I. Présentation

Les moyens de transport électriques sont de plus en plus populaires, que ce soit les voitures ou les vélos électriques, notamment car nous essayons de nous déplacer en respectant au mieux l'environnement. Sur le marché florissant des vélos électriques, il y a de nombreuses marques dont ENGWE dont je vais vous parler aujourd'hui. De manière générale, ce mode de transport de plus en plus présent dans nos maisons mérite d'être mis en avant.

Cet article, ce sera une première pour plusieurs raisons : il s'agit de mon premier test d'un vélo électrique, le premier article au sujet d'un produit de la marque ENGWE et ma première véritable expérience au volant d'un vélo électrique (même si nous verrons qu'il en fait un peu plus). L'avantage, c'est que, autant sur le montage que sur l'utilisation, je pourrais vous donner un véritable regard de débutant.

Commençons à nous intéresser au modèle ENGWE EP-2 Pro Upgraded que j'ai eu l'opportunité de tester. Sachez que ENGWE est une marque spécialisée dans les vélos électriques, qui existe depuis plus de 20 ans et qui a écoulé plus de 600 000 vélos à travers le monde. Disponibles à l'achat sur le site officiel (il y a un entrepôt européen), ces vélos sont disponibles également sur d'autres sites de e-commerce français.

Pendant plusieurs semaines, j'ai eu l'occasion de me balader avec ce vélo au look atypique et avec lequel je me suis bien amusé ! Envie d'en savoir plus ? Il suffit de lire la suite de cet article !

• Site officiel - Fiche produit

II. Déballage et montage de l'ENGWE EP-2 Pro

Voilà, le carton est arrivé à la maison, tout droit de Pologne : c'est en Europe, donc il n'y a pas de frais de douane à prévoir ! Il ne reste plus qu'à découvrir l'ENGWE EP-2 Pro qui va devoir être assemblé par mes soins. À l'intérieur du carton, les différents éléments sont correctement protégés avec de la mousse et attachés. Je n'ai pas eu d'éléments abîmés, rayés ou cassés.

Lors de la livraison, le vélo est livré presque assemblé entièrement ! En fait, il y a les éléments suivants à monter : la potence, le guidon, la roue avant, la selle, les deux pédales et les phares avant et arrière. Tous les outils nécessaires au montage sont livrés avec le vélo, et il y a aussi une notice, mais elle est en anglais. Je me suis dit, comment faire si l'on ne comprend pas l'anglais ? J'ai trouvé deux vidéos sur YouTube qui permettent de s'en sortir facilement (ici et ici). Il y a aussi une notice au format PDF que l'on peut télécharger sur le site officiel (ici).

N'étant pas habitué à assembler des vélos, j'ai mis une heure à faire l'assemblage des pièces restantes et à faire les réglages. Au final, c'est assez peu puisqu'il est déjà quasiment monté dans son carton !

J'ai profité de l'assemblage pour prendre quelques photos, je me suis dis que c'était l'occasion d'aider certaines personnes à effectuer l'assemblage. Il faut commencer, dans l'ordre, par monter :

• La selle, en conservant le petit tube en plastique
• La potence sur la fourche, puis le guidon
• La roue avant
• Le garde-boue avant
• Le phare LED avant

Une fois que c'est fait, il reste quelques éléments très rapides à installer :

• Les pédales (attention, il y a une pédale gauche et une pédale droite)
• Le phare arrière sur le porte-bagage
• Le porte-bagage à l'arrière

Pour finaliser le montage, il sera nécessaire d'utiliser les colliers en plastique (colson) pour attacher les câbles au guidon.

Une fois le montage effectué, on se retrouve avec un vélo électrique au look original ! En fait, compte tenu de la taille des pneus (20 pouces) associée à des jantes bâton, on est clairement sur un modèle de type VTT, ou plutôt "FAT Bike" pour reprendre le terme officiel. C'est un atout mis en avant par ENGWE : ce modèle est fait pour être utilisé sur des terrains cabossés et instables, aussi bien le sable, la boue que la neige ! Il est clair que ce vélo devrait s'en sortir dans beaucoup de situations !

