Les menaces "zero-day" ont tendance à augmenter, même si le nombre total de détections a baissé en 2024
Le dernier rapport du Google Threat Intelligence Group (GTIG) fait état d'une tendance à la hausse des attaques de type « zero-day », même si le nombre total de détections a baissé en 2024. Selon les conclusions du rapport, 44 % de ces attaques ont touché des technologies d'entreprise, soit une augmentation de 7 % par rapport à l'année précédente. En outre, les opérations de cyberespionnage soutenues par des États, notamment par la Chine et la Corée du Nord, représentent plus de 50 % des vulnérabilités que Google a pu attribuer en 2024. Face à l'escalade de ces menaces, Google appelle à une vigilance accrue et à des mesures de cybersécurité renforcées dans toutes les infrastructures d'entreprise.
Une vulnérabilité « zero-day » est une vulnérabilité ou une faille de sécurité dans un système informatique, inconnue de ses développeurs ou de toute personne capable de l'atténuer. Jusqu'à ce que la vulnérabilité soit corrigée, les acteurs de la menace peuvent l'exploiter dans le cadre d'un exploit ou d'une attaque zero-day. À l'origine, le terme « zero-day » faisait référence au nombre de jours écoulés depuis qu'un nouveau logiciel a été rendu public, de sorte que les « logiciels zero-day » étaient obtenus en piratant l'ordinateur d'un développeur avant sa publication. Par la suite, le terme a été appliqué aux vulnérabilités qui ont permis ce piratage et au nombre de jours que le fournisseur a eu pour les corriger. Les fournisseurs qui découvrent la vulnérabilité peuvent créer des correctifs ou conseiller des solutions de contournement pour l'atténuer, mais les utilisateurs doivent déployer ces solutions pour éliminer la vulnérabilité de leurs systèmes. Les vulnérabilités « zero-day » sont des menaces graves.
L'augmentation de l'exploitation des vulnérabilités « zero-day » révélée par le dernier rapport du GTIG s'inscrit dans le cadre d'une tendance plus large dans le paysage de la cybersécurité. Selon une précédente étude de Protect AI, les vulnérabilités « zero-day » liées à l'IA ont été multipliées par trois depuis novembre 2023. En avril 2024, 48 vulnérabilités avaient été découvertes dans des outils open-source largement utilisés tels que MLFlow, Ray et Triton, soit une augmentation de 220 % en à peine six mois. Les plus préoccupantes d'entre elles étant les menaces d'exécution de code à distance, qui permettent aux attaquants de contrôler entièrement le système à distance.
L'année 2024 a également été riche en exploits « zero-day ». Grâce à son réseau tentaculaire de services et d'initiatives de recherche, Google a été le premier à repérer un grand nombre de ces menaces. Dans son nouveau rapport du GTIG, l'entreprise a révélé qu'elle avait détecté 75 exploits de type « zero-day » en 2024, ce qui est un peu moins que l'année précédente. Comme on pouvait s'y attendre, une bonne partie de ces exploits étaient l'œuvre de pirates parrainés par des États.
Synthèse
Le Google Threat Intelligence Group (GTIG) a recensé 75 vulnérabilités « zero-day » exploitées dans la nature en 2024, soit une diminution par rapport au nombre identifié en 2023 (98 vulnérabilités), mais une augmentation par rapport à 2022 (63 vulnérabilités). Les vulnérabilités examinées ont été divisées en deux catégories principales : les plateformes et les produits destinés aux utilisateurs finaux (par exemple, les appareils mobiles, les systèmes d'exploitation et les navigateurs) et les technologies axées sur l'entreprise, telles que les logiciels et les appareils de sécurité.
Les fournisseurs continuent d'apporter des améliorations qui rendent l'exploitation de certaines vulnérabilités zero-day plus difficile, comme le montrent à la fois la diminution des chiffres dans plusieurs catégories et la réduction des attaques observées contre des cibles autrefois populaires. Dans le même temps, les fournisseurs de systèmes de surveillance commerciale semblent renforcer leurs pratiques de sécurité opérationnelle, ce qui pourrait entraîner une diminution de l'attribution et de la détection.
