Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.

Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.

Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.

En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.

Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…

Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.

En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^

Source

A votre avis, est-ce une bonne idée de se connecter à Internet avec un PC équipé d’un système d’exploitation obsolète ? La réponse est…

Cet article PC Windows XP connecté à Internet, c’est tout sauf une bonne idée ! a été publié en premier par GinjFo.

Les équipes de Tenable viennent de mettre en évidence que le groupe derrière le cryptomineur Kinsing ont réussi à infecter des instances Apache Tomcat tout en restant indétectables depuis plus d’un an.

Un utilisateur sur YouTube a fait l'expérience de connecter un PC avec Windows XP à internet pour voir en combien de temps celui-ci serait la cible de virus et malwares. La réponse : en peu de temps.

Vous l’avez peut-être remarqué, mais ces derniers temps, les vulnérabilités dans les routeurs et autres équipements réseau se multiplient comme des petits pains. Et quand je dis petits pains, je parle plutôt du genre rassis et moisi qui traîne depuis des années dans un placard. C’est le cas de deux failles qui touchent les routeurs D-Link DIR-600 et DIR-605, qui viennent d’être ajoutées par la CISA à son catalogue des vulnérabilités activement exploitées par les pirates malveillants.

La première, CVE-2014-100005, permet à un attaquant de changer la configuration du routeur DIR-600 à distance, sans avoir besoin de se connecter. Comment ? Et bien grâce à une bonne vieille faille CSRF (Cross-Site Request Forgery), cette faille bien connue des années 2000 qui fait toujours des ravages en 2024. Il suffit que l’admin du routeur visite une page web piégée, et hop, l’attaquant peut faire ce qu’il veut de la config !

La deuxième, CVE-2021-40655, est une fuite d’informations dans l’interface web du DIR-605. En forgeant une requête HTTP POST vers la page « /getcfg.php », un petit malin peut récupérer en clair le nom d’utilisateur et le mot de passe de l’administrateur. Ça fait rêver, n’est-ce pas ?

La CISA précise que ces failles sont activement exploitées, mais ne donne pas plus de détails.

Le plus rigolo, c’est que la première faille date de 2014 et concerne un modèle qui n’est plus supporté depuis belle lurette. Donc si vous avez encore un DIR-600 qui traîne, il est plus que temps de le mettre à la retraite et de passer à un modèle plus récent. Pour la deuxième, pas de patch connu à ce jour, donc restez vigilants.

Mais ce n’est pas fini puisque d’autres chercheurs de SSD Secure Disclosure ont aussi trouvé des failles 0-day dans le routeur D-Link DIR-X4860. En combinant un contournement d’authentification et une injection de commande, un attaquant pourrait prendre le contrôle total de l’appareil, avec les privilèges root s’il vous plaît. Bref, le routeur est complètement compromis.

D-Link a été prévenu il y a un mois, mais n’a toujours pas réagi. Les détails techniques sont disponibles sur le blog de SSD, avec même un PoC prêt à l’emploi. La faille touche la version de firmware 1.04b03. Donc, si vous avez ce modèle, vérifiez votre version et espérez que D-Link réagisse rapidement et publie un correctif.

En attendant, la meilleure chose à faire est de garder son routeur à jour, de changer les mots de passe par défaut et de désactiver les fonctions dont on n’a pas besoin, comme l’accès à distance. Et pourquoi pas flasher son vieux routeur avec un firmware alternatif comme OpenWrt ou DD-WRT, qui sont généralement plus sûrs et plus à jour que les firmwares constructeurs ?

Allez, au boulot !

Source

Un utilisateur sur YouTube a fait l'expérience de connecter un PC avec Windows XP à internet pour voir en combien de temps celui-ci serait la cible de virus et malwares. La réponse : en peu de temps.

Un agriculteur canadien a découvert dans ses champs un morceau de métal carbonisé pesant pas moins de 40 kg. L’objet pourrait faire partie du module d’emport non réutilisable de la…

Cet article SpaceX : un énorme débris spatial s’écrase dans une ferme, la catastrophe évitée de justesse est apparu en premier sur PaperGeek.

Un pirate se faisant appeler Menelik a revendiqué non pas une, mais deux attaques contre Dell, dont celle qui a touché l'entreprise en début de semaine, et a mené à une fuite massive de données.

— Article en partenariat avec Surfshark —

Comme vous le savez déjà, la sécurité en ligne est un océan qui subit assez souvent tempêtes et raz-de-marée. Il est donc essentiel de se munir d’outils efficaces pour naviguer en toute tranquillité. C’est là que Surfshark One se distingue, offrant une solution tout-en-un pour protéger votre présence numérique.

