Blog: Fortigate CVE-2023-27997 (XORtigate) in the eyes of the owl
Le Top arbitraire de l’année écoulée 2022
Publié le
Cette année il sent l’odeur des larmes séchées de responsable sécurité (RSSI) vaporisées par la chaleur des détonations de vulnérabilités : c’est votre traditionnel top arbitraire des évènements de cybersécurité de l’année écoulée 🎊. Pour tous les détails, je vous renvoie vers les mails de cette liste ainsi que les revues d’actualité 2022 de l’OSSIR en PDF et en vidéos : https://www.ossir.org/support-des-presentations/?date=2022 et https://www.youtube.com/@OSSIR/videos
Reprenons :
- 2020 fut assez catastrophique.
- 2021 fut pire avec encore plus de vulnérabilités critiques massivement exploitées dans la nature, de piratages, de fuites de données…
- 2022… nous allons voir.
La principale question à se poser est : « Qu’est-ce qu’a été l’année 2022 ? Qu’est ce qui l’a caractérisé ?»
2022, à nouveau une année des vulnérabilités majeures ?
Malheureusement oui, toujours et encore des vulnérabilités majeures, massivement exploitées dans la nature et permettant de quasiment totalement compromettre une entreprise 😥.
En 2022, nous avons vu les suites de Log4J avec de nouvelles manières d’exploiter la vulnérabilité (cf. revue du 2022-01-11 et 2022-02-08) et de variantes de la première.
En 2022, quelques jours après la publication d’un correctif pour une injection de code Java avec le “Spring Expression Language” nommée Spring4Shell est sortie. (CVE-2022-22963). Une sorte de Log4J mais nécessitant heureusement une configuration est peu fréquente (cf. revue du 2022-04-12)
En 2022, nous avons compris que oui, il y’a des vulnérabilités majeures chez les fournisseurs de Cloud et que oui, elles peuvent être exploitées dans la nature avec des impacts gigantesques, comme : Celles touchants AWS CloudFormation (cf. revue du 2022-02-08). Celles touchant Azure Automation Account, permettant de récupérer les jetons des autres clients (cf. revue du 2022-03-08)
En 2022, nous avons aussi vu de nombreuses vulnérabilités touchants Microsoft Exchange dont ProxyNotShell, permettant une compromission complète et que Microsoft aura mis 3 mois à corriger (cf. revue du 2022-10-11)
En 2022, nous avons enfin vu que Zimbra (la suite de messagerie) était pris pour cible avec des exploitations de vulnérabilités inconnues de l’éditeur (0-days) au moment des attaques (cf. revue du 2022-02-08, 2022-07-12, 2022-09-13, 2022-10-11)
2022, toujours une année de vulnérabilités touchant les microprocesseurs / CPU ?
Encore et toujours des vulnérabilités touchant les microprocesseurs qui, en général, permettent d’aller lire de la mémoire protégée et parfois même d’élever ses privilèges.
Ces vulnérabilités sont particulièrement gênantes dans le cas d’infrastructure mutualisées comme le cloud :
- SQUIP / Side Channel Vulnerability, touchant les CPU AMD Zen 1, 2 et 3 (cf. 2022-09-13)
- AEPIC Leak / Architecturally Leaking Uninitialized Data from the Microarchitecture, touchant les CPU Intel de 10eme, 11eme et 12eme generation (cf. 2022-09-13)
- RetBleed, touchant les CPU Intel et AMD (cf. 2022-09-13)
- Phantom JMPS, touchant les CPU Intel et AMD (cf. 2022-09-13)
- PACMAN, touchant les CPU Apple M1 (cf. 2022-09-13)
2022, l’année de la fin des compromissions de poste de travail à cause des macros Office ?
C’est peut-être l’un des évènements majeurs de la cybersécurité 2022 mais pourtant peu visible : depuis juillet 2022, les macros Office sont désactivées par défaut, si le document provient d’Internet (d’une zone de sécurité non sûre) par mail, téléchargement, partage réseau... Annoncé en février (cf. revue du 2022-02-08), appliqué en juillet à la suite d’une rocambolesque série de blocages et de retours en arrière : Microsoft a enfin bloqué le facteur numéro 1 des compromissions.
