![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2014\/06\/06093337\/paypal.min_-1.png\")
<\/p>\nDans l\u2019actualit\u00e9 cette semaine\u00a0: un ralentissement des progr\u00e8s quant \u00e0 la distribution des\u00a0correctifs pour la vuln\u00e9rabilit\u00e9 Heartbleed dans OpenSSL, une semaine riche en recherches pour nos coll\u00e8gues de la GReAT Team de\u00a0Kaspersky Lab, une vuln\u00e9rabilit\u00e9 aga\u00e7ante dans le syst\u00e8me d\u2019authentification \u00e0 deux facteurs de PayPal et plus encore.<\/p>\n
<\/p>\n
Et qu\u2019en est-il de Heartbleed\u00a0?<\/strong><\/p>\n Un dangereux bug est toujours pr\u00e9sent dans OpenSSL. Cela fait un certain temps que nous n\u2019avions pas parl\u00e9 de ce bug qui peut \u00eatre exploit\u00e9 pour voler des informations sensibles. Mais chaque semaine, nous consultons des rapports et des avertissements encourageant les utilisateurs \u00e0 mettre \u00e0 jour leur syst\u00e8me ou leur logiciel suite \u00e0 la sortie d\u2019un patch d\u00e9velopp\u00e9 par le fournisseur responsable de la vuln\u00e9rabilit\u00e9. Les nouvelles recherches sugg\u00e8rent que malheureusement, l\u2019enthousiasme pour d\u00e9barrasser Internet de ce bug, qui permet de voler les cl\u00e9s de chiffrement, est en d\u00e9clin.<\/p>\n Afin d\u2019\u00e9num\u00e9rer le nombre de syst\u00e8mes qui utilisent toujours une version vuln\u00e9rable de OpenSSL, Rob Graham de Errata Security a scann\u00e9 les principales art\u00e8res du trafic chiffr\u00e9 en ligne. Sa premi\u00e8re analyse, quelques jours seulement apr\u00e8s que le bug ait \u00e9t\u00e9 rendu public, d\u00e9montrait que quelques 600 000 syst\u00e8mes \u00e9taient encore vuln\u00e9rables. Sa deuxi\u00e8me analyse \u00e9tait plut\u00f4t encourageante, 300 000 syst\u00e8mes avaient appliqu\u00e9 les correctifs. Cela signifie que la moiti\u00e9 des syst\u00e8mes avaient appliqu\u00e9 la correction dans un d\u00e9lai d\u2019un mois. Par contre, sa troisi\u00e8me analyse, trois mois apr\u00e8s l\u2019apparition du bug, est quant \u00e0 lui beaucoup moinsprometteur. En effet, il d\u00e9montre que 300 000 syst\u00e8mes sont toujours vuln\u00e9rables.<\/p>\n Graham a \u00e9crit sur son blog\u00a0: \u00a0\u00bb\u00a0Cela indique que les gens ont arr\u00eat\u00e9 d\u2019essayer d\u2019appliquer les correctifs\u00a0\u00a0\u00bb\u00a0\u00a0\u00bb Nous observerons une lente diminution dans les dix prochaines ann\u00e9es, au fur et \u00e0 mesure que les vieux syst\u00e8mes seront remplac\u00e9s. Mais dans la prochaine d\u00e9cennie, je m\u2019attends \u00e0 trouver des milliers de syst\u00e8mes vuln\u00e9rables, et certains en situation critique.\u00a0\u00a0\u00bb<\/p>\n Les outils de surveillance et les campagnes de fraudes <\/strong><\/p>\n Une \u00e9quipe de chercheurs de Kaspersky Lab et de Citizen Lab \u00e0 la Munk School of Global Affairs de\u00a0 l\u2019Universit\u00e9 de Toronto ont fait para\u00eetre un rapport sur la controvers\u00e9e compagnie italienne Hacking Team. Hacking team vend des outils de surveillance aux gouvernements et aux organismes charg\u00e9s de l\u2019application des lois. Les laboratoires Citizen et Kaspersky observent Hacking Team depuis un certain temps. La nouvelle recherche d\u00e9voil\u00e9e cette semaine traite des outils pour espionner les appareils mobiles d\u00e9velopp\u00e9s par Hacking Team.<\/p>\n Les nouvelles propositions pour mobiles du groupe donnent aux gouvernements et aux responsables de l\u2019application des lois la possibilit\u00e9 de surveiller l\u2019emplacement de leur cible, de voler les donn\u00e9es de leurs appareils, d\u2019utiliser le microphone en temps r\u00e9el, d\u2019intercepter les messages vocaux et SMS envoy\u00e9s par des applications telles Skype, WhatsApp, Viber et plus encore.<\/p>\n Cette semaine, les chercheurs de Kaspersky Lab ont aussi signal\u00e9 une campagne de fraude digne d\u2019int\u00e9r\u00eat. Elle est connue sous le nom de Luuk. Plus t\u00f4t cette ann\u00e9e, la campagne a permis aux pirates de voler plus d\u2019un demi-million d\u2019euros, soit pr\u00e8s de 700 000 dollars, d\u2019une banque europ\u00e9enne en une semaine. En utilisant une version adapt\u00e9e de Zeus, les arnaqueurs ont fraud\u00e9 plus de 200 clients gr\u00e2ce \u00e0 une s\u00e9rie d\u2019attaques de type man-in-the-browser<\/em><\/p>\n Une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 s\u00e9rieuse sur PayPal<\/strong><\/p>\n Ce mercredi, une vuln\u00e9rabilit\u00e9 est apparue dans la fa\u00e7on dont PayPal g\u00e8re certaines requ\u00eates de ses clients mobiles. Cette vuln\u00e9rabilit\u00e9 permet aux pirates de contourner le syst\u00e8me d\u2019authentification \u00e0 deux facteurs pour le service et le transfert d\u2019argent du compte d\u2019un utilisateur vers tout autre compte.<\/p>\n La faille r\u00e9side dans la mani\u00e8re dont PayPal g\u00e8re l\u2019authentification dans ses applications iOS et Android. PayPal \u00e9tait au courant de la probl\u00e9matique signal\u00e9e par des chercheurs de Duo Security depuis mars et a implant\u00e9 une solution provisoire. Par contre, PayPal ne pr\u00e9voit pas une application compl\u00e8te des correctifs d\u2019ici la fin juillet. La vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 dans PayPal est grave, les utilisateurs devraient surveiller leur compte jusqu\u2019\u00e0 ce qu\u2019elle soit r\u00e9par\u00e9e.<\/p>\n Les correctifs sont appliqu\u00e9s sur un bug de s\u00e9curit\u00e9 dans Android <\/strong><\/p>\n Une s\u00e9rieuse vuln\u00e9rabilit\u00e9 \u00e0 l\u2019ex\u00e9cution des codes dans Android 4.3 et ses versions ant\u00e9rieures a \u00e9t\u00e9 corrig\u00e9e sur KitKat, la derni\u00e8re version du syst\u00e8me d\u2019exploitation. Malheureusement, le bug a affect\u00e9 pratiquement tous les utilisateurs d\u2019Android. C\u2019est encore plus malheureux, parce que l\u2019application des correctifs d\u00e9pend presque enti\u00e8rement de la volont\u00e9 des op\u00e9rateurs mobile de livrer les patchs de Google \u00e0 ses clients. Donc, presque la majorit\u00e9 des utilisateurs vuln\u00e9rables le demeureront.<\/p>\nDans la prochaine d\u00e9cennie, je m\u2019attends \u00e0 trouver des milliers de syst\u00e8mes vuln\u00e9rables, et certains en situation critique.<\/div>\n