Fuite de données chez Boulanger et Cultura impactant des millions de Français
L’enseigne française Boulanger et Cultura ont été victimes d’une cyberattaque, entraînant la fuite des adresses de livraison de ses clients. Cette violation pourrait toucher un plus grand nombre d’informations que celles initialement annoncées, nottament à cause de la publication d’une base de données comprenant 27 millions de lignes d’informations, incluant noms, numéros de téléphone et adresses e-mail, sur le dark web. Ces données exposent les clients à un risque accru de phishing. L’attaque semble provenir de la compromission d’un prestataire commun. Les entreprises précisent par ailleurs que les mots de passe et les données bancaires ne sont pas à risque.
Vulnérabilité impactant la confidentialité de l’Apple Vision Pro
Une faille de sécurité dans le casque Vision Pro d’Apple, désormais corrigée, permettait à des attaquants de déduire les informations saisies via le clavier virtuel. Cette vulnérabilité, nommée GAZEploit, exploitait les mouvements oculaires des utilisateurs pour reconstruire le texte saisi. Apple a publié un correctif en juillet 2024 pour résoudre ce problème lié au composant “Presence”. Bien que la faille soit corrigée, cette attaque pourrait hypothétiquement être exploitée lors de sessions de réalité virtuelle, exposant des informations sensibles comme des mots de passe.
Faille critique dans GitLab dans le gestionnaire de pipeline
GitLab a corrigé une faille critique (CVE-2024-6678) affectant toutes les versions à partir de 8.14 avant 17.1.7 et permettant à un attaquant de lancer des tâches de pipeline en tant qu’utilisateur arbitraire. Ce problème affectait plusieurs versions du logiciel et possédait un score CVSS de 9,9 sur 10. L’entreprise a publié des mises à jour de sécurité pour résoudre cette vulnérabilité ainsi que plusieurs autres failles de gravité moindre. Bien que ces failles n’aient pas été activement exploitées, GitLab recommande d’appliquer les correctifs rapidement pour éviter d’éventuelles attaques.
WordPress impose l’authentification à deux facteurs pour les développeurs
À partir du 1er octobre 2024, WordPress.org exigera que tous les comptes ayant la possibilité de modifier des plugins et thèmes activent l’authentification à deux facteurs (2FA). Cette mesure vise à sécuriser les comptes pouvant affecter des millions de sites WordPress dans le monde, réduisant ainsi les risques d’accès non autorisés. En plus du 2FA, des mots de passe SVN seront introduits pour protéger davantage les comptes des développeurs. Ces nouvelles mesures visent à renforcer la sécurité globale du système de gestion de contenu.