Malheureusement il existe encore des contournements avec :
- Les DDE des fichiers Office (Dynamic Data Exchange) ;
- L’utilisation de schémas d’appels, comme celui l’outil de diagnostic d’Office (ms-msdt://) qu’il était possible d’ajouter dans un fichier Office et donnant la vulnérabilité Follina (CVE-2022-30190) (cf. revue du 2022-06-14)
- Les add-ins XLL ;
- Les fichier OneNote ;
- Des chaines d’exploitation improbables multipliant les formats de fichier (cf. 2022-09-13):
- .html > .zip > .lnk > .dll
- url > .zip > .iso > .lnk > .bat > .dll
- .zip > .iso > .lnk > .bat > wscript > .dll
- GoogleDrive > .zip protégé par mot de passe > .lnk > .ps1 > .exe
- .zip > .js > .ps1 > .vbs > .bat > .vbs > .bat > .ps1 > malware
2022, une année dans la continuité avec des compromissions de grande ampleur ?
En 2022, nous avons découvert le piratage de LastPass et la communication discutable de l’éditeur :
- Piratage (d’un développeur) de LastPass (cf. 2022-09-13)
- Encore piraté (cf. revue du 2022-11-08)
- Finalement tous les coffres forts de mots de passe ont été volés (cf. revue du 2023-01-10)
Et de nombreux autres piratages des conséquences potentielles sur des milliers d’entreprises ou particuliers :
- Slack avec le vol du code source (cf. revue du 2023-01-10)
- InterSport chez nous, avec le blocage de nombreux magasins (cf. revue du 2022-12-08)
- Police Chinoise avec la fuite de données (dont casiers judiciaires) de 1 milliards de Chinois (cf. revue du 2022-07-12)
- Stratacache, un des leaders du “digital signage” (gestion de panneaux d’affichage, écran en boutique…) (cf. revue du 2023-01-10)
- Des tas de piratages de places de marché de cryptomonnaies avec même un top des pires : https://web3isgoinggreat.com/charts/top (cf. revue du 2023-01-10)
2022, toujours et encore une année des compromissions des chaines d’approvisionnement (supply chain) ou fournisseurs ?
Quoi de plus simple que de pirater un fournisseur, une dépendance (au sens bibliothèque logicielle), l’accès d’un tier… pour pirater la cible en bout de chaine.
En 2022, nous avons découvert :
- Les opérations d’espionnage Russe des groupes StellarParticle et CozyBear, en lien avec SolarWinds, mêlant piratage de services/applications exposés sur Internet, accès au tenant Azure, vol de cookie pour contourner les MFA… (cf. revue du 2022-02-08)
- L’opération Serpent, ciblant des entreprises et ministères français, débutant par un hameçonnage et installant le gestionnaire de paquets Chocolatey (cf. revue du 2022-04-12)
- Le piratage de CircleCI, fournisseur de chaines de développement externalisées (CI/CD), avec le vol de TOUS les secrets de TOUS les clients (cf. revue du 2023-01-10)
- Les réseaux GSM ont été espionnés par un groupe Chinois utilisant le vieil outil « Poison Ivy » (cf. revue du 2022-04-12)
- Des salariés de Twilio (plateforme cloud de SMS) se sont fait pirater, permettant ensuite aux attaquants de compromettre des comptes Signal, Okta, Telegram… (cf. revue du 2022-09-13)
- Le piratage de Hubspot, un des leaders du CRM, pour cibler leurs clients qui étaient des entreprises dans les cryptos (cf. revue du 2022-04-12)
En 2022, même les programmes de bug bounty et n’étaient plus sûrs, avec des salariés de HackerOne contrefaisant des rapports pour voler et revendre ces vulnérabilités (cf. revue du 2022-07-12)
2022, la continuité du piratage des interfaces d’administration exposées sur Internet, en général sur des solutions de sécurité ?
