18 janvier 2021 Rétrospectives Vlad

Le Top arbitraire de l’année écoulée 2020

Comme je le fais traditionnellement depuis plusieurs années, voici une “liste stochastique aléatoire non ordonnée sous forme de classement d’une sélection totalement arbitraire et subjective des évènements de sécurité marquants de l’année écoulée“, c’est-à-dire un « top » 😉.

Pour tous les détails, je vous renvoie vers les mails correspondants de cette liste (que je peux renvoyer à la demande).

La principale question que l’on peut se poser est « qu’est-ce qu’était l’année 2020 ? »… en dehors d’une année mondialement marquée par la pandémie mondiale du monde entier.

Note : Les références de revue représentent les revues d’actualité de l’OSSIR où le sujet a été abordé : https://www.ossir.org/support-des-presentations/

2020, à nouveau l’année des rançongiciels dans la continuité de 2018 et 2019 ?

C’est à présent sûr, 2020 fût l’année des rançongiciels, dans la continuité des années précédentes :

  • Emotet

Retour d’Emotet en Allemagne (Revue du 2020-01-14)

Emotet reste encore le botnet le plus répandu, selon un rapport de la société eSentire (Revue du 2020-02-11)

  • Beaucoup de compromissions par le groupe Maze, qui a annoncer arrêter ses activités (Revue du 2020-11-10) : Maze menace de publier 14 Gb de fichiers dérobés chez Southwirechaque semaine jusqu’à ce que la rançon soit payée (Revue du 2020-02-11)

Le groupe Bouygues Construction ciblé par le ransomware Maze(Revue du 2020-02-11)

Le géant de l’IT Cognizant victime du ransomware Maze (Revue du 2020-05-12)

Le groupe Maze prétend avoir piraté un réseau du groupe LG Electronics (Revue du 2020-07-07)

Le groupe Xerox serait victime d’une attaque de Maze Ransomware (Revue du 2020-07-07)

Fuite d’informations chez un sous-traitant de l’armée américaine, par Maze (Revue du 2020-06-09)

Le Ransomware SunCrypt annonce avoir rejoint le cartel créé par le groupe Maze (Revue du 2020-09-11)

Canon victime du groupe d’attaquant Maze : un vol de 10TB de données (Revue du 2020-09-11)

  • Beaucoup de compromissions et de publications ou menaces de publications Un opérateur maritime victime du ransomware Ryuk obligé d’interrompre son activité durant 30 heures (Revue du 2020-01-14)

Les pirates derrière le ransomware Sodinokibi/REvil commencent à publier des données de victimes qui refusent de payer les rançons (Revue du 2020-02-11)

Analyse du ransomware qui aurait touché Honda (Revue du 2020-07-O7)

MMA victime d’un ransomware Hack par Revil/Sodinokibi (Revue du 2020-09-11)

Publication de 6Go de données d’Umanis après compromission (Revue du 2020-12-09)

Software AG victime du ransomware Clop (Revue du 2020-10-13)

  • Certaines avec des abus de la part des défenseurs : L’attaque informatique contre Edenred en cachait une autre (Revue du 2020-05-12)
  • Avec des pertes conséquentes : 50 millions d’euros de perte attendue pour Sopra Steria à la suite de l’attaque du rançongiciel Ryuk (Revue du 2020-12-09)

Et surtout l’année de Cobalt Strike, outil commercial et pourtant utilisé dans la grande majorité de ces attaques. Au point que les cybercriminels demandent des compétences sur cet outils dans leur offres d’emploi.

Heureusement, avec quelques bonnes nouvelles :

  • Pendant six mois, des chercheurs en sécurité ont secrètement distribué un vaccin contre le virus Emotet à travers le monde (Revue du 2020-09-11)
  • Les développeurs du ransomware Shade mettent fin à leurs activités et publient 750 000 clés de déchiffrement (Revue du 2020-05-12)
  • Une belle opération avec des centaines d’arrestations à travers l’Europe (Encrochat) Certaines de ces attaques utilisaient d’ailleurs la thématique COVID pour leur phishing (Revue du 2020-05-12).

En parlant du COVID, l’année 2020 fût celle du Zoom-bashing, avec ou sans raison ?

