{"id":1198746,"date":"2024-06-14T06:55:09","date_gmt":"2024-06-14T08:55:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-systeme-biometrique-zkteco-savere-vulnerable-a-24-failles-de-securite-critiques\/"},"modified":"2024-06-14T06:55:13","modified_gmt":"2024-06-14T08:55:13","slug":"le-systeme-biometrique-zkteco-savere-vulnerable-a-24-failles-de-securite-critiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-systeme-biometrique-zkteco-savere-vulnerable-a-24-failles-de-securite-critiques\/","title":{"rendered":"Le syst\u00e8me biom\u00e9trique ZKTeco s&#8217;av\u00e8re vuln\u00e9rable \u00e0 24 failles de s\u00e9curit\u00e9 critiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des appareils \/ Authentification<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Le-systeme-biometrique-ZKTeco-savere-vulnerable-a-24-failles-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une analyse d&#8217;un syst\u00e8me d&#8217;acc\u00e8s biom\u00e9trique hybride du fabricant chinois ZKTeco a r\u00e9v\u00e9l\u00e9 deux douzaines de failles de s\u00e9curit\u00e9 qui pourraient \u00eatre utilis\u00e9es par des attaquants pour contourner l&#8217;authentification, voler des donn\u00e9es biom\u00e9triques et m\u00eame d\u00e9ployer des portes d\u00e9rob\u00e9es malveillantes.<\/p>\n<p>&#8220;En ajoutant des donn\u00e9es utilisateur al\u00e9atoires \u00e0 la base de donn\u00e9es ou en utilisant un faux code QR, un acteur malveillant peut facilement contourner le processus de v\u00e9rification et obtenir un acc\u00e8s non autoris\u00e9&#8221;, Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/usa.kaspersky.com\/about\/press-releases\/2024_kaspersky-finds-24-vulnerabilities-in-chinese-biometric-access-systems\" target=\"_blank\">dit<\/a>.  &#8220;Les attaquants peuvent \u00e9galement voler et divulguer des donn\u00e9es biom\u00e9triques, manipuler des appareils \u00e0 distance et d\u00e9ployer des portes d\u00e9rob\u00e9es.&#8221;<\/p>\n<p>Les 24 failles couvrent six injections SQL, sept d\u00e9passements de tampon bas\u00e9s sur la pile, cinq injections de commandes, quatre \u00e9critures de fichiers arbitraires et deux lectures de fichiers arbitraires.  Une br\u00e8ve description de chaque type de vuln\u00e9rabilit\u00e9 est ci-dessous &#8211;<\/p>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/klsecservices\/Advisories\/blob\/master\/K-ZkTeco-2023-001.md\" target=\"_blank\">CVE-2023-3938<\/a><\/strong>  (score CVSS : 4,6) &#8211; Une faille d&#8217;injection SQL lors de l&#8217;affichage d&#8217;un code QR dans la cam\u00e9ra de l&#8217;appareil en transmettant une requ\u00eate sp\u00e9cialement con\u00e7ue contenant un guillemet, permettant ainsi \u00e0 un attaquant de s&#8217;authentifier en tant qu&#8217;utilisateur de la base de donn\u00e9es.<\/li>\n<\/ul>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/klsecservices\/Advisories\/blob\/master\/K-ZkTeco-2023-002.md\" target=\"_blank\">CVE-2023-3939<\/a><\/strong>  (score CVSS : 10,0) &#8211; Un ensemble de failles d&#8217;injection de commandes qui permettent l&#8217;ex\u00e9cution de commandes arbitraires du syst\u00e8me d&#8217;exploitation avec les privil\u00e8ges root<\/li>\n<\/ul>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/klsecservices\/Advisories\/blob\/master\/K-ZkTeco-2023-003.md\" target=\"_blank\">CVE-2023-3940<\/a><\/strong>  (score CVSS : 7,5) &#8211; Un ensemble de failles de lecture de fichiers arbitraires qui permettent \u00e0 un attaquant de contourner les contr\u00f4les de s\u00e9curit\u00e9 et d&#8217;acc\u00e9der \u00e0 n&#8217;importe quel fichier du syst\u00e8me, y compris les donn\u00e9es utilisateur sensibles et les param\u00e8tres syst\u00e8me.<\/li>\n<\/ul>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/klsecservices\/Advisories\/blob\/master\/K-ZkTeco-2023-004.md\" target=\"_blank\">CVE-2023-3941<\/a><\/strong>  (score CVSS : 10,0) &#8211; Un ensemble de failles d&#8217;\u00e9criture de fichiers arbitraires qui permettent \u00e0 un attaquant d&#8217;\u00e9crire n&#8217;importe quel fichier sur le syst\u00e8me avec les privil\u00e8ges root, y compris la modification de la base de donn\u00e9es des utilisateurs pour ajouter des utilisateurs malveillants.<\/li>\n<\/ul>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/klsecservices\/Advisories\/blob\/master\/K-ZkTeco-2023-005.md\" target=\"_blank\">CVE-2023-3942<\/a><\/strong>  (score CVSS : 7,5) &#8211; Un ensemble de failles d&#8217;injection SQL qui permettent \u00e0 un attaquant d&#8217;injecter du code SQL malveillant, d&#8217;effectuer des op\u00e9rations de base de donn\u00e9es non autoris\u00e9es et de siphonner des donn\u00e9es sensibles.