Ce sont les nouvelles les plus importantes de la semaine dernière en matière de sécurité : une nouvelle étude a montré que les systèmes de points de vente sont mal protégés et font face à des menaces de plus en plus complexes. Le deuxième mardi du mois apporte traditionnellement les mises à jour de sécurité de toutes sortes de fournisseurs de logiciels, y compris Microsoft. Et le service de raccourcissement de la liaison Bitly a dû admettre qu'il avait été compromis par des attaquants inconnus.
Les systèmes de caisses enregistreuses sont vulnérables
Les systèmes de caisses enregistreuses - également appelés "points de vente" ou PDV - ne sont plus les anciennes caisses à sonnerie. Dans les magasins et les grands magasins, il existe aujourd'hui des terminaux de vente électroniques interconnectés qui stockent et transmettent toutes les informations de paiement. On trouve une sorte de système de paiement par carte de crédit dans presque tous les magasins ou restaurants et il accepte les paiements en espèces ou par carte de crédit.
Mais comme le montre un rapport récent, ces systèmes, par lesquels beaucoup d'entre nous effectuent régulièrement des paiements, sont confrontés à des attaques de plus en plus sophistiquées. Pire encore, cependant, la plupart de ces systèmes n'ont pas grand-chose à offrir contre ces attaques. Il n'est pas surprenant que les attaques contre les systèmes de paiement deviennent de plus en plus fréquentes, car ils contiennent potentiellement des informations sur chaque carte de crédit ou de débit utilisée pour un paiement.
La semaine dernière, Bitly a été attaqué et recommande maintenant à ses utilisateurs de changer de mot de passe, les caisses enregistreuses sont mal protégées et Microsoft a publié la mise à jour du patch mardi.
Un rapport récent d'Arbor Networks répertorie au moins cinq programmes malveillants qui n'attaquent que les systèmes de PDS, et le rapport d'enquête de Verizon sur les violations de données fait état de 198 effractions de PDS en 2013, alors que les récentes attaques contre des chaînes de supermarchés américaines comme Target, Nieman Marcus et Michael's étaient de pures attaques de PDS qui ont volé beaucoup de données sur les clients.
Mais que pouvez-vous y faire ? La chose la plus sûre à faire serait de brûler toutes vos cartes de crédit et de débit et de ne payer qu'en liquide. Mais ce serait un peu extrême. Vous devriez plutôt regarder les nouvelles et prendre des mesures si des données ont été volées à une entreprise où vous avez déjà payé par carte. Dans ce cas, vérifiez vos relevés de compte bancaire et de carte de crédit et assurez-vous qu'aucun frais faux ou frauduleux n'a été facturé. Vous pouvez également en informer votre banque et remplacer la carte en question par une nouvelle.
Bitly "cambriolé"
Le populaire service de raccourcissement de la liaison Bitly a été compromis la semaine dernière. Cela signifie que vous devez supposer que le mot de passe que vous utilisez pour votre compte Bitly existant, s'il existe, a été volé. En effet, même si l'entreprise part du principe qu'aucun compte d'utilisateur n'est en danger, Bitly recommande quand même aux utilisateurs de changer leur mot de passe. Bitly a également signalé que l'effraction est également une raison pour laquelle l'authentification à deux facteurs est maintenant introduite.
Nous vous recommandons également de changer le mot de passe de votre compte Bitly. Surtout si vous utilisez le même mot de passe pour d'autres comptes - et dans ce cas, vous devez également changer le mot de passe pour ces services. Toutefois, notre conseil est de ne jamais utiliser le même mot de passe pour plusieurs services.
Un autre point est que Bitly permet aux utilisateurs de lier le compte à leur compte Facebook ou Twitter. Le problème ici pourrait être qu'un attaquant qui accède à votre compte Bitly pourrait aussi potentiellement avoir accès à vos comptes sur les deux réseaux sociaux. Cependant, Bitly a sagement invalidé ces connexions. C'est pourquoi vous devez ré-authentifier ces liens. Et bien sûr, vous devez également changer le mot de passe de chaque réseau social auquel vous vous êtes connecté sur Bitly.
Le patch du mardi d'Adobe et de Microsoft
La semaine dernière, c'était encore Patch Tuesday. Adobe et Microsoft ont donc à nouveau publié des mises à jour de sécurité pour leurs nombreux produits. Mais aussi des patchs pour Google Chrome ont été publiés. Microsoft a publié huit bulletins de sécurité, dont deux étaient même critiques.
Au total, 13 failles de sécurité dans Internet Explorer et bien d'autres dans d'autres programmes Microsoft ont été comblées. Adobe a corrigé certains bogues critiques dans Reader, Acrobat et Flash Player. Et Google a corrigé des failles de sécurité critiques dans le navigateur Chrome (et a payé 4 500 dollars aux chercheurs qui ont trouvé les bogues et les ont signalés à Google).
Et pendant que nous y sommes : Si vous voulez approfondir la technologie, nous pouvons vous annoncer qu'il existe maintenant un correctif pour une vulnérabilité datant de cinq ans dans le noyau Linux et quelques correctifs pour les appareils de l'infrastructure industrielle de Yokogawa.
Dans tous les cas, assurez-vous que vous utilisez les dernières versions des produits Microsoft et Adobe et de Chrome. Et si cela vous concerne, vous devriez également vérifier vos systèmes Yokogawa et vos appareils Linux.