Les médias allemands révèlent que la Chine a espionné le groupe automobile Volkswagen pendant cinq ans, dérobant des dizaines de milliers de documents confidentiels, dont des informations sur les véhicules électriques.
Les médias allemands révèlent que la Chine a espionné le groupe automobile Volkswagen pendant cinq ans, dérobant des dizaines de milliers de documents confidentiels, dont des informations sur les véhicules électriques.
Aïe aïe aïe, on dirait bien que ce cher TikTok s’est encore fourré dans un sacré pétrin ! Figurez-vous que ces petits malins ont eu la riche idée de lancer en douce une nouvelle fonctionnalité dans leur app, sobrement intitulée « Task & Rewards« , dispo en France et en Espagne. Jusque-là, rien de bien méchant, me direz-vous sauf que voilà, cette version soi-disant « light » du réseau social cache en fait un système de récompenses qui paye les utilisateurs en échange de leur fidélité. Et ça, ça ne plaît pas du tout à l’Union Européenne !
En effet, la Commission Européenne vient de sortir l’artillerie lourde en exigeant des réponses de la part de TikTok dans un délai de 24 heures. Pourquoi tant de précipitation ? Eh bien figurez-vous que cette nouvelle fonctionnalité « Task & Rewards » qui rémunère les utilisateurs de plus de 18 ans à coup de bons d’achat ou de « coins » virtuels en échange de leur attention, inquiète.
Toute d’abord, on peut légitimement se poser la question de l’impact d’un tel système sur la santé mentale des utilisateurs, et en particulier des plus jeunes. Parce que bon, encourager les gens à scroller comme des zombies pour gratter trois cacahuètes, c’est quand même un peu limite… Surtout quand on sait à quel point les réseaux sociaux peuvent générer des comportements addictifs. La Commission s’inquiète notamment de l’efficacité de la vérification de l’âge des utilisateurs et de la gestion des plaintes par la plateforme.
Ensuite, il y a la question épineuse de la protection des données personnelles parce que pour distribuer ses récompenses, TikTok va forcément récolter encore plus d’infos sur nos habitudes, nos goûts, nos clics… Bref, de quoi remplir gentiment sa base de données, nourrir son algorithme et cibler toujours plus finement les utilisateurs.
Et là, l’UE ne rigole pas, elle veut des réponses, et vite !!!
TikTok a donc 24 heures chrono pour fournir son évaluation des risques liés à ce nouveau programme et s’il s’avère que la boîte chinoise a encore une fois voulu capturer toutes nos données sans prendre les précautions qui s’imposent, ça risque de chauffer pour son matricule ! La Commission a des pouvoirs qui pourraient potentiellement forcer TikTok à revoir entièrement, voire stopper son modèle économique si des impacts toxiques son relevés.
Bien sûr, TikTok assure qu’il a pris toutes les dispositions nécessaires, genre limiter l’accès à la fonctionnalité « Task & Rewards » aux plus de 18 ans, plafonner les récompenses à environ 1€ par jour et limiter le temps passé quotidiennement sur l’app, pour gratter des points, à seulement une heure. Mais bon, on ne va pas se mentir, ça ressemble quand même furieusement à une stratégie pour garder les gens le plus longtemps possible sur la plateforme. Comme d’hab quoi.
Les associations de consommateurs en Europe avaient déjà tiré la sonnette d’alarme sur l’UX / UI de la plateforme, notamment l’utilisation de monnaie virtuelle pour créer des incitations à l’engagement. Mais à en juger par la surveillance exercée par la Commission sur l’approche de l’app chinoise en matière de conformité au Digital Services Act (DSA), celle-ci devra peut-être aller plus loin pour satisfaire les responsables de ce nouveau règlement européen.
Alors attention TikTok, l’UE a l’œil sur toi !