Vous le savez, nous le répétons sans cesse depuis des années : il ne faut JAMAIS exposer une interface d’administration sur Internet, en particulier s’il s’agit d’un produit de sécurité donnant ensuite accès à vos ressources en interne. Les éditeurs de ces logiciels et équipements de sécurité restent des éditeurs, soumis aux mêmes pressions que tous les autres et souffrent, comme tout le monde, de vulnérabilités critiques. Le problème étant que ce ne sont pas des logiciels ou équipements comme les autres et qu’ils ne devraient pas avoir de vulnérabilités critiques, tout du moins pas aussi triviales que certains listées ci-dessous.
En 2022, nous avons vu à nouveau des solutions de sécurité se faire compromettre (et les entreprises par la suite) du fait d’interfaces d’administration exposées sur Internet comme :
- Le piratage de firewall et VPN WatchGuard par le groupe Cyclops Blink (les mêmes gens que Sandworm) (cf. revue du 2022-03-08)
- Le piratage en masse de firewall Fortinet du fait d’un contournement de l’authentification (cf. revue du 2022-11-08)
- Le contournement de l’authentification sur le portail d’administration des firewalls et passerelles VPN Palo Alto (CVE-2022-0030)
- La prise de contrôle des VPN SSL SonicWall par une requête web triviale (cf. revue du 2022-02-08)
- L’injection de code à distance et sans authentification sur les équipements F5 BigIP (cf. revue du 2022-06-14)
- L’injection de commande à distance et sans authentification sur les firewalls Zyxel par une simple requête POST avec un JSON (CVE-2022-30525) (cf. revue du 2022-06-14)
- L’exécution de code à distance et sans authentification sur les firewalls Sophos par une simple requête POST avec un caractère unicode (CVE-2022-1040) (cf. revue du 2022-06-14)
En 2022, nous avons eu de nombreuses vulnérabilités critique sur les solutions de Palo Alto comme l’XDR Cortex (cf. revue du 2022-02-08)
En 2022, tout comme les années précédentes, les produits de l’éditeur Zoho ont soufferts de nombreuses vulnérabilités, Manage Engine en tête dont certaines triviales comme la prise de contrôle par une simple requête web (CVE-2021-44515) (cf. revue du 2022-02-08)
2022, une année de vulnérabilités critiques similaires à celles des années 2000 ?
Les modes c’est cyclique. En serait-il de même pour les vulnérabilités avec le retour des vulnérabilités triviales dignes des années 90 ?
En 2022, nous avons eu une quantité dingue de vulnérabilités triviales ert dignes des années 90-2000 :
- Atlassian Confluence, injection de commande à distance sans authentification à partir d’une simple requête GET (CVE-2022-26134) (cf. revue du 2022-06-14)
- Atlassian Confluence, encore un compte caché avec un mot de passe codé en dur (cf. revue du 2022-10-11)
- Atlassian Jira, injection de requête web (SSRF) triviale (CVE-2022-26135) (cf. revue du 2022-07-12)
- GitLab, mot de passe en dur « 123qweQWE!@#00 » pour l'authentification externe (cf. revue du 2022-02-08)
- Grafana 8.4.3, lecture arbitraire de fichier avec un path traversal trivial (CVE-2022-32275) (cf. revue du 2022-06-14)
- Apache, lecture et écriture arbitraire de mémoire datant de… 20 ans (cf. revue du 2022-09-13)
- pfSence, exécution triviale de commande sans authentification (cf. revue du 2022-10-11)
- GLPI, injection triviale de commande (cf. revue du 2022-11-08)
2022, la confirmation que les cybercriminels n’ont pas d’âme ?
C’est devenu notre lot quotidien, des entreprises, hôpitaux, collectivités qui se font rançonner avec la publication des données volées sur les sites des cybercriminels et parfois des effets dramatiques. Il ne se passe pas une semaine sans une annonce de ce type et c’est malheureusement devenu une banalité quotidienne. Ces cybercriminels n’ont clairement pas d’âme.
