Dernières actualités : cybersécurité

L’Usine digitale

Le réseau d’achat-revente Easy Cash prévient ses clients d’une fuite de données

Easy Cash, société française spécialisée dans l’achat-revente de produits d’occasion et reconditionnés, a été à son tour victime d’une cyberattaque. Dans un e-mail envoyé à ses clients le 23 avril, l’enseigne indique avoir subi un “incident de cybersécurité localisé sur l’ordinateur d’un magasin” une semaine plus tôt. Cet acte malveillant a entraîné une fuite de données personnelles, qui se limiterait selon l’entreprise aux noms, prénoms, et dates de naissance des clients. La société tricolore affirme avoir pris des mesures et renforcé la sécurité de ses systèmes et notifié l’incident auprès des autorités réglementaires. Elle a déposé plainte et enquête avec Orange Cyberdefense.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : Le programme américain de suivi des vulnérabilités (CVE) risque de prendre fin

Le financement du gouvernement américain au MITRE, qui gère la base de données CVE utilisée par de grandes entreprises du monde entier pour suivre les vulnérabilités existantes, expire ce 16 avril. Une fois le contrat expiré, le site devrait être fermé et aucune nouvelle faille de sécurité ne devrait être publiée, mais les archives resteront disponibles sur GitHub. Le directeur du MITRE ajoute qu’une telle interruption pourrait avoir des conséquences désastreuses : « Nous anticipons d’importantes conséquences, y compris une détérioration des bases de données nationales sur les vulnérabilités et les conseils pour y remédier, mais aussi sur les fournisseurs d’outils, les opérations de réponse à incident et plus généralement sur les infrastructures critiques. » En cause, une suspension du financement du programme par le gouvernement américain, probablement liée à la vaste campagne de réduction des coûts menée par l’administration Trump.

Disponible sur: usine-digitale.fr

PIPC (autorité coréenne)

En Corée du Sud, deux entreprises sanctionnées pour des manquements en matière de sécurité

La Commission de protection des informations personnelles (présidée par Koh Hak-su, ci-après « la Commission ») a aujourd’hui annoncé avoir infligé un total de 58,51 millions de wons d’amende administrative et 14,1 millions de wons d’amendes (soit environ 45 000 euros au total) à deux opérateurs qui ont violé les lois sur la protection des données personnelles, en plus d’avoir décidé de rendre public le verdict.

1 – Class U Co., Ltd.: Un individu dont l’identité est inconnue (ci-après « le hacker ») a accédé à la base de données (DB) de Class U Co., Ltd. par une méthode inconnue via des identifiants de compte administrateur obtenus illégalement, et a exposé les informations personnelles d’environ 1,6 million d’utilisateurs entre le 1er août 2023 et le 25 juillet 2024. L’enquête a révélé que Class U Co., Ltd. avait violé plusieurs obligations de sécurité. D’abord, les droits d’accès au système de traitement des données personnelles (DB) n’étaient pas restreints par des adresses IP, et de nombreux employés avaient partagé un identifiant administrateur sans raisons justifiées. De plus, il a également été confirmé que les numéros de résident et les numéros de compte des utilisateurs n’étaient pas stockés de manière chiffrée. Ce n’est pas tout: il a été constaté qu’elle avait gardé des copies de la carte d’identité des utilisateurs sans destruction une fois l’objectif de traitement atteint, et qu’après avoir pris connaissance de la fuite de données personnelles, elle a attendu plus de 72 heures sans raison valable pour notifier la fuite.
L’entreprise a ainsi été condamnée à une amende totale de 60,8 millions de wons.

2-KT Alpha Co., Ltd: Un hacker a tenté une attaque par « Credential Stuffing* » sur la page de connexion du site Web Gift Show (vente de bons mobiles) géré par KT Alpha Co., Ltd. entre le 28 janvier et le 6 février 2023, compromettant ainsi les informations personnelles des membres de Gift Show. Selon les résultats de l’enquête de la Commission, pendant cette période, le hacker a utilisé 4 305 adresses IP différentes pour tenter plus de 5,4 millions de connexions* sur le site Web de Gift Show, réussissant à se connecter à environ 98 000 comptes membres. Parmi ceux-ci, 51 comptes ont été accédés, permettant au hacker de consulter les pages Web contenant des informations personnelles des membres et de causer des dommages secondaires, comme l’utilisation non autorisée de points. De plus, lors du processus d’enquête, il a été confirmé que KT Alpha Co., Ltd. avait tardé à notifier la fuite après avoir pris connaissance de celle-ci, dépassant les 24 heures (prévues par la loi coréenne) sans raison valable.
En conséquence, l’entreprise a été condamnée à une amende totale de 11,81 millions de wons.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Numerama – Cyberguerre

Les abonnés de Free visés par une arnaque Amazon contenant leur IBAN personnel

Un mail de phishing utilise les données exposées lors de la fuite de Free pour tromper les cibles. Les pirates usurpent cette fois l’apparence du service d’Amazon Prime pour dérober des données bancaires.
Depuis près d’un mois, une campagne cible les victimes de la très médiatisée fuite de données Free. Les hackers exploitent désormais la base de données, mise en vente sur un forum de pirates en novembre 2024. Celle-ci contient les informations personnelles de 19 millions de clients, dont les fameux IBAN qui avaient à l’époque largement attiré l’attention.