Google a observé que l'exploitation des vulnérabilités « zero-day » cible un plus grand nombre et une plus grande variété de technologies spécifiques aux entreprises, bien que ces technologies représentent toujours une proportion plus faible de l'exploitation globale par rapport aux technologies destinées aux utilisateurs finaux. Alors que l'accent historique mis sur l'exploitation des technologies populaires destinées aux utilisateurs finaux et à leurs utilisateurs se poursuit, l'évolution vers un ciblage accru des produits destinés aux entreprises exigera d'un ensemble plus large et plus diversifié de fournisseurs qu'ils renforcent leurs mesures de sécurité proactives afin de réduire les futures tentatives d'exploitation des vulnérabilités de type « zero-day ».
Portée
Le rapport décrit ce que Google Threat Intelligence Group (GTIG) sait de l'exploitation des vulnérabilités zero-day en 2024. Google explique comment les fournisseurs ciblés et les produits exploités déterminent des tendances qui reflètent les objectifs des acteurs de la menace et l'évolution des approches d'exploitation, puis examine de près plusieurs exemples d'exploitation de vulnérabilités « zero-day » de 2024 qui démontrent comment les acteurs utilisent des techniques historiques et nouvelles pour exploiter les vulnérabilités des produits ciblés. Le contenu du rapport s'appuie sur des recherches originales menées par GTIG, combinées à des résultats d'enquêtes sur des violations et à des rapports provenant de sources ouvertes fiables, bien que Google ne puisse pas confirmer de manière indépendante les rapports de chaque source. La recherche dans ce domaine est dynamique et les chiffres peuvent être ajustés en raison de la découverte continue d'incidents antérieurs dans le cadre d'enquêtes judiciaires numériques. Les chiffres présentés reflètent la meilleure compréhension des données actuelles par Google.
GTIG définit une vulnérabilités de type « zero-day » comme une vulnérabilité qui a été exploitée de manière malveillante dans la nature avant qu'un correctif ne soit mis à la disposition du public. GTIG reconnaît que les tendances observées et discutées dans son rapport sont basées sur les vulnérabilités « zero-day » détectées et divulguées. L'analyse représente l'exploitation suivie par le GTIG mais peut ne pas refléter l'ensemble de l'exploitation des vulnérabilités « zero-day ».
Principales conclusions
L'exploitation des vulnérabilités « zero-day » continue de croître progressivement. Les 75 vulnérabilités « zero-day » exploitées en 2024 suivent une tendance qui s'est dessinée au cours des quatre dernières années. Bien que le nombre d'années individuelles ait fluctué, la ligne de tendance moyenne indique que le taux d'exploitation des vulnérabilités « zero-day » continue de croître à un rythme lent mais régulier.
Le ciblage des technologies axé sur les entreprises continue de se développer. Le GTIG a continué à observer une augmentation de l'exploitation par les adversaires des technologies spécifiques aux entreprises tout au long de 2024. En 2023, 37 % des vulnérabilités « zero-day » ciblaient des produits d'entreprise. Ce chiffre est passé à 44 % en 2024, principalement en raison de l'exploitation accrue des logiciels et des appareils de sécurité et de mise en réseau.
Les attaquants s'intéressent de plus en plus aux produits de sécurité et de mise en réseau. Les vulnérabilités « zero-day » dans les logiciels de sécurité et les appliances constituaient une cible de grande valeur en 2024. Google a identifié 20 vulnérabilités de sécurité et de mise en réseau, soit plus de 60 % de toutes les exploitations de vulnérabilités « zero-day » des technologies d'entreprise. L'exploitation de ces produits, par rapport aux technologies destinées aux utilisateurs finaux, peut conduire plus efficacement à la compromission de systèmes et de réseaux de grande envergure, et Google prévoit que les adversaires continueront à se concentrer sur ces technologies.
Les fournisseurs changent la donne. Les investissements des fournisseurs dans l'atténuation des exploits ont un impact évident sur les domaines dans lesquels les acteurs de la menace sont en mesure de réussir. Google constate une diminution notable de l'exploitation des vulnérabilités « zero-day » de certaines cibles historiquement populaires telles que les navigateurs et les systèmes d'exploitation mobiles.
