• Shakerz
  • Posts
  • Shake 〰️ 10 septembre 2022

Shake 〰️ 10 septembre 2022

September 10, 2022

Salut les Shakerz 👋

On espère que votre retour au boulot, en cours (ou toujours les vacances ?) se passent bien. Comme chaque semaine, votre Shake hebdo est là pour vous. Avec l’essentiel de ce qu’il s’est passé en digital et en cyber.Dans l’actu : 🎶 le géant du web TikTok encore dans la tourmente face à des allégations de piratages, 🍊 une base de données d’Orange Cyber Défense volée, 📮 La Poste Mobile fait face à une attaque par rançongiciel, et d’autres à déguster.

Retrouvez aussi : une statistique étonnante sur le pourcentage de fraudes aux paiements, le rapport du WEF (ou “Davos”) sur le modèle “zero trust”, des ingrédients à la carte pour pour composer vos propres créations, et, bien évidemment, la question de la semaine.

Cette semaine, une mise à jour critique a été signalée : la version 105.0.5195.102 (ou supérieure) de Google Chrome est à installer, afin d'atténuer les menaces potentielles.

Bonne lecture et bon week-end !

PS: un bon pote vous a fait passer ce Shake ?

〰️ La reco du barman 〰️

🎶 Vos données TikTok piratées ?

Il y a quelques jours, des chercheurs en sécurité de Microsoft avaient découvert une grave vulnérabilité de TikTok qui aurait pu exposer les utilisateurs en un seul clic. Ce problème, qui touchait les utilisateurs de l'application Android, a depuis longtemps été corrigé par TikTok. 

Les allégations de piratage de TikTok continuent

En effet, des informations circulent comme quoi TikTok U.S. aurait été piraté.

Comment ? Les premières présomptions sont apparues le 3 septembre sur le forum de discussion Breach Forums.  Un utilisateur nommé AgainstTheWest a publié ce qui était censé être des captures d'écran d'un piratage de TikTok et WeChat. Il a déclaré ne pas savoir s’il voulait les vendre ou les rendre publiques et affirme avoir extrait deux milliards d’enregistrements de la base de données soit 790Go. Sur Twitter, il affirme aussi avoir volé le code source du back-end.

TikTok nie en bloc et affirme qu'il n'y a aucune preuve

Contacté par Davey Winder de Forbes, le géant du web affirme qu’aucune preuve n’existe face à de telles accusations de violation de données. Le porte-parole indique que "TikTok donne la priorité à la confidentialité et à la sécurité des données de nos utilisateurs. Notre équipe de sécurité a enquêté sur ces allégations et n'a trouvé aucune preuve d'une violation de sécurité."

Des précautions à prendre selon les experts

Même si aucune preuve n’existe, les experts en sécurité recommandent aux utilisateurs de TikTok de changer leurs mots de passe et de s'assurer que l'authentification à deux facteurs (2FA) est activée.

Les entreprises françaises sont les plus touchées par les fraudes aux paiements

〰️ Insight 〰️

Insight #4 〰️ Technologies "Nextgen" = sécurité ?

Spoiler : pourquoi cette idée reçue est fausse.

79% des projets de transformation digitale n'incluent pas la cybersécurité au bon niveau

Pourquoi ? À moins d’être adoptées correctement, les “briques” actuelles du digital, qu'elles permettent un time to market accéléré, ou encore offrent une certaine fluidité face aux variations de trafic, ne garantissent fondamentalement aucune cybersécurité. Leur bon usage reste donc complexe, ainsi que leur maintenance. Cela nécessite une architecture aussi bien pensée qu’exécutée efficacement.

L’innovation et les CISO : une relation complexe

Longtemps, les CISO (Chief Information Security Officers - ou Directeurs sécurité de l’information) ont été réfractaires au cloud. Car l’innovation n’est pas la priorité des CISO, sinon la priorité qui leur est fixée. C’est un vrai problème car non seulement certains CISO sont des freins pour les projets d’innovation, mais aussi leur faible culture d’innovation limite l’efficacité de leur stratégie cybersécurité

Identifier, tester, déployer à l’échelle l’innovation, cela doit donc devenir une activité standard pour les fonctions cybersécurité. Somme toute, le contraire d’une approche “conformité” usuelle. 

La blockchain, “ultime” technologie, est-elle sécurisée ?

C’est une idée reçue courante. De nombreuses plateformes de finance décentralisée (DeFi) se sont pourtant faites attaquer. Alors que c’est leur cœur de métier de manipuler, au quotidien, des transactions qui totalisent un volume de plusieurs millions ou dizaines de millions d’euros.

Découvrez pourquoi dans ma tribune expert (accès abonné).

Sylvan Ravinet, expert en cybersécurité.

