Elles ont envahi depuis plusieurs années les Patch Tuesday de Microsoft ou les concours de recherche de faille. Les vulnérabilités critiques non corrigées (de type zero day) se sont hélas installées dans le paysage des menaces. Google, via ses équipes de recherche en sécurité Mandiant et Threat Analysis Group (TAG) - a publié sur le sujet un rapport sous forme de bilan de l'année écoulée.
Alors qu'en retenir ? En 2023, 97 failles zero day ont été exploitées dans la nature contre 62 en 2022, en croissance de 50 % d'une année sur l'autre. Cela peut paraitre beaucoup mais reste loin du record observé en 2021 avec 106 vulnérabilités de ce type qui ont explosé par rapport à 2020 (+ 200 %), portées rappelons-le cependant par un contexte Covid et des confinements sur lesquels ont surfé allégrement les pirates. "Près des deux tiers de ces vulnérabilités (61) ont affecté les plateformes et les produits destinés aux utilisateurs finaux (par exemple, les terminaux mobiles, les systèmes d'exploitation, les navigateurs et d'autres applications), tandis que les 36 autres vulnérabilités concernaient des technologies axées sur l'entreprise, telles que des logiciels et des dispositifs de sécurité", a indiqué le fournisseur.
Les logiciels de sécurité visés par les cyberpirates
Concernant les entreprises, Google a observé une progression des exploits de failles zero day (36 en tout donc) dont 9 ont ciblé des logiciels de sécurité et des appliances incluant notamment Barracuda Email Security Gateway, Cisco Adaptive Security Appliance, Ivanti Endpoint Manager Mobile et Sentry, ainsi que Trend Micro Apex One. "Les logiciels de sécurité sont une cible précieuse pour les attaquants car ils s'exécutent souvent à la périphérie d'un réseau avec des autorisations et des accès élevés. En réussissant à exploiter ces technologies, les attaquants peuvent prendre pied dans une organisation ciblée pour y mener d'autres activités", indique Google. Parmi les sociétés visées, les éditeurs sont loin d'avoir été épargnés : ils étaient 21 sur l'année écoulée, en progression constante depuis 2019 où ils étaient seulement 4 à l'avoir été.
Dans le palmarès des plateformes et produits visés pour toucher les utilisateurs finaux, Windows arrive en tête avec 17 zero day exploitées, suivi par Safari (11), iOS (9), Android (9) et Chrome (8). Concernant les failles Windows, 12 ont été de type cross security boundaries avec de l'escalade des privilèges locaux ou l'exécution de code à distance, et 5 contournements de sécurité profonds pour SmartScreen" et Mark of the Web. "Sur les 9 zero day d'Android en 2023, 5 étaient des vulnérabilités d'escalade des privilèges locaux. Deux autres des fuites d'informations et les restantes dans le framework Android. S'agissant d'iOS, seules quatre chaînes d'exploit différentes étaient à l'origine des failles et les 11 zero day ciblant Safari ont été utilisées pour cibler les iPhone.
Des motivations de surveillance et d'espionnage plus fortes que l'appât du gain
Dans sa recherche, Google fournit des précisions sur l'attribution des groupes malveillants derrière les exploits zero day identifiés. Deux grandes catégories d'acteurs sont à la manoeuvre), à savoir des éditeurs de logiciels de surveillance (41,4 %) à jeu égal avec des acteurs soutenus par des Etats à des fins d'espionnage émanant en grande majorité de Chine, de Russie-Biélorussie, et de Corée du Nord. La troisième motivation - loin derrière - est celle de l'appât du gain financier (17,2 %) : "La proportion d'exploitation à des fins financières en 2023 est légèrement inférieure à nos observations de 2022 et ces deux années sont en baisse par rapport à la proportion de près d'un tiers des vulnérabilités que nous avons attribuées à des acteurs financiers en 2021", indique Google.
"L'exploitation zero day n'est plus seulement une capacité de niche accessible à une poignée d'acteurs et nous prévoyons que la croissance observée ces dernières années se poursuivra probablement, les fournisseurs continuant de compliquer l'accès à d'autres moyens de compromission et que les attaquants concentrent de plus en plus de ressources sur l'exploitation des zero day. La prolifération de la technologie a également rendu l'exploitation zero day plus probable : en d'autres termes, davantage de technologie apporte plus de possibilités d'exploitation", conclut la firme américaine.