Les acteurs menant des opérations de cyberespionnage sont toujours en tête des exploitations zero-day attribuées. Entre les groupes soutenus par les gouvernements et les clients des fournisseurs de solutions de surveillance commerciale (CSV), les acteurs menant des opérations de cyberespionnage représentent plus de 50 % des vulnérabilités que Google a pu attribuer en 2024. Les groupes soutenus par la République populaire de Chine (RPC) ont exploité cinq vulnérabilités « zero-day », et les clients des CSV en ont exploité huit, poursuivant ainsi leur rôle collectif de leader dans l'exploitation des vulnérabilités « zero-day ». Pour la toute première année, Google a également attribué l'exploitation du même volume de vulnérabilités « zero-day » en 2024 (cinq) à des acteurs nord-coréens mêlant espionnage et opérations à motivation financière qu'à des groupes soutenus par la RPC.
Examen des chiffres
Le GTIG a suivi 75 vulnérabilités « zero-day » exploitées dans la nature qui ont été divulguées en 2024. Ce chiffre semble correspondre à une tendance à la hausse consolidée que Google a observée au cours des quatre dernières années. Après un pic initial en 2021, les chiffres annuels ont fluctué mais ne sont pas revenus aux chiffres les plus bas observés en 2021 et avant.
Bien que de multiples facteurs interviennent dans la découverte de vulnérabilités « zero-day », Google note que l'amélioration continue et l'omniprésence des capacités de détection, ainsi que des divulgations publiques plus fréquentes, ont toutes deux entraîné une augmentation du nombre de vulnérabilités « zero-day » détectées par rapport à ce qui a été observé avant 2021.
L'exploitation des entreprises se développe en 2024, tandis que l'exploitation des navigateurs et des téléphones mobiles diminue
Plateformes et produits pour utilisateurs finaux
En 2024, 56 % (42) des zero-days suivis ont ciblé des plateformes et des produits pour utilisateurs finaux, que Google définit comme des appareils et des logiciels que les particuliers utilisent dans leur vie quotidienne, même si elle reconnaît que les entreprises les utilisent aussi souvent. Toutes les vulnérabilités de cette catégorie ont été utilisées pour exploiter des navigateurs, des appareils mobiles et des systèmes d'exploitation de bureau.
L'exploitation des vulnérabilités zero-day dans les navigateurs et les appareils mobiles a considérablement diminué, d'environ un tiers pour les navigateurs et d'environ la moitié pour les appareils mobiles par rapport à ce que Google a observé l'année dernière (de 17 à 11 pour les navigateurs et de 17 à 9 pour les appareils mobiles).
Chrome a été le principal objet d'exploitation des vulnérabilités « zero-day » des navigateurs en 2024, reflétant probablement la popularité du navigateur auprès de milliards d'utilisateurs.
Les chaînes d'exploitation composées de plusieurs vulnérabilités zero-day continuent d'être presque exclusivement (~90 %) utilisées pour cibler les appareils mobiles.
Les composants tiers continuent d'être exploités dans les appareils Android, une tendance évoquée par Google dans l'analyse de l'année dernière. En 2023, cinq des sept vulnérabilités « zero-day » exploitées dans les appareils Android étaient des failles dans des composants tiers. En 2024, trois des sept zero-days exploités dans Android ont été trouvés dans des composants tiers. Les composants tiers sont probablement perçus comme des cibles lucratives pour le développement d'exploits car ils peuvent permettre aux attaquants de compromettre de nombreuses marques et modèles d'appareils différents dans l'écosystème Android.
L'année 2024 a vu une augmentation du nombre total de vulnérabilités « zero-day » affectant les systèmes d'exploitation (OS) des ordinateurs de bureau (22 en 2024 contre 17 en 2023), ce qui indique que les OS continuent d'être une cible d'une ampleur frappante. L'augmentation proportionnelle a été encore plus importante, les vulnérabilités des OS ne représentant que 17 % de l'exploitation zero-day totale en 2023, contre près de 30 % en 2024.
L'exploitation de Microsoft Windows a continué d'augmenter, grimpant de 13 vulnérabilités « zero-day » en 2022, à 16 en 2023, puis à 22 en 2024. Tant que Windows restera un choix populaire à la fois dans les foyers et dans les milieux professionnels, Google s'attend à ce qu'il reste une cible populaire pour l'exploitation des vulnérabilités « zero-day » et « n-day » (c'est-à-dire une vulnérabilité exploitée après la publication de son correctif) par les acteurs de la menace.
