La faille majeure de TCP mise au jour la semaine dernière ne touche pas que Linux. Elle concerne aussi Android depuis la version 4.4, dite KitKat. Et aucun correctif n’est en vue pour l’instant…
Actualités faille
Une faille de sécurité dans TCP permet de pirater la plupart des sites Web
Des chercheurs pointent une faille de TCP sous Linux permettant d’injecter du contenu malicieux sur des pages légitimes ou de mettre fin à une communication. Par ricochet, Tor est aussi menacé.
HTTPoxy, une faille vieille de 15 ans se réveille
Une vieille vulnérabilité de 15 ans, HTTPoxy est remise au goût du jour pour des applications web CGI écrites en PHP, Python et Go.
BadTunnel : la faille qui touche tous les Windows depuis 20 ans
BadTunnel, une vulnérabilité importante de Windows, dormait dans l’OS le plus utilisé sur la planète depuis une vingtaine d’années.
Sous la pression de la CNIL, le PS finit par colmater ses fuites
Averti depuis trois semaines d'une faille permettant d'accéder aux données de ses adhérents, le Parti Socialiste s'est fait tirer l'oreille pour corriger la sécurité de son site. Jusqu'à ce que la CNIL se saisisse du sujet.
2 failles de sécurité critiques pour l’outil de compression 7-Zip
Talos (Cisco) vient de trouver deux failles d’importance dans 7-Zip, une application très populaire dans le secteur de la compression de fichiers.
Une vieille faille SAP expose les données des entreprises négligentes
Malgré un patch diffusé en 2010, une vieille faille SAP a abouti à la compromission des données d’au moins 36 entreprises. L’illustration des enjeux de sécurité que soulèvent les environnements SAP.
Lenovo corrige une faille critique dans son Solution Center
Encore une faille dans les outils Lenovo. C’est cette fois-ci le Solution Center de la firme qui est touché. Un outil présent sur les PC professionnels du constructeur.
Déblocage de l’iPhone : le FBI a payé des hackers
Le déblocage de l’iPhone de San Bernardino, auquel Apple a refusé de participer, résulterait d’une faille d’iOS apportée au FBI par des hackers professionnels. Ceux-ci auraient été payés pour leur contribution à l'enquête.
Un développeur prend le contrôle d’une chambre d’hôtel
Un développeur a mis en lumière la fragilité de la domotique d'un hôtel, lors d'un séjour dans un établissement londonien ayant remplacé de simples interrupteurs par des tablettes Android.
Google double sa récompense pour hacker le Chromebook
Google passe de 50 000 à 100 000 dollars le montant de la prime la plus élevée accordée au chercheur qui parviendra à pirater le mode invité du Chromebook.
Google a offert 6 millions de dollars aux chasseurs de bugs
Depuis le lancement de son programme de recherche de failles en 2010, Google a versé plus de 6 millions de dollars de récompense, dont 2 millions l'an dernier avec l'intégration d'Android.
Ils découvrent une faille sur le site du FIC et terminent en garde à vue
Après avoir signalé une faille à l'éditeur du site du Forum International de la cybersécurité (FIC), deux jeunes entrepreneurs ont eu la surprise de recevoir la visite des gendarmes.
Faille zero day : des millions de serveurs Linux et 66 % du parc Android exposés
Mauvaise surprise pour les administrateurs Linux : l’OS libre, depuis la version 3.8 de son noyau, renferme une faille permettant à un assaillant de gagner un accès root. Une large part du parc de terminaux Android est lui aussi concer ...
Faille Juniper : les hackers sont déjà à l’affût
Selon un centre de recherche en sécurité, des hackers tentent déjà d’exploiter la faille découverte dans les boîtiers Netscreen de Juniper.
Joomla victime d’une faille zero day exploitée
Utilisée par des entreprises comme Peugeot, Citibank ou Honda, la plate-forme de gestion de sites web Joomla est victime d'une faille zero day. Patchée aujoud'hui.
Une faille Java met en danger JBoss, Jenkins, Weblogic et Websphere
Mise au jour dès janvier, une faille affectant une librairie Java très courante revient sur le devant de la scène, via la publication de codes d’exploitation ciblant quelques-uns des principaux serveurs d’applications du marché.
iOS : la faille qui expose les identifiants des iPhone d’entreprise
Des chercheurs ont dévoilé une faille d'iOS qui permet d'accéder aux identifiants de connexion des applications gérées par l'entreprise. Connue d'Apple, la vulnérabilité est comblée par la dernière mise à jour de l'OS mobile.
Microsoft corrige dans l’urgence une faille critique d’Internet Explorer
Microsoft publie dans l'urgence un correctif visant à combler une faille critique d'Internet Explorer. Edge est épargné.
Piratage d’une Corvette à distance : le Français Mobile Devices s’explique
Le récent piratage d’une voiture exploite une faille d’un boîtier produit par le Français Mobile Devices. Mais, pour le patron de cette dernière, la vulnérabilité provient de l’implémentation.
9 modems 3G/4G USB sur 10 sont très mal sécurisés
Des chercheurs russes ont démontré comment accéder à distance à l'interface de contrôle des modems cellulaires fournis par les opérateurs mobiles.
LogJam : nouvelle faille dans le chiffrement des sites Web
Des chercheurs, dont certains issus de l’Inria, ont découvert une nouvelle faille dans les protocoles de chiffrement SSL et TLS. Une faiblesse qui, comme Freak, découle des restrictions à l’export un temps imposées par les Etats-Unis.
Faille critique dans le firmware UEFI de plusieurs constructeurs
L'exploitation d'une faille critique du système de démarrage UEFI d'un PC pourrait permettre de compromettre l'intégrité de la plate-forme.
Après Heartbleed et Shellshock : une faille touche SSL 3.0
Encore une faille affectant une technologie largement diffusée sur le Web. Cette fois, c’est le protocole SSL qui renferme une vulnérabilité permettant à un assaillant de récupérer les cookies d’un internaute.
Dropbox : une rumeur de piratage et un bug qui efface des fichiers
Un hacker affirme avoir réussi à récupérer 7 millions d’identifiants et mots de passe Dropbox. La start-up dément fermement. Mais doit reconnaître un bug qui a détruit les fichiers de certains utilisateurs.
Windows à lui aussi droit à sa faille ShellShock
L’utilisation de %CD% dans un script peut permettre à un utilisateur non privilégié de lancer des commandes en mode administrateur sur un serveur Windows.
Adobe retarde la publication d’un patch critique pour Reader et Acrobat
Confronté à des problèmes inattendus lors des tests de régression, Adobe repousse d'une semaine la publication d'un correctif de sécurité critique pour Acrobat et Reader.
Protection des données : carton jaune foncé pour Orange
Suite à la fuite de données personnelles de 1,3 million de clients, la CNIL adresse un carton jaune à Orange. Et à la lecture des manquements constatés par la Commission, c’est probablement un rouge que méritait l’opérateur.
La BCE victime d’un vol de données personnelles et de chantage
La Banque centrale européenne (BCE) a annoncé avoir été victime d'un vol de données des visiteurs de son site web. Et d'un chantage.
Sécurité : Microsoft Active Directory victime d’une faille critique
La quasi-totalité des entreprises du classement Fortune 1000 s'exposent au risque d'usurpation d'identité de comptes utilisateurs Active Directory.