Le Top arbitraire de l’année écoulée 2018

Comme je le fais depuis quelques années, voici le Top totalement arbitraire des événements de sécurité marquants de l’année 2018.

Mais la principale question est « qu’est-ce qu’était l’année 2018 ? »

2018, l'année de l'explosion du nombre de vulnérabilités sur les CPU :

  • BranchScope, Spectre Next Gen, MOV SS, POP SS et beaucoup de variantes

2018, l’année confirmant une nouvelle fois l’insécurité des solutions de sécurité :

  • Cisco ASA, exécution de code à distance sans authentification / CVE-2018-0101
  • Cisco IOS, 2 exécutions de code à distance sans authentification + une backdoor
  • Cisco ASA, déni de service / CVE-2018-15454
  • Prim’X Zed!, création de fichier arbitraire
  • CyberArk Password Vault, fuite mémoire sans authentification / CVE-2018-9842
  • IBM QRadar, exécution de code à distance / CVE-2018-1418

2018, une mauvaise années (publiquement) pour les services Russes :

  • Les renseignements néerlandais (AIVD) ont compromis les Russes d’APT29 / Cozy Bear
  • Le Rapport estonien sur les capacités offensives Russes
  • Les services hollandais doxxent des agents du GRU

2018, l’année dans la continuité des précédentes sur les fuites de données :

  • Under Amour, MyHeritage, les informations personnelles de 200 millions de Japonais, Marriott, Quora...

2018, une nouvelle année de vulnérabilités touchant de très larges périmètres :

  • Les hyperviseurs (VMware, Virtualbox, Xen)
  • Les consoles (Nintendo Switch, PS4)
  • Ledger
  • Les imprimantes
  • *BSD (x.org)
  • Les disques SSD auto-chiffrés
  • Le Bluetooth
  • Les pompes à essence (avec vol d’essence)
  • RawHammer depuis le réseau avec un composant “Remote Direct Memory Access/RDMA”
  • Les ports iLo des serveurs

2018, l’année des problèmes récurrents avec les mises à jour Windows 10

2018, une nouvelle année de la concentration des acteurs du marché français de la sécurité :

  • Fusion de NetXP et Provadys
  • Rachat de SysDream par HubOne
  • Rachat de NES par Serma
  • Fusion de CDP, Avisa et Lexfo (Cabinet Demeter Partners : défense de la réputation sur le Web)

2018, l’année des vulnérabilités et portées dérobées incompréhensibles :

  • Deux vulnérabilités de jQuery File Upload avec vidéo sur Youtube depuis 2015
  • Bibliothèques malveillantes PyPi
  • Porte dérobée dans la librairie Python SSH-Decorator
  • Porte dérobée dans la librairie NodeJS getcookies
  • Porte dérobée dans la librairie NodeJS getcookies event-stream
  • Malware pré-installés par défaut sur 141 équipements Android low cost
  • Porte dérobée dans 17 images Docker sur Docker Hub

2018, l’année des vulnérabilités des années 90 :

  • Contournement d’authentification sur libssh
  • Nginx, avec «..» après un nom de répertoire
  • Elévation de privilège local sous linux depuis 8 ans (DisplayLink)

Mais il faut rester positif :

  • GDPR / RGPD est là !
  • TLS 1.3 est enfin sorti
  • Le framework ATT&CK est sorti
  • Windows 10 supporte les Yubikey
  • Microsoft abandonne son moteur de navigation web pour Chromium
  • Nos renseignements ont une alternative à Palantir (projet Artemis par CapGemini et Atos prévu pour 2019)
  • Le prix journalier des experts de l’ANSSI passe à 1200€ 😉