Suite de l’affaire des enregistrements de navigation privée de Google
Google a accepté d’effacer des milliards d’enregistrements de navigation des utilisateurs pour régler un recours collectif accusant l’entreprise de suivi non consenti en mode Incognito. Le règlement, soumis à l’approbation judiciaire, vise à éliminer les données collectées sans consentement, renforçant la confidentialité des utilisateurs. Outre l’effacement des enregistrements, Google ajustera les données pour anonymiser les activités de navigation privée, notamment en supprimant les adresses IP et les URL détaillées.
Vulnérabilité critique dans le plugin WordPress LayerSlider
Une faille critique dans le plugin WordPress LayerSlider, permettant des injections SQL, menace la sécurité des sites utilisateurs. Corrigée dans la version 7.10.1, cette vulnérabilité souligne l’importance des mises à jour de sécurité pour protéger les données sensibles. Le plugin, largement utilisé pour la création de contenu web, était vulnérable aux attaques permettant l’extraction d’informations critiques.
Fuite de données massive chez AT&T impactant 73 millions de clients
AT&T, leader américain des télécoms, a confirmé une importante fuite de données, révélant les informations personnelles de 73 millions de clients sur le darknet, datant d’au minimum 2019. La compromission inclut des données sensibles telles que les numéros de sécurité sociale et les codes d’accès, mais épargne les informations financières et les historiques d’appels. Suite à la découverte, AT&T a initié la réinitialisation des codes d’accès de ses clients et prévoit d’offrir une surveillance aux personnes affectées.
L’alerte sur la faille XZ Utils soulève des inquiétudes majeures
La découverte récente de CVE-2024-3094 dans XZ Utils, un composant essentiel de nombreuses distributions Linux, a mis en évidence la présence d’une backdoor sophistiquée. Cette backdoor permet un accès non autorisé aux systèmes affectés par le biais du serveur OpenSSH, sans nécessiter d’authentification, mais nécessite une clef privée spécifique, non divulguée publiquement. La backdoor a été insérée par Jia Tan, un contributeur ayant rejoint le projet en 2022 et ayant réussi à introduire du code malveillant dans les versions compressées du code source distribuées via GitHub. Ce code complexe remplace une fonction de la librairie SSH, permettant des connexions sans authentification et l’exécution de commandes en tant que root.