Risque de piratage sur des milliers de pacemakers américains


C’est beau la technologie médicale via Internet, mais des risques de piratage existent aussi. Heureusement, que des chercheurs Belge on signalé la faille de sécurité des stimulateurs cardiaques (pacemaker) fabriqué par Abbott pour que des mises jours puissent se faire aux patients concernés
Nuage

 

Risque de piratage sur des milliers de pacemakers américains

Risque de piratage sur des milliers de pacemakers américains

Le 4 septembre 2017.

Les pacemakers du fabriquant américain Abbott souffriraient d’un défaut de sécurité et seraient potentiellement piratables. Un défaut de mise à jour qui devrait être rapidement résolu.

Les pacemakers fabriqués par St. Jude Medical

Une équipe de chercheurs de l’université de Louvain, en Belgique, a fait une étonnante découverte. Ils ont en effet révélé que les pacemakers fabriqués par St. Jude Medical, une entreprise acquise par Abbott, pouvaient être piratés. Des personnes malintentionnées pourraient en effet contrôler le rythme ou vider la batterie de ces appareils qui sont destinés aux personnes atteintes de bradycardie, c’est-à-dire qui ont un rythme cardiaque trop lent.

Cette découverte a poussé la Food and Drug Administration (FDA), la plus haute autorité sanitaire américaine, à demander aux professionnels de santé concernés et aux porteurs de ces pacemakers de mettre à jour leurs appareils. Au total, près de 460 000 pacemakers pourraient être concernés par ce défaut de sécurité.

« Cette mise à jour sera lancée en France après validation locale », a assuré la société Abbott à nos confrères de L’OBS.

Risque d’épuisement rapide de la batterie

Selon la FDA, si ces failles de sécurité étaient exploitées, elles pourraient « permettre à un utilisateur non autorisé – c’est-à-dire autre que le médecin – d’accéder au dispositif en utilisant des équipements disponibles dans le commerce ». Et d’ajouter que « cet accès pourrait être utilisé pour modifier les commandes de programmation sur le stimulateur cardiaque implanté, ce qui pourrait entraîner des dommages pour le patient ».

Le risque est en effet suffisamment important pour être signalé. Les patients porteurs des appareils suivants doivent donc entrer en contact avec leur médecin : Accent SR RF™, Accent MRI™, Assurity™, Assurity MRI™, Accent DR RF™, Anthem RF™, Allure RF™, Allure Quadra RF™, et Quadra Allure MP RF™. Il n’est pas nécessaire de changer de pacemaker pour autant, une simple mise à jour suffit.

Marine Rondot

http://www.passeportsante.net/

Nounours piratés : des millions de messages d’enfants et de parents dérobés


Pourquoi acheter une peluche connectée et lui parler à travers le toutou par le truchement de Smartphone ? Pourquoi pas lui parler par téléphone si le parent est au travail ou toutes autres raisons ? Je veux bien croire qu’on veut être à la mode et être connecté de partout, mais les enfants en ont-ils vraiment besoin ? C’est un risque de plus pour le piratage des objets connectés
Nuage

 

Nounours piratés : des millions de messages d’enfants et de parents dérobés

 

Nounours piratés : des millions de messages d'enfants et de parents dérobés

Les animaux en peluche de CloudPets (page d’accueil du site web de CloudPets)

Parler à son bébé via son doudou, c’est charmant… mais faute de sécurité, c’est la porte ouverte au vol de données et aux demandes de rançon informatique.

 

Thierry Noisette

Comme c’est trognon : des lapins et des ours en peluche connectés, qui permettent aux parents d’envoyer un message vocal à leur enfant qui le reçoit via son jouet, et peut répondre à papa ou maman, ou tout autre proche. Charmante idée en apparence, sauf que, dans le cas des doudous du californien CloudPets, il y avait une faille de sécurité, révèle un spécialiste en sécurité informatique, Troy Hunt.