C’est vachement pratique de pouvoir récupérer sa chambre d’hôtel après une grosse journée, simplement en passant par le terminal qui se trouve dans l’entrée de l’hôtel. On tape son nom, on paye et paf, on récupère son numéro de chambre et le code pour y accéder. Sauf que ce que vous ignorez peut-être, c’est que ce même terminal vient potentiellement d’exposer votre code d’accès à des personnes mal intentionnées…
C’est exactement ce qui s’est passé dans un hôtel IBIS Budget à Hambourg, en Allemagne. Lors d’un congrès de hackers, la société Pentagrid a remarqué une faille de sécurité pour le moins inquiétante dans le terminal de check-in. Ainsi, en entrant une série de tirets à la place du numéro, le terminal liste toutes les réservations avec leur numéro, la date d’arrivée prévue et le prix total du séjour. Puis en sélectionnant une réservation, on accède directement au numéro de chambre et au code d’accès de la porte.
Dans l’hôtel en question, pas moins de 87 réservations étaient ainsi exposées, soit près de la moitié des 180 chambres de l’établissement !
Vous imaginez le désastre si ces codes tombaient entre de mauvaises mains ? Adieu vos effets personnels, surtout dans un hôtel bas de gamme comme celui-ci qui n’est pas équipé de coffres-forts dans les chambres. Et je vous parle pas des agressions en pleine nuit ! C’est la porte ouverte à toutes les fenêtres comme dirait l’autre.
Fort heureusement, Pentagrid a immédiatement signalé cette faille à la chaîne hôtelière Accor, propriétaire des hôtels IBIS. Le problème a depuis été corrigé, mais il aura fallu quand même plusieurs échanges et relances de la part des hackers pour que des actions soient entreprises de la part d’Accor.
Mais comment une telle faille a-t-elle pu se produire ? Et bien d’après les informations fournies par Pentagrid sur leur blog, il semblerait que le terminal de check-in ait une fonction de recherche des réservations qui nécessite uniquement le numéro de réservation pour afficher le numéro de chambre et le code d’accès. Donc c’est pas un bug, c’est une feature qui a mal tournée…
Le pire dans tout ça, c’est que de base, les numéros de réservation ne sont pas une donnée très sécurisée puisqu’on les retrouve sur toute la paperasse comme les factures…etc qui peuvent ensuite être récupérées dans une poubelle par exemple. Donc n’importe qui pourrait mettre la main dessus et accéder à votre chambre.
C’est pourquoi les auteurs de cette découverte recommandent aux hôtels de mettre en place une vérification supplémentaire pour accéder aux informations de réservation, comme un code PIN qui serait communiqué séparément au client. Les terminaux devraient aussi supprimer automatiquement les réservations dès que les informations ont été imprimées ou consultées.
En attendant, si vous séjournez dans un hôtel IBIS Budget prochainement, n’allez pas vous amuser à vérifier que la faille a été corrigée sur le terminal de check-in parce que vous ne voulez pas finir en prison pour piratage (lol).
En tout cas, sachez-le, la prochaine fois que je dors à l’IBIS, je vous attendrais de pied ferme en embuscade dans mon peignoir façon biopic DSK par Liam Neeson.
Vous en avez marre des logiciels de stéganographie qui ne tiennent pas vraiment leurs promesses en matière de sécurité et de furtivité ?
Ne cherchez plus, voici SecretPixel, un excellent outil pour planquer vos données sensibles dans des images afin de pouvoir ensuite les transmettre en toute discrétion.
Alors qu’est-ce qui fait de SecretPixel un outil si balèze comparé aux autres ? Déjà, il combine un chiffrement AES-256 de ouf pour vos données, avec une clé de session elle-même chiffrée avec RSA. Rien que ça, ça veut dire que seul le détenteur de la clé privée RSA pourra déchiffrer vos infos cachées. Niveau sécurité, on est donc au top.
Mais ce n’est pas tout ! Avant d’être chiffrées, vos données sont compressées avec zlib, ce qui réduit leur taille et minimise les schémas détectables par les outils de stéganalyse (oui c’est comme ça qu’on dit). Et pour vraiment brouiller les pistes, SecretPixel utilise un générateur de nombres pseudo-aléatoires pour déterminer les pixels qui vont accueillir vos bits cachés. Vos données sont ainsi éparpillées dans toute l’image, rendant leur détection quasi impossible, même avec des outils comme zsteg.