Ces individus sans âme s’en sont pris en 2022 à :
- L’hôpital Corbeil-Essonnes, bloquant tout le système d’information (cf. revue du 2022-09-13)
- Le Département Indre et Loire, créant des problèmes sur les versements des allocations (cf. revue du 2022-09-13)
- Hôpital de Castelluccio à Ajaccio qui a bloqué des services critiques (cf. revue du 2022-06-14)
- Groupement hospitalier de la région Grand Est (GHT Cœur Grand Est) avec le vol de données de patients (cf. revue du 2022-06-14)
- Groupements d'Intérêt Public (cf. revue du 2022-06-14)
- Hôpital Corbeil-Essonnes (cf. revue du 2022-09-13)
Rassurez-vous, le groupe LockBit s’est excusé suite à la compromission d’un hôpital d’enfants au Canada 🤦♂️ (cf. revue du 2023-01-10)
Heureusement, parfois, ces cybercriminels se font eux-mêmes pirater comme avec la publication de tous les échanges internes du groupe Conti, pro-russe, mais avec des membres pro-ukraine (cf. revue du 2022-03-08)
2022, une année de la reprise des codes de la « startup nation » par les cybercriminels ?
Pénurie et lassitude des salariés, besoin de sécuriser ses applications, nécessité d’avoir plus de visibilité… Non, il ne s’agit de pas d’entreprises classiques mais de groupes cybercriminels. Eux aussi se sont lancé dans la mode de la « startup nation ».
LockBit a annoncé un programme de bugbounty, un programme de rachat de vulnérabilités, des partenariats, du recrutement… (cf. revue du 2022-07-12)
2022, une année surprenante avec des attaquants de 16 ans utilisant des techniques basiques !!?
Lapsus$, mais qui n’a pas entendu parler de ce groupe ayant piraté :
- Nvidia et sorti 1To de données, les comptes de l’AD avec condensat NTLM… (cf. revue du 2022-02-08)
- Samsung et sorti 200Go de données dont des codes source sensibles (cf. revue du 2022-02-08)
- Microsoft et la sorti de beaucoup de code source dont Bing mais coupé rapidement car le groupe a annoncé la fuite en temps réel (cf. revue du 2022-04-12) Mais aussi Ubisoft, Okta, Uber, Rockstar…
Pas de demande de rançon, pas de menaces à la publication de données… mais juste les publications de ce qu’ils avaient volé et un groupe Telegram pour venter leurs faits d’arme. Les entreprises n’étaient pas prêtes face à ce type de menace, pas prêtes à traiter des attaquants … adolescents ! 7 personnes ont été arrêtées dont le potentiel leader de 16 ans (cf. revue du 2022-04-12)
2022, une année confirmant que oui, un antivirus et un EDR, cela se contourne ?
Et oui, un antivirus et un EDR c’est bien, mais ce n’est pas suffisant, d’autant que des méthodes de contournement, il y’en existe des tas.
Je ne vais pas toutes les lister mais dans quasiment chaque revue d’actualité mensuelle de l’OSSIR j’en ai présenté une ou deux… bon, allez, si, je vous en mets quelques-unes 😉 :
- Loader très discret https://github.com/xforcered/BokuLoader
- Appel à EnumSystemGeoID() et son « callback » https://github.com/HuskyHacks/RustyProcessInjectors/blob/master/EnumSystemGeoID/src/main.rs
- Chargement réflectif de NTDLL https://twitter.com/d1rkmtr/status/1611710773532807168
- Encore du réflectif https://twitter.com/vysecurity/status/1602593669588164608
- Du Unhooking https://twitter.com/0xtriboulet/status/1607815073917009924
- Des techniques d’évasion simples https://blog.xpnsec.com/undersanding-and-evading-get-injectedthread/
- D’autres techniques https://shubakki.github.io/posts/2022/12/detecting-and-evading-sandboxing-through-time-based-evasion/
2022, encore une année de vols de données, publications de fuites de données… ?
