Les experts ont trouvé un nombre record de hacks zero-day en 2021

20 avril 2022 Hibou Gourou

Google a publié la revue 2021 de Project Zero, révélant un nombre record d' exploits zero-days (étiquetés comme "l'une des méthodes d'attaque les plus avancées") exposés par certaines des plus grandes entreprises technologiques du monde.

Project Zero est une initiative lancée par Google en 2014 visant à détailler les failles de sécurité connues sous le nom d'exploits zero-day. Ces vulnérabilités sont dangereuses car elles restent essentiellement non détectées à moins qu'un système d'atténuation n'ait été mis en œuvre, laissant ainsi les systèmes, les bases de données et autres complètement exposés aux pirates.

Un grand écran affichant un avertissement de violation de sécurité. — Dépôt de stock/Getty Images

Le rapport de fin d'année pour 2021 a confirmé que 58 exploits zero-day ont été découverts. C'est le montant le plus élevé détecté depuis la création de Project Zero – 2015 était le précédent détenteur du record avec un total de 28 exploits numériques.

Comparativement, au plus fort de la pandémie qui a vu les pirates intensifier leurs efforts dans les activités de cybercriminalité malveillantes , l'équipe de sécurité de Google a révélé 25 failles de sécurité en 2020.

Google a souligné que le record de 58 exploits zero-day qui ont été publiquement détaillés n'est pas nécessairement une indication d'une "utilisation accrue des exploits zero-day". Au contraire, l'entreprise l'attribue à la "détection et à la divulgation accrues de ces zero-days".

« Il est fort probable qu'en 2021, d'autres zero-days aient été exploités dans la nature et détectés, mais les fournisseurs ne l'ont pas mentionné dans leurs notes de publication. En 2022, nous espérons que davantage de fournisseurs commenceront à remarquer quand ils corrigent les vulnérabilités qui ont été exploitées à l'état sauvage. Jusqu'à ce que nous soyons convaincus que tous les fournisseurs divulguent de manière transparente leur statut sauvage, il reste une grande question de savoir combien de jours zéro dans la nature sont découverts, mais non étiquetés publiquement par les fournisseurs.

Le premier exploit zero-day du rapport qui a été analysé impliquait le propre Chromium de Google, qui fournit le code open-source pour son navigateur Chrome.

Chromium a enregistré un record de 14 bugs zero-day. Parmi les exploits figuraient 10 bogues d'exécution de code à distance, 2 échappements de bac à sable et 1 fuite d'informations. Le dernier bogue du jour zéro a conduit les pirates à tenter d'ouvrir une page Web dans des applications basées sur Android au lieu de Chrome.

Ailleurs, sept jours zéro Android ont été identifiés – un saut assez important par rapport à l'exploit unique trouvé en 2019, qui était d'ailleurs la seule autre découverte de l'équipe Project Zero concernant le système d'exploitation mobile de Google.

Représentation numérique d'un ordinateur portable piraté par un pirate informatique. — Graphique des tendances numériques

Apple, iOS, MacOS et Windows

Google a également mentionné WebKit, qui est le moteur de navigateur Web d'Apple qui alimente Safari. Selon Google, avant 2021, Apple n'a révélé qu'un seul exploit public zero-day conçu pour infiltrer WebKit/Safari. Même alors, la divulgation s'est concrétisée par l'étude d'un chercheur tiers.

Cependant, en 2021, il y avait sept jours zéro associés au navigateur Web d'Apple, dont quatre impliquaient le composant Javascript Engine de Safari.

Rompant avec la nature auparavant secrète du géant de la technologie lorsqu'il s'agissait de détailler les exploits du jour 0, "2021 a été la première année complète au cours de laquelle Apple a annoté ses notes de publication avec l'état sauvage des vulnérabilités."

À cette fin, cinq jours zéro iOS ont été confirmés par Apple, tandis que le premier jour zéro MacOS découvert publiquement a également été découvert.

Apple accorde une grande importance à ses mesures de sécurité pour les systèmes iOS et Mac. Après tout, ila donné à un étudiant 100 000 $ pour avoir piraté ce dernier .

Quant à Microsoft, Google a détaillé 10 jours zéro Windows ciblant sept éléments distincts, notamment le fournisseur de chiffrement amélioré (sans surprise, bien sûr), le noyau NTOS et Win32k.

« Windows est la plate-forme sur laquelle nous avons observé le plus de changements dans les composants ciblés par rapport aux années précédentes. Cependant, ce changement est généralement en cours depuis quelques années et prédit avec la fin de vie de Windows 7 en 2020 et donc pourquoi ce n'est toujours pas particulièrement nouveau », a déclaré Google.

Windows 11 a également fait l'objet d'un piratage zero-day après son lancement . Microsoft, cependant, ne paie pas aussi généreusement qu'Apple lorsqu'il s'agit de découvertes de bogues dans certains cas : les paiements ont apparemment été réduits à 1 000 $ au lieu de 10 000 $.

De plus, en 2021, cinq zero-days connectés à Microsoft Exchange Server ont été trouvés. "C'est la première fois qu'un Exchange Server in the wild zero-days est détecté et divulgué depuis que nous avons commencé à suivre les zero-days sauvages", ajoute le rapport.

Une paire de mains sur un clavier d'ordinateur portable avec deux écrans.

Les pirates s'en tiennent à des méthodes éprouvées

Dans la section New Year, Old Techniques du rapport, Google a souligné que malgré le nombre record de "points de données" en 2021 "pour comprendre comment les attaquants utilisent réellement les exploits zero-day", il était en fait surpris qu'il reconnaisse toutes ces données – " il n'y avait rien de nouveau.

"Les exploits zero-day sont considérés comme l'une des méthodes d'attaque les plus avancées qu'un acteur puisse utiliser, il serait donc facile de conclure que les attaquants doivent utiliser des astuces et des surfaces d'attaque spéciales. Mais au lieu de cela, les jours zéro que nous avons vus en 2021 suivaient généralement les mêmes schémas de bogues, surfaces d'attaque et «formes» d'exploitation précédemment vues dans la recherche publique.

Environ 67 % des 58 exploits zero-day étaient des vulnérabilités de corruption de mémoire. Google a déclaré que cela ne devrait pas être trop surprenant si l'on considère le fait que cette catégorie spécifique est la méthode de choix pour trouver un chemin dans les logiciels "depuis quelques décennies", et c'est en grande partie la raison pour laquelle les attaquants continuent à accéder avec succès à ses cibles.

Google a conclu son rapport par une déclaration sur l'impact des exploits zero-day et les conséquences d'une attaque réussie.

"Alors que la majorité des habitants de la planète n'ont pas à s'inquiéter de leur propre risque d'être la cible de zero-days, l'exploitation zero-day nous affecte tous. Ces « jours zéro » ont tendance à avoir un impact démesuré sur la société, nous devons donc continuer à faire tout ce que nous pouvons pour qu'il soit plus difficile pour les attaquants de réussir ces attaques. 2021 nous a montré que nous sommes sur la bonne voie et que nous progressons, mais il reste encore beaucoup à faire pour rendre le jour zéro difficile.

Alors que le monde devient plus numérique et axé sur la technologie que jamais, les cybercriminels gagnent des milliards de dollars en exploitant des individus.

Avec une augmentation de la cybercriminalité dans tous les domaines, près de 7 milliards de dollars ont été volés à des personnes l'année dernière , ce qui est largement attribué à certains types de crimes tels que la violation de données personnelles ( nettoyez vos mots de passe ) et les ransomwares.