En 2024, le GTIG a identifié l'exploitation de 33 vulnérabilités « zero-day » dans les logiciels et appareils d'entreprise. Google considère que les produits d'entreprise comprennent ceux qui sont principalement utilisés par les entreprises ou dans un environnement professionnel. Bien que le nombre absolu soit légèrement inférieur à celui observé en 2023 (36 vulnérabilités), la proportion de vulnérabilités axées sur les entreprises a augmenté, passant de 37 % en 2023 à 44 % en 2024. Vingt des 33 vulnérabilités « zero-day » axées sur l'entreprise ont ciblé des produits de sécurité et de réseau, ce qui représente une légère augmentation par rapport aux 18 observées dans cette catégorie pour 2023, mais un bond de 9 % lorsqu'on les compare proportionnellement au total des vulnérabilités « zero-day » pour l'année.
La variété des produits d'entreprise ciblés continue de s'étendre à travers les produits de sécurité et de réseau, avec des cibles notables en 2024, notamment Ivanti Cloud Services Appliance, Palo Alto Networks PAN-OS, Cisco Adaptive Security Appliance et Ivanti Connect Secure VPN. Les outils et dispositifs de sécurité et de réseau sont conçus pour connecter des systèmes et dispositifs très répandus avec des autorisations élevées nécessaires pour gérer les produits et leurs services, ce qui en fait des cibles très précieuses pour les acteurs de la menace qui cherchent à accéder efficacement aux réseaux d'entreprise. Les outils de détection et de réponse des terminaux (EDR) ne sont généralement pas équipés pour fonctionner avec ces produits, ce qui limite les capacités disponibles pour les surveiller. En outre, les chaînes d'exploitation ne sont généralement pas nécessaires pour exploiter ces systèmes, ce qui donne un pouvoir considérable aux vulnérabilités individuelles qui peuvent à elles seules permettre l'exécution de codes à distance ou l'escalade des privilèges.
Au cours des dernières années, Google a également constaté une augmentation générale du nombre de fournisseurs d'entreprise ciblés. En 2024, GTIG a identifié 18 fournisseurs d'entreprise uniques ciblés par des vulnérabilités « zero-day ». Bien que ce nombre soit légèrement inférieur aux 22 observés en 2023, il reste supérieur à tous les chiffres des années précédentes. Il s'agit également d'une forte augmentation de la proportion de vendeurs d'entreprise pour l'année, étant donné que les 18 vendeurs d'entreprise uniques faisaient partie des 20 vendeurs totaux pour 2024. Le décompte de 2024 représente toujours une augmentation proportionnelle significative par rapport aux 22 vendeurs professionnels uniques ciblés sur un total de 23 en 2023.
Exploitation par fournisseur
Les fournisseurs touchés par les multiples vulnérabilités « zero-day » de 2024 se répartissent généralement en deux catégories : les grandes entreprises technologiques (Microsoft, Google et Apple) et les fournisseurs de produits axés sur la sécurité et les réseaux. Comme prévu, les grandes entreprises technologiques occupent les deux premières places, avec 26 pour Microsoft et 11 pour Google. Apple a glissé au quatrième rang des fournisseurs les plus fréquemment exploités cette année, avec l'exploitation détectée de seulement cinq vulnérabilités « zero-day ». Ivanti a été le troisième fournisseur le plus souvent ciblé avec sept zero-days, ce qui reflète l'intérêt accru des acteurs de la menace pour les produits de mise en réseau et de sécurité. La place d'Ivanti dans le trio de tête reflète un changement nouveau et crucial, à savoir qu'un fournisseur de produits de sécurité a été ciblé plus fréquemment qu'un fournisseur de produits technologiques populaires destinés aux utilisateurs finaux. La section suivante indique comment les exploitations soutenues par la RPC se sont fortement concentrées sur les technologies de sécurité et de réseau, ce qui constitue l'un des facteurs contribuant à l'augmentation du ciblage d'Ivanti.
Google note que l'exploitation ne reflète pas nécessairement la posture de sécurité d'un fournisseur ou les processus de développement de logiciels, car les fournisseurs et les produits ciblés dépendent des objectifs et des capacités des acteurs de la menace.
Types de vulnérabilités exploitées
Les acteurs de la menace ont continué à utiliser les vulnérabilités « zero-day » principalement dans le but d'obtenir une exécution de code à distance et d'élever les privilèges. En 2024, ces conséquences représentaient plus de la moitié (42) du total des exploitations de vulnérabilités « zero-day » suivies.
Trois types de vulnérabilités ont été le plus souvent exploités. Les vulnérabilités de type « Use-after-free » ont conservé leur prévalence depuis de nombreuses années, avec huit en 2024, et se retrouvent dans une variété de cibles, y compris le matériel, les logiciels de bas niveau, les systèmes d'exploitation et les navigateurs. Les vulnérabilités liées à l'injection de commandes (également au nombre de huit, y compris l'injection de commandes du système d'exploitation) et au cross-site scripting (XSS) (six) ont également été fréquemment exploitées en 2024. Les vulnérabilités par injection de code et par injection de commande ont été observées en ciblant presque entièrement les logiciels et les appareils de mise en réseau et de sécurité, montrant ainsi l'intention d'utiliser ces vulnérabilités pour prendre le contrôle de systèmes et de réseaux plus vastes. Les failles XSS ont été utilisées pour cibler divers produits, notamment des serveurs de messagerie, des logiciels d'entreprise, des navigateurs et un système d'exploitation.
Ces trois types de vulnérabilités découlent d'erreurs de développement logiciel et nécessitent le respect de normes de programmation plus strictes afin de les éviter. Les pratiques de codage sûres et préventives, y compris, mais sans s'y limiter, les révisions de code, la mise à jour des bases de code existantes et l'utilisation de bibliothèques actualisées, peuvent sembler entraver les délais de production. Toutefois, les correctifs prouvent qu'il est possible d'éviter ces risques de sécurité en faisant preuve d'une intention et d'un effort appropriés et, en fin de compte, de réduire l'effort global nécessaire pour maintenir correctement un produit ou une base de code.
Qui est à l'origine de l'exploitation ?
En raison de l'accès furtif que les vulnérabilités « zero-day » peuvent fournir dans les systèmes et les réseaux des victimes, elles continuent d'être une capacité très recherchée par les acteurs de la menace. GTIG a suivi une variété d'acteurs de la menace exploitant des vulnérabilités « zero-day » dans une variété de produits en 2024, ce qui est cohérent avec les observations précédentes de Google selon lesquelles l'exploitation des vulnérabilités « zero-day » s'est diversifiée à la fois dans les plateformes ciblées et dans les acteurs qui les exploitent. Google a attribué l'exploitation de 34 vulnérabilités « zero-day » en 2024, soit un peu moins de la moitié du total des 75 identifiées en 2024. Bien que la proportion d'exploitation que Google a pu attribuer à un acteur de la menace ait légèrement baissé par rapport à son analyse des vulnérabilités « zero-day » en 2023, elle reste nettement plus élevée que les ~30% que la société a attribués en 2022. Bien que cela renforce l'observation précédente de Google selon laquelle les investissements des plateformes dans l'atténuation des exploits rendent les zero-days plus difficiles à exploiter, la communauté de la sécurité améliore aussi lentement la capacité de Google à identifier cette activité et à l'attribuer à des acteurs de la menace.
Conformément aux tendances observées les années précédentes, Google a attribué le plus grand volume d'exploitation de vulnérabilités « zero-day » à des acteurs de l'espionnage traditionnel, soit près de 53 % (18 vulnérabilités) de l'exploitation totale attribuée. Sur ces 18 vulnérabilités, Google a attribué l'exploitation de 10 vulnérabilités « zero-day » à des groupes de menace probablement parrainés par des États-nations et de 8 vulnérabilités à des CSV.
La défense contre les vulnérabilités « zero-day » continue d'être une course à la stratégie et à l'établissement de priorités. Non seulement les vulnérabilités « zero-day » deviennent plus faciles à se procurer, mais les attaquants qui trouvent un usage dans de nouveaux types de technologies peuvent mettre à rude épreuve les fournisseurs moins expérimentés. Alors que les organisations ont toujours été laissées à elles-mêmes pour prioriser les processus de correction en fonction des menaces personnelles ou organisationnelles et des surfaces d'attaque, des tendances plus larges peuvent informer une approche plus spécifique ainsi que les leçons tirées des efforts d'atténuation des principaux fournisseurs.