Disponible sur: numerama.com

L’Usine digitale

Google va généraliser le chiffrement de bout en bout dans Gmail pour les clients Workspace

Gmail a fêté ses 21 ans le 1er avril. A cette occasion, son créateur Google a annoncé la disponibilité prochaine d’une solution de chiffrement de bout en bout (E2EE) pour les utilisateurs professionnels (abonnés Workspace) du service de messagerie. L’outil est déployé depuis mardi en version beta, donnant la possibilité aux utilisateurs d’activer cette option pour les messages envoyés au sein de leur organisation. “Dans les semaines à venir, les utilisateurs pourront envoyer des e-mails E2EE vers n’importe quelle boîte de réception Gmail, et plus tard cette année, vers n’importe quelle boîte de réception”, précise Google dans un communiqué.

Disponible sur: usine-digitale.fr

L’Usine digitale

Oracle alerte certains clients de santé d’une fuite de données, le FBI ouvre une enquête

Oracle a été touché par une fuite de données depuis les systèmes d’Oracle Health, une société de gestion en ligne de dossiers médicaux acquise en 2022, révèlent Bloomberg et le site spécialisé BleepingComputer. Dans un message envoyé aux clients concernés, Oracle Health indique avoir pris connaissance le 20 février “d’un événement de cybersécurité impliquant un accès non autorisé à une certaine quantité de [leurs] données”, présentes “sur un ancien serveur hérité non encore migré vers Oracle Cloud”. e nombre de dossiers patients dérobés et de prestataires touchés est pour l’heure incertain, tout comme l’ampleur de la violation de données. D’après une personne proche du dossier citée par Bloomberg, les dossiers patients seraient récents.

Disponible sur: usine-digitale.fr

L’Usine digitale

Autosur victime d’une fuite de données, 4 millions de clients concernés

Le spécialiste français du contrôle technique a subi un “incident de sécurité” entraînant un accès non autorisé à de nombreuses données personnelles, dont les numéros de plaques d’immatriculation de ses clients. Il estime que 4 millions de personnes sont concernées. Dans un communiqué publié sur son site, le spécialiste du contrôle technique explique que des acteurs malveillants ont accédé à “une partie des données personnelles associées [au] compte” de ses clients, à savoir leurs noms, prénoms, numéros de téléphone, adresses e-mail et postale… et numéros de plaques d’immatriculation. Cette fuite de données concernerait selon l’entreprise 4 millions de personnes.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : Intersport prévient ses clients d’une fuite de données

Dans un e-mail envoyé à ses clients, le géant de la distribution d’articles de sport indique avoir “constaté une consultation [des] données personnelles”, entraînant “une perte de confidentialité de certaines informations”. Les noms, prénoms et adresses e-mail des clients sont concernés, tout comme les adresses postales. “En aucun cas, vos données bancaires et mots de passe n’ont été compromis”, assure Intersport. Selon l’article, 3,8 millions de clients seraient concernés par la fuite. Le groupe, dont le siège est basé à Berne (Suisse), assure avoir pris “toutes les mesures nécessaires pour éviter qu’une telle consultation se reproduise” et demande à ses clients de modifier le mot de passe de leur espace sur le site d’Intersport.

Disponible sur: usine-digitale.fr

HAAS Avocats

Espace Européen des Données de Santé : Révolution du Partage Sécurisé

Espace Européen des Données de Santé : Révolution du Partage Sécurisé

Par Haas Avocats

Après l’autorisation d’ouverture de l’entrepôt de données de santé par la CNIL en juin 2022, une nouvelle étape dans la création d’un espace de partage des données de santé est franchie, cette fois au niveau de l’Union européenne. En effet, le 5 mars 2025, le Règlement n°2025/327 établissant l’Espace Européen des Données de Santé (EEDS) a été publié au journal officiel.

Disponible sur: haas-avocats.com

L’Usine digitale

Europol alerte sur le recours massif à l’IA dans le crime organisé

L’office européen de police a publié son rapport d’évaluation annuel sur les menaces liées au crime organisé dans l’UE. Escroqueries, systèmes frauduleux de paiement, exploitation d’êtres humains… Les criminels utilisent de plus en plus des outils d’intelligence artificielle pour étendre et automatiser leurs opérations, mais aussi pour brouiller les pistes. « Les qualités révolutionnaires de l’IA (accessibilité, adaptabilité et sophistication) en font également un outil puissant pour les réseaux criminels, poursuit l’autorité. Ces technologies automatisent et étendent les opérations criminelles, les rendant plus évolutives et plus difficiles à détecter.”

Disponible sur: usine-digitale.fr

Retour en haut