Bref Alors que des émeutes secouent le pays, les législateurs français ont approuvé un projet de loi accordant aux forces de l’ordre le droit d’espionner des suspects grâce à « l’activation à distance d’un appareil électronique à l’insu ou sans le consentement de son propriétaire ».
C’est le langage direct (via la traduction automatique) utilisé dans la version du Sénat français d’une réforme de la justice Je compte passé avant. Selon la publication française le mondeL’Assemblée générale française vient de passer leur version, mais avec quelques modifications qui obligeront le Sénat à adopter les modifications avant qu’elles ne deviennent loi.
En vertu de cette mesure, la police française aura le droit d’activer à distance des caméras et des microphones, ainsi que de collecter des données de localisation à partir d’appareils appartenant à des suspects accusés d’avoir commis des crimes passibles d’au moins cinq ans d’emprisonnement. La police peut collecter des données de cette manière jusqu’à six mois, et tout appareil connecté – smartphones, ordinateurs portables et même voitures – peut être utilisé pour la surveillance.
Pour le monde, les législateurs du Parti de la Renaissance du président français Emmanuel Macron ont ajouté plusieurs amendements à ce qui a été surnommé la « charte du fouineur » – exigeant que l’espionnage à distance ne soit utilisé que « lorsque cela est justifié par la nature et la gravité du crime », et même alors seulement pour un « stricte et proportionnelle ». Les professions considérées comme sensibles, notamment les médecins, les journalistes, les avocats, les juges et – bien sûr – les parlementaires ne peuvent être visées par la loi votée par l’Assemblée générale.
« A l’heure où les violences policières se multiplient, où les mouvements politiques sont bâillonnés par la surveillance et les perquisitions massives, les députés s’apprêtent à autoriser la transformation de tous les objets connectés en espions policiers », a déclaré le groupe français de défense des droits numériques La Quadrature du Net. . Dit-elle de la facture.
Le ministre français de la Justice, Éric Dupond-Moretti, a déclaré que le projet de loi ne s’appliquerait qu’à quelques dizaines de cas par an et qu’au lieu d’être un moyen pour la France de placer des logiciels espions parrainés par le gouvernement sur les appareils de toute personne accusée d’un crime, il sauverait des vies.
« Nous sommes loin du totalitarisme de 1984« , a-t-il déclaré.
Mastodon ne néglige pas les vulnérabilités critiques de cette semaine
Pour une grande partie du monde, ce n’était qu’une semaine de plus, mais aux États-Unis, mardi était le jour de l’indépendance, ce qui a rendu les choses un peu calmes. Cependant, cela ne signifie pas que certaines vulnérabilités critiques n’ont pas été identifiées.
Le réseau social décentralisé Mastodon est en tête du peloton avec un problème assez sérieux identifié cette semaine. CVE-2023-36460avec sa cote CVSS de 9.9, il existe dans les versions de Mastodon depuis la 3.5.0.
Le problème pourrait permettre à un attaquant avec un fichier multimédia spécialement conçu « de faire en sorte que le code de traitement multimédia de Mastodon crée des fichiers arbitraires à n’importe quel endroit », selon le NIST. Tout fichier auquel Mastodon a accès peut également être écrasé. Il est conseillé aux utilisateurs de Mastodon de mettre à jour la version 3.5.9, 4.0.5 ou 4.1.3, selon le fork qu’ils utilisent.
Avez-vous entendu parler du tout nouveau Firefox 115 ? Il comprenait plusieurs correctifs de sécurité importants, et Mozilla en a également publié quelques autres :
- Correctifs de Firefox 115 plusieurs des vulnérabilités très graves, notamment des bogues de sécurité de la mémoire qui pourraient être utilisés pour exécuter du code arbitraire, et un problème d’utilisation après libération lors de l’établissement de connexions WebRTC via HTTPS.
- Firefox ESR 102.13 a été corrigé pour similaire vulnérabilité.
- Thunderbird v. 102.13 corrige quelques problèmes problèmes semblable à celui de firefox, aussi.