Le processus de chiffrement garantit que les données cachées restent confidentielles, tandis que la compression et la distribution aléatoire des données rendent extrêmement difficile pour les outils de stéganalyse de détecter la présence d’informations intégrées. L’utilisation d’un générateur de nombres aléatoires avec amorçage ajoute une couche de sécurité supplémentaire, car le schéma des données intégrées ne peut pas être prédit sans connaître l’amorce.
En prime, SecretPixel stocke aussi le nom original de votre fichier caché dans l’image. Comme ça, quand vous l’extrairez, il aura toujours son petit nom. Pratique non ?
Et vu qu’il est écrit en Python, vous pouvez l’utiliser sur n’importe quel système, tant que vous avez Python d’installé.
SecretPixel est conçu pour fonctionner avec une variété de formats de fichiers image : PNG, BMP, TGA et TIFF. Il est important de noter que le format d’image hôte choisi peut avoir un impact sur l’efficacité du processus de stéganographie. Les formats sans perte comme PNG et TIFF sont préférables pour garantir qu’aucune donnée n’est perdue pendant le processus d’intégration.
Maintenant, pour mettre la main sur ce petit bijou, rien de plus simple. Clonez le dépôt GitHub ou téléchargez le code source. Assurez-vous d’avoir Python 3 et les packages requis, et c’est parti !
git clone https://github.com/x011/SecretPixel.git
cd SecretPixel
pip install -r requirements.txt
Avant de jouer à cache-cache avec vos données, vous allez avoir besoin d’une paire de clés RSA – une clé privée et une clé publique. Pas de panique, les dev ont pensé à tout avec un script Python pour vous faciliter la tâche. Lancez donc generate_keys.py qui va vous générer une paire de clés RSA de 4096 bits en un clin d’oeil.
python generate_keys.py
Choisissez une phrase de passe bien corsée pour votre clé privée. Elle sera chiffrée avec AES-256 pour une protection maximale. Une fois le script terminé, vous aurez deux fichiers tout beaux tout chauds : myprivatekey.pem (votre clé privée chiffrée) et mypublickey.pem (votre clé publique, à partager sans modération).
Maintenant, passons aux choses sérieuses. Pour planquer un fichier dans une image, lancez cette commande :
python secret_pixel.py hide host.png secret.txt mypublickey.pem output.png
Avant d’intégrer des données, l’image hôte ne doit pas contenir de contenu stéganographique antérieur ou de métadonnées sensibles qui pourraient entrer en conflit avec les nouvelles données ou révéler leur présence. En sélectionnant et en préparant soigneusement l’image hôte, vous améliorerez considérablement la sécurité et l’indétectabilité des données intégrées dans l’image.
De plus, l’image hôte servant de support pour les données cachées, afin de maintenir l’intégrité du processus de stéganographie et éviter la détection, il est crucial que l’image hôte soit suffisamment grande pour accueillir le fichier caché. En règle générale, l’image hôte doit avoir une capacité (en octets) au moins trois fois supérieure à la taille du fichier à cacher pour garantir que les modifications sont subtiles et largement dispersées.
Et hop, votre secret.txt est incrusté incognito dans host.png en utilisant votre clé publique mypublickey.pem. L’image résultante output.png a l’air innocente, mais elle cache bien son jeu !
Pour exfiltrer votre fichier caché d’une image, c’est tout aussi simple :
python secret_pixel.py extract carrier.png myprivatekey.pem [extracted.txt]
Votre fichier caché ressort de carrier.png grâce à votre clé privée myprivate.pem. Si vous ne fournissez pas de nom de fichier pour le .txt se sortie (extracted.txt), l’outil utilisera le nom du fichier qu’il aura conservé.
