Une Faille de sécurité WhatsApp urgente à corriger

 

Les développeurs de WhatsApp ont corrigé deux failles de sécurité dans l’application mobile pour Android et iOS et elles sont particulièrement redoutables : un appel vidéo ou un fichier vidéo envoyé par WhatsApp peut permettre d’exécuter du code à distance sur votre appareil ! Faisons le point.

Les deux vulnérabilités qui font l’objet de cet article sont associées aux références CVE suivantes : CVE-2022-36934 et CVE-2022-27492.

Il est possible de lancer l’attaque à distance. Il est déclaré comme non défini. La meilleure solution suggérée pour atténuer le problème est de mettre à jour à la dernière version. Une solution envisageable a été publiée même avant, et non après après la publication de la vulnérabilité. [Des détails]

 

An integer overflow in WhatsApp for Android prior to v2.22.16.12, Business for Android prior to v2.22.16.12, iOS prior to v2.22.16.12, Business for iOS prior to v2.22.16.12 could result in remote code execution in an established video call.

 

 

 


Sources

Avis de WhatsApp concernant la sécurité

Vulnérabilités dans WhatsApp : un simple appel vidéo pour exécuter du code à distance !

WhatsApp Security Advisories


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

DOSSIER : Les métadonnées

 

QU’EST-CE QU’UNE MÉTADONNÉE ?

Le terme métadonnées est sur toutes les lèvres depuis quelques années. Aujourd’hui, des milliards de personnes dans le monde utilisent les réseaux numériques. Ce faisant, de grandes quantités de métadonnées sont constamment générées. Le terme « citoyen transparent » est parfois utilisé pour décrire le risque pour la protection des données qui en résulte.

L’évaluation des métadonnées par l’intelligence artificielle permet de prédire le comportement des individus. Cela constitue donc une menace sérieuse pour la vie privée des citoyens et pour la démocratie. Pourtant, les métadonnées en soi ne sont pas une mauvaise chose. Dans cet article, nous expliquons ce que sont réellement les métadonnées.

QUELLE DIFFÉRENCE ENTRE MÉTADONNÉE ET DONNÉE ?

La métadonnée désigne les informations qui complètent les données réelles. Souvent, les métadonnées fournissent plus de détails sur le contexte du contenu ou donnent des instructions sur la façon de traiter les données. Ainsi, les métadonnées jouent un rôle majeur tant dans l’informatique que dans le traitement traditionnel des données (comme les catalogues de bibliothèques ou le système postal).

Pour mieux comprendre le terme de métadonnée, prenons un exemple concret : vous envoyez une lettre par la poste. Le document contenu dans l’enveloppe correspond alors aux données primaires réelles. Ces données sont privées et protégées par la loi contre l’accès par des tiers. Le secret de la correspondance s’applique.

L’enveloppe contient les métadonnées de la lettre. Il s’agit de données supplémentaires qui accompagnent les données primaires :

  • Adresse et expéditeur
  • Timbre, cachet de la poste
  • Si nécessaire, des marquages supplémentaires comme des codes-barres

Comme vous pouvez le constater, toutes ces données sont celles qui permettent d’envoyer la lettre en premier lieu. Les métadonnées de la lettre peuvent être visibles par toute personne extérieure. Elles ne sont ainsi pas protégées par le secret de la correspondance, même si celui-ci les concerne également.

Quel danger représentent les métadonnées ? En soi, cela ne pose pas de problème si les métadonnées individuelles sont lisibles. Par exemple, si un tiers a eu accès à une de vos enveloppes, cela ne constitue généralement pas un motif d’inquiétude. Cependant, l’histoire se complique si cette personne a accès à toutes vos enveloppes, afin de les stocker et de les évaluer. Apparaissent alors des modèles qui en disent long sur le comportement d’un individu : qui a communiqué avec qui et quand ? Les réseaux et les chaînes de communication peuvent ainsi être identifiés.

