Parmi les catégories d'événements de sécurité représentant de grands risques pour les entreprises, les failles zero day sont assurément dans le peloton de tête au côté des attaques par phishing et ransomwares. Par rapport à ces deux précédents types de menaces, ces vulnérabilités existent depuis bien plus longtemps et leur danger est d'être intrinsèquement liées aux produits (logiciels ou matériels) commercialisés et utilisés par les entreprises. Ces dernières doivent donc se montrer très vigilantes : lorsque des bulletins d'alertes font ressortir des failles zero day, elles encourent alors un très gros risque de compromission ouvrant la voie à des exploits.
Cette situation n'est pas prête de s'arrêter, au contraire : selon une analyse issue du MIT qui a compilé plusieurs sources et indicateurs, 66 failles zero day ont déjà été identifiées cette année. Il s'agit là d'un record : 2021 n'est pas encore terminé que le nombre de trous de sécurité de ce type dépasse déjà celui de 2020 (37) et de 2019 (28). Comment s'explique cette progression aussi subite que puissante ? « Un des facteurs contribuant à cette progression est liée à la prolifération rapide des outils de hack », explique le MIT. « Tous les groupes [malveillants] dépensent un tas d'argent dans des failles zero day qu'ils utilisent pour eux-mêmes et ils en récoltent les fruits ».
Evolution du nombre de failles zero day. (crédit : MIT)
Des exploits de failles variées
« Nous avons vu des groupes étatiques se tourner vers NSO Group ou Candiru, ces services de plus en plus connus qui permettent aux pays d'obtenir des capacités offensives contre rémunération », a expliqué Jared Semrau, directeur de l'activité vulnérabilité et exploitation de FireEye. Les Émirats arabes unis, les États-Unis et les puissances européennes et asiatiques ont par ailleurs tous investi de l'argent dans l'industrie de l'exploit.
Les exploits via des failles zero day se sont multipliés ses derniers mois (Exchange, Kaseya...) avec à la clé une pluie d'intrusions, vol, chiffrement de données et demandes de rançons. Fin 2020 on se rappelle de l'électrochoc provoqué par la découverte du piratage de SolarWinds, aux répercussions mondiales, ayant débouché sur des attaques massives et ciblées visant 150 entreprises et des conséquences qui se sont étalées ces derniers mois. En mars dernier Google a de son côté aussi eu l'occasion de décrypter les 11 zero day iOS, Android et Windows. Et dire que 2021 n'est pas fini...