il y en a plusieurs de quoi s’inquiéter dans le monde d’aujourd’hui, alors je m’excuse d’avance pour ce niveau supplémentaire de stress existentiel : de nouvelles recherches indiquent qu’en cas de super tempête solaire, du genre de celle qui a frappé en 1859, Internet pourrait complètement tomber en panne et prendre encore plus de temps. que le réseau électrique à restaurer. Le risque réside principalement dans les câbles sous-marins qui relient les continents, qui sont mis à la terre de manière incohérente et reposent sur des composants qu’une surtension géomagnétique pourrait perturber. Bien que les tempêtes solaires de cette ampleur soient rares, elles se produisent et l’infrastructure Internet n’a jamais été testée contre elle.

Gai! Bien que cela ne s’améliore certes pas beaucoup à partir de là. Les dispositifs médicaux ont un dossier de cybersécurité de mauvaise qualité, et les chercheurs ont partagé cette semaine des détails sur les vulnérabilités d’une pompe à perfusion qui pourraient permettre aux pirates d’administrer des doses supplémentaires. C’est une attaque compliquée à réaliser, mais une version moins sophistiquée de celle-ci pourrait toujours permettre une attaque de ransomware sur le réseau d’un hôpital.

Un paramètre par défaut peu respectueux de la confidentialité dans Microsoft Power Apps, une fonctionnalité destinée à simplifier la création d’applications Web, a entraîné l’exposition de 38 millions d’enregistrements dans des milliers d’organisations. Les données comprenaient des informations de recherche de contacts Covid-19 de l’État de l’Indiana, ainsi qu’une base de données de paie de Microsoft lui-même.

Une autre attaque iOS « zéro clic » a été révélée cette semaine dans un rapport du Citizen Lab de l’Université de Toronto. Ces piratages ne nécessitent aucune interaction de la part des victimes : aucune pièce jointe ouverte, aucun lien cliqué. Il s’agit de la dernière d’une série d’attaques de surveillance d’États-nations contre des dissidents qui tirent parti des failles de la sécurité iMessage d’Apple. L’entreprise pourrait faire beaucoup pour rendre le service de messagerie plus sûr pour ses victimes les plus à risque ; la question est de savoir jusqu’où il est prêt à aller.

Alors que les mandats de clôture géographique – qui ciblent toute personne dans une certaine zone à un certain moment – sont depuis longtemps une préoccupation des défenseurs de la vie privée, de nouvelles données publiées par Google montrent récemment à quel point les forces de l’ordre les ont déployés. Le nombre de demandes de mandat de clôture géographique reçues par l’entreprise depuis 2018 a décuplé et représente désormais 25% des demandes de mandat entrantes dans l’ensemble.

Et il y a plus ! Chaque semaine, nous rassemblons toutes les nouvelles sur la sécurité que WIRED n’a pas couvertes en profondeur. Cliquez sur les titres pour lire les histoires complètes et restez en sécurité.

Un homme de la région de Los Angeles a plaidé coupable ce mois-ci de quatre crimes liés à un stratagème qui a entraîné le vol de plus de 620 000 photos et vidéos iCloud de plus de 300 victimes. Plutôt qu’une vulnérabilité dans iCloud lui-même, l’auteur s’est appuyé sur le phishing et l’ingénierie sociale, en envoyant des e-mails de « support client » à partir d’adresses Gmail telles que « applebackupicloud » et « backupagenticloud ». Il s’est procuré les fichiers privés à la fois pour ses propres besoins et sur demande – désignant des photos et des vidéos contenant de la nudité comme des « victoires » – faisant la promotion d’un service « icloudripper4you » qui proposait de s’introduire dans les comptes iCloud. Il risque désormais jusqu’à 20 ans de prison.

Les le journal Wall Street cette semaine, une interview avec le prétendu pirate informatique à l’origine de la violation de données dévastatrice de T-Mobile de ce mois-ci a été réalisée. Dans ce document, l’Américain de 21 ans décrit la sécurité de T-Mobile comme « horrible », mais ne confirme pas s’il a réellement vendu les données qu’il a volées et annoncées sur le dark web. L’histoire détaille les antécédents du pirate informatique et l’état des violations en général ; cela vaut vraiment la peine de réserver un peu de temps pour lire.

La bonne nouvelle est qu’il n’y a aucun signe qu’un pirate ait réellement abusé du dernier bogue Microsoft Azure. La mauvaise nouvelle est que s’ils l’avaient fait, ils auraient obtenu une quantité effrayante d’accès – des privilèges de lecture/écriture qui auraient pu leur permettre d’afficher, de modifier ou de supprimer à leur guise – à chaque base de données de la plate-forme. Microsoft a depuis corrigé la vulnérabilité, mais c’est un gros problème à avoir laissé échapper en premier lieu.

En parlant de Microsoft et de sécurité ! Un bogue Razer a rendu un jeu d’enfant pour obtenir des privilèges au niveau du système sur un appareil Windows 10 en branchant simplement une souris à 20 $. Razer a déclaré que cela allait éliminer la vulnérabilité, mais cela soulève des préoccupations plus larges concernant des logiciels similaires qui reposent sur la configuration « plug-and-play » de Windows.

Plus de belles histoires WIRED