Actualités de la sécurité

28 millions de dossiers non sécurisés sur une plateforme de sécurité biométrique

Avast Security News Team, 2 août 2019

Aussi : un scam de hameçonnage se sert de Google et la Maison-Blanche prépare un décret à propos de la liberté d’expression sur les réseaux sociaux.

Au cours d'un projet de cartographie Web de routine, des chercheurs en cybersécurité ont découvert qu’une grande partie de la base de données appartenant à la plate-forme de sécurité biométrique BioStar 2 était non cryptée et non sécurisée. Selon Dark Reading, les chercheurs ont trouvé 23 Go de données divulguées et 27,8 millions de dossiers. Ceux-ci contenaient, entre autres, des empreintes digitales, des données de reconnaissance faciale, des noms d'utilisateur, des mots de passe, des autorisations ou encore des dossiers d’employés. Permettant de contrôler l'accès aux zones de haute sécurité, BioStar 2 est utilisé dans le monde entier par plus de 5 700 institutions, telles que des gouvernements, des banques, des entreprises ou des commissariats de police. BioStar est un logiciel qui permet d’identifier les utilisateurs au moyen de la reconnaissance faciale et du balayage des empreintes digitales.

Pour ce faire, l’entreprise stocke des informations biométriques qui ne peuvent jamais être modifiées. C'est-à-dire que les utilisateurs peuvent modifier leurs mots de passe, mais pas leurs empreintes digitales. Luis Corrons, évangéliste de la sécurité chez Avast, a déclaré: « Il ne s'agit pas simplement d'un autre cas de négligence dans la protection d'informations sensibles. Cette entreprise travaille dans la sécurité et le fait que ses données sont accessibles à tous n’est pas le seul problème. En effet, il se trouve que les chercheurs qui ont découvert la fuite pouvaient également modifier les informations vulnérables. Pire encore, les informations n'étaient pas cryptées, ce qui dénote l'absence de protocoles de sécurité. » Les chercheurs ont fait remonter les données qui avaient fuité à la société mère de BioStar, Suprema, et la base de données a été sécurisée le 13 août.

Les statistiques de la semaine

Sur le marché des objets connectés (ou de l’Internet des Objets), 100 fournisseurs représentent plus de 90 % des appareils « intelligents » alors que 400 fournisseurs représentent 99 % des appareils. Consultez le rapport d’Avast sur le marché des objets connectés.

Un scam de hameçonnage se sert de Google Drive pour contourner un système de sécurité

Bleeping Computer rapporte qu’une campagne de phishing (hameçonnage) a utilisé Google Drive pour contourner la passerelle de messagerie Microsoft sans être détectée comme spam. La campagne ciblait une entreprise du secteur de l’énergie. Le filtre de sécurité de Microsoft a considéré que l’e-mail envoyé par les malfaiteurs était légitime car ceux-ci avaient utilisé Google Drive. Provenant soi-disant du PDG de l’entreprise, le message - à caractère urgent -, comportait une invitation à un Google doc qui redirigeait les employés vers une page d’accueil de phishing sur laquelle ils devaient saisir leurs identifiants pour accéder au message du PDG. Ce qui revenait à communiquer ses identifiants de connexion directement aux pirates. Malgré l’utilisation innovante de Google doc, l’e-mail comportait quelques signes révélateurs comme la fausse adresse e-mail de l’expéditeur et la répétition des phrases-clés retrouvées dans d’autres patrons de phishing.

Citation de la semaine

« Est-ce que quelqu’un aurait oublié de faire le calcul ? » Commentaire à propos d'une publication de la Commission fédérale du commerce des États-Unis (FTC) expliquant que les victimes de la violation de données d’Equifax ne recevraient pas l’indemnisation de 125 dollars (environ 115 euros) annoncée. En lire plus dans l’article Equifax, Capital One et vous.

Un projet de décret présidentiel à propos des médias sociaux affaiblit le Decency Act

La Maison-Blanche a émit un projet de décret qui, s'il entrait en vigueur, donnerait à la Federal Communications Commission (Commission fédérale des communications) et à la Federal Trade Commission (Commission fédérale du commerce), le pouvoir de contrôler le contenu supprimé sur les réseaux sociaux. Selon la CNN, le projet s’intitule « Protéger les États-uniens de la censure en ligne » et la Maison-Blanche aurait reçu plus de 15 000 plaintes de la part d'utilisateurs de médias sociaux qui auraient fait l’objet de censure en raison de leurs opinions politiques.

Ce décret vise à régulariser la situation en limitant un certain nombre des protections accordées aux entreprises de médias sociaux par le biais du Communications Decency Act (Loi sur la décence dans les communications). Celui-ci autorise chaque entreprise à supprimer du contenu répréhensible de sa plate-forme, tel que des actes de harcèlement, des manifestations de haine ou des obscénités. Le projet a été élaboré alors que le président Trump s’apprêtait à rencontrer plusieurs entreprises de technologie pour parler de la détection de l'extrémisme violent et des moyens de le combattre tout en protégeant la liberté d'expression.