Comme les vents d’été vers le bas, les chercheurs ont mis en garde cette semaine contre les vulnérabilités systémiques dans l’infrastructure des applications mobiles, ainsi qu’une nouvelle faille de sécurité iOS et une dans TikTok. Et de nouvelles découvertes sur les moyens d’exploiter l’outil Power Automate de Microsoft dans Windows 11 montrent comment il peut être utilisé pour distribuer des logiciels malveillants, des rançongiciels aux enregistreurs de frappe et au-delà.
Le réseau médiatique anti-Poutine February Morning, qui fonctionne sur l’application de communication Telegram, a joué un rôle crucial dans la résistance clandestine au Kremlin. Pendant ce temps, le “California Age-Appropriate Design Code” a été adopté par la législature californienne cette semaine avec des implications potentielles majeures pour la confidentialité en ligne des enfants et de tout le monde.
De plus, si vous êtes prêt à prendre une mesure plus radicale pour protéger votre vie privée sur mobile et que vous vous sentez comme un dur à cuire, nous avons un guide pour configurer et utiliser les téléphones avec graveur.
Mais attendez, il y a plus ! Chaque semaine, nous mettons en lumière les actualités que nous n’avons pas couvertes en profondeur nous-mêmes. Cliquez sur les titres ci-dessous pour lire les histoires complètes. Et restez en sécurité là-bas.
Le courtier de données Fog Data Science a vendu l’accès à ce qu’il prétend être des milliards de points de données de localisation de plus de 250 millions de smartphones aux organismes d’application de la loi locaux, étatiques et fédéraux aux États-Unis. Les données proviennent d’entreprises technologiques et de tours de téléphonie cellulaire et sont collectées dans l’outil Fog Reveal à partir de milliers d’applications iOS et Android. Fondamentalement, l’accès au service est bon marché, coûtant souvent aux services de police locaux moins de 10 000 dollars par an, et les enquêtes de l’Associated Press et de l’Electronic Frontier Foundation ont révélé que les forces de l’ordre extraient parfois des données de localisation sans mandat. L’EFF a mené son enquête à travers plus de 100 demandes de documents publics déposées sur plusieurs mois. “De manière troublante, ces dossiers montrent que Fog et certaines forces de l’ordre ne croyaient pas que la surveillance de Fog impliquait les droits du quatrième amendement des gens et obligeait les autorités à obtenir un mandat”, a écrit l’EFF.
Une base de données non protégée contenant des informations sur des millions de visages et de plaques d’immatriculation a été exposée et accessible au public dans le cloud pendant des mois jusqu’à ce qu’elle soit finalement protégée à la mi-août. TechCrunch a lié les données à Xinai Electronics, une entreprise technologique basée à Hangzhou, dans l’est de la Chine. L’entreprise développe des systèmes d’authentification pour accéder à des espaces tels que des parkings, des chantiers de construction, des écoles, des bureaux ou des véhicules. Il vante également des services supplémentaires liés à la paie, à la présence et au suivi des performances des employés et à la reconnaissance des plaques d’immatriculation. La société dispose d’un vaste réseau de caméras déployées à travers la Chine qui enregistrent les données des visages et des plaques d’immatriculation. Le chercheur en sécurité Anurag Sen a alerté TechCrunch sur la base de données non protégée, qui a également exposé les noms, les âges et les numéros d’identification des résidents dans les données faciales. L’exposition survient quelques mois seulement après la fuite en ligne d’une énorme base de données de la police de Shanghai.
Les autorités du Monténégro ont déclaré mercredi qu’un gang appelé “Cuba” avait ciblé ses réseaux gouvernementaux avec une attaque de ransomware la semaine dernière. Le gang a également revendiqué l’attaque d’un site Web sombre. L’Agence de sécurité nationale du Monténégro (ANB) a déclaré que le groupe était lié à la Russie. Les attaquants auraient déployé une souche de malware baptisée “Zerodate” et infecté 150 ordinateurs dans 10 agences gouvernementales monténégrines. Il n’est pas clair si les attaquants ont exfiltré des données dans le cadre du piratage. Le Federal Bureau of Investigation des États-Unis envoie des enquêteurs au Monténégro pour aider à analyser l’attaque.
Lundi, la Federal Trade Commission des États-Unis a annoncé qu’elle poursuivait le courtier en données Kochava pour avoir vendu des données de géolocalisation récoltées à partir d’applications sur “des centaines de millions d’appareils mobiles”. Les données pourraient être utilisées, a déclaré la FTC, pour suivre les mouvements des personnes et révéler des informations sur leurs déplacements, notamment en montrant les visites dans des lieux sensibles. “Les données de Kochava peuvent révéler les visites des gens dans les cliniques de santé reproductive, les lieux de culte, les refuges pour sans-abri et victimes de violence domestique et les centres de désintoxication”, a écrit l’agence. “La FTC allègue qu’en vendant des données de suivi des personnes, Kochava permet à d’autres d’identifier des individus et de les exposer à des menaces de stigmatisation, de harcèlement, de discrimination, de perte d’emploi et même de violence physique.” Le procès vise à empêcher Kochava de vendre des données de localisation sensibles, et l’agence demande à l’entreprise de supprimer ce qu’elle possède déjà.
En août, le prolifique gang de rançongiciels Cl0p a piraté South Staff Water, une société d’approvisionnement en eau au Royaume-Uni. Le gang a déclaré qu’il avait même accès au réseau de contrôle industriel de SSW, qui gère des choses comme le débit d’eau. Les pirates ont publié des captures d’écran montrant prétendument leur accès aux panneaux de contrôle de l’approvisionnement en eau. Les experts ont déclaré à Motherboard qu’il semble que les pirates auraient vraiment pu se mêler de l’approvisionnement en eau, soulignant les risques lorsque les réseaux d’infrastructures critiques ne sont pas suffisamment isolés des réseaux commerciaux classiques. “Oui, il y avait un accès, mais nous n’avons fait que des captures d’écran”, a déclaré Cl0p à Motherboard. « Nous ne nuisons pas aux gens et traitons les infrastructures critiques avec respect. … Nous n’y sommes pas vraiment allés parce que nous ne voulions faire de mal à personne. SSW a déclaré dans un communiqué : “Cet incident n’a pas affecté notre capacité à fournir de l’eau potable”.