L’année 2020 a marqué la forte de croissance de Zoom mais également avec beaucoup de trouvailles en sécurité :

  • Des comptes récupérés via du « credential stuffing » et mis en vente
  • Les appels Zoom non chiffrés de bout en bout, utilisant AES 128 et non 256, les identifiants de réunion sont prévisibles (Zoom Bombing) (Revue du 2020-05-12)
  • Prise de contrôle du système via deux vulnérabilités au sein de Zoom (Revue du 2020-06-09)

Mais ce n’est pas forcement mieux chez les autres :

  • Vulnérabilités Teams avec vol de session possible (Revue du 2020-05-12)
  • Et même exécution de code sur Teams par le simple envoie d’un image (Revue du 2021-01-12)

2020, toujours l’année des Fuites de données dans la continuité des années passées ?

Les fuites de données ont été beaucoup trop nombreuses pour les lister 😉. J’en compte une dizaine, publiques, par semaine.

2020, toujours l’année des Campagnes étatiques dans la continuité des années passées ?

Toujours de nombreuses campagnes étatiques d’espionnage, sans surprise :

  • Une campagne de cyber-espionnage cachée dans Google Play depuis 5 ans (Revue du 2020-05-12)
  • Plusieurs attaques informatiques visant à dérober des données classifiées ont ciblé Israël et seraient l’œuvre de groupes associés à la Corée du Nord (Revue du 2020-09-11)
  • Le cheval de Troie Bandook réapparaît dans de nombreuses campagnes liées à des intérêts étatiques, Dernière version observée était signée numériquement (Revue du 2020-12-09) Avec des originalités concernant le passé 🍺:
  • Découverte de l’existence d’une alliance nommée Maximator autour de la cryptographie et du renseignement d’origine électromagnétique (Revue du 2020-06-09)

2020, toujours l’année des attaques originales ou 3.0 comme les années passées ?

  • Avec des attaques toujours plus originales :
  • Les vibrations des ventilateurs intégrés aux ordinateurs peuvent être exploitées pour exfiltrer des données (Revue du 2020-05-12)
  • Platypus : Un nouveau RAPL sur les attaques par canaux auxiliaires utilisant la consommation du CPU (Revue du 2020-12-09)

Et de nouvelles vulnérabilités sur les composants ou micro-processeurs :

  • Les processeurs Intel en proie à une nouvelle vulnérabilité : Plundervolt du composant Software Guard Extensions (SGX) (Revue du 2020-01-14)
  • Les processeurs Intel encore en proie à deux nouvelles vulnérabilités : CacheOut/L1DES et VRS (Revue du 2020-02-11)
  • La sécurité de Thunderbolt de nouveau remise en question suite à la découverte de 7 nouvelles vulnérabilités (Revue du 2020-05-12)
  • Un chercheur a pu déverrouiller (jailbreaker) la dernière puce de sécurité T2 d’Apple (Revue du 2020-10-13)

2020, encore l’année des compromissions de fournisseurs (supply chain) pour toucher sa ou ses cibles ?

Dans la continuité des années précédentes, les attaques sur les fournisseurs ou sous-traitants continuent, visant de plus en plus des éditeurs de logiciels avec leur usine logicielle et parfois des hébergeur de dépôt de code/images… :

  • 725 paquets malveillants découverts dans le dépôt RubyGems(Revue du 2020-05-12)
  • La mise à jour d’une bibliothèque JavaScript impacte plus de 3 millions de projets (Revue du 2020-05-12)
  • Un citoyen russe accusé d’avoir cherché à recruter un employé américain pour qu’il déploie un malware sur le réseau de Tesla (Revue du 2020-09-11)
  • Retrait de quatre packages malveillants du gestionnaire de paquets npm (Revue du 2020-11-10)
  • Compromission de Solarwinds (Revue du 2021-01-12)

2020, à nouveau l’année des vulnérabilités majeures ?

Chaque année à son lot de vulnérabilités critiques, chacune ayant une portée mondiale:

  • Curveball touchant la crypto de Microsoft (CVE-2020-0601) et permet d’usurper une chaîne de certificats X.509 valide (Revue du 2020-02-11)
  • Prise de contrôle du système via 2 vulnérabilités au sein de SaltStack, à distance et sans authentification (Revue du 2020-05-12)
  • Prise de contrôle du système via 2 vulnérabilités au sein de l’application Mail d’Apple iOS, exploitée dans la nature mais “à priori” sans persistance si iOS 13 (Revue du 2020-05-12)
  • Une vulnérabilité critique sur les produits Apple rapporte $100,000 à un chercheur sur la fonctionnalité “Se connecter avec Apple” (Revue du 2020-06-09)
  • Encore une Prise de contrôle à distance via une vulnérabilité au sein d’Apache Tomcat (Revue du 2020-06-09)
  • SMBleed, permet de lire la mémoire non initialisé du noyau Windows (Revue du 2020-07-07)
  • ZeroLogon (CVE-2020-1459), annulation du mot de passe administrateur local d’un contrôleur de domaine et est exploité dans la nature (Revue du 2020-10-13)
  • BadNeighbour (CVE-2020-1459) permet un déni de service à distance en IPv6 mais limité au réseau local (Revue du 2020-11-10)