Ce modèle est proposé en trois coloris : gris, noir et orange. Ici, c'est la version grise qui est présentée. D'un point de vue esthétique, avec ses gros pneus, son guidon surélevé et son cadre imposant (il intègre la batterie), l'ENGWE est très sympa ! Il a vrai un style ! Le cadre alu m'a l'air très solide et avec de belles finitions.

Avant de partir faire un tour, il reste une étape importante : le chargement de la batterie. Deux options sont proposées :

• Retirer la batterie, ce qui implique d'ouvrir le vélo en deux et de déverrouiller la batterie avec la clé avant de pouvoir l'extraire, afin de la recharger où l'on souhaite à l'aide du chargeur officiel
• Connecter directement le vélo à une prise électrique, toujours à l'aide du même chargeur, sans devoir retirer la batterie du cadre - Le connecteur est protégé par un cache en silicone.

De par son emplacement et la conception du cadre, cette batterie est protégée contre les vols. Sur cette version "Upgraded" du modèle EP-2 Pro, le vélo est équipé d'une batterie au lithium 48V 13Ah (compatible aussi avec les batteries 16Ah) tandis que la version classique embarque une batterie 48V 12,5Ah. La charge complète nécessite environ 6h30. Sur cette version "Upgraded", il y a également une selle plus confortable.

Un voyant lumineux présent sur le chargeur permet de savoir si la batterie est complètement chargée ou non. Par la suite, au niveau du compteur du vélo, nous aurons une information plus précise sur le niveau de batterie restant. Maintenant, allons faire un tour...

III. Première utilisation

La batterie est pleine, il est temps de partir barouder... Il suffit de mettre la clé dans le contact (ce n'est pas une blague !) pour allumer le vélo, ou plutôt activer la batterie : c'est une sécurité importante. Sans cette action, l'assistance électrique n'est pas utilisable. J'en profite pour signaler que l'emplacement de la clé n'est pas très pratique : sous le cadre, alors il faut se baisser pour mettre la clé ou y aller à tâtons... Le seul avantage c'est que l'on ne voit pas le neiman de la batterie.

Quand c'est fait, un bouton permet d'allumer le vélo électrique, ce qui aura pour effet d'activer le compteur. En fonction de la taille du cycliste, il faudra ajuster la hauteur de la selle et du guidon : cela convient aux personnes de différentes tailles.

Avant de parler de l'utilisation, faisons le tour des derniers éléments que je n'ai pas encore évoqué :

• Une béquille est présente et elle est préinstallée
• Le vélo propose 7 vitesses (un seul plateau) gérées par un dérailleur Shimano
• La fourche avec suspension peut-être verrouillée ou non pour gérer l'amortie
• Les deux roues sont équipées de frein à disque Tektro
• Un compteur, ou ordinateur de bord si vous préférez, affichera diverses informations : vitesse, niveau d'assistance, distance parcourue ou encore la vitesse moyenne
• Un boitier de commande permettant de démarrer et d'arrêter le vélo, de gérer le niveau d'assistance, de gérer l'éclairage et l'écran
• Il n'y a pas d'amortie sous la selle, c'est une fonction présente sur d'autres modèles de la marque (ENGWE Moteur Pro et ENGWE Moteur X).

Ce modèle intègre un porte-bagages que vous pourrez utiliser à votre guise, mais vous pouvez aussi l'équiper avec les sacs officiels commercialisés par ENGWE. Il y a notamment un modèle imperméable (voir ici), qui colle très bien à l'étiquette tout-terrain de ce modèle.

