Actualités de la sécurité

Une entreprise financière poursuivie en justice pour violation de données

Avast Security News Team, 31 mai 2019

Une victime de violation de données a déposé un recours collectif contre First American Financial pour l'exposition de 885 millions de fichiers.

Lundi, un client de la First American Financial nommé David Gritz a intenté un recours collectif contre l'assureur de titres immobiliers pour une violation de données présumée exposant 885 millions de fichiers. La faille a été rapportée la semaine dernière par des chercheurs en cybersécurité qui ont affirmé que les fichiers « étaient disponibles sans authentification à quiconque possède un navigateur Web », comme le rapporte Bloomberg. L’avocat de David Gritz affirme que des centaines de millions de numéros de comptes bancaires, de numéros de sécurité sociale et d’états financiers ont été révélés en raison de « l'absence de mise en œuvre de mesures de sécurité même rudimentaires » de la part de la société. Le volume de données exorbitant comprend des fichiers remontant à 2003. Le procès aura lieu au tribunal du district de Santa Ana, en Californie, où est basé First American.

« Nous regrettons profondément l'inquiétude causée par cette défaillance » a commenté Dennis J. Gilmore, PDG de First American, dans un communiqué publié sur le site internet de la société. « Nous enquêtons de manière approfondie sur cette affaire et nous sommes pleinement engagés dans la protection de la sécurité, de la vie privée et de la confidentialité des informations que nos clients nous ont confiées. » La déclaration de la société implique également que les informations exposées n'ont jamais été utilisées à des fins malveillantes, notant : « Bien que l'enquête n'en soit qu'à ses débuts, rien n'indique qu'un quelconque accès non autorisé à grande échelle ait eu lieu. »

Les excuses et le fait de remédier aux fuites de données ne suffisent pas, affirme Luis Corrons, expert de la sécurité chez Avast. « Cela se produit encore et toujours. Les entreprises laissent des données non protégées à la vue de tous. Certaines fuites de données importantes sont dues à ce type de négligence. Peut-être que si ces comportements étaient sanctionnés par des amendes élevées, les entreprises seraient plus vigilantes et protégeraient mieux les données qu'elles détiennent. »

Flipboard piraté

« Une personne non autorisée a eu accès et éventuellement obtenu des copies de certaines bases de données contenant des informations d'utilisateurs Flipboard entre le 2 juin 2018 et le 23 mars 2019, et du 21 au 22 avril 2019 », a déclaré la plate-forme de partage de contenu sur son site. La société s'est rendu compte du piratage le 23 avril, après la constatation d'une activité suspecte liée à certaines bases de données par son équipe technique. Flipboard a ensuite engagé une entreprise de sécurité tierce pour enquêter.

Toutes les bases de données Flipboard n'étaient pas compromises, excepté le sous-ensemble contenant les noms d'utilisateur, les mots de passe, les adresses électroniques et les jetons numériques chiffrés reliant des comptes tiers à un compte d'utilisateur Flipboard. Flipboard ne collecte pas d'informations financières, de numéros de cartes de crédit, de comptes bancaires ou de sécurité sociale. Dans sa déclaration au public, la société indique qu’il n’existe aucune preuve selon laquelle « la personne non autorisée a accédé à un ou plusieurs comptes tiers », tous les jetons numériques ont été soit supprimés, soit remplacés par mesure de précaution.

Tous les mots de passe des utilisateurs ont également été réinitialisés. Par conséquent, tout utilisateur déconnecté qui tente de se reconnecter est invité à créer un nouveau mot de passe. La société a déclaré : « Nous avons mis en place des mesures de sécurité renforcées et continuons à rechercher de nouveaux moyens d'améliorer la sécurité de nos systèmes. Nous avons également informé les autorités. »

Les statistiques de la semaine

L'année dernière, l'industrie du jeu en ligne a généré un chiffre d'affaires estimé à 135 milliards de dollars, soit une augmentation de 10,9 % par rapport à 2017.