Bonne carrière d’agent secret à tous !
Merci à Lorenper
Des chercheurs de l’université d’Aston, en collaboration avec des pointures japonaises et américaines, viennent de réussir un exploit digne des meilleurs films de science-fiction. Ils ont réussi à transférer des données à une vitesse complètement délirante de 301 térabits par seconde, soit 301 millions de mégabits par seconde.
Pour vous donner une idée, c’est 4,5 millions de fois plus rapide que la moyenne du haut débit au Royaume-Uni, qui se traîne péniblement à 69,4 Mbit/s. Même aux États-Unis, où les connexions sont plus véloces avec une moyenne de 242,4 Mbit/s, ça reste plus d’un million de fois plus lent que ce que nos chers scientifiques ont réussi à atteindre.
Mais comment diable ont-ils fait pour arriver à un tel résultat ? Eh bien figurez-vous qu’ils ont utilisé de nouvelles bandes de longueurs d’onde qui ne sont pas encore exploitées dans les systèmes de fibre optique classiques. C’est un peu comme s’ils avaient découvert de nouvelles couleurs dans la spectre de la lumière capables de transporter les données à une vitesse supersonique dans les câbles. Ils ont même développé des amplificateurs optiques et des égaliseurs de gain pour dompter ces fameuses bandes et les rendre utilisables.
Le Dr Ian Phillips, qui a mené le développement d’un processeur optique à l’université d’Aston, explique que les données ont été envoyées via une fibre optique similaire à une connexion internet domestique. Sauf qu’en plus des bandes C et L disponibles dans le commerce, ils ont utilisé ces deux bandes spectrales supplémentaires, E et S, qui sont environ trois fois plus larges que les bandes C et L réunies. Avant leur invention, personne n’avait réussi à émuler correctement les canaux de la bande E de manière contrôlée.
Le professeur Forysiak, un autre cerveau de l’équipe, souligne que cette réalisation révolutionnaire met en lumière le rôle crucial des avancées dans la technologie de la fibre optique pour révolutionner les réseaux de communication et permettre une transmission de données plus rapide et plus fiable. En augmentant la capacité de transmission dans le réseau principal, leur expérience pourrait conduire à des connexions considérablement améliorées pour les utilisateurs finaux.
Et le plus beau dans tout ça, c’est que cette prouesse ne nécessite pas de nouvelles infrastructures pour améliorer drastiquement les vitesses internet. Elle permet d’augmenter significativement le débit des câbles de fibre optique existants. C’est non seulement une solution plus écologique que de déployer de nouvelles fibres et de nouveaux câbles, mais cela permet aussi de prolonger la durée de vie et la valeur commerciale du réseau de fibres déjà en place.
Alors certes, on n’est pas près de voir débarquer cette technologie de dingue chez nous, mais imaginez un peu ce que ça pourrait changer. Télécharger un film en 4K ? Une fraction de seconde. Streamer du contenu en 8K sans la moindre latence ? Facile. Jouer en ligne avec un ping proche du zéro absolu ? Du gâteau. Les possibilités sont juste hallucinantes.
Et ce n’est pas tout, car cette avancée pourrait aussi révolutionner l’accès à internet dans les zones mal desservies. Fini les connexions pourries dans les campagnes ou les régions reculées. Avec des débits pareils, on pourrait enfin avoir un internet à très haut débit partout, pour tout le monde. Ça serait un véritable bond en avant pour réduire la fracture numérique. Si Free propose ça un jour, promis, je change de crèmerie ^^.
Mais ne nous emballons pas trop vite non plus. Il faudra sûrement des années avant que cette technologie ne se démocratise et arrive dans nos petits foyers. Les opérateurs devront adapter leurs infrastructures, les fabricants devront créer des équipements compatibles, et tout ça va prendre un temps fou et coûter un bras. Mais quand même, savoir que c’est possible, et que des petits génies sont en train de repousser les limites de la science pour nous offrir un internet de folie, ça fait rêver.
