2017 - Evénements de sécurité marquants

L'année qui se termine est certainement l'une des plus riches que nous ayons connues en événements de sécurité. Voici notre top des principaux événements de l'année :

2017, l’année des mots de passe vides ou non vérifiés

  • Vulnérabilité critique sur Oracle Identity Manager / CVE-2017-10151, avec un compte d’administration dont le mot de passe était un simple espace
  • MacOS, contournement enfantin du mot de passe root / CVE-2017-13872, avec un mot de passe root vide
  • Non vérification du mot de passe admin sur FortiWebManager 5.8.0 / CVE-2017-14189

2017, l’année des vulnérabilités touchant de très larges périmètres

  • WPA2 est cassé : KRACK ou Key Reinstallation Attacks, permettant de casser la sécurité du WiFi
  • Puce TPM Infineon et leur entropie cassée impactant jusqu’aux cartes d’identité estoniennes
  • Vulnérabilités dans Intel Management Engine et ses composants (AMT), permettant de prendre le contrôle d’un ordinateur à distance
  • Exécutions de code à distance dans Apache Struts2 (permettant la compromission d’Equifax)

2017, l'année des fuites massives de données dans la continuité de 2016

  • Fuite de 900Go de données de Cellebrite
  • Booz Allen Hamilton stocke des données classifiées sur un bucket S3 public (drones et programmes satellites militaires)
  • EquiFax, fuite des données de 143 millions de personnes
  • Deloitte victime d’une attaque sur sa messagerie Office 365
  • Vault7, le piratage des hackeurs de la CIA
  • ShadowBrokers publie à nouveau une partie de ce qui a été volé à la NSA / EquationGroup
  • Fuite chez la NSA par un sous-traitant (Nghia Hoang Pho) ayant ramené les outils chez lui

fuite-donnees

2017, l’année des arrestations fortement visibles

  • Les pirates de Yahoo (2 hackeurs, mais les 2 membres du FSB identifiés n’ont pas été arrêtés)
  • MalwareTech (Marcus Hutchins) au retour de la BlackHat
  • Mirai, identification des auteurs par Brian Krebs (puis arrestation) : des américains de 20 ans

2017, l’année de la fin de SHA-1

  • Collision SHA1 par des chercheurs de Google et "CWI Amsterdam"

2017, l’année des outils d’audit Active Directory

  • BTA
  • PingCastle
  • ALSID

2017, l’année de la fin des bulletins Microsoft MSyy-xxx

  • Mais aussi de leur retour avec MMSBGA

Mais surtout, 2017 aura été l’année des rançongiciels et vers-rançongiciels

  • Des pirates bloquent des serrures d’un hôtel et demandent une rançon
  • Chiffrement des bases MongoDB et ElasticSearch sur internet, puis demande de rançon
  • WannaCry, ver exploitant les vulnérabilités de la NSA et chiffrant les disques
  • Faux-Rançongiciel NotPetya, coutant, entre autre $200 millions à Maersk et presque autant à d'autres entreprises, y compris en France
  • BadRabbit, ce lapin n'est pas gentil

ransomware-2315203_960_720-1

2017 peut être conclue par une phrase (*) qui, prononcée il y a quelques années, aurait fait perdre toute crédibilité à son auteur :

<< Donald Trump, président américain, accuse ouvertement la Corée du Nord d’être les auteurs d’un ver numérique prenant ses victimes en otages contre une rançon en Bitcoins et réutilisant des armes numériques volées à la NSA par des Russes.
Ces mêmes Russes, qui ont repris l’idée et les armes, en créant un ver faux-rançongiciel, afin de détruire les systèmes d’information d’entreprises Ukrainiennes, impactant gravement de nombreuses entreprises à l'international. >>

*Gain garanti à un loto/bingo des buzz-words 😉