Les vulnérabilités de type zéro-day ont toujours eu une réputation particulière dans le domaine de la cybersécurité. Ces bogues sont exploités pour des attaques avant que la faille ne soit connue de l'éditeur du logiciel et donc avant qu'un correctif ne soit disponible. Par conséquent, ces failles de sécurité sont théoriquement beaucoup plus difficiles à défendre et constituent une perspective plus attrayante pour les acteurs de la menace. Les exploits conçus par la suite pour en tirer parti peuvent constituer un véritable casse-tête pour les défenseurs du réseau. La mauvaise nouvelle est que ces exploits n'ont jamais été aussi nombreux, selon deux nouvelles études.
Cette récente augmentation des volumes pourrait être due au fait que l'industrie améliore la détection et la divulgation de ces attaques. Quoi qu'il en soit, les entreprises doivent s'efforcer d'atténuer la menace que représentent les vulnérabilités inconnues, d'autant plus que les cybercriminels soutenus par des États et ceux qui sont motivés par des raisons financières intensifient leurs activités.
Une année record pour quoi exactement ?
L'équipe de Project Zero de Google a été créée il y a plus de huit ans dans le but précis de trouver et de divulguer de manière responsable les bogues de type zéro-days aux fournisseurs. Elle y est parvenue de manière prolifique, ce qui rend très intéressant tout aperçu du secteur qu'elle peut partager. Son dernier rapport sur l'année écoulée révèle que 58 bogues exploités dans la nature ont été repérés l'année dernière, soit plus du double du maximum précédent de 28 repérés en 2015, et bien plus que les 25 détectés en 2020.
Cependant, tout n'est pas aussi simple qu'il n'y paraît. Selon Maddie Stone, chercheur en sécurité chez Google, il est en fait presque impossible de connaître le chiffre réel des exploits de type zéro-day, car les acteurs de la menace qui les utilisent sont très discrets, pour des raisons évidentes. En fait, le chiffre record pourrait s'expliquer plus précisément par une meilleure détection et divulgation de ces exploits, a-t-elle fait valoir. Le nombre de chercheurs qui s'efforcent de trouver et de signaler les attaques zéro-day et le nombre de fournisseurs qui détectent et divulguent les attaques zéro-day dans leurs produits ont tous deux augmenté. C'est le signe d'une forme de progrès.
Les acteurs étatiques, à l'origine de l’augmentation
Une étude distincte de Mandiant apporte un éclairage supplémentaire sur le sujet. Elle a identifié 80 vulnérabilités zéro-days exploitées dans la nature l'année dernière, soit plus du double du précédent record de 32 remontant à 2019. Bien que l'entreprise ait reconnu que cela pouvait être dû à un plus grand nombre de détections, elle a également affirmé que la hausse pouvait être due à :
- L'évolution vers l'hébergement en nuage, les technologies mobiles et l'Internet des objets (IoT), qui augmente le volume et la complexité des logiciels et systèmes connectés à Internet.
- L'expansion du marché des courtiers en exploits, car davantage de ressources sont consacrées à la recherche et au développement des attaques de type zéro-days, tant par les entreprises privées que par les groupes de menace.
Les produits Microsoft, Apple et Google représentent les trois quarts des bogues zéro-days découverts par Mandiant, les groupes étatiques liés à la Chine figurant parmi « les principaux acteurs ». Parmi les exploits les plus prolifiques, citons ceux qui ont permis d'exploiter quatre zéro-days découverts dans Microsoft Exchange Server (« ProxyLogon ») en mars dernier. Cette attaque a non seulement montré la vitesse à laquelle les groupes se jettent sur les bogues nouvellement découverts pour les exploiter avant que les correctifs ne soient publiés, mais elle a également prouvé que de multiples acteurs, y compris des groupes de cybercriminalité, s'impliquent. L'année dernière, ESET a découvert plusieurs groupes APT exploitant ProxyLogon sur des milliers de serveurs Exchange. On rapporte même que certains groupes de rançongiciels bien financés envisagent de louer des exploits zéro-days pour obtenir un accès initial.
Les mêmes techniques qu’autrefois
Il est quelque peu surprenant de constater que, malgré la recrudescence des attaques de type zéro-days, les attaques elles-mêmes utilisent toujours des techniques éprouvées, selon Mme Stone de Google. Elle explique :
« Les zéro-days que nous avons vus en 2021 suivaient généralement les mêmes schémas de bogues, surfaces d'attaque et 'formes' d'exploit précédemment observés dans la recherche publique. Une fois que le zéro-day est difficile, on s'attendrait à ce que, pour réussir, les attaquants doivent trouver de nouvelles classes de bogues de vulnérabilités dans de nouvelles surfaces d'attaque en utilisant des méthodes d'exploitation jamais vues auparavant. En général, ce n'est pas ce que les données nous ont montré cette année. »
En fait, des 58 que Google a enregistrés, 67 % étaient des vulnérabilités de corruption de mémoire. Celles-ci ont été une caractéristique populaire du paysage des menaces au cours des dernières décennies. Parmi celles-ci, la plupart des attaquants se sont apparemment contentés des catégories de bogues les plus populaires et les plus connues : utilisation après libération, lecture et écriture hors limites, dépassement de tampon et dépassement intégral.
Qu'est-ce que cela signifie pour la gestion des vulnérabilités ?
Comme l'a fait valoir M. Stone de Google, l'industrie doit s'efforcer de rendre les exploits zéro-days plus difficiles à développer pour les acteurs de la menace. Cela signifie qu'il faut appliquer correctement les correctifs et veiller à ce que, lorsque les bogues sont corrigés, toute voie d'attaque similaire dans des produits similaires soit également bloquée. Cela obligera les attaquants à repartir de zéro lorsqu'ils chercheront à trouver de nouveaux bugs zéro-days.
D’ici là, les RSSI peuvent investir dans des outils qui les aideront à détecter les menaces inédites. Le sandboxing proactif basé sur le cloud, par exemple, fournit une couche de défense supplémentaire en dehors du réseau d'une organisation et exécute les programmes suspects dans un environnement sûr, où leur code et leur comportement peuvent être vérifiés par des algorithmes d'apprentissage automatique, la détection basée sur le comportement et d'autres outils. Tout ce qui est considéré comme une menace de type zéro-days est bloqué à ce stade.
Ne négligez pas les bases
Il est également utile de rappeler que, bien qu'importants, les exploits zéro-days ne sont pas la seule menace à laquelle les organisations sont confrontées. En fait, les entreprises sont statistiquement plus susceptibles d'être touchées par une exploitation d'une vulnérabilité connue - éventuellement datant de plusieurs années. Une bonne cyberhygiène reste donc essentielle à une gestion efficace des cyber-risques. Gardez ces points en tête :
- L'application continue de correctifs en fonction des risques pour les vulnérabilités connues.
- Une formation de sensibilisation à la cybersécurité pour tout le personnel
- Des mesures de sécurité de la chaîne d'approvisionnement pour s'assurer que les partenaires font l'objet d'un audit approfondi en matière de cyberhygiène
- La vérification de la chaîne d'approvisionnement en logiciels pour s'assurer que les composants open source utilisés pour créer des logiciels internes sont exempts de vulnérabilités ou de logiciels malveillants.
- Une gestion continue de la configuration afin d'atténuer le risque d'exposition accidentelle des systèmes.
Une cybersécurité efficace implique de protéger l'organisation contre les vulnérabilités connues et inconnues. La meilleure façon d'y parvenir est de mettre en place une défense à plusieurs niveaux, notamment en actualisant les politiques et en s'efforçant d'atténuer les cyberrisques, où qu'ils se trouvent.