<\/li>\n<\/ul>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/klsecservices\/Advisories\/blob\/master\/K-ZkTeco-2023-006.md\" target=\"_blank\">CVE-2023-3943<\/a><\/strong>  (score CVSS : 10,0) \u2013 Un ensemble de failles de d\u00e9passement de tampon bas\u00e9es sur la pile qui permettent \u00e0 un attaquant d&#8217;ex\u00e9cuter du code arbitraire.<\/li>\n<\/ul>\n<p>&#8220;L&#8217;impact des vuln\u00e9rabilit\u00e9s d\u00e9couvertes est d&#8217;une diversit\u00e9 alarmante&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Georgy Kiguradze.  &#8220;Pour commencer, les attaquants peuvent vendre des donn\u00e9es biom\u00e9triques vol\u00e9es sur le dark web, exposant ainsi les personnes concern\u00e9es \u00e0 des risques accrus d&#8217;attaques d&#8217;ing\u00e9nierie sociale sophistiqu\u00e9es et de contrefa\u00e7on.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Vulnerabilite-Azure-Service-Tags-Microsoft-met-en-garde-contre-un.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En outre, l\u2019exploitation r\u00e9ussie de ces lacunes pourrait permettre \u00e0 des acteurs malveillants d\u2019acc\u00e9der \u00e0 des zones autrement restreintes et m\u00eame d\u2019implanter des portes d\u00e9rob\u00e9es pour infiltrer des r\u00e9seaux critiques \u00e0 des fins de cyberespionnage ou d\u2019attaques perturbatrices.<\/p>\n<p>La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9, qui a identifi\u00e9 les failles suite \u00e0 l&#8217;ing\u00e9nierie inverse du firmware (version ZAM170-NF-1.8.25-7354-Ver1.0.0) et du protocole propri\u00e9taire utilis\u00e9 pour communiquer avec l&#8217;appareil, a d\u00e9clar\u00e9 n&#8217;avoir aucune visibilit\u00e9 sur si ces probl\u00e8mes ont \u00e9t\u00e9 corrig\u00e9s.<\/p>\n<p>Pour att\u00e9nuer le risque d&#8217;attaques, il est recommand\u00e9 de d\u00e9placer l&#8217;utilisation du lecteur biom\u00e9trique dans un segment de r\u00e9seau distinct, d&#8217;utiliser des mots de passe d&#8217;administrateur robustes, d&#8217;am\u00e9liorer les param\u00e8tres de s\u00e9curit\u00e9 des appareils, de minimiser l&#8217;utilisation des codes QR et de maintenir les syst\u00e8mes \u00e0 jour.<\/p>\n<p>&#8220;Les dispositifs biom\u00e9triques con\u00e7us pour am\u00e9liorer la s\u00e9curit\u00e9 physique peuvent \u00e0 la fois offrir des fonctionnalit\u00e9s pratiques et utiles et introduire de nouveaux risques pour votre syst\u00e8me informatique&#8221;, Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/biometric-terminal-vulnerabilities\/112800\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab Lorsqu&#8217;une technologie avanc\u00e9e comme la biom\u00e9trie est enferm\u00e9e dans un appareil mal s\u00e9curis\u00e9, cela annule pratiquement les avantages de l&#8217;authentification biom\u00e9trique. Ainsi, un terminal insuffisamment configur\u00e9 devient vuln\u00e9rable \u00e0 de simples attaques, ce qui permet \u00e0 un intrus de violer facilement la s\u00e9curit\u00e9 physique de l&#8217;appareil. les domaines critiques de l&#8217;organisation.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/zkteco-biometric-system-found.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 juin 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des appareils \/ Authentification Une analyse d&#8217;un syst\u00e8me d&#8217;acc\u00e8s biom\u00e9trique hybride du fabricant chinois ZKTeco a r\u00e9v\u00e9l\u00e9 deux douzaines de failles de s\u00e9curit\u00e9 qui pourraient \u00eatre utilis\u00e9es par des attaquants pour contourner l&#8217;authentification, voler des donn\u00e9es biom\u00e9triques et m\u00eame d\u00e9ployer des portes d\u00e9rob\u00e9es malveillantes. &#8220;En ajoutant des donn\u00e9es utilisateur al\u00e9atoires \u00e0 la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1198747,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,221068,4168,5729,4165,4161,200267,4806,4159,4171,200271,200268,200269,200270,9407,1835,128318,4172,4169,2622,4166,4164,4891,235934],"class_list":["post-1198746","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-biometrique","tag-comment-pirater","tag-critiques","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-failles","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-savere","tag-securite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-systeme","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerable","tag-zkteco"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198746","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1198746"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198746\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1198747"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1198746"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1198746"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1198746"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}