Et toujours :

  • Des centaines de vulnérabilités dans Chrome (toutes les revues)
  • Des centaines de vulnérabilités chez Cisco (toutes les revues)
  • Des centaines de vulnérabilités sur Android : Prise de contrôle du système et élévation de privilèges via 40 vulnérabilités au sein d’Android (Revue du 2020-01-14)

Prise de contrôle du système et élévation de privilèges via 25 vulnérabilités au sein d’Android (Revue du 2020-02-11)

Prise de contrôle du système et élévation de privilèges via 39 vulnérabilités au sein d’Android (Revue du 2020-05-12)

Prise de contrôle du système et élévation de privilèges via 34 vulnérabilités au sein d’Android (Revue du 2020-06-09)

  • Mais aussi beaucoup sur iOS (toutes les revues)
  • Des vulnérabilités sur les antivirus : Prise de contrôle du système et contournement de sécurité via 4 vulnérabilités au sein de produits Kaspersky (Revue du 2020-01-14)

Manipulation de données et déni de service via une vulnérabilité au sein de Trend Micro Deep Security (Revue du 2020-01-14)

Élévation de privilèges via une vulnérabilité au sein de Trend MicroMaximum Security (Revue du 2020-02-11)

Prise de contrôle du système via une vulnérabilité au sein de F-Secure(Revue du 2020-02-11)

Des pirates chinois exploitent une vulnérabilité affectant l’antivirus Trend Micro pour compromettre des systèmes de Mitsubishi Electric (Revue du 2020-02-11)

Elévation de privilèges et manipulation de données via 5 vulnérabilités au sein de Symantec Endpoint Protection et Symantec Endpoint Protection Manager (Revue du 2020-06-09)

Contournement de sécurité via 2 vulnérabilités au sein de SymantecAdvanced Secure Gateway et Symantec Content Analysis (Revue du 2020-06-09)

  • Des vulnérabilités sur les produits de sécurité : Prise de contrôle du système et élévation de privilèges via 13 vulnérabilités au sein de F5 BIG-IP (Revue du 2020-01-14)

Prise de contrôle du système sans authentification via une vulnérabilité du portail de gestion du trafic des produits F5 BIG-IP (Revue du 2020-07-07)

Contournement de sécurité et déni de service via 5 vulnérabilités au sein de F5 Big-IP et Big-IQ (Revue du 2020-12-09)

Changement du mot de passe d’un utilisateur à distance, sans authentification au sein de FortiMail et FortiVoiceEntreprise (Revue du 2020-05-12)

Prise de contrôle du système et manipulation de données via 6 vulnérabilités au sein de PAN-OS (PAN-100734) (Revue du 2020-06-09)

Élévation de privilèges et contournement de sécurité via une vulnérabilité au sein de PAN-OS sur les signatures lors d’une authentification SAML (PAN-148988) (Revue du 2020-07-07)

Prise de contrôle sans authentification du système via une vulnérabilité au sein de PAN-OS (Revue du 2020-09-11)

Prise de contrôle d’un système via 3 vulnérabilités au sein de Trend Micro InterScan Web Security Virtual Appliance (Revue du 2020-07-07)

Manipulation de données et divulgation d’informations via deux vulnérabilités au sein de Stormshield Network Security (Revue du 2020-07-07)

Prise de contrôle d’un système et contournement de sécurité via 4 vulnérabilités au sein de Trend Micro InterScan Web Security Virtual Appliance (Revue du 2020-07-07)

  • Des vulnérabilités Citrix : Prise de contrôle d’un système à distance via une vulnérabilité au sein de produits Citrix ADC et Gateway (Revue du 2020-01-14)

Vol d’informations sensibles via 3 vulnérabilités au sein de Citrix ShareFile et la mise à jour ne suffit pas à corriger (Revue du 2020-05-12)

Contournement de sécurité et divulgation d’informations via 3 vulnérabilités au sein de produits Citrix (Revue du 2020-12-09)

Élévation de privilèges et divulgation d’informations via 3 vulnérabilités au sein de produits Citrix (Revue du 2020-10-13)

  • Des milliers de vulnérabilités chez Oracle : Oracle, 334 vulnérabilités dont 43 critiques (score CVSS > 9.1) (Revue du 2020-02-11)

Oracle, 450 vulnérabilités dans 24 produits dont 286 critiques (Revue du 2020-05-12)

Oracle, 443 vulnérabilités dans 27 produits dont 70 critiques (Revue du 2020-07-07)

Oracle, 402 vulnérabilités dont une centaine critique (Revue du 2020-11-10)

2020, une belle année pour la France-Cybersécurité ?

Heureusement, 2020 fût une belle année pour les affaires française en cybersécurité, avec de bonnes nouvelles :

  • CrowdSec lève 1,5 M€ (Revue du 2020-11-10)
  • QuarksLab lève 5 millions d’euros (Revue du 2020-07-07)
  • Tehtris security leve 20 millions d’euros

Mais aussi des mauvaises

  • Levée de fonds USA de Vade Secure annulée (Revue du 2020-09-11)

Par contre, la France est toujours à la pointe :

  • lsassy en version 1.0.0, intégré à Metasploit (Revue du 2020-01-14)
  • PingCastle, régulièrement mis à jour
  • Mimikatz, régulièrement mis à jour
  • The Hive 4.0-RC2, avec authentification forte à double facteur (MFA) (Revue du 2020-05-12)
  • Bento 2020.5, kit d’outils pour du forensique (Revue du 2020-06-09)

Et toujours de belles publications :

  • L’OSSIR et le CLUSIF publient un guide sur la cybersécurité à l’attention des dirigeants d’entreprises (Revue du 2020-02-11)
  • L’ANSSI publie son rapport « L’état de la menacerançongiciel à l’encontre des entreprises et institutions» (Revue du 2020-02-11)
  • Le groupe cybercriminel SILENCE fait l’objet d’un rapport de l’ANSSI (Revue du 2020-05-12)
  • L’ANSSI publie un recueil de points de contrôle concernant la sécurité des annuaires Active Directory (Revue du 2020-06-09)
  • L’ANSSI publie un rapport détaillé sur le groupe cybercriminel TA505 (Revue du 2020-07-07)
  • L’ANSSI et le ministère de la Justice publient un guide pour sensibiliser les entreprises et les collectivités sur les rançongiciels (Revue du 2020-09-11)
  • Retour de l’ANSSI sur le code malveillant Dridex (Revue du 2020-06-09)
  • L’ANSSI publie un rapport sur le rançongiciel Ryuk (Revue du 2020-12-09)
  • L’ANSSI publie la liste des 26 métiers de la sécurité (Revue du 2020-10-13)
  • Le CERT-FR publie un document sur le cheval de Troie Emotet(Revue du 2020-11-10)

2020, une belle année pour la Protection des données personnelles ?

Une année avec quelques belles avancées :

  • Protection des données personnelles en Californie, nommée « California Consumer Privacy Act » of 2018 (CCPA), similaire au RGPD (Revue du 2020-01-14)
  • La CNIL publie un guide RGPD pour les développeurs(Revue du 2020-02-11)
  • La Cour européenne de justice s’oppose à la collecte massive des données de connexions Internet et téléphoniques par les États (Revue du 2020-10-13)
  • Privacy Shield : l’Irlande demande à Facebook de cesser le transfert de données vers les États-unis (Revue du 2020-10-13)

Et quelques belles amendes :

  • Facebook condamné au Brésil à une amende de 1,6 million de dollars dans le cadre de l’affaire Cambridge Analytica (Revue du 2020-01-14)
  • Facebook condamnée à une amende 550 millions de dollars pour son utilisation de la reconnaissance faciale (Revue du 2020-02-11)
  • Deux sociétés du groupe Carrefour sanctionnées par la CNIL pour un montant total de 3 millions d’euros (Revue du 2020-12-09)
  • Ticketmaster UK écope d’une amende de 1,7 million d’euros suite à une fuite de données en 2018 (Revue du 2020-12-09)

Mais ces amendes sont souvent réduites en appel, ce qui limite fortement l’impact du RGPD :

  • British Airways condamné à une amende de 20 millions de livres sterling, Amende initiale prévue à 200 millions £, baissée suite au covid-19 (Revue du 2020-11-10)

2020 est également l’année ou globalement nous avons su nous réinventer, faire massivement du télétravail et adapter nos modes de vie.

Je profite de ce mail pour vous souhaiter à toutes et à tous une très belle année 2021 🥳🎊🎉, tous mes vœux de bonheur et bonne santé, surtout la santé.

J’espère pouvoir rapidement vous retrouver pour une bière dans les bars enfin réouverts 🍻.