L’équipe Project Zero de Google, une unité d’analystes de sécurité employée pour trouver des vulnérabilités de type « zero-day », a récemment publié son rapport pour 2021. Les exploits 0-day sont des vulnérabilités qui sont soit inconnues du développeur d’un programme, soit découvertes, mais pas encore corrigées.
Au total, 58 exploits 0-day ont été détectés et divulgués en 2021, ce qui représente presque le double de la quantité trouvée en 2020, où il y en avait 25. Il s’agit d’un nombre record de rapports en un an depuis que le Project Zero a commencé à les suivre, mi-2014.
Mais quelle est la raison de ce chiffre inquiétant ? Est-ce parce que les pirates informatiques sont devenus plus audacieux et ont lancé davantage d’attaques en 2021 ? Selon Project Zero, il est plus probable que cela soit dû à une augmentation de la détection et de la divulgation par des entreprises telles que Microsoft, Apple et Google plutôt qu’à une augmentation de l’utilisation des exploits de type « zero-day ».
Project Zero partage qu’il est fortement possible qu’il y ait eu plus de 58 exploits zero-day en 2021, mais que les fournisseurs n’en aient pas informé. S’il est vrai que les entreprises sont de plus en plus performantes dans la détection de ce type d’attaques, on peut se demander combien de vulnérabilités ont réellement été exploitées et si un jour nous en connaîtrons vraiment le nombre exact.
Sur les 58 exploits découverts, seuls deux étaient entièrement nouveaux — et ils ont réussi à épater les experts. Le premier est le tout premier zero-day macOS connu publiquement, qui utilise un code sophistiqué pour installer une porte dérobée. Le second est l’exploit ForcedEntry, utilisé pour diffuser le piratage Pegasus sur les iPhone en injectant un code malveillant par un innocent GIF envoyé dans iMessage. Ces deux cas ont été corrigés ultérieurement par Apple.
Il faut que les développeurs s’attèlent à la tâche
Le reste était des variantes de faiblesses connues, mais non corrigées, 67 % étant des variantes de vulnérabilités de corruption de mémoire, que les pirates utilisent comme point de départ de leurs attaques depuis un certain temps déjà. On ignore pourquoi ces problèmes n’ont pas encore été résolus. Il est possible qu’ils soient trop difficiles ou trop chers à corriger, mais il est également possible que ces vulnérabilités ne soient pas une priorité pour les fournisseurs.
L’équipe du Project Zero sait qu’il y aura toujours un potentiel d’exploits de type « 0-day ». Cependant, sa mission est de rendre plus difficile et plus coûteuse l’utilisation de ces exploits par les pirates. C’est pourquoi l’équipe implore les développeurs de se concentrer sur le renforcement des zones autour des vulnérabilités connues de corruption de la mémoire, ainsi que d’être plus ouverts et transparents lorsqu’ils signalent leurs propres découvertes de zero-day.