Si tel est le cas, l’exclusion de la Russie de ces jeux n’y est pas pour rien.

Source :


Un des principes de sécurité repose sur la confiance : l’installation d’applications requiert de plus en plus la vérification de l’éditeur de celles-ci. Cette confiance repose sur la vérification de la signature de l’application qui est réalisée lors de l’installation. La signature est produite par un certificat que l’éditeur a acquis auprès d’une autorité de confiance (ex. Comodo, thawte et Symantec). Le problème est des certificats sont disponibles à la vente au grand public, donc à des personnes malveillantes, et qui leur permet de développer des malwares et autres saletés qui peuvent s’installer facilement.

Ceci explique probablement pourquoi Google a décidé de supprimer des autorités de confiance de son navigateur, jugeant que la navigation chiffrée sur les sites et protégée par ces autorités est dangereuse.

Source :


L’armée de l’air américaine a commandité un bug bounty à travers la plateforme HackerOne. Résultat de “l’exercice” : 106 vulnérabilités identifiées et corrigés dans le programme de cyber sécurité de l’US Air Force. $103 883 ont été versés dans le cadre de ce bug bounty.

Une démarche qui s’inscrit dans une approche globale de bug bounty du gouvernement américain initiée en 2016 : 3000 vulnérabilités ont été découvertes dans les systèmes des différentes administrations, pour un montant versé $330 000… de quoi faire réfléchir sur l’approche pentest standard.


De nombreuses failles ont été identifiées par des chercheurs autrichiens sur les produits de surveillance vidéo des bébés et enfants de la société miSafes, les Mi-Cam. Ces failles permettent à quiconque de prendre le contrôle total des caméras afin de voir ce qu’il se passe devant celle-ci voire même “discuter” avec les personnes à proximité.

Malheureusement, les constructeurs de ce type d’équipement continueront à proposer des solutions non-sécurisées à bas prix… sans une réaction massive des consommateurs et un renforcement de la régulation (généralement, je suis contre ce dernier point, mais, malheureusement, il faut se résigner à mettre en avant les mesures les plus adéquates… nécessité oblige).

Source :

Une réflexion au sujet de « L’actualité cyber sécurité de la semaine dernière (19 au 25 février 2018) »

  1. Ping : Veille Cyber N171 – 06 mars 2018 |

Les commentaires sont fermés.