La distinction entre les données et les métadonnées est fluide. La classification dépend du contexte et de la perspective respective. Voici un autre exemple. Un livre contient des données primaires, telles que le titre du livre et son contenu. En outre, une série de métadonnées est disponible lors de la publication d’un livre :

  • Auteur
  • Maison d´édition
  • Date et lieu de publication
  • Edition
  • ISBN

Imaginons que les métadonnées de nombreuses publications soient rassemblées dans une base de données. Les informations relatives à la publication seraient des données primaires. En outre, il y aurait un nouvel ensemble de métadonnées pour chaque publication. Par exemple, la base de données pourrait enregistrer le moment où une entrée a été ajoutée et par quel utilisateur pour chaque publication.

TYPES DE MÉTADONNÉE ET UTILISATIONS

Les métadonnées sont présentes dans tous les domaines du stockage et du traitement des données. L’utilisation des métadonnées ne peut être décrite de manière concluante. Nous mentionnons ici trois grands domaines d’utilisation :

1. Fournir le contexte de l’information

Les métadonnées décrivent souvent le processus qui a conduit à la création de l’information. Par exemple, pensez aux coordonnées géographiques avec lesquelles les photographies numériques sont étiquetées. Le contexte, une fois perdu, peut ne pas pouvoir être reconstruit et est donc sauvegardé.

2. Garder la possibilité de récupérer des informations qui, autrement, devraient être calculées de manière complexe

Pensez au temps de lecture d’une vidéo. Il est intégré sous forme d’information temporelle dans le fichier vidéo. Si on ne l’enregistrait pas, il faudrait le calculer. Une approche réaliste consisterait à compter le nombre d’images et à le diviser par la fréquence d’images, ce qui représente un effort relativement important.

3. Lier les informations entre elles afin de faciliter la recherche et la découverte

L’objectif principal ici est de soutenir les informations lisibles par l’homme avec des données lisibles par la machine. L’objectif est d’établir des connexions entre les informations à l’aide de processus automatisés. On utilise notamment des données structurées, qui sont liées entre elles pour former un « Web sémantique ».

Métadonnées décrivant les images numériques

Les images prises avec des appareils photo numériques et des smartphones contiennent une variété de métadonnées. D’une part, il s’agit de données techniques, telles que les dimensions de l’image, l’appareil photo utilisé, la distance focale, etc. Elles sont définies dans la norme standard EXIF et sont automatiquement créées par la caméra. De plus, le standard IPTC définit des métadonnées qui décrivent le contenu de la photo et qui sont saisies par l’utilisateur.


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

Découverte d’une vulnérabilité critique dans l’application TikTok

Dans un billet de blogue publié le 31 août 2022, Microsoft indique avoir découvert et signalé une faille de gravité critique dans l’application TikTok en février 2022. La vulnérabilité permettait aux attaquants de prendre le contrôle « rapidement et discrètement » des comptes en un seul clic, et en incitant les cibles à cliquer sur un lien malveillant spécialement conçu.

En exploitant la faille, les attaquants pourraient accéder ou modifier les informations privées des utilisateurs de TikTok, ou effectuer des requêtes HTTP authentifiées. La vulnérabilité suivie comme CVE-2022-28799 est désormais corrigée depuis la sortie de la version 23.7.3 de TikTok, publiée moins d’un mois après la divulgation initiale de Microsoft. Le géant américain souligne qu’il n’a pas encore trouvé de preuve que la CVE-2022-28799 a été exploitée….[Lire la suite]


Sources :

Anssi

Vulnerability in TikTok Android app could lead to one-click account hijacking – Microsoft Security Blog

Microsoft found TikTok Android flaw that let hackers hijack accounts


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

exxpert-informatique-cybersecurite-piratage

Découverte de multiples vulnérabilités dans les produits Adobe

Le 11 octobre 2021, le CERT-FR a publié un résumé de ces vulnérabilités qui permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.

Les produits concernés sont Acrobat DC (pour Windows) version 21.007.20095 et antérieures, Acrobat DC (pour macOS) version 21.007.20096  et antérieures, Acrobat Reader DC (pour Windows) version 21.007.20095 et antérieures, Acrobat Reader DC (pour macOS) version 21.007.20096  et antérieures, Acrobat 2020 version 20.004.30015 et antérieures, Acrobat Reader 2020 version 20.004.30015 et antérieures, Acrobat 2017 version 17.011.30202  et antérieures, et Acrobat Reader 2017 version 17.011.30202  et antérieures. Un bulletin de sécurité et des correctifs ont été fournis par l’éditeur.


Sources : ANSSI Adobe Security Bulletin

exxpert-informatique-cybersecurite-piratage

Découverte de multiples vulnérabilités dans le noyau Linux d’Ubuntu

De multiples vulnérabilités ont été découvertes dans le noyau Linux d’Ubuntu.

Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à la confidentialité des données. Les systèmes affectés sont les Ubuntu 20.04 LTS pour Raspberry Pi et les Ubuntu 18.04 LTS pour Raspberry Pi. Des correctifs sont disponibles.


Source : ANSSI et Multiples vulnérabilités dans le noyau Linux d’Ubuntu – CERT-FR


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

Corrections de failles de sécurité - Le Net Expert Informatique - denis JACOPINI

Netgear corrige trois vulnérabilités affectant vingt de ses produits

La société a corrigé trois failles de sécurité qui affectent vingt produits Netgear, principalement des commutateurs intelligents.

Les détails techniques et le code d’exploitation de preuve de concept pour deux des bogues sont accessibles au public. Netgear identifie les bogues comme PSV-2021-0140, PSV-2021-0144, PSV-2021-0145, car les numéros de suivi n’ont pas encore été attribués. Ces vulnérabilités ont reçu des scores de gravité compris entre 7,4 et 8,8.

Source : NETGEAR has released fixes for multiple security vulnerabilities on the following product models


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

3 failles critiques chez SAP

L’entreprise allemande a publié dix-neuf bulletins de sécurité, dont trois concernant de nouvelles failles critiques.

La première, immatriculée CVE-2021-33698 (CVSS v3 9,9), affecte SAP Business One et réside dans le téléversement de fichiers sans restrictions suffisantes. Un attaquant pourrait téléverser des fichiers et mener une exécution de code arbitraire.

La deuxième faille (CVE-2021-33690, CVSS v3 9,8) est de type SSRF (« Server-side request forgery ») et affecte NetWeaver Development Infrastructure. Un attaquant pourrait exploiter la faille en envoyant des requêtes spécifiques pour compromettre le serveur et ainsi collecter les données stockées ou porter atteinte à sa disponibilité.

Enfin, la CVE-2021-33701 (CVSS v3 9,1) est une faille d’injection SQL dans SAP NZDT (« Near Zero Downtime Technology).


Source :SAP Security Patch Day – August 2021 – Product Security Response at SAP – Community Wiki


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

LE NET EXPERT - Cybersécurité

Un malware découvert dans plus de 30 000 Macs, y compris ceux équipés de puces M1

Un logiciel malveillant surnommé « Silver Sparrow » a été découvert dans près de 30 000 ordinateurs Apple. Chose surprenante, il visait à la fois les machines équipées de processeurs Intel et celles dotées des puces M1 signées Apple, qui viennent tout juste d’être commercialisées.

Contrairement à la croyance populaire, les Macs ne sont pas épargnés par les attaques informatiques. Fin janvier, plusieurs chercheurs en sécurité des sociétés Red Canary et Malwarebytes ont découvert l’existence d’un nouveau logiciel malveillant ciblant le système d’exploitation macOS. Ils l’ont baptisé Silver Sparrow.

30 000 MACHINES TOUCHÉES

Dans un billet de blog publié le 17 février, Red Canary révèle que près de 30 000 ordinateurs Apple dans 153 pays différents sont victimes de ce logiciel malveillant. Sa particularité ? Il touche aussi bien les systèmes équipés d’un processeur Intel (architecture x86) que les nouveaux processeurs M1 conçus par Apple (architecture ARM64).

Autre spécificité, il utilise Javascript avec l’installateur de MacOS pour infiltrer l’ordinateur. Une fois installé sur un système, le malware reçoit des informations d’un serveur plusieurs fois par heure. Il passe pour ce faire par une instance hébergée sur la plateforme cloud Amazon Web Services (AWS). Il se sert également du réseau de diffusion de contenu d’Akamai. Par ailleurs, Silver Sparrow est doté d’un mécanisme lui permettant de supprimer toute trace de sa présence dans la machine s’il en reçoit la commande.

PAS DE « PAYLOAD » DANS LE MALWARE

Cependant, et bien qu’étant présent sur plusieurs dizaines de milliers d’ordinateurs, le malware n’a jusqu’à présent pas été utilisé (ni activité son processus d’autodestruction). D’après Apple, aucune des versions analysées ne contenait d’instructions pour tirer parti de leur présence sur les machines infiltrées. Les malfaiteurs attendaient donc a priori d’atteindre une masse critique ou d’avoir un besoin spécifique…[Lire la suite]


Source : Silver Sparrow : un malware découvert dans plus de 30 000 Macs, y compris ceux équipés de puces M1


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

Expert informatique - Citrix

Les appareils Citrix utilisables comme vecteurs d’attaque DDoS

Des acteurs malveillants ont découvert un moyen de mener une attaque DDoS par rebond en exploitant les équipements réseau Citrix ADC.

Bien que les détails sur les attaquants soient encore inconnus, ces attaques DDoS ont surtout visé des services de jeux en ligne, notamment Steam et Xbox, selon des sources consultées par ZDNet.

Une faille sur l’interface DTLS

Les premières attaques ont été détectées la semaine dernière et documentées par l’administrateur de systèmes informatiques allemand Marco Hofmann. Ce dernier a remonté le problème jusqu’à l’interface DTLS sur les appareils ADC de Citrix.

DTLS, ou Datagram Transport Layer Security, est une version plus élaborée du protocole TLS mis en œuvre sur le protocole de transfert UDP plutôt que sur le protocole TCP, plus fiable.

Comme tous les protocoles basés sur UDP, DTLS est vulnérable au spoofing et peut être utilisé comme un vecteur d’amplification DDoS. Ce qui signifie que les attaquants peuvent envoyer des paquets DTLS à l’appareil compatible et que la réponse est renvoyée dans un paquet largement plus important vers une adresse IP tierce (la victime de l’attaque DDoS)…[Lire la suite]


Source :Les appareils Citrix sont utilisés comme vecteurs d’attaque DDoS – ZDNet


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

Expertises numériques LE NET EXPERT - Failles de sécurité dans WhatsApp

Six vulnérabilités découvertes dans WhatsApp

WhatsApp a indiqué sur son site de conseil en sécurité la découverte de six vulnérabilités qui permettraient aux attaquants d’exécuter du code à distance.

La CVE-2020-1894 permet le débordement d’écriture de pile dans WhatsApp Business sous Android.

La CVE-2020-1891 autorise une écriture hors limites sur des périphériques 32 bits, lié à un paramètre contrôlé par l’utilisateur sous Android.

La CVE-2020-1890 est un problème de validation d’URL sous Android avant la version Whatsapp 2.20.11 et WhatsApp Business avant la version 2.20.2.

La CVE-2020-1889 est un problème de contournement des fonctionnalités de sécurité dans les versions de WhatsApp Desktop antérieures à la version 0.3.4932.

La CVE-2020-1886 est un dépassement de la mémoire tampon sous Android avant la version Whatsapp 2.20.11 et WhatsApp Business avant la version 2.20.2.

La CVE-2019-11928 est liée à un problème de validation des entrées dans les versions de WhatsApp Desktop antérieures à la version 0.3.4932.


Sources : WhatsappGBHackers


Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Après avoir lu cette information, Denis JACOPINI, notre Expert Informatique a souhaité la partager avec vous. Nous espérons qu’elle complètera vos connaissances sur les sujets relatifs à la cybercriminalité.

Un commentaire, un complément ? Avec plaisir, c’est par ici.


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.