Une arnaque de phishing se fait passer pour Microsoft Office 365

Une nouvelle arnaque de phishing frappe les boîtes de réception en prétendant être une alerte d'Office 365 informant les utilisateurs que leurs comptes ont subi des suppressions inhabituelles de fichiers, rapporte BleepingComputer. L'e-mail malveillant encourage l'utilisateur à cliquer sur un bouton VIEW ALERT DETAILS (Afficher les détails de l'alerte), qui le redirige ensuite sur une page de connexion factice d'Office 365. Lorsque l'utilisateur entre ses informations d'identification, celles-ci sont envoyées à un domaine contrôlé par l'attaquant, tandis que l'utilisateur est redirigé vers la page officielle d'Office 365 et est invité à se reconnecter.

Les utilisateurs avisés peuvent remarquer que la page de connexion factice d'Office 365 est hébergée sur un site Azure, ce qui est un signe que quelque chose ne tourne pas rond. Les pages de connexion Microsoft et Outlook se trouvent uniquement sur microsoft.com, live.com, microsoftonline.com et outlook.com.

Cet incident nous rappelle de ne jamais cliquer sur un lien dans un courrier électronique non validé. Fermez l'e-mail, ouvrez une nouvelle fenêtre de navigateur, puis connectez-vous au compte en question en passant par la « porte d'entrée ». Le plus souvent, les utilisateurs verront que rien ne cloche avec leur compte. En savoir plus sur la façon de se défendre contre les fraudes par message électronique.

La police californienne utilise la technologie de reconnaissance faciale

Le service de police d'Anaheim, en Californie, utilise le logiciel de reconnaissance faciale Veritone pour « une première phase d'essai », comme l'a rapporté ZDNet. Le chef adjoint de la police d'Anaheim, Julian Harvey, a salué le programme « IDentify », le qualifiant de « remarquablement précis » et ajoutant qu'il a permis d'identifier des suspects dans 100 affaires et d'en résoudre au moins une pour le moment. Le logiciel compare les nouvelles images, telles que les images des caméras de surveillance sur le lieu d’un crime, avec la base de données de photographies des délinquants connus du service de police. « Même avec une photo très granuleuse tirée d'une vidéo pixélisée, le logiciel réussit à trouver des correspondances », a déclaré Julian Harvey.

La technologie de reconnaissance faciale est un sujet controversé et, si elle est utilisée pour appuyer une accusation, elle sera probablement contestée devant un tribunal. San Francisco l'a interdit plus tôt ce mois-ci, et un comté de l'Oregon a été fortement critiqué pour son utilisation des programmes de reconnaissance faciale Amazon dans ses services de police. Tout le monde ne fait pas confiance à cette technologie, mais cela ne décourage pas le fondateur et PDG de Veritone, Chad Steelberg, qui affirme : « Nous sommes en train de changer le métier des forces de l'ordre. »

Au-delà du travail de la police, les technologies de reconnaissance faciale peuvent être appliquées à la publicité, à l'industrie touristique et à bien d'autres utilisations.

Citation de la semaine

« Il est ridicule de nier la valeur de cette technologie pour la sécurisation des aéroports et des installations frontalières. » C’est le commentaire de Jonathan Turley, expert en droit constitutionnel à l'Université George Washington, au sujet de la technologie de reconnaissance faciale.

Le secteur de la santé craint les cyberattaques

BusinessWire rapporte que les résultats d'un récent sondage, réalisé auprès du secteur de la santé et mené par le cabinet de consultation Baker Tilly de Chicago, montrent que 26 % des personnes interrogées considèrent la cybersécurité comme « le risque émergeant le plus préoccupant pour les organisations de services de santé ». Reconnaissant que la médecine repose aujourd'hui largement sur la technologie, un spécialiste de la santé de Baker Tilly a déclaré : « Une violation de données peut être catastrophique pour un fournisseur de soins de santé ».

Les « lectures indispensables » de cette semaine sur le blog d'Avast.

Le rapport Mueller a révélé que les pirates informatiques russes avaient délibérément tenté d'influencer l'élection présidentielle américaine de 2016. Cela se reproduira-t-il en 2020 ? Avast examine les acteurs impliqués et si leurs efforts sont suffisants pour empêcher l’histoire de se répéter.


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.