Chaque année des fuites, chaque semaine même…
En voici quelques-unes :
- Literies Emma et vol des informations de 97 000 clients (cf. revue du 2022-04-12)
- Base de données de 1 Milliards de Chinois venant de leur police avec des données personnelles et leur casier (cf. revue du 2022-07-12)
- Base de données des clients la Poste Mobile, publiée par Lockbit (cf. revue du 2022-07-12)
- Base de données des utilisateurs de TikTok (cf. revue du 2022-09-13)
- Liste de tous les clients du micro-SOC d’Orange CyberDefense (cf. revue du 2022-09-13)
- Données d’Altice ayant ensuite permis à des journalistes d’enquêter sur la famille Drahi (cf. revue du 2022-09-13)
- Base de données de 5,4 millions d’utilisateurs de Twitter avec le numéro de téléphone (cf. revue du 2022-09-13)
- Base de données de 233 millions d’utilisateurs de Twitter (cf. revue du 2023-01-10)
- Base de données de 257 millions d’utilisateur de Deezer (cf. revue du 2023-01-10)
Si le sujet vous intéresse, voici un site visuel montrant les fuites de données par année : https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
2022, une nouvelle année de collecte de vos données personnelles, sans limite ?
Vos données personnes sont une monnaie mais surtout, les solutions que vous utilisez continuent la collecte même lors que vous pensez que ce n’est pas le cas.
En 2022 (mais avant également), Cisco WebEx vous écoutait même quand le micro est coupé mais rassurez-vous, c’est uniquement pour de la télémétrie 🤪 (cf. revue du 2022-06-14) En 2022, le monde a découvert que les iPhones ne s’éteignaient jamais vraiment et écoutait toujours en NFC ainsi qu’en GPS : « Evil never sleeps » (cf. revue du 2022-04-12) En 2022, des photos intimes prises par des aspirateurs robots sont sorties sur Facebook (cf. revue du 2023-01-10)
2022, une année rassurante avec de nombreuses saisies, arrestations et sanctions ?
Il semble communément admis que les cybercriminels ne craignent rien et, à moindre échelle, qu’il n’y a aucune conséquence pour les entreprises ne respectant pas la règles. Les faits en 2022 ont bien heureusement montré le contraire.
Côté amendes, il y’a eu pas mal de choses en 2022, comme :
- L’annonce que Google Analytics n'était pas conforme au RGPD (cf. revue du 2022-04-12)
- La condamnation de Dedalus Biologie à une amende de 15m€ suite au stockage non sécurisé de données personnelles et médicales de 500 000 français (cf. revue du 2022-06-14)
- Les multiples amendes contre ClearView AI (7,5 m£ en Angleterre ; 20m€ en Italie ; mise en demeure en France) (cf. revue du 2022-06-14)
- Criteo, amende potentielle de 60m€ de la CNIL (cf. revue du 2022-09-13)
- Amende de 60m€ contre Microsoft par la CNIL (cf. revue du 2023-01-10)
- Amende de 390m€ contre Meta par la CNIL Irlandaise (cf. revue du 2023-01-10)
- Amende de 8m€ contre Apple pour traçage publicitaire (cf. revue du 2023-01-10)
Les forces de l’ordre n’ont pas non plus chômé :
- Fermeture de plusieurs forums de revente de fuites de données, de moyens d’intrusion… ont été saisis et fermés comme le fameux site RaidForums ainsi que nulled.to et eleaks mais rapidement remplacés (cf. revue du 2022-03-08)
- Arrestation du créateur de la place de marché Hydra (Dmitry Pavlov) (cf. revue du 2022-06-14)
- Arrestation de l’auteur présumé de Raccoon Stealer, grâce aux publications Instagram de sa copine (cf. revue du 2022-11-08)
- Arrestation d’un des principaux groupes d’arnaqueurs au CPF a été arrêté (cf. revue du 2022-12-08)
- Le RSSI de Uber a été condamné pour avoir caché une compromission importante et payé la rançon avec le bidget du big bounty
En 2022, le FBI avait lancé une grande campagne de nettoyage des firewalls et VPN Watchguard piratés, à distance, en scannant Internet et en intervenant sans prévenir les victimes, suite à validation par un juge (cf. revue du 2022-04-12)
Malheureusement, nous avons découvert ou redécouvert que :
- Le Cloud Act s’appliquait à tout ce qui possède du matériel ou logiciel américain ;
- L’accès aux données des clients d’entreprises américaines (loi FISA) n’est pas un mythe mais que personne n’en parle de peur de finir en prison (cf. revue du 2022-09-13 et 2022-11-08)
2022, une année florissante pour les fusions, rachats et levées de fond en cybersécurité ?
