Tout comme il est reconnu que vous devez vous laver les mains, porter le masque et garder vos distances afin de ne pas attraper le coronavirus, vous devez garder votre PC propre et à l’abri des virus informatiques et des espions numériques. Aujourd’hui plus que jamais, car en temps de pandémie, la cybersécurité voit également se multiplier les menaces réelles. Rien que pendant la semaine de Ferragosto, pour donner quelques exemples récents, les entreprises et les experts ont non seulement signalé une recrudescence de la propagation des virus informatiques, mais ont alerté les utilisateurs numériques du succès potentiel de ces virus en raison d’erreurs logicielles qu’entre un voyage en montagne et des prélèvements à l’aéroport, on a peut-être oublié de mettre à jour.
Mais cette fois, les risques sont sérieux. Surtout si vous retournez au travail distrait. Les premiers à le signaler ont été les commentaires des utilisateurs de Microsoft qui ont publié d’importantes mises à jour de sécurité de leurs logiciels le mardi 11. Le deuxième mardi du mois – appelé Patch Tuesday (“le mardi des corrections”) – est le jour où, depuis 2003, la société de Redmond fondée par Bill Gates publie ses mises à jour de sécurité. Celles qui viennent d’être publiées pour le mois d’août résolvent un total de 120 vulnérabilités logicielles récemment découvertes, dont 17 sont critiques et les autres importantes en termes de gravité.
Sans trop s’attarder sur l’aspect technique, il est bon de savoir que sans ces dernières mises à jour, votre ordinateur Windows risque beaucoup lors de la lecture d’un fichier vidéo, en raison de certains défauts de la Microsoft Media Foundation et des codecs Windows : lorsque vous écoutez un fichier audio, en raison de bogues affectant le codec Windows Media Audio ; lorsque vous surfez sur un site web avec Internet Explorer ou lorsque vous lisez un fichier .pdf, en raison d’un problème de Microsoft Edge PDF Reader ou même ; lorsque vous recevez un message électronique, en raison d’un problème de Microsoft Outlook. Il convient de noter en particulier les deux correctifs pour autant de vulnérabilités 0-day déjà exploitées par les cybercriminels, l’un concernant Internet Explorer pour l’exécution potentielle de code malveillant (malware) à distance, l’autre utilisable pour “usurper” l’identité d’entreprises tierces lors de la signature numérique d’un fichier exécutable.
La première suggestion est donc d’actualiser ces corrections pour les rendre efficaces. Et ce, indépendamment du fait que dans les mêmes forums Microsoft, certaines personnes ont déclaré l’impossibilité d’installer la mise à jour, qu’à un moment donné elle pourrait planter ou s’arrêter en raison de la faible batterie de l’appareil, et même rendre impossible l’utilisation de la webcam et de la reconnaissance vocale. Si vous surmontez le “syndrome de l’écran bleu” (c’est-à-dire le verrouillage des mises à jour) et que tout se passe bien, vous devez rester vigilant. Parce que quelqu’un pourrait être en mesure d’exploiter les vulnérabilités “corrigées” (patchées), d’exploiter celles qui pourraient être non résolues ou oubliées : c’est ce que l’on appelle dans le jargon informatique le mercredi d’exploitation (le “mercredi d’exploitation”), c’est-à-dire le lendemain du mardi consacré aux corrections. Mais les maux de tête ne touchent pas seulement Microsoft et son célèbre système d’exploitation Windows.
Alexa et l’histoire de l’audio
Il y a quelques jours à peine, des chercheurs de la société de cybersécurité Check Point ont démontré comment les vulnérabilités identifiées dans certains sous-domaines d’Amazon/Alexa peuvent être exploitées par des criminels qui envoient un lien malveillant à des utilisateurs spécifiques. Si l’utilisateur clique sur le lien, qui semble provenir d’Amazon (c’est ce qu’on appelle le “angler phishing”, c’est-à-dire “pêcher des données avec un appât”), l’agresseur parvient à accéder aux informations personnelles de la victime, telles que l’historique de la banque, les noms d’utilisateur, les numéros de téléphone et l’adresse du domicile. Cela vous permet de remplacer l’historique des commandes vocales d’une victime, de changer le comportement d’Alexa (en entrant d’autres commandes) désormais présent dans nos foyers dans 200 millions d’appareils.
Cette découverte va de pair avec le dernier rapport de Check Point Research sur le “Brand Phishing”, qui montre comment Google et Amazon (dans 13 cas sur 100) sont les marques les plus imitées dans les tentatives de phishing visant à amener les gens à partager des informations d’identification, personnelles ou professionnelles.
En octobre dernier déjà, les chercheurs de l’Eset avaient identifié la vulnérabilité de la première génération d’Amazon Echo aux attaques du Krak, qui exposait l’appareil à la manipulation à distance de ses commandes. Une vulnérabilité qu’Amazon a corrigée mais qui confirme, une fois de plus, combien il est important de mettre à jour ses appareils en temps utile.
L’application qui trouve (et espionne) le téléphone
Entre-temps, une recherche menée par la société portugaise de sécurité informatique Char49 a révélé un certain nombre de graves vulnérabilités dans “Find My Mobile”, une application Android préinstallée sur la plupart des smartphones Samsung qui peut suivre à distance la position de l’utilisateur en temps réel, surveiller les appels ou les messages téléphoniques, et même supprimer les données stockées sur le téléphone. Dans ce cas, comme l’avertit l’Agence de sécurité nationale américaine, la seule véritable défense consiste à désactiver les paramètres qui vous permettent de surveiller un appareil volé ou perdu, et s’ils vous disent qu’ils espionnent les communications depuis 1952, vous devez les croire.