Google s'attend à ce que les vulnérabilités « zero-day » conservent leur attrait pour les acteurs de la menace en tant qu'opportunités de furtivité, de persistance et d'évasion de la détection. Bien que Google ait observé des tendances concernant l'amélioration de la posture de sécurité des fournisseurs et la diminution du nombre de vulnérabilités autour de certains produits historiquement populaires - en particulier les produits mobiles et les navigateurs - elle prévoit que l'exploitation des vulnérabilités « zero-day » va continuer à augmenter de façon constante. Étant donné l'omniprésence des systèmes d'exploitation et des navigateurs dans l'utilisation quotidienne, les grands fournisseurs de technologie sont toujours des cibles très intéressantes, et Google s'attend à ce que cela continue. Les téléphones et les navigateurs resteront très certainement des cibles populaires, mais les logiciels et les appareils d'entreprise connaîtront probablement une augmentation continue de l'exploitation des vulnérabilités « zero-day ». Les grandes entreprises technologiques ont déjà été victimes de vulnérabilités « zero-day » par le passé et continueront à être ciblées. Cette expérience, ainsi que les ressources nécessaires pour créer des produits plus sûrs et détecter les vulnérabilités de manière responsable, permettent aux grandes entreprises d'aborder les vulnérabilités « zero-day » comme un problème plus facile à gérer.
Pour les fournisseurs nouvellement ciblés et ceux dont les produits sont de plus en plus répandus dans les entreprises, les pratiques et procédures de sécurité devraient évoluer pour tenir compte de la manière dont une exploitation réussie de ces produits pourrait contourner les mécanismes de protection habituels. La prévention d'une exploitation réussie dépendra fortement de la capacité de ces fournisseurs à mettre en œuvre des pratiques de codage correctes et sûres. Google indique que les mêmes types de vulnérabilités sont exploités au fil du temps, ce qui révèle des schémas dans les faiblesses que les attaquants recherchent et qu'ils trouvent le plus avantageux d'exploiter. L'existence et l'exploitation continues de problèmes similaires facilitent les vulnérabilités « zero-day » ; les acteurs de la menace savent ce qu'ils recherchent et où les faiblesses exploitables sont les plus répandues.
Les fournisseurs doivent tenir compte de cette évolution de l'activité des menaces et combler les lacunes dans les configurations et les décisions architecturales qui pourraient permettre l'exploitation d'un seul produit pour causer des dommages irréparables. C'est particulièrement vrai pour les outils de grande valeur qui disposent d'un accès administrateur et/ou d'une portée étendue sur les systèmes et les réseaux. Les meilleures pratiques continuent de représenter un seuil minimal des normes de sécurité qu'une architecture devrait démontrer, y compris les principes fondamentaux de la confiance zéro tels que l'accès au moindre privilège et la segmentation du réseau. Une surveillance continue devrait être assurée dans la mesure du possible afin de restreindre et de mettre fin à l'accès non autorisé aussi rapidement que possible, et les fournisseurs devront tenir compte des capacités EDR pour les technologies qui en sont actuellement dépourvues (par exemple, de nombreux produits de sécurité et de mise en réseau). Le GTIG recommande une prise de conscience aiguë de la surface des menaces et une diligence raisonnable afin de se défendre contre le paysage actuel des vulnérabilités « zero-day ». L'exploitation des vulnérabilités « zero-day » sera en fin de compte dictée par les décisions des fournisseurs et leur capacité à contrer les objectifs et les poursuites des acteurs de la menace.
Ces évolutions s'inscrivent dans le cadre des préoccupations croissantes concernant les acteurs de la menace au niveau des États-nations. En 2022, Microsoft a signalé que les capacités cyberoffensives de la Chine se sont renforcées en vertu d'une loi de 2021 exigeant que les failles de sécurité soient d'abord divulguées aux autorités gouvernementales. Cette politique a permis à la Chine de stocker et d'utiliser des informations sur les vulnérabilités « zero-day », parallèlement à une augmentation des cyberattaques, à une diminution des vulnérabilités signalées publiquement par la Chine et à une hausse des soumissions anonymes.
merci à Developpez.com