Résultat, plus de 820 000 comptes utilisateurs étaient exposés, ainsi que 2,2 millions de messages audio enregistrés dont l’URL (l’adresse web du fichier) était facile à retrouver.

Troy Hunt explique que les gens « ne pensaient pas au fait que quand vous vous connectez à l’ours en peluche, la voix de vos enfants se trouve dans un serveur d’Amazon ».

Les jouets de CloudPets sont reliés à des applis mobiles ; l’utilisateur crée un compte chez CloudPets en donnant le nom de son enfant, une adresse e-mail et une photo. Il peut ensuite envoyer ou recevoir des messages par le truchement du joujou.

Voici la vidéo publicitaire de ces jouets :

 

CloudPets, qui a lancé ses jouets connectés (chat, chien, lapin et ours en peluche) en 2015, héberge ses données en ligne, mais cette base de données n’était pas protégée. Hunt a expliqué à CNN que c’est du même ordre qu’avoir un smartphone non verrouillé par un code. Cette base de données était indexée par Shodan, un moteur de recherche d’objets connectés à Internet – qui peut servir à détecter des dispositifs mal sécurisés, comme des caméras, ce que Rue89 a fait en 2014.

L’entreprise n’a rien dit à ses utilisateurs

Selon Hunt, quelqu’un a volé les données du service de CloudPets, puis les a effacées et a demandé à l’entreprise une rançon, en bitcoins. Au lieu de payer les malfaiteurs pour récupérer ces données, CloudPets les a restaurées avec une sauvegarde antérieure. Cependant, la compagnie n’a pas prévenu ses utilisateurs de la fuite (des témoignages rapportés par Hunt montrent même que plusieurs messages d’alerte de clients ont été ignorés pendant des jours), et les mots de passe dérobés sont toujours valides, ont constaté les chercheurs.

CNN relève que cela pourrait être un délit : la loi californienne oblige les entreprises à signaler aux utilisateurs si leurs informations ont été exposées en ligne, et CloudPets et son fabricant Spiral Toys se trouvent en Californie.

Le site Motherboard, alerté par les chercheurs en sécurité, souligne qu’en janvier la base de données en ligne de CloudPets a été effacée au moins deux fois, et que des pirates y ont accédé à plusieurs reprises.

Ce n’est pas le premier piratage de jouets connectés : fin 2015, Troy Hunt avait découvert une faille dans des gadgets Vtech, exposant les données de millions de parents et d’enfants.

Poupées interdites en Allemagne

Il y a quelques jours, l’Allemagne a interdit la vente des poupées Cayla en raison de leur facilité à être piratées, et recommandé aux parents en ayant déjà acheté de les jeter – le distributeur a assuré qu’en suivant le mode d’emploi elle ne permettait pas l’espionnage, et déclaré qu’il irait en justice contre cette décision du régulateur des télécoms.

Peu avant Noël, l’UFC Que Choisir avait alerté contre les lacunes en sécurité et en protection des données de deux jouets, la poupée Cayla et le robot i-Que. L’association de défense des consommateurs a saisi la CNIL (Commission nationale de l’informatique et des libertés) et la DGCCRF.

Motherboard note qu’en attendant que les concepteurs et fabricants d’objets dits « intelligents » de « l’Internet des objets » se décident à en améliorer la sécurité, « si vous êtes un parent qui ne voulez pas que vos messages affectueux à vos enfants soient divulgués en ligne, vous pourriez vouloir un bon vieux nounours à l’ancienne, qui ne soit pas relié à un serveur à distance non sécurisé ».

La CNIL a publié en novembre un rappel sur la sécurité des objets connectés.

http://tempsreel.nouvelobs.com

Cet homme aurait pu effacer YouTube… mais ne l’a pas fait


Il y a des gens que l’informatique n’a pas de secret. Combien de fois, qu’on annonce une faille de sécurité sur les sites web que nous visitons. Parfois, il est trop tard, mais comme ce cas-ci, une personne trouvant une grosse faille informatique sur YouTube a choisi la récompense au lieu de se faire plaisir en supprimant des personnes publics qu’il n’aime pas
Nuage

 

Cet homme aurait pu effacer YouTube… mais ne l’a pas fait

 

Image YouTube.

