Actualités de la sécurité

Méga-violation de données, Ring montré du doigt et autres actualités sur la sécurité

Avast Security News Team, 17 janvier 2019

Les actualités de cette semaine portent sur une violation de données de plus de 770 millions de comptes, un avertissement sur la sécurité de l'interphone vidéo connecté Ring, la découverte d'un nouveau ransomware, et bien plus encore.

Méga-violation de données

Un chercheur en cybersécurité a découvert la plus grande base de données volées ou divulguées la plus grande base de données volées ou divulguées. La désormais tristement célèbre Collection #1 contient 773 millions d'adresses e-mail et 21 millions de mots de passe [i]non hachés [/i]uniques, qui semblent avoir été regroupés à partir de 2 000 différentes bases de données divulguées. Ce trésor numérique pesait 87 gigaoctets et contenait 12 000 fichiers. La base Collection #1 ne regroupe que des adresses e-mail et des mots de passe : on n'y trouve aucune information de carte de crédit, aucun numéro de sécurité sociale ou d'autres données personnelles, fort heureusement. Les données sont très probablement utilisées à des fins d'escroquerie par hameçonnage, de chantage et de tentatives automatiques d'obtention d'identifiants.

Cependant, le phénomène ne s'arrête pas là. Quand l'existence de Collection #1 a été révélée, d'autres chercheurs en cybersécurité ont commencé à enquêter, dont un qui a communiqué avec le propriétaire de Collection #1 qui a appris qu'il existait aussi 4 autres bases comme Collection #1, et bien plus encore ! Cette découverte devrait servir d'avertissement aux utilisateurs pour leur rappeler de renouveler ou de renforcer tous leurs mots de passe.  La seule façon de vous assurer que votre vie n'est pas touchée par une violation de données est de vous assurer qu'elle n'a concerné aucune de vos données actuelles.

Amazon Ring partage les données des clients

Ring est devenu très populaire et il est monnaie courante de croiser cet interphone installé sur une porte d'entrée. Ce succès explique pourquoi Amazon a racheté l'entreprise pour un milliard de dollars. Des sources affirment que Ring a accordé à son équipe de R&D basée en Ukraine un accès complet à chaque vidéo client jamais créée. Par ailleurs, les mêmes sources ajoutent que des ingénieurs et des cadres supérieurs avaient accès à certaines transmissions en direct des clients, malgré le fait qu'ils n'avaient aucune raison d'obtenir cette autorisation. En dépit de ces affirmations, un porte-parole de Ring nie que cet accès ait jamais été accordé.

Une faille de Fortnite à l'origine de tentatives de phishing

Le jeu incontournable qui rassemble plus de 150 millions de joueurs dans le monde entier a été victime d'une faille dans son processus d'authentification qui a permis à des personnes mal intentionnées d'envoyer des liens malveillants à des millions de joueurs. Si le joueur clique sur le lien, le pirate peut réquisitionner son compte, notamment pour détourner la monnaie virtuelle du joueur et écouter ses conversations en direct. On ne sait pas vraiment combien de joueurs ont été victimes de cette attaque, mais le concepteur de Fortnite, le studio Epic Games, déclare qu'il a corrigé cette faille de sécurité dès qu'il en a été informé. Fortnite est un jeu de survie et de tir à la troisième personne où le dernier joueur en vie l'emporte...et fait une danse de la victoire.

Un comté de Virginie touché par une violation de données de cartes de crédit

Le comté de Hanover, en Virginie, a émis un avis de violation de données à tous ses résidents cette semaine. L'objet de l'attaque était un portail de paiement que les particuliers avaient l'habitude de d'utiliser pour payer les services publics, les droits de permis, les droits de licence et les amendes. Une vulnérabilité dans le système Click2Gov a permis à des forces extérieures d'accéder aux noms, numéros et dates d'expiration de cartes de crédit entre le 1er août 2018 et le 9 janvier 2019. Une vulnérabilité dans le système Click2Gov a permis à des forces extérieures d'accéder aux noms, numéros et dates d'expiration de cartes de crédit entre le 1er août 2018 et le 9 janvier 2019. Il s'agit de la seconde violation de données de Click2Gov en deux mois, puisque nous avons fait état d’une première violation encore plus importante en décembre dernier, impliquant 300 000 enregistrements de paiements.  

« La négligence est le meilleur terme pour décrire ce qu'il s'est passé », déclare Luis Corrons, expert en sécurité chez Avast. « Lorsque vous êtes responsable d'un système et que vous savez que le même système a été victime d'une vulnérabilité il y a moins de deux mois, le moins que vous puissiez faire est de vous assurer que vous utilisez la dernière version. Pire encore, poursuit Luis Corrons, ils n'ont pris conscience de l'infraction uniquement parce qu'un tiers leur en a parlé, et ce n'est que parce qu'ils n'avaient plus d'autres options qu'ils ont finalement pris des mesures pour résoudre le problème. »

Une tentative de phishing-ransomware doublement astucieuse

Une nouvelle souche de ransomware s'est faire remarquer par son astuce supplémentaire pour vous voler votre argent. Le ransomware en lui-même est apparemment simple. Ce sont les options de paiement qui comportent une nouveauté : en plus du paiement bitcoin standard, la victime se voit offrir la possibilité de payer par PayPal. C'est là que l'ingénierie sociale du phishing entre en jeu. Si la victime clique sur l'option PayPal, elle est redirigée vers une page PayPal similaire à celle de PayPal mais conçue pour voler ses informations de carte de crédit et ses identifiants de connexion. Ce malware doublement malveillant est toujours en circulation, nous encourageons donc nos lecteurs à rester vigilants.

« Le mal est toujours créatif, observe Luis Corrons, et c'est un bon exemple d'un scénario qui pourrait facilement faire tomber beaucoup de victimes dans le piège. » Les bons conseils de Luis Corrons sont simples et vous permettront d'éviter tout simplement le problème : ne jamais, jamais, jamais payer une rançon.

Le rapport mondial sur les risques met en garde contre les cyberattaques

Le Forum économique mondial a publié son rapport mondial sur les risques 2019 et, avec le changement climatique et les armes de destruction massive, les cyberattaques et les violations de données figurent cette année sur la liste des principales menaces mondiales. Borge Brende, Président du Forum économique mondial, déclare que la technologie se situait actuellement dans l'angle mort de notre monde moderne, avertissant que si nous n'accordons pas plus d'attention à la protection de nos systèmes et de nos données, les cyberattaques pourraient avoir des résultats désastreux pour le grand public.  Même s'il ne s'agit pas de la nouvelle la plus réjouissante pour commencer l'année, elle nous rappelle qu'il faut rester vigilants.

« Nous comptons tellement sur la technologie qu'une cyberattaque peut perturber nos vies », ajoute Luis Corrons. « Les risques d'attaque et les conséquences potentielles connaissent la même croissance exponentielle que l'influence de la technologie dans notre vie quotidienne. »

Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé. Protégez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine.

Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com/fr

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.