À cause de leurs moyens limités et de leur mission première (sauver des vies), les hôpitaux sont des cibles de choix pour les hackers malveillants. Les centres de soins sont forcés à s'adapter et à sécuriser leurs systèmes informatiques en recherchant la meilleure solution à moindre prix.
Dans la masse des cyberattaques, les établissements de santé ont une place de choix. Les raisons sont multiples et forcent les centres de soin à s’adapter et à sécuriser leur système informatique du mieux qu’ils peuvent.
Les récentes cyberattaques contre la FFF, France Travail ou les mutuelles offrent une base de données « fraiches » que les cybercriminels pourraient exploiter en vue des Jeux Olympiques à Paris cet été.
La cyberattaque contre la Fédération française de football (FFF) est la troisième fuite de données massive depuis le début de l'année avec potentiellement 1,5 million de Français concernés. Le directeur général de Cybermalveillance.gouv.fr recommande de porter plainte pour aider les enquêteurs.
Figurez-vous que notre cher Meta (anciennement Facebook, alias Face2Bouc pour tonton Michel), s’est fait prendre la main dans le sac en train d’espionner son concurrent Snapchat ! Et attention, on ne parle pas d’un petit coup d’œil indiscret, non c’est carrément une opération d’espionnage digne des meilleurs films d’espionnage, au nom de code : « Projet Ghostbusters » !
Alors comment cette histoire a débuté ?
Eh bien tout simplement parce que Zucky et sa bande étaient jaloux de ne pas avoir accès aux précieuses données analytiques de Snapchat. Ils ont donc sorti l’artillerie lourde : Onavo, leur propre VPN censé protéger la vie privée des utilisateurs. Sauf qu’en fait, c’était tout l’inverse !
Grâce à Onavo, Meta a pu installer ses propres certificats SSL/TLS ce qui lui a permis d’intercepter le trafic de Snapchat et d’autres apps comme YouTube ou Amazon, pour les espionner en douce !
Une équipe de choc de 41 avocats et dirigeants avait même été mobilisée pour mener à bien cette mission top secrète.
Bon évidemment, quand l’affaire a éclaté en 2018, Meta a essayé de noyer le poisson en mode « circulez y a rien à voir ». Mais aujourd’hui les documents judiciaires ne mentent pas et montrent bien que Zuckerberg était au courant de tout ce bazar. Et le pire dans tout ça, c’est que cette opération pourrait bien être totalement illégale selon la loi américaine sur les écoutes électroniques !
En espionnant Snapchat, Meta voulait surtout avoir un avantage sur le marché publicitaire où la concurrence fait rage.
Bref c’est pas joli joli et Zuckerberg risque bien d’avoir des ennuis avec la justice américaine.
Saviez vous que les fichiers Parquet se prenaient pour des bombes ? Alors pas des bombes latines mais plutôt des bombes zip.
Alors, pour ceux qui débarquent de la planète Mars, il faut savoir que Parquet est devenu le format de prédilection pour échanger des données tabulaires. Très utilisé dans tout ce qui est Big Data et qui met une claque à ce bon vieux CSV tout pourri, Parquet, c’est binaire, c’est colonnaire, c’est compressé, c’est top !
Mais attention, derrière cette apparente perfection se cache un danger mortel pour vos disques durs et autres SSD ! En effet, même un fichier Parquet parfaitement valide peut mettre un sacré bordel et faire planter tous vos services.
Comment ? Et bien simplement avec ce fichier de seulement 42 Ko qui contient… tenez-vous bien… plus de 4 PÉTAOCTETS de données !! Oui, on parle bien de 4 millions de gigaoctets dans un malheureux fichier de 42 Ko, fallait oser.
On appelle ça une bombe de décompression ! Alors comment ça fonctionne ?
Eh bien c’est grâce à un petit tour de passe-passe démoniaque appelé « encodage par dictionnaire« . En gros, on lui donne un dictionnaire avec une seule valeur, et ensuite on fait référence à cette valeur en boucle, environ 2 milliards de fois. Résultat, on obtient un fichier minuscule car compressable au maximum mais qui une fois dézippé représente une table monstrueusement gigantesque.
