C'est l'été et donc c'est évidemment la saison des vacances, mais aussi du summer body et pour certains la préparation a démarré il y a des mois en utilisant une application en guise de coach comme Fitify par exemple !

Sauf que cette application avait plus de 370 000 fichiers exposés en ligne sans protection, dont les photos que ses utilisateurs ont pu lui envoyer pour tracker leur progrès par exemple ou analyser leur corps grâce à leur feature de scan 3D. Si l'on va revenir sur ce leak plus en détail, la semaine en cyber fut bien chargée avec d’énormes vulnérabilités sur Microsoft SharePoint mais aussi sur des packages de l’interieur de frontend, alors on va regarder cela plus en détail !

Fitify

L'été, la mer, les glaces ou encore le summer body que certains préparent depuis des mois pour être à leur prime sur la plage en utilisant une appli comme Fitify sur laquelle vous pouvez tracker vos progrès en publiant des photos, qui viennent toutes de ce leak cette semaine.

Parmi les 300 000 fichiers que les pentesteurs ont découverts en ligne, plus de la moitié étaient des photos taguées comme des 'progress pictures', c’est-à-dire des photos des utilisateurs qu'ils envoyaient à l'IA de l'application pour analyser leur corps et, comme le nom l’indique, leur progrès.

La problématique de ce leak, c'est que cela touche, pour chaque personne, à sa relation avec son corps et l'idée qu'il soit affiché, car vous vous doutez bien que pour mesurer les progrès, les photos étaient prises souvent avec le moins de vêtements possible et si pour certains cela ne va poser aucun problème, pour d'autres, cela ne sera pas la même histoire.

Enfin, l'autre gros problème de ce genre de leak avec des photos 'quasi' nues, c'est la probabilité que des attaquants puissent s'en servir pour créer des deepfakes photos ou vidéos ultra réalistes, pour ensuite faire de l'extorsion auprès des personnes, des familles ou des relations, ou tout simplement revendre les photos à qui serait intéressé. ([1])

Eslint-config-prettier

30 millions : c'est le nombre de téléchargements par semaine de eslint-config-prettier, un package npm ultra populaire qui s'est transformé pendant quelques jours en un malware pour développeurs !

L'histoire commence lorsque, dans la nuit du 18 juillet, plusieurs versions du package sont publiées sans changelog ni commit sur le repo GitHub du projet, créant une première alerte dans la communauté open-source.

Et heureusement, car en réalité, cette mise à jour cachée du code malveillant s’activait uniquement sur les machines Windows qui téléchargeaient en arrière-plan un cheval de Troie.

Le package got-fetch a aussi été victime d'une modification similaire dans son code qui a donc en réalité été possible car les mainteneurs du projet sont tombés dans le piège d'un mail de phishing, leur demandant de révalider leur compte.

Les attaquants ont donc pu récupérer ensuite des tokens valides et pousser des packages modifiés dans le repo npm correspondant, poussant un malware à des millions de développeurs d'un seul coup.

Aujourd'hui, tous les packages concernés ont archivé les versions affectées et retiré le code malveillant, mais si vous avez fait une mise à jour ou créé un projet depuis le 18 juillet, cela vaut le coup de vérifier dans vos package-lock que vous n'avez pas les versions affectées qui se promènent. ([2], [3])

Sharepoint

Vous en avez parlé dans les commentaires la semaine dernière, mais comment ne pas revenir sur les deux vulnérabilités 0-day sur SharePoint, le Drive de Microsoft ?

Avant de se pencher sur les détails de cette affaire, juste pour rappel, les deux vulnérabilités ne concernent que les SharePoint installés on-premises, donc pas la version cloud, mais les deux vulns sont activement exploités par les attaquants en ce moment même, surtout lorsque l'on sait que la majorité des SharePoint on-premise appartiennent à des institutions publiques ou des gouvernements, par exemple, et qu'ils permettent d'accéder au SharePoint sans authentification.

Mais alors qu'est-ce qui s'est passé ? Eh bien, si tout le monde a annoncé ces vulnérabilités comme des 0-days, en réalité, ce n'est pas vraiment le cas car ce sont deux vulnérabilités qui seraient en réalité la résultante d'un patch non efficace de deux autres vulnérabilités, découverte elle en mai et qui était bien des zéro-days à ce moment-là, ce qui avait d'ailleurs rapporté 100 000$ au pentesteur à l'époque.

En fonction des sources, que ce soit Sensys ou Shodan, on estime qu'entre 7 000 et 9 000 serveurs seraient concernés aujourd'hui, de l'Europe jusqu’aux États-Unis, alors que vous soyez en attente du patch de Microsoft, déjà en train de l'appliquer ou en galère pour le faire, le mieux reste pour le moment de désexposer vos instances ou d'ajouter une whitelist d'IP pour éviter de voir vos données en vente dans les prochains jours. ([4], [5])

Mauvaise traduction

Comment une simple erreur de traduction sur un post de réseau social pourrait créer un incident diplomatique et avoir des conséquences désastreuses ? Eh bien, c'est ce que l'on va voir avec cette actu !

Vous l'avez peut-être déjà remarqué, mais les réseaux sociaux font beaucoup de choses pour vous sans que vous le vouliez, comme par exemple traduire les posts des langues étrangères. Par exemple, sur YouTube, les titres des vidéos sont automatiquement traduits, sur X ce sont les posts, tout comme sur Facebook.

Et justement, Meta cette semaine a dû présenter des excuses officielles après avoir déclaré par erreur, dans la traduction d'un post, la mort d'un des ministres / chefs d'un des États composant l'Inde.

L'histoire est folle puisque tout commence par un post de condoléances du ministre en chef envers une autre personne décédée, publié dans la langue locale, que l'outil de Meta a mal traduit, annonçant alors à tort la mort de ce ministre en chef.

Si l'erreur peut paraître anodine, cela pose quand même beaucoup de questions : à quel point peut-on faire confiance à Meta (ou aux réseaux sociaux) et à ses outils pour donner une traduction fiable et non biaisée ? Qu'est-ce qui empêche aujourd'hui Meta ou un attaquant d'essayer de contrôler ses traductions pour diffuser des fake news ? Et surtout, quelle est la part de personnes ayant vu cette mauvaise traduction et combien font l'effort de vérifier l'information avant de la relayer ? ([6])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !