Si vous avez l'impression que les violations de données se multiplient, vous avez peut-être raison. Cette hausse apparente est en partie due à la popularité croissante des logiciels malveillants de type infostealer. Ces types de logiciels malveillants sont de plus en plus utilisés par les cybercriminels pour récupérer autant d'identifiants de connexion et autres données sensibles que possible. Ces données volées sont ensuite vendues sur des forums de hackers criminels, puis utilisées pour pirater les comptes des victimes, qui peuvent inclure ceux de grandes entreprises. Il est donc bon de se rappeler qu'il faut toujours activer l'authentification multifacteur partout où elle est disponible.
Cette semaine, un chercheur en sécurité a révélé la découverte de plus d'une douzaine de bases de données non sécurisées contenant des informations sensibles sur les électeurs de comtés de l'Illinois. Les données, stockées par un sous-traitant du gouvernement, comprennent des numéros de permis de conduire, des numéros de sécurité sociale, des certificats de décès, etc. Si la sécurité des élections s'est généralement améliorée ces dernières années, cet épisode montre à quel point il peut être difficile de protéger toutes les données des électeurs en permanence.
L’histoire des informateurs confidentiels du FBI est longue et sordide, et elle continue. Une enquête de WIRED publiée cette semaine a révélé comment un informateur a infiltré des groupes d’extrême droite et a transmis leurs secrets aux autorités fédérales, tout en diffusant des idéologies haineuses qui ont contribué à inspirer une nouvelle génération d’extrémistes violents en ligne.
Le piratage d'ordinateurs avec des lasers a toujours été un jeu de riches, jusqu'à maintenant. Les chercheurs en sécurité Sam Beaumont et Larry « Patch » Trowell lancent un outil de piratage laser open source appelé RayV Lite, qui peut être produit pour seulement 500 $, une petite fraction des 150 000 $ du matériel laser traditionnellement utilisé pour le piratage matériel. Le duo présentera le RayV Lite lors de la conférence sur la sécurité Black Hat la semaine prochaine à Las Vegas. (WIRED sera sur place pour Black Hat et Defcon, le autre (Une grande conférence sur la sécurité aura lieu la semaine prochaine à Vegas, alors revenez pour notre couverture complète à partir de mardi.)
Enfin, nous avons plongé dans les détails de ChatGPT-4o d'OpenAI pour exposer les avantages et les inconvénients de l'outil d'IA générative en matière de confidentialité.
Mais ce n'est pas tout. Chaque semaine, nous faisons le point sur les principales actualités en matière de sécurité et de confidentialité que nous n'avons pas traitées en profondeur. Cliquez sur les titres pour lire les articles complets. Et restez en sécurité.
Dans le cadre d'un échange historique de prisonniers entre les États-Unis et la Russie, le journaliste du Wall Street Journal Evan Gershkovich et l'ancien Marine Paul Whelan ont été libérés jeudi de détention russe. La Maison Blanche a déclaré que l'accord secret, négocié pendant plus d'un an, concernait 24 prisonniers : 16 transférés de la Russie vers l'Occident et huit de l'Occident vers la Russie, dont deux cybercriminels. NBC News rapporte qu'il s'agit probablement de la première fois que les États-Unis libèrent des pirates informatiques internationaux dans le cadre d'un échange de prisonniers.
Les deux pirates russes sont Roman Seleznev et Vladislav Klyushin. Seleznev a été condamné en 2017 à 27 ans de prison pour des accusations de racket. Selon le ministère américain de la Justice, il a installé un logiciel malveillant sur des systèmes de points de vente qui lui a permis de voler des millions de numéros de cartes de crédit à plus de 500 entreprises américaines. En septembre 2023, Klyushin a été condamné à neuf ans de prison pour ce que les procureurs américains ont décrit comme une « conspiration de piratage à des fins commerciales de 93 millions de dollars ».
Meta, la société mère de Facebook et Instagram, paiera 1,4 milliard de dollars pour régler un procès intenté par le procureur général du Texas, dont le bureau a accusé le géant des réseaux sociaux d'avoir illégalement capturé les données biométriques de millions de Texans. En 2022, l'État a poursuivi Meta pour la mise en œuvre d'une fonctionnalité qui utilisait la reconnaissance faciale pour suggérer automatiquement aux personnes de taguer sur des photos et des vidéos téléchargées sur Facebook. Les procureurs affirment que la fonctionnalité, initialement appelée Tag Suggestions, violait une loi du Texas qui interdit aux entreprises de capturer et de tirer profit des identifiants biométriques d'une personne sans son consentement. Bien que Meta n'ait admis aucun acte répréhensible dans le cadre de l'accord, selon le bureau du procureur général du Texas Ken Paxton, il s'agit du plus gros règlement en matière de confidentialité jamais obtenu par un État.
Une panne généralisée de Microsoft Azure, qui a eu un impact sur une série de services, notamment les produits Microsoft 365 comme Office et Outlook, a été provoquée par une cyberattaque, a révélé mercredi l'entreprise technologique. Selon la page d'historique du statut Azure de Microsoft, l'incident a duré environ huit heures mardi et a affecté « un sous-ensemble » de clients dans le monde.
L'entreprise a décrit l'attaque comme un déni de service distribué, une tentative malveillante de pirates informatiques visant à perturber les opérations d'une entreprise ciblée en submergeant son infrastructure avec un flot de trafic Internet. Selon PCMag, deux groupes de hacktivistes ont revendiqué la responsabilité de l'attaque. Microsoft prévoit de publier un compte-rendu de l'incident.