La faille se situe dans l'utilitaire Lenovo Fingerprint Manager Pro qui permet aux utilisateurs de déverrouiller leur ordinateur ou de s'authentifier pour des paiements en ligne. "Les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les informations d'identification de Windows et les données d'empreintes digitales des utilisateurs, sont chiffrées à l'aide d'un algorithme faible, avec un mot de passe codé en dur, et sont accessibles à tous les utilisateurs disposant d'un accès local non administrateur", reconnaît la firme.

Pour s’infiltrer dans les téléphones de leurs cibles, les hackeurs ont créé au moins onze clones vérolés d’applications de discussion, comme Telegram, WhatsApp ou Signal, en y insérant un logiciel de surveillance surnommé Pallas. Ces applications ressemblent en tout point aux originales, remplissent la même fonction, mais envoient les contacts, messages et autres données à un serveur contrôlé par les hackers.

Ces applications n’étaient pas proposées dans les boutiques officielles, mais dans d’autres sites habillés d’une manière à avoir l’air légitimes. Afin d’infecter leurs cibles, les espions ont essentiellement recouru à des techniques dites d’« hameçonnage » pour attirer leurs victimes vers ces fausses boutiques d’applications ou leur faire ouvrir, par exemple, des documents Word piégés. Outre ces techniques exécutées à distance, les chercheurs notent que les espions à l’origine de Dark Caracal ont parfois accédé physiquement aux appareils de certaines de leurs cibles.

Les données dérobées sur les téléphones incluent des enregistrements audio de conversations téléphoniques, des SMS, les journaux d’appels, les contenus de logiciels de messageries, les contacts ainsi que des photographies. A partir des ordinateurs, les pirates ont subtilisé des historiques de conversations sur le logiciel Skype, des dossiers photos dans leur intégralité, des listes de tous les fichiers présents sur la machine, et pouvaient même réaliser des captures d’écran à intervalles réguliers.

Pour s’infiltrer dans les téléphones de leurs cibles, les hackeurs ont créé au moins onze clones vérolés d’applications de discussion, comme Telegram, WhatsApp ou Signal, en y insérant un logiciel de surveillance surnommé Pallas. Ces applications ressemblent en tout point aux originales, remplissent la même fonction, mais envoient les contacts, messages et autres données à un serveur contrôlé par les hackers.

Ces applications n’étaient pas proposées dans les boutiques officielles, mais dans d’autres sites habillés d’une manière à avoir l’air légitimes. Afin d’infecter leurs cibles, les espions ont essentiellement recouru à des techniques dites d’« hameçonnage » pour attirer leurs victimes vers ces fausses boutiques d’applications ou leur faire ouvrir, par exemple, des documents Word piégés. Outre ces techniques exécutées à distance, les chercheurs notent que les espions à l’origine de Dark Caracal ont parfois accédé physiquement aux appareils de certaines de leurs cibles.

Les données dérobées sur les téléphones incluent des enregistrements audio de conversations téléphoniques, des SMS, les journaux d’appels, les contenus de logiciels de messageries, les contacts ainsi que des photographies. A partir des ordinateurs, les pirates ont subtilisé des historiques de conversations sur le logiciel Skype, des dossiers photos dans leur intégralité, des listes de tous les fichiers présents sur la machine, et pouvaient même réaliser des captures d’écran à intervalles réguliers.

Un chercheur a récemment tiré la sonnette d’alarme : on trouve sur Chrome des extensions au comportement particulièrement dangereux, résistantes aux tentatives de désinstallation. Un problème qui rappelle que les extensions nécessitent presque la même surveillance que les applications classiques.

Encore une fois, Android est victime d'un logiciel espion et celui découvert par les ingénieurs de Kaspersky fait froid dans le dos. Actif depuis 2014 et conçu pour une cybersurveillance ciblée, cet implant, nommé Skygofree, "comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés", souligne l'éditeur de sécurité. Son vecteur de propagation est classique : il se planque dans des pages web imitant celles de grands opérateurs mobiles.

