Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

02 oct. 2018 - 11:28,
Tribune - Charles Blanc-Rolin
Pour commencer ce mois international de la cybersécurité, je vous propose un petit tour rapide des dernières actualités SSI du moment.  

securite_actu

#RGPD

Quatre mois après l’entrée en vigueur du règlement général sur la protection des données, la CNIL dresse un premier bilan[1] en quelques chiffres :

  •  24 500 délégués à la protection des données ont été désignés en France
  • plus de 600 000 notifications de violations de données, ce qui représente 7 notifications par jour en moyenne depuis le 25 mai
  • L’ensemble des violations notifiées concerne 15 millions de personnes, autant dire qu’à ce rythme là, les données de tous les français auront au moins une fois « officiellement » fuitées d’ici 2020
  • plus d’une centaine de nouvelles demandes d’autorisation de traitement concernant des données de santé
  • une augmentation de 64 % des plaintes reçues par la CNIL par rapport à l’année 2017, sur la même période, soit 3767 plaintes reçues depuis le 25 mai

#VULNÉRABILITÉS

Les chercheurs de la société Qualys ont publiés deux POC [2] relatif à la vulnérabilité CVE-2018-14634 [3], permettant à un utilisateur local de réaliser une élévation de privilèges sur l’ensemble des systèmes Linux 64 bits dont les versions de noyau utilisées font parti des branches 2.6.x, 3.10.x et 4.14.x. Une vulnérabilité présente donc dans certaines branches depuis plus de dix ans. Des distributions encore très présentes, telles que Debian 8, Redhat ou Centos 6 sont vulnérables. Redhat souligne dans un bulletin de sécurité, que les machines embarquant mois de 32 Go de RAM auraient peu de chance d’être impactées, et que la version 5 n’était pas vulnérable. Euhhh, si vous avez encore des machines sous Redhat 5 dans votre SIH, ne sautez pas trop de joie, le système n’est plus maintenu depuis plus d’un an et de nombreuses autres vulnérabilités peuvent être exploitées.

La vulnérabilité « Btle Jack » concernant le protocole Bluetooth Low Energy, récemment présentée par le français Damien Cauquil lors de la Def Con [4], a bien de quoi susciter des craintes quant à son utilisation, notamment dans le secteur de la santé, comme c’est le cas pour certains stéthoscopes ou lecteurs de glycémie « connectés ». En effet, avec un budget matériel de 45€ et l’outil partagé par son auteur [5], il est possible de déconnecter un appareil connecté, de se connecter sans autorisation à l’appareil et d’en prendre le contrôle.

Adobe corrige pas moins de 47 vulnérabilités référencées comme critiques dans Acrobat Reader parmi les 86 « rustines » mises à disposition [6]. Exécution de code arbitraire, élévation de privilèges… il s’avère donc nécessaire de patcher rapidement !

#ATTAQUESDUMOMENT

L’éditeur d’antivirus Trend Micro indique dans un récent article [7] posté sur son blog l’exploitation active d’une vulnérabilité du moteur VBScript de Windows, corrigé en août par Microsoft. À noter que l’attaque en cours ne peut être exécutée sur des postes disposant d’Internet Explorer 11. Mais quel RSSI peut garantir à 100 % qu’aucune machine de son parc n’a pas une version d’Internet Explorer antérieure à la 11 ? Surtout quand je vois encore en 2018, des connexions au Forum SIH avec des systèmes Windows XP ou 2003 Server… Alors c’est l’occasion de refaire un point sur son parc, et au cas où, d’utiliser les indicateurs de compromission fournis par Trend Micro.

Aux États-Unis, l’IC3 (Internet Crime Complaint Center), a récemment publié une alerte [8] relative aux attaques réalisées sur le protocole RDP, invitant les administrateurs systèmes et réseaux a limiter les accès RDP ouverts sur Internet. En effet, depuis 2016, nous constatons une recrudescence de ce type d’attaques, dans le but de diffuser des rançongiciels, mais aussi d’exfiltrer des données.

Les chercheurs en sécurité de Talos (Cisco) révèlent que le logiciel malveillant ciblant de nombreux routeurs, VPN Filter, dont nous avons déjà parlé [9], continu de sévir et devient de plus en plus « puissant » [10].

Un « Youtuber » a récemment révélé sur sa chaîne Youtube comment « bypasser » l’authentification sur les derniers iPhone [11].


[1] https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application

[2] https://fr.wikipedia.org/wiki/Preuve_de_concept

[3] https://www.qualys.com/2018/09/25/cve-2018-14634/mutagen-astronomy-integer-overflow-linux-create_elf_tables-cve-2018-14634.txt

[4] https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-Devices-Updated.pdf

https://www.youtube.com/watch?v=hyjOJgm-D4s (Vidéo non officielle)

[5] https://github.com/virtualabs/btlejack

[6] https://blogs.adobe.com/psirt/?p=1624

[7] https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/

[8] https://www.ic3.gov/media/2018/180927.aspx

[9] /article/2969/vpnfilter-un-inquietant-logiciel-malveillant-qui-se-repand.html

/article/2989/vpnfilter-un-logiciel-malveillant-plus-inquietant-que-prevu.html

[10] https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html

[11] https://www.youtube.com/channel/UCkqCHjyPiNQokgxUzuFqz0A

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.