Les vulnérabilités logicielles « zero-day » jusque-là inconnues sont mystérieuses et intrigantes en tant que concept. Mais ils sont encore plus remarquables lorsque des pirates sont repérés en train d’exploiter activement les nouvelles failles logicielles dans la nature avant que quiconque ne les connaisse. Au fur et à mesure que les chercheurs ont élargi leur champ d’action pour détecter et étudier davantage cette exploitation, ils la voient plus souvent. Cette semaine, deux rapports de la société de renseignement sur les menaces Mandiant et de l’équipe de recherche de bogues de Google, Project Zero, visent à donner un aperçu de la question de savoir exactement à quel point l’exploitation du jour zéro a augmenté ces dernières années.
Mandiant et Project Zero ont chacun une portée différente pour les types de jours zéro qu’ils suivent. Project Zero, par exemple, ne se concentre pas actuellement sur l’analyse des failles des appareils de l’Internet des objets qui sont exploités dans la nature. En conséquence, les nombres absolus dans les deux rapports ne sont pas directement comparables, mais les deux équipes ont suivi un nombre record de jours zéro exploités en 2021. Mandiant en a suivi 80 l’année dernière contre 30 en 2020, et Project Zero en a suivi 58 en 2021 contre 25 l’année précédente. La question clé pour les deux équipes, cependant, est de savoir comment contextualiser leurs découvertes, étant donné que personne ne peut voir toute l’ampleur de cette activité clandestine.
« Nous avons commencé à voir un pic au début de 2021, et beaucoup de questions que j’ai reçues tout au long de l’année étaient : ‘Qu’est-ce qui se passe ?!' », déclare Maddie Stone, chercheuse en sécurité chez Project Zero. « Ma première réaction a été, ‘Oh mon Dieu, il y a tellement de choses.’ Mais quand j’ai pris du recul et que je l’ai regardé dans le contexte des années précédentes, pour voir un si grand saut, cette croissance est en fait plus probablement due à une détection, une transparence et une connaissance accrues du public sur les jours zéro.
Avant qu’une vulnérabilité logicielle ne soit divulguée publiquement, cela s’appelle un « zero-day », car il n’y a eu aucun jour pendant lequel le fabricant de logiciels aurait pu développer et publier un correctif et zéro jour pour que les défenseurs commencent à surveiller la vulnérabilité. À leur tour, les outils de piratage que les attaquants utilisent pour tirer parti de ces vulnérabilités sont connus sous le nom d’exploits du jour zéro. Une fois qu’un bogue est connu publiquement, un correctif peut ne pas être publié immédiatement (ou jamais), mais les attaquants sont avertis que leur activité pourrait être détectée ou que le trou pourrait être bouché à tout moment. Par conséquent, les zero-days sont très convoités, et ils représentent une grosse affaire à la fois pour les criminels et, en particulier, pour les pirates informatiques soutenus par le gouvernement qui souhaitent mener à la fois des campagnes de masse et un ciblage individuel sur mesure.
Les vulnérabilités et les exploits du jour zéro sont généralement considérés comme des outils de piratage peu courants et raréfiés, mais il a été démontré à plusieurs reprises que les gouvernements stockent les vulnérabilités du jour zéro, et une détection accrue a révélé à quelle fréquence les attaquants les déploient. Au cours des trois dernières années, des géants de la technologie comme Microsoft, Google et Apple ont commencé à normaliser la pratique consistant à noter quand ils divulguent et corrigent une vulnérabilité qui a été exploitée avant la publication du correctif.