C’est subtil… mais c’est vicieux ! 😈
Imaginez un peu le carnage si vous balancez ce fichier innocent dans votre pipeline Big Data sans faire gaffe… Boom ! 💥 Plantage général, crash systémique, apocalypse nucléaire ! Vos services vont tenter de lire ce fichier en pensant que c’est un gentil petit fichier Parquet de rien du tout, et là… Surprise ! C’est le chaos total. Votre cluster va fondre comme neige au soleil en essayant d’avaler ces pétaoctets de données.
Morale de l’histoire, faites attention à tout, même à ce que vous dézippez.
Et si vous avez un peu de place sur votre disque dur, vous pouvez toujours tenter l’aventure en téléchargeant 42.zip ici. (NON, NE DEZIPPEZ PAS CE TRUC !! MAUVAISE IDEE !!) (le mot de passe du zip est : 42)
Êtes vous correctement sécurisé ?
Enfin, je parle de vous mais surtout de vos données et de votre vie privée.
Alors vous allez me dire « Oui, oui, t’inquiète, je t’ai pas attendu pour mettre un long mot de passe » mais en réalité, vous ignorez peut-être certaines mesures de sécurité qu’il seraient également bon de mettre en place.
Heureusement, l’outil Personal Security Checklist est là pour vous aider à sécuriser votre vie numérique. C’est un site que vous pourrez traduire et proposer pourquoi pas dans votre entreprise. Maintenant, pour le tester, le mieux c’est d’aller sur le site Digital Defense qui propose une version en ligne.
Vous pourrez y naviguer entre des listes thématiques et cocher les contre-mesures que vous avez adoptées. Cerise sur le gâteau, vous verrez de jolis graphiques qui vous motiveront pour progresser sur votre hygiène numérique.
Un autre point fort de cette initiative est la mise à disposition d’une API gratuite pour accéder à toutes les données de la liste de vérification. Comme ça vous pourrez intégrer cette liste dans vos outils.
La Personal Security Checklist est un projet collaboratif et il y a pas mal de documentations et de liens avec des bons petits outils comme je les aime tant.
Pour finir, la Personal Security Checklist est sous licence MIT. C’est un excellent point de départ pour renforcer la sécurité de votre vie numérique. A vous de voir si vous pouvez cocher toutes les cases !
Merci à Lorenper
Des chercheurs en sécurité sont parvenus à mettre la main sur 19 millions de mots de passe en clair exposés au sein d'instances Firebase mal configurées ! Accessibles publiques, n'importe qui pouvait accéder à ces informations sensibles. Faisons le point sur cette découverte !
Firebase est une plateforme proposée par Google permettant le développement d'applications web et mobile, ainsi que la création de bases de données. Comme tous les services, une mauvaise configuration peut être lourde de conséquence... Ceci est l'occasion de rappeler que les incidents de sécurité ne sont pas systématiquement associés à une vulnérabilité.
D'ailleurs, trois chercheurs en sécurité ont pris l'initiative d'analyser plus de cinq millions de domaines à la recherche d'instances mal configurées ou sans règles de sécurité. S'ils ont mené ces travaux, ce n'est pas par hasard. En effet, récemment, ils sont parvenus à obtenir des droits d'administrateur, puis de super-administrateur sur une instance de Firebase utilisée par la solution Chattr. Cette découverte a poussé les chercheurs à analyser les serveurs exposés sur Internet.
Ce scan, qui aura nécessité environ 1 mois, a permis d'identifier 916 sites web vulnérables, avec certaines bases de données Firestore accessibles en écriture. Sur ces instances vulnérables, les chercheurs sont parvenus à collecter plus de 125 millions d'enregistrements avec des données associés à des utilisateurs, avec notamment des adresses e-mail, des noms, des mots de passe, des numéros de téléphone et des informations de facturation avec des coordonnées bancaires.