Intel dans l'œil du cyclone

Si vous utilisez le navigateur maison de Samsung dans votre smartphone, vérifiez que vous êtes à jour. Les version inférieures ou égale à la 5.4.02.3 sont victimes d'une faille critique qui permet à un attaquant de détourner de nombreuses informations personnelles stockées dans le terminal, notamment des mots de passe ou identifiants.

Avoir une application de test permettant un accès root à un terminal, c’est utile en usine. Mais certains constructeurs semblent quelque peu négligents. Ainsi, OnePlus a laissé sur les versions utilisateurs de ses smartphones une application usine. Et le Chinois n’est pas le seul concerné.

Une faille de sécurité facilement exploitable

Le populaire "123456" conserve donc la première place devant le très protecteur "password". 12345678, qwerty, 123456, 123456789, letmein, 1234567, football et iloveyou composent le top 10. Pire, la 11e place est occupé par "admin". Ces mots de passe sont le niveau zéro de la sécurité. En effet, ils figurent parmi les plus souvent testés lors d’attaques par dictionnaires.

L’agence française de sécurité des systèmes d'information (ANSSI) rappelle sur son site qu’un mot de passe doit donc comporter au moins 10 caractères, et être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories).

En fouillant les fonctionnalités du driver, celui-ci a découvert un morceau de code anciennement utilisé pour les opérations de debug du driver. Celui-ci présentait une faille de sécurité et un utilisateur qui en connaît l’existence peut modifier le registre du système afin d’activer les fonctionnalités de capture de frappe au clavier laissées par inadvertance au sein du driver.

Une fonctionnalité qui pourrait se révéler particulièrement intéressante pour un malware qui en connaîtrait l’existence, puisqu’elle permettrait de faire fonctionner un keylogger sans avoir besoin d’exécuter du code inconnu sur la machine, mais en modifiant simplement une valeur du registre et en récupérant les données capturées par le driver de HP.

[...]

Si HP se montre si réactif, c’est peut-être parce que le constructeur a souffert de mauvaise presse cette année suite à des problèmes similaires. Au mois de mai, le constructeur avait en effet déjà été épinglé pour avoir livré un driver audio disposant de fonctionnalités de capture de frappe.

HP vient de publier des correctifs pour firmware afin de corriger une faille de sécurité qui permettait d'effectuer des attaques d'exécution de code à distance sur des imprimantes professionnelles.

Les ordinateurs et les téléphones fabriqués par Apple ont souffert ces dernières semaines de plusieurs défaillances logicielles dont l’entreprise – d’ordinaire réputée pour la qualité de son code informatique – a du mal à se dépêtrer.

Mais Apple est peut-être allé un peu vite en besogne puisque le patch en question génère un petit souci technique. Une fois installé, il peut empêcher le partage de fichiers entre plusieurs ordinateurs connectés sur le même réseau professionnel ou domestique. Concrètement, la connexion ou l'authentification aux partages de fichiers pose problème.

Là encore, Apple a vite reconnu le problème et propose une solution pour régler le problème. Il faut néanmoins intervenir dans l'interface de ligne de commandes.

Les défis de la croissance rapide et de la mise à jour d'Android ont abouti à ce qu’un peu plus d'un milliard de terminaux fonctionnent aujourd’hui avec un OS obsolète depuis plus de deux ans.

L’accès administrateur ouvert au tout-venant !

La vulnérabilité vieille de 17 ans qui touche toutes les versions de Microsoft Office sur l’ensemble des plateformes Windows a attiré l’attention de pirates.

[...]

La faille Office les intéresse d’autant plus que celle-ci permet d’exécuter du code à distance sur la machine affectée. Il suffit pour cela que l’utilisateur ouvre un fichier infectieux, envoyé par email notamment, ou depuis un serveur WebDAV.

La procédure d’infection ne fait pas appel à une macro comme c’est souvent le cas avec les fichiers bureautiques.

Pour sa part, Corbalt diffuse par email un fichier texte RTF afin d’activer le téléchargement d’autres exécutables infectieux.

Un bon rappel pour changer de mot de passe