L'Institut Fraunhofer SIT (Secure Information Technology) a testé 7 fournisseurs de services de stockage en ligne et a publié les résultats dans un rapport en PDF. Les auteurs de ce rapport ont trouvé des vulnérabilités affectant l'inscription et la connexion, le chiffrement et l'accès partagé aux données pour plusieurs de ces services.

L'étude a examiné : CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One et Wuala. Chacun de ces services peut être consulté directement par l'intermédiaire d'un logiciel client installé sur le système de l'utilisateur. Les chercheurs ont pour l'instant laissé de côté les services tels que Amazon S3 qui ne sont accessibles que via une API. Une prochaine étude sera faites et devrait se pencher sur d'autres fournisseurs dont Google avec Google Drive, etc...

Revenons-en au cœur du sujet. Dans cette étude, les chercheurs ont examiné la copie, la sauvegarde, la synchronisation et le partage. Seul TeamDrive et Wuala offrent ces 4 caractéristiques. CrashPlan et Mozy proposent seulement un service de sauvegarde qui n'est d'ailleurs pas offert par CloudMe, Dropbox ou Ubuntu One.

La pire performance par rapport aux facteurs de sécurité testés était CloudMe. Il ne chiffre aucun donnée, que ce soit avant ou pendant le transfert de données. CrashPlan, TeamDrive et Wuala en prennent aussi pour leur grade pour l'utilisation de leur propre protocole de chiffrement plutôt que d'utiliser la norme SSL/TLS.

CloudMe, Dropbox et Ubuntu One ont également perdu des points pour ne pas utiliser le cryptage côté client, ce qui signifie que le fournisseur pourrait lire les données stockées avec des entreprises américaines qui s'en foutent ne jouissent pas du même niveau de protection des données par rapports à d'autres États. Parmi les entreprises étudiées, seuls CloudMe (Suède), TeamDrive (Allemagne) et Wuala (Suisse) ne relèvent pas de la compétence de la législation.

Une erreur de programmation sur la plateforme de sponsoring Kickstarter a donné la possibilité aux internautes d'accéder aux données de projets non publiés. Ces informations divulguées à tort inclues la description du projet, ses objectifs, la durée, les récompenses et le nom de l'utilisateur derrière ce projet. Kickstarter a rassuré les donateurs en disant que leurs données personnelles ne courent aucun risque. Selon un rapport du Wall Street Journal, le bug a donné accès à des informations sur plus de 70.000 projets non lancés. Le bug se situait au niveau de l'API utilisée par des applications externes pour accéder à la plateforme.

Selon Kickstarter, le bug était présent sur le site web depuis le 24 Avril et a été corrigé ce 11 Mai. Sur un blog, il indique que seuls 48 projets ont été consultés et que la majorité d'entre eux l'étaient par le programmeur lui-même ou un journaliste du WSJ qui les a d'ailleurs contacté à ce sujet. Dans un article de leur blog, Yancey Strickler, co-fondateur de Kickstarter, exprime son "regret sur cet incident. Même si peu d'informations ont été rendues accessibles, c'est totalement inacceptable". Bon pour ceux qui ont un projet chez eux rassurez-vous, Kickstarter traite tous les paiements via Amazon Payments et de ce fait aucune donnée bancaire ou renseignements personnels ne sont stockés.

Pour ceux qui ne le savent pas, Kickstarter est spécialisé dans le sponsoring ouvert à tous et chacun (financement collaboratif) pour financer des projets de création. Il a déjà financé un large éventail de projets allant de films indépendants et de création musicale au journalisme, projet d'énergie solaire ou alimentaires.
En gros, une personne ou une entreprise propose un projet, précise les fonds dont il a besoin et invite les visiteurs à participer à la réalisation de l'idée en donnant de l'argent pour le projet. L'argent promis n'est retiré que lorsque la cible a été atteinte. Si un projet ne parvient pas à atteindre son objectif de financement, il est annulé sans aucune perte. Les participants reçoivent des récompenses différentes pour leurs contributions. Par exemple, pour le développement de jeux, ça pourrait être une copie de la version finale de celui-ci. Des enjeux plus importants investis signifient de plus grandes récompenses. Au total Kickstarter prend 5% de l'argent reçu.

Donc vous voyez ce qu'il pourrait se passer si une faille importante venait à apparaître sur un site de cette ampleur. Heureusement ici c'était assez bénin.

C'est à @AnonyOps que l'on doit cette trouvaille.
Hadopi utilise la couverture d'un livre sous copyright sans se gêner...

Celui-ci est vendu sur sur Amazon et écrit par Michael J. Kavanagh s'intitulant Human Resource Information Systems: Basics, Applications, and Future Directions dans ses labs un peu plus bas ou directement ici en ayant pris soin de découper la partie supérieure comme on peut le voir ci-dessous...

Si "encore" ce n'était que la première fois, mais non...

Le numéro un mondial de vente de chaussures en ligne originaire de Las Vegas nommé Zappos.com pour ceux qui connaissent a été victime d'une attaque.

Des pirates auraient réussi à s'infiltrer sur un serveur de l’État du Kentucky appartenant à ce site web et auraient ainsi dérobé les informations de plus de 24 millions de comptes clients.

Cela regroupe bien sûr les numéros de téléphone, les adresses mails et mots de passe mais comme pour tout acte de piraterie à l'encontre d'une grosse entreprise de vente en ligne, Zappos explique qu'aucune donnée financière n'a été compromise...

Zappos a prévenu tous ses clients en leur adressant un e-mail et en les invitant à changer leur mot de passe. Pour l'instant seul les États-Unis ont accès au site Internet pour changer ce mot de passe comme vous pouvez le voir :

Pour info, Zappos est la propriété d'Amazon depuis un peu plus de deux ans et avait été cédé pour pas moins d'un milliard de dollars. En espérant qu'Amazon n'est pas ce genre de faille dans ses services...

Je vous conseille de suivre donc l'évolution du site via le compte Twitter officiel de @zappos.

C'est une équipe de chercheurs allemands (oui encore) de l'université de Bochum dirigés par le professeur Jörg Schwenk qui ont reporté dans un communiqué la découverte d'une faille dans l'Amazon Web Services mais également le service cloud Amazon Elastic Compute Cloud (EC2).

Cette vulnérabilité permettrait à des hackers de créer ou arrêter des machines virtuelles dans une instance EC2. Dans leur présentation appelée "All Your Clouds are Belong to us" (traduisez vulgairement par "Tous vos nuages nous appartiennent") ces chercheurs expliquent comment une attaque de signature XML peut être utilisée pour manipuler des messages SOAP de telle manière que le service EC2 d'Amazon va les interpréter comme authentiques. Ce type d'attaque montre que même si des documents XML ont été correctement signé, ceux-ci peuvent quand même être modifiés et toujours considérés comme valides. Ce problème existe aussi sur le logiciel de cloud Eucalyptus pour les installations privées.

Mais Amazon est également vulnérable aux attaques XSS. Les chercheurs ont trouvé alarmant qu'une fois un utilisateur connecté au magasin, une session pour le service cloud AWS est automatiquement créée. Ils disent que la réussite d'une attaque XSS sur le store pourrait conduire à s’approprier une session AWS. Ce qui peut être fait via quelques lignes de Javascript comme l'ont démontré ces chercheurs.

Rassurez-vous, Amazon et Eucalyptus ont réagi et comblé ces failles immédiatement après que ces chercheurs les aient prévenus.