Le pire, c'est que 98% des mots de passe découverts sont en texte clair (soit 19 867 627 mots de passe). Ceci est regrettable, car Firebase propose toutes les options nécessaires pour éviter d'exposer les mots de passe. Il s'agit clairement d'une mauvaise configuration.
Ensuite, les chercheurs ont pris le temps d'identifier et de contacter toutes les entreprises concernées afin de les notifier. Au total, en 13 jours, ils ont envoyé 842 e-mails. Même s'ils n'ont pas obtenu de réponse, il est à noter que 25% des entreprises notifiées ont fait le nécessaire pour sécuriser leur instance Firebase.
The post 19 millions de mots de passe en clair exposés dans des instances Firebase mal configurées ! first appeared on IT-Connect.
Parmi les questions qui se posent autour de la fuite ayant frappé France Travail figure celle de la durée de conservation des données personnelles. Celle-ci peut s'étendre jusqu'à vingt ans, ce qui est tout à fait inhabituel. Ce constat a provoqué une incompréhension et un mécontentement. Mais des explications peuvent être avancées.
Une cyberattaque contre France Travail, anciennement Pôle emploi, aurait permis à des pirates de dérober les données personnelles de près de 43 millions de personnes. Des informations qui peuvent servir à des fins malveillantes.
Un nouveau rapport publié par GitGuardian met en lumière les problèmes de sécurité associés aux dépôts GitHub. En 2023, les utilisateurs ont exposé 12,8 millions de secrets d'authentification dans un total de 3 millions de dépôts publics !
Les experts en sécurité de GitGuardian ont mis en ligne un nouveau rapport qui permet de se rendre compte à quel point les dépôts GitHub sont susceptibles de contenir des données sensibles pouvant mettre en péril la sécurité d'une organisation. En l'occurrence, il s'agit d'informations d'authentifications disponibles en libre accès au sein de millions de dépôts GitHub publics.
En 2023, GitGuardian a détecté près de 12,8 millions de secrets dans répartis dans 3 millions de dépôts publics, ce qui représente une augmentation de 28% vis-à-vis de l'année précédente. Au total, il est question de près de 3,7 millions de secrets uniques. Pour essayer d'améliorer la situation, GitGuardian a émis 1,8 million d'alertes par e-mail afin d'alerter certains utilisateurs ayant divulgué des secrets sur GitHub. Néanmoins, seul 1,8 % des utilisateurs contactés ont fait le nécessaire dans les jours suivant la notification.
Il s'agit de mots de passe de comptes, de clés d'API, de certificats SSL/TLS, de clés de chiffrement, de jetons OAuth, ou d'autres identifiants. Autrement dit, ce sont des informations pouvant permettre à un tiers d'obtenir un accès à des ressources privées.
Grâce à un algorithme de machine learning, GitGuardian est capable de différencier les secrets basiques de ceux un peu plus spécifiques. Si l'on s'intéresse plus particulièrement à des secrets spécifiques, nous avons trouvé plus de 1 million de secrets d'API Google valides (occurrences), 250 000 secrets Google Cloud et 140 000 secrets AWS IAM.", peut-on lire.
La très forte augmentation de l'utilisation de plusieurs intelligences artificielles se traduit par la fuite de clés d'API : "En 2023, GitGuardian a observé une multiplication par 1212 du nombre de fuites de clés API OpenAI par rapport à l'année précédente, ce qui en fait sans surprise le détecteur ayant connu la plus forte croissance." - OpenAI étant la société créatrice de ChatGPT. Dans une moindre mesure, ceci s'applique à d'autres IA comme Google Bard, Claude, ou Cohere.
D'après le rapport de GitGuardian, le secteur de l'IT est le plus impacté et arrive en tête avec 65,9 %, suivi par le secteur de l'éducation avec 20,1 %. Pour le reste, ce qui représente 14%, GitGuardian ne fait pas la distinction et regroupe tous les autres secteurs.
