Publicité en cours de chargement...
Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment
#RGPD
Quatre mois après l’entrée en vigueur du règlement général sur la protection des données, la CNIL dresse un premier bilan[1] en quelques chiffres :
- 24 500 délégués à la protection des données ont été désignés en France
- plus de 600 000 notifications de violations de données, ce qui représente 7 notifications par jour en moyenne depuis le 25 mai
- L’ensemble des violations notifiées concerne 15 millions de personnes, autant dire qu’à ce rythme là, les données de tous les français auront au moins une fois « officiellement » fuitées d’ici 2020
- plus d’une centaine de nouvelles demandes d’autorisation de traitement concernant des données de santé
- une augmentation de 64 % des plaintes reçues par la CNIL par rapport à l’année 2017, sur la même période, soit 3767 plaintes reçues depuis le 25 mai
#VULNÉRABILITÉS
Les chercheurs de la société Qualys ont publiés deux POC [2] relatif à la vulnérabilité CVE-2018-14634 [3], permettant à un utilisateur local de réaliser une élévation de privilèges sur l’ensemble des systèmes Linux 64 bits dont les versions de noyau utilisées font parti des branches 2.6.x, 3.10.x et 4.14.x. Une vulnérabilité présente donc dans certaines branches depuis plus de dix ans. Des distributions encore très présentes, telles que Debian 8, Redhat ou Centos 6 sont vulnérables. Redhat souligne dans un bulletin de sécurité, que les machines embarquant mois de 32 Go de RAM auraient peu de chance d’être impactées, et que la version 5 n’était pas vulnérable. Euhhh, si vous avez encore des machines sous Redhat 5 dans votre SIH, ne sautez pas trop de joie, le système n’est plus maintenu depuis plus d’un an et de nombreuses autres vulnérabilités peuvent être exploitées.
La vulnérabilité « Btle Jack » concernant le protocole Bluetooth Low Energy, récemment présentée par le français Damien Cauquil lors de la Def Con [4], a bien de quoi susciter des craintes quant à son utilisation, notamment dans le secteur de la santé, comme c’est le cas pour certains stéthoscopes ou lecteurs de glycémie « connectés ». En effet, avec un budget matériel de 45€ et l’outil partagé par son auteur [5], il est possible de déconnecter un appareil connecté, de se connecter sans autorisation à l’appareil et d’en prendre le contrôle.
Adobe corrige pas moins de 47 vulnérabilités référencées comme critiques dans Acrobat Reader parmi les 86 « rustines » mises à disposition [6]. Exécution de code arbitraire, élévation de privilèges… il s’avère donc nécessaire de patcher rapidement !
#ATTAQUESDUMOMENT
L’éditeur d’antivirus Trend Micro indique dans un récent article [7] posté sur son blog l’exploitation active d’une vulnérabilité du moteur VBScript de Windows, corrigé en août par Microsoft. À noter que l’attaque en cours ne peut être exécutée sur des postes disposant d’Internet Explorer 11. Mais quel RSSI peut garantir à 100 % qu’aucune machine de son parc n’a pas une version d’Internet Explorer antérieure à la 11 ? Surtout quand je vois encore en 2018, des connexions au Forum SIH avec des systèmes Windows XP ou 2003 Server… Alors c’est l’occasion de refaire un point sur son parc, et au cas où, d’utiliser les indicateurs de compromission fournis par Trend Micro.
Aux États-Unis, l’IC3 (Internet Crime Complaint Center), a récemment publié une alerte [8] relative aux attaques réalisées sur le protocole RDP, invitant les administrateurs systèmes et réseaux a limiter les accès RDP ouverts sur Internet. En effet, depuis 2016, nous constatons une recrudescence de ce type d’attaques, dans le but de diffuser des rançongiciels, mais aussi d’exfiltrer des données.
Les chercheurs en sécurité de Talos (Cisco) révèlent que le logiciel malveillant ciblant de nombreux routeurs, VPN Filter, dont nous avons déjà parlé [9], continu de sévir et devient de plus en plus « puissant » [10].
Un « Youtuber » a récemment révélé sur sa chaîne Youtube comment « bypasser » l’authentification sur les derniers iPhone [11].
[1] https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application
[2] https://fr.wikipedia.org/wiki/Preuve_de_concept
https://www.youtube.com/watch?v=hyjOJgm-D4s (Vidéo non officielle)
[5] https://github.com/virtualabs/btlejack
[6] https://blogs.adobe.com/psirt/?p=1624
[7] https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/
[8] https://www.ic3.gov/media/2018/180927.aspx
[9] /article/2969/vpnfilter-un-inquietant-logiciel-malveillant-qui-se-repand.html
/article/2989/vpnfilter-un-logiciel-malveillant-plus-inquietant-que-prevu.html
[10] https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html
[11] https://www.youtube.com/channel/UCkqCHjyPiNQokgxUzuFqz0A
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...