À la base reconnu comme l’un des meilleurs VPN sur le marché, Surfshark a élargi son horizon pour inclure une suite complète de sécurité depuis maintenant quelques années. Avec One, vous ne disposez pas seulement de l’option Surfshark VPN, mais d’un éventail complet d’outils pour garder votre vie en ligne le plus safe possible.

Au cœur de Surfshark One se trouve son antivirus, alimenté par le moteur reconnu d’Avira. Cette protection en temps réel garde un œil vigilant sur votre activité en ligne, détectant les virus, les logiciels malveillants et les menaces zero-day. Avec des mises à jour toutes les trois heures, ses définitions restent constamment au taquet pour faire face aux dernières menaces du cyberespace.

Et ça, c’est plutôt appréciable parce qu’en ce moment ça fuse de tous les côtés. Si vous me lisez régulièrement vous avez dû voir passer mes articles sur diverses failles ces dernières semaines. C’était encore le cas il y a quelques jours avec une campagne de malware et de phishing assez énorme qui a touché les utilisateurs de Docker Hub. Sur les 15 millions de dépôts existants, pas moins de 20% étaient contaminés par des logiciels foireux, allant du simple spam au malware (source). Et c’est d’autant plus flippant que cette faille existe depuis …. 2021, je vous laisse imaginer les dégâts au fil des années.

C’est là que Surfshark One va s’avérer assez utile puisqu’il vous empêchera de télécharger « par distraction » (je ménage les égos ^^) un fichier foireux sur votre machine. Il va pour cela utiliser une sorte de zone tampon entre le serveur d’origine et votre ordinateur. Si l’analyse ne lui convient pas, il bloquera simplement le fichier qui n’aura pas eu le temps de vous atteindre. Impossible de télécharger une bouse par inadvertance ou parce que vous faites confiance à un site qui ne le mérite pas.

Mais l’outil ne s’arrête pas là. La suite comprend également un moteur de recherche privé, qui fournit des résultats non biaisés et sans publicités. Contrairement aux grands moteurs de recherche qui pistent vos activités, Surfshark Search respecte votre vie privée en ne collectant pas vos données de recherche. Je ne vous détaille pas la fonction de création d’identité alternative, j’en ai déjà fait un article.

Un autre atout majeur de Surfshark One est son système d’alerte intégré. Ce système surveille en permanence les fuites de données sur Internet et vous avertit dès que vos informations personnelles sont compromises. Que ce soit votre adresse e-mail, vos identifiants de connexion ou vos informations de carte de crédit, il vous informe immédiatement pour que vous puissiez prendre les mesures nécessaires pour protéger vos comptes. Et pour vous empêcher de paniquer, l’outil vous guide sur les actions à entreprendre en priorité.

Ce côté monitoring est vraiment intéressant pour la plupart d’entre vous. Parce que la majorité n’a sans doute pas forcément le temps (ou l’envie) de surveiller l’actu cybersécurité au quotidien. De mon côté ça fait un peu partie de ma veille (et quand je rate un truc important on me le remonte sur Twitch lors de mes émissions), mais si ce n’est pas votre cas vous avez au moins une équipe qui bosse pour vous.

Autre bon point de cette suite c’est sa flexibilité. Disponible sur plusieurs OS et plateformes (Windows, Mac, ordinateur ou smartphone …), elle couvrira toutes vos machines (nombre illimité) et dispose d’une interface ultra simple à maitriser.

En termes de tarification, Surfshark propose une gamme d’options flexibles pour répondre à vos besoins spécifiques. Des abonnements à partir de 3,19 € par mois (TTC) pour un engagement de 26 mois sont disponibles (abonnement 1 an + 3 mois offerts). Avec toujours la possibilité d’essayer la suite avec 30 jours de garantie satisfait ou remboursé.

En résumé, si vous recherchez une solution complète pour sécuriser votre présence en ligne, l’outil offre une réponse robuste et efficace. Avec son antivirus puissant, son moteur de recherche privé et son système d’alerte contre les violations de données, Surfshark One vous donne la tranquillité d’esprit nécessaire pour naviguer en toute sécurité dans le monde numérique d’aujourd’hui. Et si vous voulez encore plus, vous avez l’option One+ qui intègre le service Incogni (dont j’ai aussi parlé de multiples fois).

Testez Surfshark One !

Vous pensiez que vos secrets étaient en sécurité dans vos images Docker ? Détrompez-vous ! Une étude de l’Université d’Aix-la-Chapelle a révélé que près de 10% des images publiques sur DockerHub contenait des secrets (donc des identifiants, des clés API, des mots de passe, des endpoints sensibles…Etc).

Ça fait froid dans le dos.

On parle de plus de 50 000 clés d’API et d’identifiants accessibles publiquement. Et ce n’est que la partie émergée de l’iceberg puisque les chercheurs de Redhunt Labs ont aussi trouvé plus de 46 000 Dockerfiles exposant des infos sensibles. Bref, c’est la fête du slip côté sécurité !

Mais comment ces secrets se retrouvent-ils à fuiter comme une passoire ? Et bien c’est souvent, c’est à cause d’opérations de fichiers trop permissives, de secrets mis en dur dans les Dockerfiles…etc

Par exemple, beaucoup de tutos et même la doc officielle de Docker suggèrent d’utiliser COPY . . pour copier tout le répertoire courant dans l’image. Sauf que ça inclut aussi les fichiers sensibles comme .env ou l’historique Git. Pas top pour la confidentialité.

Et même si vous supprimez ces fichiers sensibles après le COPY, ils restent présents dans les couches précédentes de l’image. Un attaquant pourra donc toujours y accéder. Merci les layers 🙂

Autre coup classique : mettre directement les secrets dans le Dockerfile ou les passer en argument au build. Là encore, c’est cadeau pour les hackers. Un simple docker history --no-trunc et hop, vos secrets sont à nu.

Heureusement, il existe des solutions pour sécuriser tout ça. Par exemple, les builds multi-stages permettent d’isoler les secrets dans une étape intermédiaire qui ne sera pas conservée dans l’image finale. Et depuis peu, BuildKit propose une option --secret pour injecter les secrets sans les stocker dans l’image, mais attention aux pièges ! Si votre app log le secret qu’elle utilise, il finira quand même dans l’image. Les builds multi-stages restent donc plus safe de ce côté là.

Bref, vous l’aurez compris, la gestion des secrets dans Docker, c’est pas de la tarte mais en suivant les bonnes pratiques, vous pourrez limiter les risques.

Bref, pensez builds multi-stages, utilisez .dockerignore, oubliez les secrets en dur et n’abusez pas des arguments de build. Et surtout, ayez le réflexe d’auditer vos images avec des outils comme TruffleHog. Parce qu’un secret qui fuite, c’est votre réputation qui coule.

Ces derniers mois ont été animés dans le monde de l’IA, notamment avec l’engouement pour les modèles GPT personnalisés, dit « custom GPT » (1). OpenAI propose désormais de créer des versions personnalisées de ChatGPT avec des instructions spécifiques et l’ajout d’informations supplémentaires à sa base de connaissance. Nous parlons ici d’une flexibilité sans précédent, […]

Ces derniers mois ont été animés dans le monde de l’IA, notamment avec l’engouement pour les modèles GPT personnalisés, dit « custom GPT » (1). OpenAI propose désormais de créer des versions personnalisées de ChatGPT avec des instructions spécifiques et l’ajout d’informations supplémentaires à sa base de connaissance. Nous parlons ici d’une flexibilité sans précédent, […]

Google a dévoilé plusieurs fonctionnalités de protection contre le vol de smartphone Android, allant de systèmes qui dissuaderont le vol à des modifications conçues pour rendre les biens nouvellement volés par un voleur plus difficiles à effacer et à vendre. Android va dissuader le vol de smartphones Google …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

L’article Android pourra détecter si votre smartphone a été volé est apparu en premier sur KultureGeek.

Le patrimoine Data des entreprises représente un enjeu stratégique que ces dernières se doivent de protéger au mieux. Dans ce contexte, au-delà des méthodes de protection traditionnelles (firewall, XDR, Antivirus, etc.), il est fondamental de créer un plan de protection de la donnée en production, tant d’un point de vue organisationnel, technique que technologique. Dans […]

Le patrimoine Data des entreprises représente un enjeu stratégique que ces dernières se doivent de protéger au mieux. Dans ce contexte, au-delà des méthodes de protection traditionnelles (firewall, XDR, Antivirus, etc.), il est fondamental de créer un plan de protection de la donnée en production, tant d’un point de vue organisationnel, technique que technologique. Dans […]

La sécurité et Android, c'est un sujet qui fâche. Heureusement, Google a quelques astuces dans sa manche, et notamment une qui devrait faire la différence : l'intelligence artificielle.