〰️ Vos shots 〰️

🍊Une base de données de 1 500 clients d’Orange Cyber Défense volée

Un pirate informatique vient de diffuser une base de données qui compte 1574 clients qu’il annonce avoir « volés » à Orange Cyber Défense, l’entité cybersécurité du géant télécom, Orange. Zataz a consulté cette liste qui ne semble concerner que les clients ayant acquis un “Micro-SOC Endpoint”, un outil de cyber protection qui a pour mission de protéger les stations de travail et les serveurs des entreprises de taille moyenne.

📮 La Poste Mobile : les données clients fuitent après un embarrassant piratage

En juillet dernier, Zataz (de nouveau) révélait que La Poste Mobile avait subi une cyberattaque provenant du groupe de pirates Lockbit, qui avait volé et diffusé ses données. Un mois plus tard, rebelote. Via une attaque par rançongiciel, les attaquants ont pu se procurer un fichier de 64Mo compressé comprenant 533 000 données clients dont les numéros de comptes bancaires, adresses physiques, etc. Le site est resté hors-ligne pendant 10 jours.

🚖 A Moscou, un embouteillage massif causé par Anonymous

L'application Yandex Taxi, détenue par le Google russe Yandex a été piratée par le groupe de hackers Anonymous, comme l’annonçait une publication Reddit. Tous les taxis disponibles avaient reçu l’ordre de se rendre à une adresse particulière, ce qui a provoqué un embouteillage sans précédent.

⚡️ Les opérateurs télécoms en danger face aux coupures d’électricité de cet hiver ?

Avec le conflit en Ukraine, les pays européens rencontrent de grandes difficultés d’approvisionnement en électricité. Pour contrer cela, la France envisage de mettre en place des coupures de courant ponctuelles pour soulager le réseau. Sauf que sans électricité, les relais mobiles ne fonctionnent plus, or 95% des communications d'urgence passent par ces réseaux.

🐒 Un Google Traduction pour comprendre vos animaux ? 

Vous avez toujours rêvé de communiquer avec votre chien ? Et bien, ce sera bientôt chose faite ! Les chercheurs du Max-Planck-Institut für Hirnforschung, un institut allemand spécialisé dans les neurosciences, ont découvert un moyen de décoder le langage des animaux, comme le rapporte le New York Times.

〰️ Bonne dégustation 〰️

Au cours des dernières années, le modèle "confiance zéro" ou “zero trust” devient un moyen de protéger les réseaux et d'accroître la cybersécurité dans les organisations.

Dans son rapport, le World Economic Forum donne des précisions sur la définition, le développement et le déploiement du modèle de confiance zéro pour améliorer la cybersécurité dans tous les secteurs.

Que faut-il retenir ?

  • N'établissez aucune confiance par défaut.

  • Assurer la visibilité.

  • Appliquer la confiance avec une vérification dynamique et continue.

  • Utiliser le "moindre privilège".

  • Assurer la meilleure expérience possible pour l'utilisateur final.

〰️ Cul sec - La question 〰️

De quelle star le clip a t-il été signalé comme la déclencheur de vulnérabilités ?

A. MadonnaB. Christina AguileraC. Janet JacksonD. Lady GagaE. Whitney Houston

—> Réponse à la sortie du bar.

〰️ À la carte 〰️

⏪ Rewind - En septembre 2021, des chercheurs et des experts en cybersécurité ont révélé une campagne d'espionnage mobile contre le groupe ethnique kurde. Les pirates ont ciblé des personnes sur Facebook, les persuadant de télécharger des applications contenant des portes dérobées Android utilisées pour l'espionnage.

📒 Lecture - Be Gone de Dennis Fisher. Dans ce roman, Danny Tobin est un policier d'État qui traque les criminels de la pire espèce. Après avoir démantelé un syndicat du crime international et entraîné son patron dans sa chute, Danny profite de vacances prolongées lorsqu'un coup de téléphone fait basculer son voyage.

👨🏻 Expert à suivre - Jamil Farshchi est vice-président exécutif et directeur de la sécurité de l'information d'Equifax. Des méga brèches aux armes nucléaires, il a passé sa carrière à l'épicentre de la cybersécurité.

🎙 Podcast - La French Connection est un podcast international sur la sécurité et le hacking, en Europe et au Québec !

🍸 Évènement - Le 27 septembre, retrouvez le Silicon Day Cybersécurité à Paris. Des workshops, des conférences et des échanges pour anticiper les cyberattaques et soigner votre résistance IT.

👉 Pour s’inscrire, rendez-vous ici.

〰️ Cul sec - La réponse 〰️

Réponse C - Janet Jackson

Rhythm Nation, le clip de Janet Jackson datant de 1989, a été officiellement déclaré le déclencheur d’une vulnérabilité. La raison : il gèle certains modèles de disques durs sur des ordinateurs plus anciens à cause de la vulnérabilité CVE-2022-38392, associée à un déni de service (DoS).

〰️ Digestif 〰️

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous gratuitement pour recevoir la newsletter hebdomadaire et soutenir notre travail. Faites tourner !

Reply

or to participate.