L’équipe de sécurité interne de Google a averti que les menaces de sécurité zero-day deviennent un risque plus important que jamais.
Dans son tour d’horizon annuel du paysage des menaces zero-day, l’équipe Google Project Zero a noté que 58 menaces distinctes avaient été identifiées en 2021, le plus grand nombre observé depuis le début de l’enquête en 2014.
Cela représente une augmentation par rapport aux 25 exploits découverts en 2020, et près du double du nombre observé pendant la plupart des années couvertes par l’enquête.
Menace du jour zéro
De manière quelque peu décourageante, l’équipe a noté que la méthodologie utilisée par les attaquants du jour zéro ne semble pas avoir beaucoup changé ou évolué par rapport aux années précédentes, les mêmes modèles de bogues et techniques d’exploitation se révélant toujours populaires.
« Lorsque nous examinons ces 58 jours 0 utilisés en 2021, nous voyons à la place des jours 0 qui sont similaires aux vulnérabilités précédentes et connues publiquement », a écrit Google. « Nous nous attendons à ce que pour réussir, les attaquants doivent trouver de nouvelles classes de bogues de vulnérabilités dans de nouvelles surfaces d’attaque en utilisant des méthodes d’exploitation jamais vues auparavant. En général, ce n’est pas ce que les données nous ont montré cette année.
Cependant, Google note également que l’augmentation du nombre de jours zéro signalés peut en fait être une bonne chose, car cela signifie que davantage de menaces sont signalées et divulguées publiquement.
« Nous effectuons et partageons cette analyse afin de rendre le 0-day difficile », a écrit Maddie Stone de l’équipe Project Zero dans un article de blog annonçant les résultats. « Nous voulons qu’il soit plus coûteux, plus gourmand en ressources et, dans l’ensemble, plus difficile pour les attaquants d’utiliser les capacités 0-day. »
« 2021 a mis en évidence à quel point il est important de rester implacable dans notre poursuite pour rendre plus difficile pour les attaquants d’exploiter les utilisateurs avec des jours 0. Nous avons entendu maintes et maintes fois comment les gouvernements ciblaient les journalistes, les populations minoritaires, les politiciens, les défenseurs des droits de l’homme , et même des chercheurs en sécurité du monde entier. »
« Les décisions que nous prenons dans les communautés de la sécurité et de la technologie peuvent avoir des impacts réels sur la société et la vie de nos semblables. »
Dans l’ensemble, Google affirme que l’industrie semble s’améliorer en ce qui concerne la « détection et la divulgation » des exploits du jour zéro, mais il avertit qu’il s’agit encore de « petits pas ».
La société appelle à un certain nombre de mesures pour accélérer les progrès, notamment en établissant un comportement standard de l’industrie pour que tous les fournisseurs divulguent publiquement lorsqu’il existe des preuves suggérant qu’une vulnérabilité de leur produit est exploitée.
Google affirme également que les fournisseurs et les chercheurs en sécurité devraient faire mieux pour partager des échantillons ou des techniques d’exploit, et que davantage d’efforts sont également nécessaires pour réduire les vulnérabilités de corruption de mémoire ou les rendre inexploitables.