Repéré par Vincent Manilève

Dans la série des apocalypses numériques évitées, un développeur a trouvé un moyen d’effacer toutes les vidéos de la plateforme de Google.

Kamil Hismatullin, un développeur russe, a découvert une énorme faille de sécurité sur le site d’hébergement de vidéo YouTube qui aurait pu lui permettre d’effacer toutes les vidéos qui s’y trouvent.Une découverte qui, entre de mauvaises mains, auraient pu avoir des conséquences terribles et effacer des vidéos déjà cultes.

Dans une vidéo, justement postée sur YouTube et relayée par le site PC Gamer, Kamil Hismatullin montre en quelques clics comment il a pu effacer une vidéo.

Sur son site, il précise sa méthode, a priori accessible à n’importe quelle personne connaissant un peu le code. En une seule petite requête, la vidéo pouvait être effacée. De façon générale, toutes les vidéos étaient vulnérables.

«J’ai passé entre 6 et 7 heures à chercher, en prenant en compte le fait que j’ai dû lutter contre l’envie de nettoyer la chaîne de Justin Bieber», s’amuse-t-il.

«Il aurait pu mettre fin au Gangnam Style et ses 2,2 milliards de vues, note le site Gawker. Il aurait pu effacer Rickroll, Rihanna, Macklemore, Minecraft,Charlie Bit My Finger. Il aurait pu bien sûr automatiser le procédé et balayer YouTube en entier. Plus de vidéos, plus de blagues de Jimmy Kimmel, plus de contenus. (…).»

Fort heureusement, Kamil Hismatullin n’a pas abusé de cet immense pouvoir, et a rapporté le bug à la maison mère de YouTube, Google, pour empocher 5.000 dollars (4.600 euros environ).

Depuis le mois de janvier, l’entreprise américaine offre des récompenses à toute personne trouvant un bug dans ses sites. Elle sélectionne régulièrement des personnes qualifiées pour leur proposer de farfouiller dans le code de leurs produits afin de les rendre un peu plus fiables. En 2014, plus d’un million et demi de dollars ont ainsi été distribués.

Il y a quelques semaines, l’entreprise avait souffert d’un bug majeur en révélant la fuite des données personnelles de 282.000 personnes utilisant le service «Apps for Work». Une faille qui aurait pu se révéler désastreuse pour de clients. D’où la nécessité pour Google de surveiller les moindres détails de ses produits.

Kamil Hismatullin, choisi dans le cadre de ce programme de récompense, a donc bien fait de se pencher sur le site de vidéos.

«Le problème a été réglé en quelques heures, Google m’a donné 5.000 dollars et aucune vidéo de Bieber n’a été effacée», conclut le développeur. 

http://www.slate.fr/

Internet Explorer, navigateur le plus utilisé mais aussi le moins sécurisé


Cela fait belle lurette que j’ai délaissé Internet Explorer, il y a d’autres domaines d’exploitations qui sont plus sécuritaire et on s’habitue très vite à les utiliser.
Nuage

 

Internet Explorer, navigateur le plus utilisé mais aussi le moins sécurisé

Une fois encore, c’est Internet Explorer qui a enregistré le plus de vulnérabilités au premier trimestre 2014. La rançon d’un succès qui se ternit. Photo : NVD/Bromium

Florence Santrot

metronews.fr

SÉCURITÉ – En perte de vitesse, Internet Explorer demeure le navigateur Web le plus populaire. Mais c’est aussi celui qui compte le plus de failles de sécurité, selon un nouveau rapport.

