Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

Free encore victime d'un data leak ?

27 octobre 2024 | Valentin

Illustration de l'article

recap

cyber

actu

C'est la fin de la semaine, donc c'est le moment pour nous de faire le point sur les plus grosses actus de cette semaine dans la cyber. Allez, c'est parti.

Sensibilisation

Comme d'habitude, avant de rentrer dans le vif du sujet, petit rappel que nous sommes dans l'avant-dernière semaine du mois de la sensibilisation, alors n'hésitez pas à partager quelques vidéos de sensibilisation dans votre entreprise et si vous n'avez pas d'idée, un petit tour sur nos réseaux sociaux pourra peut-être vous aider.

Dans la sphère privée, profitez-en cette semaine pour vous renseigner, par exemple, sur les dangers des QR Code à travers nos dernières vidéos

Vulnérabilité

Comme d'habitude, on continue avec la faille critique de cette semaine, et c'est aujourd'hui une faille sur Grafana Labs que je mets en avant, avec la faille CVE-2024-9264 d'une criticité de 9,4 selon le cert et de 9,9 selon Grafana.

Comme d'habitude, cette faille vient d'une suite de petites erreurs conduisant à une grande vulnérabilité car cette faille permet l'exécution de code arbitraire sur toutes les versions de Grafana dès la version 11

La grande condition pour être vulnérable est d'avoir le package DuckDB installé et disponible dans le chemin de l'utilisateur exécutant Grafana. Alors si vous le pouvez, n'hésitez pas à patcher ou à retirer DuckDB du path et on se retrouve très bientôt dans une vidéo détaillant cette faille accompagnée, comme d'habitude, d'un lab de pentes sur learning.tornade.io ([1])

Data Leak

Cette semaine ce n'est pas 1 dataleak mais bien 3 dataleaks sur lesquels je veux vous alerter, avec tout d'abord l'enorme leak confirmé du côté des abonnés Freebox. On parle, comme d'habitude, de la divulgation de données personnelles mais aussi, et c'est beaucoup plus grave, de l'IBAN des personnes concernées. Une enquête est en cours du côté de FREE pour comprendre d'où vient ce leak de données, mais en attendant la base de données de 43 Go est toujours en vente et cherche preneur. ([2])

Le deuxième dataleak concerne l'université de la Sorbonne où un attaquant affirme cette fois-ci posséder notamment des photos de pièces d'identité. 73000 personnes seraient concernées par des dataleaks et si vous aviez la chance jusque-là d'être passé dans les mails du filet, ce dernier dataleak devrait vous achever.([3])

Si vous êtes un utilisateur de VPN, on sait aujourd'hui que plus de 2 millions de mots de passe d'utilisateurs de VPN toutes solutions confondues. Alors cette fois-ci ce n'est pas toujours les éditeurs qui sont responsables des dataleaks, mais aussi parfois les utilisateurs, cliquant et installant n'importe quoi sur leur machine. ([4])

Alors comme d'habitude, pensez à bien modifier vos mots de passe, faites attention aux tentatives de phishing dans les jours et les mois à venir et n'hésitez pas à regarder nos vidéos de sensibilisation pour comprendre comment se protéger de ces dataleaks.

Exposition de credentials

Cette semaine, on change aussi un peu de sujet pour parler des bonnes pratiques de développement, enfin, plutôt comme des mauvaises pratiques de développement peuvent conduire à des incidents de cybersécurité.

Une enquête révèle que des milliers d'applications sur Google Play et sur l'App Store ont en dur dans leur code les identifiants permettant de se connecter à différents Cloud Providers comme AWS ou Azure, par exemple.

Et ça, c'est un gros problème car pour ceux qui ne le savent pas, n'importe qui peut dépackager et faire du reverse engineering de vos applications, et donc récupérer ces credentials pour, au choix : détruire vos données ou les modifier mais surtout plus communément, pour les voler et les revendre sur le darknet ensuite.

Cette étude nous rappelle une fois de plus l'importance des basiques dans le monde du développement et que tout le monde devrait être formé aux bonnes pratiques élémentaires et aux principales vulnérabilités, comme celle publiée par l'OWASP par exemple, et d'ailleurs si vous souhaitez vous y former, n'hésitez pas à nous contacter ! ([5])

Royaume Uni et Cyberattaque

On finit le recap de cette semaine par cette annonce du gouvernement du Royaume-Uni se disant 'prêt à tout' pour lutter contre les cyberattaques, enfin plus précisément selon leur terme, contre les menaces en cybersécurité.

Évidemment, après avoir brossé dans le sens du poil les experts de la cybersécurité, le résumé du discours est assez simple à comprendre : les Royaume-Uni, et globalement l'Europe, sont en retard sur le sujet de la cybersécurité, notamment face à des gens comme la Russie ou la Chine.

D'ailleurs, le Royaume-Uni envisage aussi de remettre à jour certaines lois autour du 'white hacking', notamment pour diminuer les risques légaux que prennent les white hackers lorsqu'ils alertent sur certaines vulnérabilités, en espérant que cela donne des idées à la France.

Alors, qu'est-ce que vous pensez de cette position de l'autre côté de la manche ? Véritable prise de conscience ou simple discours pour se donner bonne conscience, je vous laisse me donner votre avis en commentaire. ([6])

Toute l'actu cyber, dev et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !