Libert, galit, Spyware : la France autorise les flics à espionner les téléphones
Infosec en bref Alors que les émeutes secouent le pays, les parlementaires français ont adopté un projet de loi accordant aux forces de l’ordre le droit d’espionner les suspects via « l’activation à distance d’un appareil électronique à l’insu ou sans le consentement de son propriétaire ».
C’est le langage direct (via la traduction automatique) utilisé dans la version du Sénat français d’un projet de loi de réforme de la justice adopté plus tôt. Selon la publication française Le MondeL’Assemblée générale française vient d’adopter leur version, mais avec quelques amendements qui obligeront le Sénat à approuver les modifications avant qu’elles ne deviennent loi.
En vertu de cette disposition, la police française aura le droit d’activer des caméras et des microphones à distance, ainsi que de collecter des données de localisation à partir d’appareils appartenant à des suspects accusés d’avoir commis des crimes passibles d’au moins cinq ans de prison. La police peut recueillir des données de cette manière jusqu’à six mois, et tous les smartphones, ordinateurs portables et même les automobiles connectés peuvent être utilisés pour la surveillance.
Par Le Monde, les législateurs du parti Renaissance du président français Emmanuel Macron ont ajouté plusieurs amendements à ce qui a été surnommé la « charte des fouineurs » exigeant que l’espionnage à distance ne soit utilisé que « lorsque cela est justifié par la nature et la gravité du crime », et même alors seulement pour un « strict et durée proportionnelle ». Les professions considérées comme sensibles, notamment les médecins, les journalistes, les avocats, les juges et bien sûr les députés, ne peuvent être visées par la loi telle qu’adoptée par l’Assemblée générale.
« A l’heure où les violences policières ne font qu’augmenter, où les mouvements politiques sont muselés par la surveillance et les perquisitions massives, les parlementaires s’apprêtent à autoriser la transformation de tous les objets connectés en mouchards policiers », a déclaré La Quadrature du Net. a dit de la facture.
Le ministre français de la Justice, Ric Dupond-Moretti, a déclaré que le projet de loi ne s’appliquerait qu’à quelques dizaines de cas par an et, plutôt que d’être un moyen pour la France d’introduire des logiciels espions parrainés par le gouvernement sur les appareils de toute personne accusée d’un crime, sauvera des vies.
« Nous sommes loin du totalitarisme de 1984, » il prétendait.
Masto ne négligez pas les vulnérabilités critiques de cette semaine
Pour une grande partie du monde, ce n’était qu’une semaine de plus, mais aux États-Unis, c’était le jour de l’indépendance mardi, ce qui rendait les choses un peu calmes. Cela ne signifie pas pour autant que certaines vulnérabilités critiques n’ont pas été identifiées.
Le réseau social décentralisé Mastodon est en tête du peloton avec un problème plutôt sérieux identifié cette semaine. CVE-2023-36460, avec son score CVSS de 9,9, existe dans les versions Mastodon à partir de 3.5.0.
Le problème pourrait permettre à un attaquant avec un fichier multimédia spécialement conçu « d’amener le code de traitement multimédia de Mastodon à créer des fichiers arbitraires à n’importe quel endroit », selon le NIST. Tout fichier auquel Mastodon a accès peut également être écrasé. Il est conseillé aux utilisateurs de Mastodon de mettre à jour la version 3.5.9, 4.0.5 ou 4.1.3, selon le fork qu’ils utilisent.
Vous avez entendu parler du tout nouveau Firefox 115 ? Il comprenait plusieurs correctifs de sécurité importants, et Mozilla en a également publié d’autres :
- Firefox 115 corrige plusieurs vulnérabilités très graves, notamment des bogues de sécurité de la mémoire qui pourraient être utilisés pour exécuter du code arbitraire et un problème d’utilisation après libération dans la création de connexions WebRTC via HTTPS.
- Firefox ESR 102.13 a reçu des correctifs pour des vulnérabilités similaires.
- Thunderbird v. 102.13 corrige également quelques problèmes similaires à ceux de Firefox.
CISA a publié une seule vulnérabilité ICS critique, mais il s’agit certainement d’une vulnérabilité critique. Trouvé dans le logiciel PiiGAP M-Bus pour le 900S, l’avis comprend neuf CVE distincts allant d’un score CVSS de 5,9 à 9,8. Les problèmes incluent les informations d’identification codées en dur, la transmission en texte brut des informations d’identification et l’échec du nettoyage des entrées, entre autres.
En ce qui concerne les vulnérabilités sous exploit actif, un seul cas critique a été identifié cette semaine dans plusieurs versions des pilotes du noyau GPU Arm Mali. S’il est exploité par un attaquant, cela pourrait entraîner la divulgation d’informations ou une élévation des privilèges root.
Le géant pétrolier Shell clippé par Cl0p pour la deuxième fois en trois ans
On pourrait penser qu’une compagnie pétrolière internationale aussi grande que Shell apprendrait sa leçon après que le gang russe de cybercriminalité Cl0p ait abusé d’une application vulnérable de transfert de fichiers pour voler et rançonner les données des employés en 2021. Ce n’est pas le cas, cependant, comme Shell vient d’admettre que Cl0p a frappé de la même manière cette fois en utilisant son nouvel exploit dans une autre application de transfert de fichiers, MOVEit.
« Un incident de cybersécurité a eu un impact sur un logiciel tiers de Progress appelé MOVEit Transfer, qui fonctionnait sur une plate-forme informatique Shell », a expliqué Shell dans un bref communiqué sur la violation.
Shell a déclaré qu’il ne s’agissait pas d’un événement de ransomware, en d’autres termes, il a été victime de la même vulnérabilité d’injection SQL, ou peut-être de l’une des autres vulnérabilités, qui aurait été exploitée par Cl0p. Shell a révélé les données volées relatives aux employés de sa filiale BG Group, ajoutant qu’il n’y avait aucune preuve d’impact sur d’autres systèmes informatiques.
Cl0p a frappé Shell pour la dernière fois il y a deux ans d’une manière similaire à l’époque impliquant un logiciel de transfert de fichiers fabriqué par Accellion, qui a depuis été rebaptisé Kiteworks. Des scans de passeports et de visas appartenant à des employés ont été volés lors de cet incident.
Pour aggraver les choses, le rapport de Shell sur la violation intervient juste un jour avant que Progress, le fabricant de MOVEit, ne publie un service pack pour résoudre trois vulnérabilités graves supplémentaires dans son code. Progress a déclaré que les packs de services MOVEit seront une mesure de sécurité régulièrement publiée pour lutter contre l’exploitation de son logiciel, de sorte que toute personne qui n’a pas encore fui vers un autre fournisseur de services devrait obtenir un correctif, de peur que vous ne finissiez comme Shell.
Des centaines de centrales solaires menacées par le rachat de Mirai
Il existe plus de 600 installations d’énergie solaire dans le monde qui utilisent du matériel et des logiciels de surveillance SolarView qui sont vulnérables à une faille sous exploitation active. Il est lié au botnet Mirai, ont rapporté cette semaine des chercheurs en sécurité de Vulncheck.
L’exploit en question CVE-2022-29303 permet l’injection de commandes à distance en raison de l’échec de la désinfection des entrées de l’utilisateur, et pourrait conduire à une prise de contrôle par un botnet de style Mirai. En cas d’exploitation, les attaquants pourraient pivoter pour attaquer du matériel ICS supplémentaire, ainsi que couper la surveillance des installations d’énergie solaire, affectant la productivité et les revenus.
Vulncheck a déclaré que le moteur de recherche IoT Shodan rapporte que plus de 600 systèmes SolarView sont connectés à Internet malgré le fait qu’ils devraient être limités aux réseaux ICS. Alors que des correctifs pour l’exploit, trouvés dans la version 6.00 du logiciel SolarView, sont disponibles depuis l’année dernière, moins d’un tiers des systèmes concernés ont été corrigés, a déclaré Vulncheck.
Pour aggraver les choses, plusieurs nouveaux CVE identifiés par Vulncheck affectent également les systèmes SolarView, ce qui signifie que même le tiers des systèmes corrigés pourrait toujours être à risque.
La leçon? Gardez votre réseau et votre matériel ICS segmentés d’Internet, quelles que soient vos excellentes habitudes de mise à jour.