Il y a 5 niveaux de puissance différents pour l'assistance électrique, et forcément selon le type de terrain, votre poids, et le niveau utilisé, l'autonomie du vélo sera impacté :

• Niveau 1 : 25%
• Niveau 2 : 50%
• Niveau 3 : 100%
• Niveau 4 : 150%
• Niveau 5 : 200%

Avec cette batterie, et avec l'assistance électrique au maximal, le vélo peut atteindre une vitesse de 45 km/h. En descente, on peut même aller encore un peu plus vite, j'ai atteint la vitesse de 48 km/h sans forcer ! Le niveau 5 est impressionnant, sans rien faire, le vélo roule à toute vitesse ! Forcément, avec le niveau 5 activé tout le temps, l'autonomie est réduite : environ 17 km. J'ai testé, car j'avoue, je voulais voir ce qu'il avait dans le ventre et les routes de Normandie sont parfaites pour ça !

Par contre, vous n’effectuez aucun effort pendant ce temps. Dans les chemins non cabossés et sur la route, ce mode est utilisable, mais quand ce sont des chemins cabossés, cela peut rapidement s'avérer dangereux. L'assistance électrique, c'est super, mais il faut gérer le niveau d'assistance en fonction du terrain : c'est votre mission.

Plusieurs balades et semaines d'utilisation m'ont permis de me faire un avis sur ce fat bike et sur son autonomie. Avec le niveau 3 d'assistance électrique, il est envisageable d'effectuer entre 50 km et 55 km avant que la batterie ne soit vide. Il n'y a pas à forcer en étant en niveau 3, enfin si, il faut tout de même fournir un effort dans les côtes, mais sinon il suffit de faire tourner les pédales et le vélo va rouler à environ 20 km/h de moyenne.

Ce modèle est taillé pour le tout-terrain, et c'est clairement en dehors des routes bitumées que l'on prend le plus de plaisir avec ce fat bike ! Sur grande route, et pour un long trajet, la vitesse moyenne de 20 km/h en niveau 3, me semble un peu juste (et on ne peut pas réellement pédaler plus fort pour aller plus vite). On peut toujours augmenter le niveau d'assistance, mais cela va affecter directement l'autonomie. Le vélo fait une trentaine de kilos, donc son poids impose d'avoir l'assistance électrique. Même si en centre-ville son utilisation est appréciable, le mieux c'est dans la nature, dans les chemins. 

Attention tout de même, sur le site du service public, c'est précisé : "Les vélos pouvant aller au-delà de 25 km/h sont des vélos débridés. Ils ne sont pas autorisés à circuler sur la voie publique.", à moins de l'immatriculé à en croire ce même site : "Un vélo électrique peut aller jusqu'à 45 km/h. Il appartient alors à la classe des cyclomoteurs (classe L1e-b). Si vous achetez un vélo électrique de cette classe, vous devez l'immatriculer."

Lorsque la luminosité devient trop faible, notamment quand la balade s'éternise, l'éclairage peut s'activer automatiquement. Sans cela, il y a un bouton accessible directement sur le guidon qui permet d'allumer ou d'éteindre les deux phares LEDs. La puissance du phare avant est très bonne et permet de rouler de nuit sans difficulté.

Note : en appuyant sur le bouton "-", le mode assistance s'active c'est-à-dire que le vélo roule à 6 km/h de manière fixe et que vous êtes positionné à côté en train de marcher. Ainsi, vous pouvez pousser le vélo sans forcer.

On pourrait même dire que ce bolide est à mi-chemin entre un vélo électrique et un scooter électrique, car il y a un accélérateur sur la poignée de droite donc il est possible d'accélérer sans avoir à pédaler !

Quand viendra le moment de ranger le vélo ou que vous allez avoir envie de le transporter, sachez qu'il peut se plier ! C'est l'un des atouts de ce modèle, c'est qu'il peut être mis dans le coffre d'une voiture grâce au fait que l'on peut le plier très facilement. Une fois plié, il fait 76 cm de large sur 81 cm de haut.

