Vol de données massif chez Tile

Toute l’actu cyber de la semaine, présentée par un expert. Cette semaine on revient notamment sur le vol de données massif chez Tile, le vol de données volées sur Club Penguin par un fan, le besoin de formation en cybersécurité pour les pilotes d’avion.

Vol de données massif chez Tile

Un hacker s'est infiltré dans les systèmes utilisés par l'entreprise Tile, qui commercialise des petits outils de géolocalisation pour ses appareils (porte-clés notamment). Le malfaiteur a pu mettre la main sur un grand nombre de données personnelles des utilisateurs.

Pourquoi c'est important ?

Les risques liés aux vols de données ne sont pas nouveaux, et la vigilance doit toujours être à son maximum pour les entreprises, surtout lorsque l'on collecte un grand nombre de données personnelles, voire sensible. S'il semblerait que les données de géolocalisation des outils n'aient pas été concernées par la fuite, les adresses, contacts et données d'identification des utilisateurs sont elles bien compromises, un amas bien suffisant pour être très rentable sur le Dark Web. Ce qui interroge davantage, c'est la porte d'entrée utilisée par le hacker, qui a réussi à s'infiltrer via un outil interne de l'entreprise en utilisant les accès d'un ancien employé. Cette faille de sécurité importante dans la gestion des accès rappelle l'importance d'une procédure claire de sortie s'agissant des employés quittant l'entreprise. Encore plus lorsque l'entreprise Tile, qui collecte des données de géolocalisation, devient une cible majeure et très lucrative pour les hackers.

Hacké par un fan, 2,5Go de données volées sur Club Penguin

Club Penguin, un jeu vidéo en ligne qui s'est arrêté en 2018 a visiblement toujours autant de fans. L'un d'entre eux a d'ailleurs réussi à s'infiltrer dans le serveur Confluence contenant des données. Majoritairement des données liées à la production du jeu. L'enjeu était vraisemblablement pour le fan de dénicher des informations techniques du jeu vidéo, les serveurs privés Club Penguin (administrés par des fans) étant toujours très populaire.

Pourquoi c'est important ?

Les données récupérées liées au jeu Club Penguin sont évidemment obsolètes, celles-ci concernant un jeu dont l'arrêt date de 2017. Le caractère malfaisant de l'attaque n'est d'ailleurs pas ce que l'on retient ici. Ce qui dérange et attire néanmoins l'attention, ce sont les conséquences de l'attaque. La maison Club Penguin a été rachetée par Disney, et le serveur Confluence compromis contenait également des données utilisées par Disney, notamment liées à des applications internes Disney. On cite notamment des données liées à la stratégie d'entreprise, campagnes marketings, et des informations liées aux infrastructures internes. Ce n'était semble-t-il pas l'intention du hacker, mais cette brèche révèle une problématique intéressante vis-à-vis d'applications, de logiciels ou tout autre type de données "dormantes", archivées ou obsolète, celles-ci présentant toujours des risques et constituant des vecteurs d'attaques potentiels. Dans le cas présent, il aurait été très facile d'imaginer une attaque par rebond pour remonter plus loin dans les systèmes d'informations de Disney.

Un besoin de formation en cybersécurité pour les pilotes d'avion ?

Il s'agit d'un rapport d'expérience commandée par les autorités de l'aviation civile de la France et d'Israël. L'expérience visait à tester les compétences et réactions des pilotes face à une cyberattaque survenant en plein vol. Un sujet de plus en plus critiques compte tenu de l'interconnexion des avions et du soutien technologique important accompagnant les pilotes. Deux groupes ont été testés dans des conditions différentes. Le premier n'avait reçu aucune sensibilisation liée à la cybersécurité, tandis que la deuxième avait reçu un support de formation avant les tests (dont les pilotes ignoraient le contenu).

Pourquoi c'est important ?

Les questions liées aux cyberattaques sur des avions sont loin d'être de la fantaisie hollywoodienne, à l'image du film Boîte Noire. Il apparait donc essentiel de sensibiliser les pilotes, en première ligne pour gérer les crises qui pourraient survenir, le tout dans un contexte particulièrement difficile. Les résultats de l'expérience peuvent être considérés comme mitigés. Si les pilotes des deux groupes ont tout de même réussi à gérer de manière adéquate les différents scénarios de menaces auxquels ils ont été confrontés, les deux groupes (y compris ceux ayant reçu une sensibilisation à la cybersécurité) ont échoué à reconnaitre la nature de la cyberattaque, révélant une méconnaissance des risques cyber de manière générale.