La cyber ne connait pas la crise avec de nombreux rachats, fusions ou levées de fonds.
Côté rachats :
- NeoSoft a acquis CONIX (cf. revue du 2022-03-08)
- Google a acquis Mandiant pour $5Mds (cf. revue du 2022-03-08)
- Schwarz Group a acquis XM Cyber pour $700 millions
- Framatome a acquis Cyberwatch (cf. revue du 2022-06-14)
- IBM a acquis Randori (!=RandoriSec) qui s’est spécialisé dans l’EASM (« External Attack Surface Management ») solution de - cartographie à faible valeur ajoutée (cf. revue du 2022-06-14)
- UnaBiz (Singapour) a acquis le français Sigfox et conservé 110 salariés sur 174 (cf. revue du 2022-06-14)
- Broadcom a acquis VMware (cf. revue du 2022-06-14)
- Thales a acquis S21sec et Excellium (Luxembourg) (cf. revue du 2022-06-14)
- Orange Cyber Défense a racheté les entreprises Suisses SCRT et Telsys (cf. revue du 2022-12-08)
Côté levées :
- Patrowl a levé 2m€ en seed 🎉🎊
- Thetris a levé 44m€ (cf. revue du 2022-11-08)
- Citalid a levé 12m€ (cf. revue du 2022-11-08)
2022, l’année de la prise de conscience des menaces par des sociétés privées ? Qui n’a pas entendu parler de NSO Group et de son malware (spyware ?) Pegasus.
En 2022, nous avons découvert que Pegasus avait été utilisé :
- Par la police Israélienne, hors de toute enquête officielle, contre des politiques israéliens, leurs proches, des industriels… (cf. revue du 2022-02-08)
- Dès 2019, par la Pologne contre des opposants politiques et leurs avocats (cf. revue du 2022-06-14)
- En 2019, par le FBI qui avait acquis des licences (cf. revue du 2022-02-08)
- En 2021, contre des diplomates Finnois (cf. revue du 2022-02-08)
- En 2021, contre une haute responsable de Human Rights Watch qui enquêtant sur la Syrie, la Birmanie, Israël... (cf. revue du 2022-02-08)
- Contre des politiciens Français dont Montebourg, Blanquer… (cf. revue du 2022-02-08)
- Contre le 1er ministre anglais et de nombreux autres élus, hauts fonctionnaires… par « à priori » les Émirats arabes unis , l’Inde, Chipre et la Jordanie (cf. revue du 2022-04-12)
- Contre le gouvernement Catalan (cf. revue du 2022-06-14)
- Par le gouvernement thaïlandais
- En 2022, nous avons vu une très bonne présentation d’ Etienne Maynier (du Security Lab d’Amnesty International), à la conférence SSTIC 2022, sur leurs outils d’analyse pour détecter Pegasus (https://www.sstic.org/2022/presentation/smartphone_et_forensic__comment_attraper_pgasus_for_fun_and_non-profit/)
Suite à tout cela, plusieurs actions ont été entreprises :
- En 2022, une commission d’enquête a été lancée en Europe (cf. revue du 2022-02-08)
- En 2022, nous avons vu qu’Apple avait réagi fortement et prévenait les clients potentiellement ciblés par Pegasus
- En 2022, NSO a été ajouté sur la liste noire des fournisseurs des USA
- Suite à cela un fond américain s’est proposé pour le rachat de Pegasus pour $300 millions mais s’est retiré (cf. revue du 2022-02-08)
Détecter et alerter contre Pegasus c’est bien, mais il reste encore beaucoup d’entreprises proposant ce genre de services comme :
- Le spyware Predator/Alien de la société Cytrox, repéré par Google et utilisé par l’Egypte, l'Arménie, la Grèce, Madagascar, la - Côte d’Ivoire, la Serbie, l’Espagne et l'Indonésie contre des opposants politiques, des journalistes… (cf. revue du 2022-06-14)
- Le spyware Candiru Ltd (cf. revue du 2022-06-14)
- Innefu
- Mollitiam
- Belltrox
- Nexa/Intellexa (société franco-israélienne), dont une proposition commerciale a été publiée à la suite du piratage d’un de leurs clients (cf. revue du 2022-09-13)
- …
2022, l’année de la prise de conscience des menaces venant des sociétés privées d’influence et de diffusion de mensonges ?
