La cybersécurité, mobilité, nouveaux dangers volatiles

Android: Google corrige une faille MediaTek dangereuse pour de nombreux appareils

Une vulnérabilité a été détectée sur des dizaines de modèles d’appareils Android : Acer, Huawei, Lenovo, LG, SONY…

Le danger vient de puce « MediaTek » et de son pilote « Command Queue », via un script il est possible d’accéder aux accéder au compte superutilisateur du téléphone mobile.

                      Initialement destiné à rooter les appareils Amazon Fire pour les modifier                                                             

               Télécommande vocale fonctionnement avec assistante vocale d’Amazon Alexa.

Le problème étant que pour modifier toutes les applications peuvent incorporer MediaTek-su et l’exécuter pour avoir recours aux accès superutilisateur.

Cependant, l’accès root d’une application malveillante ne survivra pas au redémarrage de l’appareil.

Mediatek avait en fait des correctifs disponibles pour la faille en mai 2019, qui ont été déployés par Amazon pour ses appareils Fire OS. Cependatn, de nombreux OEM utilisant despuces MediaTek affectées n’avaient pas appliqué le correctif et la société aurait donc demandé l’aide de google.

Le code de cette faille est le suivant : CVE-2020-0069

from Pocket
via Did you enjoy this article? Then read the full version from the author’s website.

Reconnaissance faciale : 3 milliards de visages dérobés après le piratage de Clearview AI

CLearview AI une entreprise spécialisée dans la reconnaissance faciale s’est fait voler près de 3milliard de données à caractères personnelles, cette liste de trois milliards contient aussi des centaines d’entreprises, d’agences gouvernementales (y compris le FBI), banques et autres organismes d’application de la loi.

L’avocat de la société confirme l’information en expliquant que ‘’les failles de sécurité font malheureusement partie de la vie au XXIe siècle’’. Selon lui, la faille a rapidement été colmatée.

Le problème n’est pas qu’un simple vol mais un double vol, car avant que les données ne se fasse voler par des hackeurs ces-dernières furent volé par l’entreprise elle-même sur les réseaux sociaux.

Clearview AI est loin de faire l’unanimité, et des enquêtes internes organisées par des autorités de protection de la vie privée sont enclenchés sur l’utilisation de cette technologie, par certains organismes judiciaires.   

Cependant beaucoup d’organismes judiciaires l’utilisent et donc l’entreprise ne sera certainement pas pénalisée par la capture de ces données, néanmoins en France cette pratique de récupération des données(scraping) est illégal car elle supprime le droit à l’anonymat.

from Pocket
via Did you enjoy this article? Then read the full version from the author’s website.

 

Sécurité des réseaux Wi-Fi : il est urgent de créer un standard

Le Wi-Fi de l’entreprise, lorsqu’il est peu ou mal sécurisé, est largement exploité par les cybercriminels, pour voler des données précieuses (bancaires, identité, etc.) et les revendre sur le Darkweb.

La Wifi est un merveilleux moyen pour communiquer facilement avec le réseau internet. Mais aussi, à faire véhiculer des virus et autres logiciels malveillants très facilement.

En moyen le coût d’une fuite de données pour une PME est de 130 000€ mais pour de grosses entreprises cela peut atteindre facilement plusieurs millions.

Cependant, tout n’est pas perdu car beaucoup d’entreprise réagissent et mette en place de nouvelles sécurités comme des clef WPA3, qui, bien qu’il soit « meilleur » que la WPA2, ne protège pas toujours contre certaines menaces :

-Evil Twin : L’attaquant recherche dans l’air des informations sur le point d’accès (@mac, SSID,numéro de canal) puis va remplacer le point d’accès,

 -point d’accès mal configuré,

-client illicite…

Malgré un nombre d’attaques croissantes, le monde du wifi ne se décourage pas et essaye d’aider les entreprises à sécuriser leurs réseaux wifi, des organismes telle que : IEEE ou la Wi-Fi Alliance.

from Pocket
via Did you enjoy this article? Then read the full version from the author’s website.