Parlons maintenant de la provenance géographique de ces secrets. Et, ce n'est pas rassurant, car la France se classe 5ème dans le "Top 10" des pays avec le plus de leaks de secrets dans GitHub (GitGuardian s'appuie sur la localisation précisée sur le profil GitHub des utilisateurs). Surtout, le classement de la France a progressé, de façon négative, vis-à-vis de l'année précédente.
Tout cela est effrayant quand on sait que de nombreuses attaques et fuites de données sont souvent associées à la compromission d'un compte... Pour lutter contre ce problème, GitGuardian a mis en ligne un outil gratuit nommé "Has My Secret Leaked?". Nous en avions parlé dans cet article :
En complément, sachez que le mois dernier, GitHub a activé par défaut une protection pour éviter l'exposition accidentelle de secrets lors d'un push vers un dépôt GitHub.
The post En 2023, près de 12,8 millions de secrets d’authentification ont été divulgués sur GitHub ! first appeared on IT-Connect.
Le piratage de Viamedis et Almerys est lourd de conséquences : moins d'un mois après ces deux incidents de sécurité, il y a déjà plus de 217 000 cas d'usurpations d'identité recensés ! Une donnée effrayante.
Le 1er février 2024, l'organisme de tiers-payant de santé Viamedis a subi une cyberattaque lors de laquelle les pirates sont parvenus à voler des documents et des informations au sujet des clients. Puis, quelques jours plus tard, c'est Almerys qui a subi le même sort.
En effet, le lundi 5 février 2024, un second organisme de tiers-payant de santé a subi une cyberattaque : Almerys. Les cybercriminels ont pu accéder au portail Almerys dédié aux professionnels de santé grâce à des identifiants et mots de passe de certains comptes de professionnels de santé clients d'Almerys.
Résultats, 33 millions de citoyens français sont plus ou moins impactés par ces incidents de sécurité, notamment, car parmi les clients de Viamedis et Almerys, il y a des mutuelles populaires.
Les escrocs et les pirates sont bien décidés à tirer profit de ces incidents de sécurité. Pour eux, c'est une aubaine car il y a 33 millions de cibles potentielles... D'après l'outil de surveillance FranceVerif, ils sont déjà passés à l'action parce que dès le 16 février, il y avait déjà 96 000 usurpations d'identités recensées. Jour après jour, ce chiffre ne cesse d'augmenter. En date du 26 février 2024, FranceVerif recensait 217 000 usurpations.
En principe, ce chiffre devrait énormément augmenter dans les semaines et mois à venir puisque les enchères sont toujours en cours sur le Dark Web. Autrement dit, il reste toujours des données à vendredi. À ce sujet, FranceVerif précise : « Et nous ne sommes que sur la vente des données d’environ 300 000 personnes... il reste encore 32,7 millions de personnes dont les données n’ont pas encore été vendues. »
Dans le cas présent, l'usurpation d'identité est envisageable car les pirates disposent de presque toutes les informations nécessaires pour le faire : nom, prénom(s), date de naissance, rang de naissance, numéro de Sécurité sociale, nom de l'assureur santé et numéro de contrat de l'assureur. Tout dépend des contrôles effectués par l'opérateur que vous avez au bout du fil, car il peut manquer l'adresse e-mail et le numéro de téléphone...
D'ailleurs, le numéro de Sécurité sociale est une mine d'or car il révèle des informations sur le titulaire : sexe, année de naissance ou encore le département de naissance. En complément, n'oublions pas que les cybercriminels ont toujours la possibilité de croiser les informations entre plusieurs fuites de données, afin d'obtenir les pièces manquantes du puzzle.
The post Piratage de Viamedis et Almerys : déjà 217 000 usurpations d’identité recensées ! first appeared on IT-Connect.
Une vaste base de données a été diffusée, révélant l'activité d'une entreprise chinoise d'espionnage. Des outils de surveillances, des programmes d'infiltrations ainsi que des cibles, dont deux françaises, ont été dévoilés.
Connexion