L’affaire Team Jorge (mais je sujet a surtout éclaté en 2023 en France) :
- Démasqué en 2022 par un groupe de journalistes du consortium Forbidden Stories
- Attrapé la main dans le pot de confiture après avoir fait diffuser de la désinformation sur BFM TV L’entreprise qui souhaitait rester secrète s’est vue infiltrée par des journalistes qui ont pu avoir une démonstration de leur outil de création de faux comptes sur les réseaux sociaux et de diffusion de mensonges.
2022, l’année des succès de la France en cyber ?
En France, nous avons les meilleurs ingénieurs… et cette année, ils ont rayonné !
En 2022, Synacktiv a continué à montrer ses muscles, avec succès, lors de compétitions internationales comme les Pwn2Own, Pwn2Own Vancouver (cf. revue du 2022-02-08, du 2022-04-12) En 2022, de nombreux outils français ont été reconnus mondialement comme étant des références :
- ADeleg, pour auditer vos délégations Active Directory (cf. revue du 2022-06-14)
- CrackMapExec, pour auditer vos systèmes d’information interne, avec des mises à jour dingues quasiment tous les mois
- PingCastle, toujours présent, toujours la référence pour analyser la sécurité de votre Active Directory
2022, l’année du grand débat concernant les assurances cyber ?
L’assurance c’est le principe de beaucoup qui payent pour peu, d’un risque rare, couteux mais rare ce qui permet à tout le monde de payer un peu, pour aider les rares exposés au risque, à un sinistre (c’est la « dispersion »). Sauf que dans la cybersécurité, plus de la moitié des assurés subissent un sinistre, rendant le risque difficilement assurable.
En 2022, nous avons subi un ascenseur émotionnel d’annonces (ou montagnes russes émotionnelles pour coller avec l’illustration ci-dessus) avec :
- L’AMRAE, qui a annoncé que l’assurance cyber pourrait disparaître (cf. revue du 2022-02-08)
- Générali qui a annoncé ne pas rembourser les rançons (cf. revue du 2022-02-08)
- La Lloyd, pas de remboursement pour les victimes d’attaques étatiques (cf. revue du 2022-09-13)
- Mais… Bercy veut autoriser l’indemnisation des rançons, sous condition (cf. revue du 2022-09-13)
2022, la confirmation que non, le cloud n’est pas exempt de pannes majeures ?
Le cloud c’est magique, cela fonctionne tout seul sauf que non, il ne s’agit que d’une reformulation commerciale de l’hébergement externalisé (avec beaucoup des produits en mode service / SaaS, ok 😉). Le cloud c’est juste l’ordinateur d’un autre et cet ordinateur n’est pas exempt de pannes, ni de pannes majeures impactant des centaines, des milliers voire des centaines de milliers d’entreprises !
En 2022, nous avons vu beaucoup de pannes des grands acteurs cloud :
- AWS, impactant impactant Twitch, Zoom, Playstation Network, Xbox Live, Hulu, League of Legends… (cf. revue du 2022-01-11)
- Atlassian efface les données de 400 clients suite à une mauvaise manipulation (cf. revue du 2022-06-14)
- CloudFlare, passe touchant 19 dataceners pendant 1h20 à cause d’une erreur BGP et non DNS (cf. revue du 2022-07-12)
- Microsoft Teams, avec une incapacité à faire tourner le service (cf. revue du 2022-09-13)
- Google UK, à cause de la chaleur de l’été (cf. revue du 2022-09-13)
- Azure, à cause de DNS (cf. revue du 2022-09-13)
Et pour vous, qu’est ce qui a caractérisé cette année ? Malgré mon retard à publier cet article, je vous souhaite une excellente année 2023 et… bonnes fêtes de Pâques 🤣.
Bonne année 2023, l’année des réponses textes et images générées par « deep learning » au top de la kalitéy et de l’exactitude, quand on leur demande de souhaiter une bonne année 2023 🤦♂️: