Dernières actualités : données personnelles

L’Usine digitale

Une faille de sécurité liée aux puces Qualcomm touche des millions de smartphones Android

Le géant américain des semi-conducteurs a annoncé qu’une vulnérabilité critique affectait ses processeurs et qu’elle était activement exploitée par des pirates informatiques. 64 modèles de la firme présentent des failles de sécurité, dont le Snapdragon 8 Gen 1. Qualcomm a depuis publié des correctifs, qui seront efficaces lorsque les équipementiers auront déployé une mise à jour. La faille 0-day, déjà décrite par l’agence américaine de cybersécurité (CISA) et par le NIST, présente un score de sévérité élevé (7,8). Elle est due à une faille “use-after-free”, un problème technique qui se traduit par une mauvaise réinitialisation d’un pointeur suite à une libération de la mémoire. Les pirates informatiques peuvent alors détourner la mémoire pour injecter du code, même s’ils disposent de faibles privilèges.

Disponible sur: usine-digitale.fr

L’Usine digitale

Internet Archive victime d’une cyberattaque, les données de 31 millions d’internautes dans la nature

Internet Archive, bibliothèque numérique consacrée à la sauvegarde du contenu d’Internet, a été victime ces derniers jours d’une fuite de données. Le 9 octobre, les internautes consultant le site piraté ont vu apparaître une fenêtre pop-up faisant état d’un incident de sécurité, ajoutant que les données de 31 millions d’utilisateurs étaient référencées sur “Have I Been Pwned”, ce site web permet à chacun de savoir, à partir de son adresse-mail, si des données ont été piratées et leur provenance. Troy Hunt, fondateur de “Have I Been Pwned”, a affirmé qu’un pirate informatique avait partagé la base de données d’identification d’Internet Archive le 1er octobre, sous la forme d’un fichier SQL de 6,4 gigaoctets intitulé “ia_users.sql”. Cette base de données renferme les adresses e-mail et pseudonymes de 31 millions d’utilisateurs, mais aussi certains mots de passe hachés avec l’algorithme Bcrypt. Les pirates disposent aussi des dates de changements de mots de passe.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Des étudiants de Harvard ont relié un programme d’intelligence artificielle à leurs lunettes Ray-Ban de Meta pour identifier les individus qu’ils croisent dans la rue

L’intelligence artificielle et les lunettes connectées, un cocktail risqué. Deux étudiants de Harvard, AnhPhu Nguyen et Caine Ardayfio, ont travaillé sur un projet, baptisé I-XRAY, combinant des lunettes connectées Ray-Ban de Meta avec des technologies de reconnaissance faciale. L’objectif étant d’identifier des individus dans les espaces publics et récupérer leurs données personnelles en temps réel. Les deux jeunes ingénieurs ont ainsi approché des personnes au hasard, en leur fournissant des infos sur leur emploi ou leurs activités sportives, après les avoir capturées quelques secondes auparavant avec les lunettes de Meta.
Ils ont ensuite détaillé leurs travaux sur le réseau social X, fin septembre 2024.

Disponible sur: numerama.com

Numerama – Cyberguerre

Les cybercriminels innovent en ajoutant des photos du domicile dans les mails de chantage

Les cybercriminels incorporent aujourd’hui des photos du domicile de leur cible dans les messages d’extorsion envoyés par mail. Ces adresses se trouvent rapidement aujourd’hui à cause des nombreuses fuites de données.
Une nouvelle campagne de sextorsion sévit aux États-Unis avec des méthodes encore inédites dans le milieu des cybercriminels. Plusieurs services de police à travers le pays ont alerté la population au sujet de ces messages envoyés courant septembre. L’entreprise The Record a pu récupérer une partie de ces e-mails, qui contiennent les numéros de téléphone ainsi que les photos de logement avec l’adresse personnelle des victimes.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : ServiceNow victime d’une fuite de données à cause d’une erreur de configuration

ServiceNow, société de logiciels américaine développant une plateforme cloud optimisée pour l’automatisation des flux de travail, a subi une fuite de données exposant des informations sensibles, a révélé le 17 septembre la société de cybersécurité spécialisée dans les applications SaaS AppOmni. À l’origine de cette violation de données, une mauvaise configuration des contrôles d’accès aux bases de connaissances (“knowledge bases”, KB). Ces référentiels d’articles permettent aux entreprises et administrations de partager des foires aux questions, des guides pratiques et tutoriels pour les utilisateurs autorisés. Au lieu d’être cantonnées à une société, certaines pages contenant des informations sensibles ont été rendues publiquement accessibles pour d’autres utilisateurs. L’éditeur de logiciels américain a ainsi subi une violation de données touchant plus de 1000 instances d’entreprise.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T avait signalé l’année dernière une fuite de données sur l’un de ses fournisseurs de cloud, subtilisant les données de près de 9 millions de clients. L’opérateur s’engage également à renforcer ses pratiques de gouvernance des données. Le spécialiste américain des télécoms a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cryptographie post-quantique : le gouvernement américain publie ses premières normes