CISA a publié une seule vulnérabilité critique d’ICS, mais elle est définitivement critique. Trouvé dans le logiciel PiiGAP M-Bus pour 900S, le consultatif comprend neuf CVE distincts allant d’un score CVSS de 5,9 à 9,8. Les problèmes incluent, mais sans s’y limiter, les informations d’identification codées en dur, la transmission des informations d’identification en texte brut et l’échec du nettoyage des entrées.
En ce qui concerne les vulnérabilités sous exploit actif, un cas critique unique a été identifié cette semaine dans plusieurs versions du pilote du noyau GPU Arm Mali. S’il est exploité par un attaquant, il pourrait conduire à la divulgation d’informations ou à l’élévation des privilèges root.
Le géant pétrolier Shell coupé par Cl0p pour la deuxième fois en trois ans
On pourrait penser qu’une compagnie pétrolière internationale aussi grande que Shell apprendrait sa leçon après que le gang de cybercriminels russes Cl0p ait abusé d’une application de transfert de fichiers vulnérable pour voler et rançonner les données des employés en 2021. Ce n’est cependant pas le cas, car Shell vient d’admettre que Cl0p frappez-le à nouveau de la même manière, cette fois en exploitant son nouvel exploit dans une autre application de transfert de fichiers, MOVEit.
« Un incident de cybersécurité… a eu un impact sur un logiciel tiers de Progress appelé MOVEit Transfer, qui s’exécutait sur une plate-forme informatique Shell », a déclaré Shell. expliqué dans une brève déclaration sur l’infraction.
Shell a affirmé qu’il ne s’agissait pas d’un événement de ransomware : en d’autres termes, il a été victime de la même vulnérabilité d’injection SQL, ou peut-être de l’une des autres vulnérabilités, exploitée par Cl0p. Shell a révélé les données volées relatives aux employés de sa filiale BG Group, ajoutant qu’il n’y avait aucune preuve d’un impact sur d’autres systèmes informatiques.
Cl0p a frappé Shell pour la dernière fois il y a deux ans de la même manière, cette fois impliquant un logiciel de transfert de fichiers fabriqué par Accellion, qui a depuis été rebaptisé Kiteworks. Des scans de passeports et de visas appartenant à des employés ont été volés lors de cet incident.
Pour aggraver les choses, le rapport de Shell sur la violation arrive juste un jour avant que le créateur de MOVEit, Progress, ne publie un package de mise à niveau faire face à trois autres vulnérabilités graves dans son code. Progress a déclaré que les service packs MOVEit seront une mesure de sécurité publiée régulièrement pour lutter contre l’exploitation de son logiciel, de sorte que toute personne qui n’a pas encore fui un autre fournisseur de services devrait obtenir des correctifs, de peur qu’elle ne finisse comme Shell.
Des centaines de centrales solaires menacées par le rachat de Mirai
Plus de 600 centrales solaires dans le monde utilisent du matériel et des logiciels de surveillance SolarView vulnérables à une faille activement exploitée. Il est lié au botnet Mirai, les chercheurs en sécurité de Vulncheck signalé cette semaine.
L’exploit en question – CVE-2022-29303 – permet l’injection de commandes à distance en raison de la non désinfection des entrées de l’utilisateur et pourrait conduire à la capture d’un style Miraibotnets. En cas d’exploitation, les attaquants pourraient tourner pour attaquer du matériel ICS supplémentaire, ainsi que perturber la surveillance des centrales solaires, ce qui aurait un impact sur la productivité et les revenus.
Vulncheck a déclaré que le moteur de recherche IoT Shodan rapporte que plus de 600 systèmes SolarView sont connectés à Internet, bien qu’ils devraient être limités aux réseaux ICS. Alors que des correctifs pour l’exploit, trouvés dans la version 6.00 du logiciel SolarView, sont disponibles depuis l’année dernière, moins d’un tiers des systèmes concernés ont été corrigés, a déclaré Vulncheck.
Pour aggraver les choses, plusieurs CVE plus récents identifiés par Vulncheck affectent également les systèmes SolarView, ce qui signifie que même un tiers des systèmes corrigés peuvent encore être à risque.
La leçon? Gardez votre réseau et votre matériel ICS segmentés d’Internet, quelles que soient vos habitudes de mise à jour extraordinaires. ®