IV. Conclusion

Quelle belle surprise ! Ce vélo a un look d'enfer, des gros pneus passe-partout, et en plus l'assistance électrique dépote ! Il suffira de jauger selon la durée de la balade et votre envie : avez-vous envie de bombarder et de vous amuser sur une courte distance ? Êtes-vous sur le point de faire une longue sortie ? Ou êtes-vous plutôt en train de faire une balade tranquille en famille ? L'ENGWE EP-2 Pro saura s'adapter ! Le fait qu'il soit pliable est aussi un atout car on peut le mettre dans sa voiture, sans avoir besoin d'un porte-vélo, même s'il faudra tout de même un peu de bonne volonté comme il pèse un peu plus de 30 kg.

Si vous souhaitez vous laisser tenter, sachez que l'ENGWE EP-2 Pro Upgraded est commercialisé au prix de 999,99 euros. Vous pouvez l'acheter directement sur le site officiel de la marque (voir le lien ci-dessous). Pour les nouveaux clients, il y a un code promo qui permet d'obtenir 2% de réduction : Newengweeu.

Je vous laisse en compagnie de quelques photos supplémentaires...

The post Test ENGWE EP-2 Pro Upgraded first appeared on IT-Connect.

Une nouvelle technique d'attaque baptisée GIFShell cible les utilisateurs de Microsoft Teams et elle s'appuie sur des images GIFs pour tromper les utilisateurs et exécuter des commandes malveillantes !

Découverte par le consultant en cybersécurité Bobby Rauch, cette nouvelle attaque exploite des vulnérabilités de Microsoft Teams ainsi que des éléments qui ne sont pas suffisamment sécurisés. Au total, dans son rapport, il a énuméré 7 failles de sécurité différentes découvertes dans Microsoft Teams.

Par exemple, il mentionne le fait que Teams ne procède pas à une analyse complète de la partie encodée en Base64 des GIFs, ce qui permet d'y stocker du code malveillant sans pour autant retirer le code correspondant au GIF en lui-même. Autre exemple, la lecture des fichiers journaux (en texte brut - AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\*.log) de Teams n'implique pas d'avoir les droits administrateur ou un niveau de privilège spécifiques, ce qui signifie que le programme malveillant utilisé dans le cadre de cette attaque peut analyser les journaux.

Cette technique est difficilement détectable, car elle s'appuie sur des images GIFs et que le transfert des informations s'appuie sur les serveurs de Microsoft puisque l'on utilise des fonctions natives. De ce fait, même pour une solution de sécurité de type EDR, ce comportement malveillant peut s'avérer difficile à détecter. Dans un exemple mis en ligne, on peut voir que l'image GIF permet à l'attaquant d'exécuter une commande (et obtenir un reverse shell) au moment où l'utilisateur ouvre cette image.

Finalement, en exploitant ces différentes vulnérabilités, Bobby Rauch est parvenu à contourner différents contrôles de sécurité, à exfiltrer des données et à exécuter des commandes. Il précise également que cette technique est exploitable à partir d'une attaque de phishing.

La dernière version de Microsoft Teams toujours vulnérable

Le client desktop de la solution de collaboration et de visioconférence Microsoft Teams est touché par cette attaque, et pour être précis, la version 1.5.00.11163 est affectée ainsi que les versions antérieures. Microsoft est informé de la situation depuis mai et juin 2022, où Bobby Rauch a fait l'effort de contacter l'entreprise américaine, sauf qu'à ce jour, les vulnérabilités sont toujours présentes, y compris dans la version la plus récente de Teams. D'ailleurs, Microsoft lui "aurait donné la permission" de partager ses travaux publiquement.

D'après les informations relayées, voici l'avis de Microsoft sur la technique décrite par Bobby Rauch : "Il est important d'être conscient de ce type de phishing et, comme toujours, nous recommandons aux utilisateurs d'adopter de bonnes habitudes informatiques en ligne, notamment en faisant preuve de prudence lorsqu'ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers".

La firme de Redmond précise également : "Nous avons évalué les techniques rapportées par ce chercheur et avons déterminé que les deux mentionnées ne répondent pas aux critères d'un correctif de sécurité urgent. Nous sommes constamment à la recherche de nouvelles façons de mieux résister au phishing pour assurer la sécurité des clients et nous pourrions prendre des mesures dans une prochaine version pour aider à atténuer cette technique."