Le National Institute of Standards and Technology (NIST), agence dépendant du ministère du Commerce américain, a publié le 13 août son premier ensemble de normes pour la cryptographie post-quantique. Ce type de cryptographie vise à assurer la sécurité d’un système d’information face à un cyberattaquant disposant d’un calculateur quantique.

“Certains experts prédisent qu’un appareil capable de briser les méthodes de chiffrement actuelles pourrait apparaître d’ici une décennie, menaçant la sécurité et la confidentialité des individus, des organisations et des nations entières”, affirme le NIST dans un communiqué. En 2019, des chercheurs de Google avaient mené une étude sur les capacités des ordinateurs quantiques par rapport aux ordinateurs traditionnels. Grâce à la superposition quantique, un calculateur quantique pourrait mettre 200 secondes à effectuer un calcul complexe prédéterminé, contre des milliers d’années pour un supercalculateur traditionnel.

Disponible sur: usine-digitale.fr

NOYB – None of your business

Les projets de Twitter en matière d’intelligence artificielle font l’objet de neuf nouvelles plaintes liées au GDPR

Récemment, Twitter International (aujourd’hui rebaptisé « X ») a commencé à utiliser illégalement les données personnelles de plus de 60 millions d’utilisateurs dans l’UE/EEE pour former ses technologies d’IA (comme « Grok ») sans leur consentement. Contrairement à Meta (qui a récemment dû mettre fin à l’entraînement à l’IA dans l’UE), Twitter n’a même pas informé ses utilisateurs à l’avance. La Commission irlandaise de protection des données (DPC) est allée trop loin : La semaine dernière, elle a entamé une procédure judiciaire contre Twitter pour mettre fin au traitement illégal, mais la DPC irlandaise semble s’être abstenue d’appliquer pleinement le GDPR. noyb a déposé neuf plaintes

Screen showing Twitter's Grok logo

Disponible sur: noyb.eu

Numerama – Cyberguerre

Des hackers font fuiter des millions de données d’un célèbre logiciel de contrôle parental

Des hackers ont publié une base de données contenant les données de millions d’utilisateurs du logiciel mSpy, mais aussi de personnes espionnées par l’intermédiaire de ce logiciel. Les fichiers ont été mis en ligne le 12 juillet 2024 sur un forum de hackers. En réalité, ils étaient déjà partagés par de nombreux hacktivistes, des pirates militants, depuis mai dernier. mSpy est une application d’origine américaine, aujourd’hui détenue par la société ukrainienne Brainstack. Elle est massivement utilisée pour le contrôle parental sur les smartphones, mais également détournée à des fins malveillantes.

Le service de notification de violation de données Have I Been Pwned affirme avoir ajouté 2 394 179 comptes concernés par la fuite à son site. La base de données mise en ligne contient des adresses e-mail, des adresses IP, des noms et des photos privées : capture d’écran, photos de cartes de crédit, voire des selfies nus. Les employés de la société sont aussi concernés par cette cyberattaque.

Disponible sur: numerama.com

INAI (autorité mexicaine)

L’INAI ouvre une enquête d’office sur la divulgation présumée de données personnelles par Ticketmaster

Le 14 juillet 2024, l’autorité de protection des données mexicaine (INAI) a annoncé son intention d’ouvrir une enquête d’office sur la divulgation présumée de données personnelles par Ticketmaster, une société qui vend des billets pour des spectacles et des événements. L’autorité n’en dévoile pas beaucoup plus mais cette enquête fait probablement suite aux deux récents incidents de sécurité intervenus à quelques semaines d’intervalle, le premier fin intervenu mai et qui aurait touché 560 millions d’internautes , et le second la semaine dernière et qui aurait cette fois touché 39 000 personnes.  L’autorité précise néanmoins être « attentive à toute plainte qui pourrait être déposée par des personnes affectées par une éventuelle divulgation de leurs données personnelles afin d’entamer les procédures correspondantes », et que « les personnes peuvent signaler toute utilisation abusive de leurs données personnelles à l’INAI en appelant le Tel-INAI 800 835 4324 ; par e-mail à atencion@inai.org.mx, ou en personne dans les locaux de l’INAI. »

Disponible (en espagnol) sur: inai.org.mx
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut