Google axé sur la sécurité Projet Zéro commencé à tenir des registres des exploités vulnérabilités zero-day dans les logiciels populaires en 2014. Depuis lors, aucune autre année n’a vu autant d’exploits ouverts qu’en 2021, a annoncé la société de technologie cette semaine.
Les zero-days sont des bugs non détectés dans les logiciels qui peuvent permettre aux pirates de mener des attaques sophistiquées sur les programmes et les plates-formes.
« 2021 comprenait la détection et la divulgation de 58 jours 0 dans la nature, le plus jamais enregistré depuis que Project Zero a commencé à suivre, » a déclaré Maddie Stone, chercheuse chez Google, dans un article de blog publié mardi.
Le nombre est plus du double du record du jour zéro précédemment enregistré de 28 découvertes en 2015, a déclaré Stone.
Les jours zéro qu’ils ont trouvés ne deviennent pas nécessairement plus intelligents, cependant. Une grande majorité des exploits suivis par Google en 2021 n’étaient pas particulièrement nouveaux, semblant utiliser les « mêmes modèles de bogues et techniques d’exploitation et s’attaquer aux mêmes surfaces d’attaque » que les pirates ont toujours ciblés, écrit Stone.
Certaines des plus grandes cibles de l’année dernière comprenaient iOS et MacOS d’Apple, Microsoft Windows et Exchange, et Google lui-même, qui a enregistré un record de 14 jours zéro dans son navigateur Chrome (à partir de sept en 2020). Android de Google, quant à lui, a connu sept jours zéro.
La question est : pourquoi tant de nouveaux bugs sont-ils découverts ? Est-ce parce que la sécurité logicielle devient plus paresseuse ? Les hackers s’améliorent-ils en piratage ? Les chercheurs de Google semblent penser que c’est en fait parce que l’industrie de la sécurité s’améliore dans la recherche et le partage d’informations sur ses problèmes.
« Bien que nous pensons qu’il y a eu une croissance constante de l’intérêt et de l’investissement dans les exploits zero-day par les attaquants au cours des dernières années, et que la sécurité doit encore être améliorée de toute urgence, il semble que la capacité de l’industrie de la sécurité à détecter et à divulguer dans le -les exploits 0-day sauvages sont la principale explication de l’augmentation des exploits 0-day observés en 2021. »
En général, les entreprises semblent mieux communiquer leurs problèmes de sécurité au public. Cela dit, « il reste encore beaucoup de travail à faire », écrit Stone, notant que l’un des objectifs de Google est de voir les divulgations zero-day devenir une norme à l’échelle de l’industrie.
Vous pouvez consulter l’enregistrement complet de Google des zéro-jours suivis dans ce document continuellement mis à jour tableur. Comme vous pouvez le voir, 2022 est déjà sur le bon pied pour les bogues, avec plus d’une douzaine de vulnérabilités zero-day découvertes au cours des quatre premiers mois de cette année.