Bien qu'il y ait un véritable risque associé à cette technique, cette campagne semble assez complexe à mettre en œuvre : c'est peut-être la raison pour laquelle Microsoft n'a pas encore mis en ligne de correctifs en urgence. Espérons tout de même que les vulnérabilités découvertes par Bobby Rauch soient corrigées, d'autant plus qu'il a réalisé un travail de qualité.

A suivre...

Source

The post GIFShell, une technique d’attaque qui s’en prend à Microsoft Teams à l’aide d’images GIF ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à exploiter les services d'Azure, en l'occurrence Azure Files, pour créer un partage de fichiers SMB dans le Cloud. Ce partage sera accessible à partir de machines distantes, que ce soit sous Windows, Linux, ou macOS.

Un partage dans Azure Files peut servir à remplacer un serveur de fichiers local, ou agir comme un complément pour stocker certaines données (ou redonder certaines données), mais aussi permettre à une application de stocker ses données dans le Cloud directement. Microsoft a mis en ligne plusieurs études de cas clients sur son site : Azure Files.

Si vous souhaitez en savoir plus sur les coûts, je vous invite à consulter le lien que j'ai intégré en fin d'article.

Note : cet article parle d'un partage accessible par SMB mais Azure prend en charge également les accès via le protocole NFS.

II. Créer un compte de stockage Azure

Pour accéder à la fonctionnalité "Partage de fichiers" d'Azure, il est nécessaire de disposer d'un compte de stockage. À partir du portail Azure, il faut rechercher le service "Comptes de stockage" pour créer un compte.

Le bouton "Créer" sert à lancer l'assistant de création d'un compte de stockage.

Ensuite, il faut nommer ce compte de stockage (sans espace ni caractères spéciaux, avec des minuscules et des chiffres), choisir la région, ainsi que les options liées aux performances. Il est à noter qu'il est possible de créer un partage avec une capacité maximale de 5 To ou de 100 To. Pour être en mesure de choisir 100 To, le partage doit être redondant en local uniquement (LRS), car si l'on prend l'option géo-redondant, on est limité à 5 To par partage, ce qui est déjà intéressant.

Les options liées au réseau permettent de limiter les accès à ce partage : est-ce qu'il doit être accessible publiquement (avec authentification, bien sûr), ou uniquement à partir de certains réseaux.

Vous pouvez également parcourir les autres options des différents onglets, avant d'arriver à l'étape finale : le clic sur le bouton "Créer". Parfois, ce bouton reste grisé une ou deux minutes, le temps de la validation de la configuration (c'est indiqué en haut de la page).

III. Créer un partage Azure Files

Dès que la ressource Azure est créée, nous pouvons y accéder afin de poursuivre la configuration. Une fois dans la ressource, cliquez à gauche sur "Partages de fichiers" puis sur le bouton "Partage de fichiers" pour créer un nouveau partage.

Ce partage doit être configuré. Cela consiste à attribuer un nom, comme ici "partage" tout simplement. Le champ "Niveau" est important, car il détermine le niveau de performances de l'espace de stockage, ce qui impactera le coût directement. Ici, on est clairement sur la notion de stockage chaud / froid. Selon ce que vous souhaitez faire avec ce partage, il peut être intéressant financièrement de commencer sur un niveau et de le changer par la suite.

Voici ce que précise Microsoft : "Les coûts de transaction sont plus élevés sur les niveaux plus froids. Il est souvent plus économique de commencer votre partage au niveau Transaction optimisée si vous prévoyez de migrer un plus grand nombre de fichiers. Une fois la migration effectuée, vous pouvez définir le partage sur un niveau plus froid."

Le mode "Transaction optimisée" est un mode équilibré, qui n'est pas le plus performant (il y a le mode "Premium"), mais qui peut suffire pour le stockage des données d'une application. Pour une utilisation plus intensive ou une synchronisation avec Azure File Sync, il faut partir sur le mode "Chaud".