Avec 58 % de parts de marché*, un chiffre stable, Internet Explorer reste encore et toujours le navigateur Web le plus populaire. Mais qui dit grand nombre d’utilisateurs, dit aussi multiples attaques des pirates. Selon le nouveau rapport établi par Bromium, le navigateur de Microsoft était – et de loin – le plus vulnérable en termes de sécurité au premier semestre 2014, souligne le site Tom’s Guide.

De nettes améliorations pour Firefox et Chrome

Le cabinet Bromium, qui analyse les données issues du NVD, la base de données américaine des vulnérabilités, vient d’établir qu’Internet Explorer est le navigateur potentiellement le plus dangereux en ce début d’année, alors que Chrome et Firefox étaient en tête en 2013. Malgré de nombreux patches de sécurité appliqués au premier semestre, les ingénieurs d’IE (qui en est à sa version 11) n’ont donc pas réussi à inverser la tendance alors que ceux de Mozilla (Firefox) et Google (Chrome) ont fait faire de nets progrès à leur logiciel.

Dans le même temps, des logiciels comme Java (Oracle) ou Flash (Adobe) ont nettement progressé en termes de sécurité, même si ce dernier demeure le plus visé par des attaques avec Internet Explorer. La suite Microsoft Office connaît elle aussi une amélioration du nombre de vulnérabilités constatées.

*Source : Netmarketshare

Les navigateurs Web par ordre de popularité (juin 2014)

Dans le monde (selon Netmarketshare)

– Internet Explorer : 58,38 %

– Chrome : 19,34 %

– Firefox 15,54 %

– Safari : 5,28 %

– Opera : 1,05 %

En France (chiffres basés sur les statistiques d’audience de metronews.fr)

– Chrome : 38,7 %

– Firefox : 25,6 %

– Internet Explorer : 20,05 %

– Safari : 11,3 %

– Opera : 0,6 %

http://www.metronews.fr

VIDÉO. Le petit génie qui fait trembler Microsoft


On peut dire tel fils, tel père ou du moins, il marche sur les traces de papa. Si a un an et maintenant 5 ans, il réussit de tels exploits en informatique, alors que sera-t-il dans quelques années. Il a été bien récompensé pour son exploit. Je pense que cela permet de lui enseigner quand même à rester honnête sur Internet
Nuage

 

VIDÉO. Le petit génie qui fait trembler Microsoft

 

Capture d'écran Sipa Media.

Capture d’écran Sipa Media. © Capture d’écran Sipa Media / Sipa Media

SOURCE SIPA MEDIA

 

« Chercheur en sécurité » à seulement cinq ans ! Le petit Kristoffer von Hassel a réussi l’exploit de déjouer un système de sécurité de Microsoft.

 

À cinq ans, ce jeune Américain est déjà un génie de l’informatique. Ses pieds ne touchent même pas le sol lorsqu’il joue à la console… Pourtant, Kristoffer von Hassel a réussi à tromper la vigilance de ses parents et à déjouer le système de sécurité de Microsoft.

Pour jouer à des jeux qui lui étaient interdits, l’enfant s’est connecté au compte Xbox One de son père, sans connaître le mot de passe de ce dernier. Son astuce : entrer n’importe quel mot de passe, puis taper une série d’espaces sur l’écran d’erreurs qui s’affiche.

Le garçon n’en est pas à son coup d’essai…

En découvrant le pot aux roses, c’est plutôt de la fierté qu’a ressenti son père, qui travaille dans la sécurité informatique. Il a immédiatement contacté Microsoft afin de leur faire part de la faille de sécurité.

Pour féliciter l’enfant, la compagnie l’a inscrit sur la liste des remerciements de l’entreprise en tant que « chercheur en sécurité ». Kristoffer von Hassel a aussi reçu quatre jeux, 50 dollars et un abonnement d’un an au Xbox live.

Le garçon n’en est pas à son coup d’essai. Il avait réussi à déjouer la sécurité enfant d’un téléphone mobile, alors qu’il n’avait qu’un an.

http://www.lepoint.fr/