Les vulnérabilités logicielles « zero-day » jusque-là inconnues sont mystérieuses et intrigantes en tant que concept. Mais ils sont encore plus remarquables lorsque des pirates sont surpris en train d’exploiter activement les nouveaux bogues dans la nature avant que quiconque ne les connaisse. Au fur et à mesure que les chercheurs ont élargi leur champ d’action pour découvrir et étudier davantage cette exploitation, ils les voient plus fréquemment. Cette semaine, deux rapports de la société de renseignement sur les menaces Mandiant et de l’équipe de recherche de bogues de Google, Project Zero, visent à donner un aperçu de l’augmentation exacte de l’exploitation du jour zéro au cours des dernières années.
Mandiant et Project Zero ont chacun une portée différente pour les types de jours zéro qu’ils suivent. Project Zero, par exemple, ne se concentre pas actuellement sur l’analyse des bogues dans les appareils de l’Internet des objets qui sont exploités dans la nature. Par conséquent, les chiffres absolus des deux rapports ne sont pas directement comparables, mais les deux équipes ont enregistré un nombre record de zero-days exploités en 2021. Mandiant en a enregistré 80 l’an dernier contre 30 en 2020 et Project Zero en a enregistré 58 en 2021 contre 25 l’an dernier. Cependant, la question clé pour les deux équipes est de savoir comment contextualiser leurs découvertes, car personne ne peut voir toute l’étendue de cette activité clandestine.
« Nous avons vu un pic au début de 2021, et beaucoup de questions que j’ai reçues tout au long de l’année ont été : ‘Qu’est-ce qui se passe ?!' », déclare Maddie Stone, chercheuse en sécurité chez Project Zero. « Ma première réaction a été : ‘Oh mon dieu, il y en a tellement.’ Mais lorsque j’ai pris du recul et que j’ai replacé le contexte des dernières années pour voir un tel bond en avant, cette croissance est en fait plus probable en raison d’une détection, d’une transparence et d’une connaissance publique accrues des zero-days.
Avant qu’une vulnérabilité logicielle ne devienne publique, elle est appelée « jour zéro » car il n’y avait aucun jour pendant lequel le fournisseur de logiciels aurait pu développer et publier un correctif, et zéro jour pendant lequel les défenseurs ont commencé à surveiller la vulnérabilité. Les outils de piratage que les attaquants utilisent pour exploiter ces vulnérabilités sont à leur tour appelés exploits zero-day. Une fois qu’un bogue est connu publiquement, un correctif peut ne pas être publié immédiatement (ou jamais), mais les attaquants savent que leurs activités pourraient être découvertes ou la vulnérabilité corrigée à tout moment. En conséquence, les zero-days sont très recherchés et représentent une grosse affaire pour les criminels, et en particulier les pirates informatiques soutenus par le gouvernement, qui souhaitent mener à la fois des campagnes de masse et un ciblage individuel personnalisé.
Les vulnérabilités et les exploits zero-day sont généralement considérés comme des outils de piratage inhabituels et rares, mais les gouvernements ont montré à plusieurs reprises qu’ils accumulent les zero-days, et la détection croissante a montré à quelle fréquence les attaquants les utilisent. Au cours des trois dernières années, des géants de la technologie comme Microsoft, Google et Apple ont commencé à normaliser la pratique consistant à noter quand ils divulguent et corrigent une vulnérabilité qui a été exploitée avant la publication du correctif.
Les post-hackers utilisent plus que jamais les 0-Days sont apparus en premier sur Germanic News.