Une fois les différents champs renseignés, cliquez sur "Créer".

Le nouveau partage vient s'ajouter à la liste des partages associés à ce compte de stockage. Vous remarquerez l'option "Sécurité: Compatibilité maximale" qui permet de choisir les versions du SMB autorisées, les types d'authentification, etc... Le mode "Sécurité maximale" utilise uniquement les versions et algorithmes les plus sécurisés : je vous le recommande si votre environnement le prend en charge. Vous pouvez aussi créer un mode personnalisé : ces options sont modifiables à tout moment.

D'autres options sont disponibles pour les partages, dont l'authentification basée sur l'Active Directory (on-premise) ou Azure Active Directory Domain Services. Cela permet d'avoir une authentification par utilisateur sur le partage.

Par ailleurs, l'option "Suppression réversible" définie à 7 jours indique que l'on peut récupérer un fichier jusqu'à 7 jours après sa suppression. Cette option peut être désactivée ou l'on peut changer la valeur : de 1 à 365 jours. Là encore, c'est aussi une question de coût.

IV. Monter le partage Azure Files sur Windows

Notre partage est prêt, nous pouvons le monter sur une machine client sous Windows, voire même sous Linux ou macOS en utilisant la procédure adaptée à chaque système. Comme je le disais précédemment, on peut s'appuyer sur l'authentification Active Directory si elle est configurée (pour un AD local, cela implique d'utiliser Azure AD Connect) ou sur une authentification intégrée à Azure via l'option "Clé du compte de stockage".

En fait, il faut choisir la lettre de lecteur à associer au lecteur réseau, la méthode d'authentification et copier le bout de code PowerShell indiqué dans la fenêtre. Ce bout de code intègre l'adresse du partage, mais aussi le nom d'utilisateur (localhost\partageazurefiles) et le mot de passe - très long - associé à ce compte.

Après avoir collé ce bout de code dans une console PowerShell, j'obtiens le résultat suivant qui laisse penser le partage s'est monté correctement.

Nous pouvons le vérifier à partir de l'Explorateur de fichiers de Windows, comme ceci :

Il est à noter que si l'on crée des dossiers ou que l'on dépose des fichiers dans ce partage, ils sont directement envoyés sur Azure. Ces données sont visibles sur l'interface d'Azure. En fait, vous pouvez créer ou supprimer un dossier à partir d'Azure pour structurer le partage, ou le faire directement à partir du poste client, mais aussi charger des fichiers.

Cette introduction à Azure Files et à la notion de partage SMB dans le Cloud est terminée ! Pour aller plus loin et prendre connaissance des tarifs, je vous invite à consulter les liens suivants :

• Microsoft Docs - Azure Files
• Microsoft Docs - Facturation d'Azure Files
• Microsoft Docs - Authentification ADDS sur Azure Files

The post Azure Files : comment créer un partage SMB dans Azure ? first appeared on IT-Connect.

La mise à jour KB5016691 pour Windows 11 est à l'origine d'un bug plutôt gênant puisqu'il empêche l'utilisateur de se connecter à sa session, pendant plusieurs minutes. Microsoft déploie actuellement un correctif via son système Known Issue Rollback.

Le 25 août 2022, Microsoft a mis en ligne la mise à jour KB5016691 pour Windows 11 dont l'objectif est de donner un aperçu des correctifs qui seront apportés par la mise à jour de septembre 2022, prévue pour le mardi 13 septembre. La firme de Redmond procède de cette façon tous les mois, ce qui permet aux utilisateurs de tester en amont les mises à jour. Mais aussi d'avoir des correctifs en avant-première pour les personnes gênées par un bug en particulier.

