Quand un exploit devient une œuvre d’art

  • FrançaisFrançais



  • Abonnez-vous à cette newsletter bimensuelle ici!

    Bienvenue dans la dernière édition de Pardon The Intrusion, TNW’s newsletter bimensuelle dans lequel nous explorons le monde sauvage de la sécurité.

    Google Projet zéroL’équipe d’élite de chasseurs de bogues n’a pas besoin d’être présentée.

    Les hackers au chapeau blanc ont su trouver failles dans Android et iOS, mais cet impressionnant nouvelle divulgation d’Ian Beer bat tout ce qui l’a précédé.

    Beer a passé six mois de son verrouillage à concevoir à lui seul une méthode pour détourner à distance des iPhones, montrant qu’avec juste un Raspberry Pi, des adaptateurs Wi-Fi disponibles dans le commerce qui coûtent un total de 100 $ et quelques lignes de code, c’est possible pour un attaquant distant de obtenir un contrôle complet de tout iPhone à proximité.

    Ce qui est plus impressionnant, c’est qu’il n’implique pas d’enchaîner plusieurs vulnérabilités pour contrôler pleinement un iPhone, Beer expliqué dans un opus magnum de 30 000 mots.

    L’exploit «n’utilise qu’une seule vulnérabilité de corruption de mémoire pour compromettre l’appareil phare de l’iPhone 11 Pro», permettant à un méchant de «voir toutes les photos, lire tous les e-mails, copier tous les messages privés et surveiller tout ce qui se passe sur [the device] en temps réel.”

    Les bogues que Beer a trouvés pour développer cette chaîne d’exploit ont tous été corrigés avant la sortie d’iOS 13.5 plus tôt cette année.

    Mais comme Beer l’a écrit dans son article, le point à retenir ici devrait être qu’une personne, travaillant seule dans sa chambre, a pu créer une capacité qui lui permettrait de compromettre sérieusement les utilisateurs d’iPhone avec lesquels elle serait en contact étroit.

    Patrick Wardle, chercheur principal en sécurité chez Jamf, a qualifié le projet de verrouillage de Beer de «oeuvre d’art. »

    Quelle est la tendance en matière de sécurité?

    Google Application de messagerie pour Android, Facebook a corrigé un problème critique dans son application Messenger pour Android qui pourrait permettre à un attaquant d’écouter les appelants, et Twitter a été déployé prise en charge de l’authentification à deux facteurs en utilisant des clés de sécurité physiques.

    • Dans une énorme victoire pour la confidentialité et la sécurité, Google a déclaré qu’il ajouterait un cryptage de bout en bout à son application Messages pour Android, en commençant par des conversations individuelles entre les personnes utilisant l’application. [Google]
    • Les législateurs suisses ont exprimé leurs inquiétudes à la suite d’informations selon lesquelles une société de cryptage basée dans le pays appelée Omnisec aurait été utilisée comme cheval de Troie par les agences de renseignement américaines et allemandes pour espionner les gouvernements du monde entier. [AFP]
    • Facebook a patché un problème critique dans son application Messenger pour Android qui aurait pu permettre à un pirate informatique de vous appeler et de commencer à écouter avant de prendre l’appel. C’est similaire à une faille de sécurité dans FaceTime qu’Apple s’est empressée de corriger l’année dernière. [Google Project Zero]
    • Des chercheurs de l’Université de Louvain en Belgique ont découvert des failles dans le système d’entrée sans clé de la Tesla Model X qui auraient permis aux attaquants de voler la voiture en quelques minutes. Il s’agit de la troisième attaque de ce type démontrée sur le porte-clés de Tesla. [IMEC]
    • Les chercheurs de Symantec ont impliqué l’acteur chinois de la menace APT10 (alias Stone Panda et Cicada) dans un effort d’un an pour voler des données sensibles à de nombreuses entreprises japonaises et à leurs filiales. [Symantec]
    • TLe groupe de piratage appelé APT32 ou OceanLotus a lancé une nouvelle porte dérobée macOS qui fournit aux attaquants une fenêtre sur la machine compromise, leur permettant d’espionner et de voler des informations confidentielles et des documents commerciaux sensibles. [Trend Micro]
    • L’ingénieur en sécurité et chasseur de bogues Ashar Javed est en train de trouver 365 bogues de sécurité dans Microsoft Office 365. [Vice]
    • Des pirates informatiques nord-coréens ont tenté de briser les systèmes du fabricant britannique de médicaments AstraZeneca en utilisant LinkedIn et WhatsApp pour envoyer des offres d’emploi frauduleuses contenant des logiciels malveillants, alors que les acteurs de la menace des États-nations continuent de cibler les organisations de santé travaillant sur la recherche sur le vaccin COVID-19. [Reuters]
    • Tout comme le écueils de confidentialité associé aux applications liées à Covid, l’inspecteur général australien du renseignement et de la sécurité (IGIS) a constaté que les agences d’espionnage du pays avaient collecté «accidentellement» des données de l’application de recherche de contacts COVIDSafe du pays au cours de ses six premiers mois de fonctionnement. Mais les données n’ont pas été décryptées, consultées ou utilisées. [iTnews]
    • Des universitaires de l’Université Ben Gourion du Néguev en Israël ont décrit une nouvelle forme d ‘«attaque cyberbiologique» qui pourrait permettre à un acteur malveillant de compromettre l’ordinateur d’un biologiste pour injecter des sous-chaînes pathogènes dans des séquences d’ADN et développer des virus et des toxines dangereux. [ZDNet / ESET]
    • Twitter a ajouté la prise en charge de l’authentification à deux facteurs à l’aide de clés de sécurité matérielles. [Twitter]
    • La dernière quinzaine de violations de données, fuites et ransomwares: Advantech, Belden, Embraer, Spotify, Fertilité américaine, et les données personnelles de 16 millions Patients brésiliens COVID-19.

    Point de données

    Selon la société de cybersécurité Kaspersky’s Rapport sur l’évolution des menaces informatiques pour le troisième trimestre 2020, les cybercriminels ont recours à la distribution de logiciels malveillants contenant les noms de plates-formes de streaming populaires pour inciter les gens à les télécharger.


    «En règle générale, les backdoors et autres chevaux de Troie sont téléchargés lorsque des personnes tentent d’accéder par des moyens non officiels – en achetant des comptes à prix réduit, en obtenant un« hack »pour continuer leur essai gratuit ou en essayant d’accéder à un abonnement gratuit.»

    Les chevaux de Troie représentaient 47,23% de tous les programmes malveillants déguisés sous les noms de plates-formes de streaming populaires entre janvier 2019 et le 8 avril 2020.

    C’est ça. Rendez-vous tous dans deux semaines. Restez en sécurité!

    Ravie x TNW (ravie[at]thenextweb[dot]com)

    Source

    N'oubliez pas de voter pour cet article !
    1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...

    Houssen Moshinaly

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive.

    Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.