Sur son site, Microsoft explique : "Après avoir installé la KB5016691 et ajouté un nouvel utilisateur avec compte Microsoft dans Windows, il se peut que vous ne puissiez pas vous connecter pendant un court moment après le premier redémarrage ou la première déconnexion. Ce problème n'affecte que l'utilisateur du compte Microsoft nouvellement ajouté et uniquement lors de la première connexion.". Ce bug affecte uniquement les comptes Microsoft, et il ne concerne pas les comptes associés à un domaine Active Directory ou à Azure Active Directory. D'après la description fournie par Microsoft, la connexion se bloque pendant quelques minutes, et ensuite l'utilisateur peut s'authentifier.

L'entreprise américaine a corrigé ce problème par l'intermédiaire du système Known Issue Rollback (KIR), une fonctionnalité de Windows conçue pour annuler les correctifs (hors mise à jour de sécurité) déployés par Windows Update lorsqu'il y a un effet indésirable comme celui-ci. Cette consigne est reçue par les ordinateurs via Windows Update directement, dans un délai de 24h.

Pour les entreprises, il est envisageable de déployer un paramètre KIR par GPO pour résoudre ce problème lié à la mise à jour KB5016691. Microsoft explique sur son site comment procéder et un package MSI est disponible au téléchargement afin de permettre l'intégration de ce nouveau paramètre de GPO propre à ce bug.

• Microsoft Docs - Bug KB5016691
• Microsoft Docs - Comment déployer une politique KIR ?

Source

The post Windows 11 – KB5016691 : un bug qui empêche l’utilisateur de se connecter à sa session first appeared on IT-Connect.

La marque de vêtements et d'équipements The North Face a été la cible d'une cyberattaque de type credential stuffing qui a permis aux pirates informatiques d'obtenir l'accès à 194 905 comptes utilisateurs du site thenorthface.com. Qu'est-il passé ?

Pour rappel, une attaque de type credential stuffing consiste à tenter de se connecter sur une plateforme en réutilisant des identifiants (combinaison de noms d'utilisateur et de mots de passe) obtenus à partir de diverses fuites de données. Du coup, le succès d'une telle attaque dépend des utilisateurs, car toutes les personnes qui utilisent le même couple "nom d'utilisateur + mot de passe" sur plusieurs sites, sont susceptibles d'être concernées. Cela dépend aussi de la fréquence de renouvellement des mots de passe.

Cette attaque sur le site Web de The North Face a commencé le 26 juillet 2022... Et elle s'est terminée le 19 août 2022, suite à des actions effectuées par les administrateurs qui ont détecté l'attaque uniquement le 11 août 2022. Suite à la détection de cette attaque, The North Face a mené des investigations et il s'avère que les pirates informatiques ont pu accéder à près de 200 000 comptes utilisateurs.

En accédant à un compte, plusieurs informations deviennent disponibles :

• Nom, prénom et genre
• Adresse de livraison et de facturation
• Historique des commandes
• Numéro de téléphone
• Date de création du compte
• Jeton lié à la carte de paiement

La bonne nouvelle c'est que les coordonnées bancaires ne sont pas mémorisées directement sur le site Web, donc les pirates n'ont pas pu accéder à ces informations sensibles. À ce sujet, The North Face affirme : "Nous ne conservons pas de copie des données relatives aux cartes de paiement sur thenorthface.com. Nous ne conservons qu'un "jeton" lié à votre carte de paiement, et seul notre processeur de carte de paiement tiers conserve les détails de la carte de paiement.". Ce fameux jeton ne peut pas être utilisé ailleurs que sur le site thenorthface.com.

Par mesure de précautions, tous les mots de passe des utilisateurs ont été réinitialisés et tous les jetons associés aux cartes de paiement ont été effacés. Cela signifie que les clients vont devoir créer un nouveau mot de passe et saisir à nouveau les informations de paiement lors de la prochaine commande. De toute façon, il vaut mieux éviter de sauvegarder ses données de paiement sur des sites de e-commerce.

Ce n'est pas la première fois que The North Face est victime d'une attaque de type credential stuffing : il s'agit de la seconde, et la première a eu lieu en novembre 2020.

Source

The post The North Face : 200 000 comptes piratés avec une attaque de type credential stuffing first appeared on IT-Connect.