Bonne ou mauvaise nouvelle ? Le nombre de failles « zero-day » détectées par Project Zero, l’équipe de chercheurs en cybersécurité de Google, atteint un nombre record en 2021. « Cette année a été marquée par la détection et la divulgation de 58 bugs, soit le nombre le plus élevé jamais enregistré depuis le début du projet Zero », indique Maddie Stone, chercheuse chez Google, dans un article publié ce 19 avril sur le blog du groupe.
Les zero-day sont des failles non repérées qui permettent aux hackers de mener des attaques sophistiquées sur les programmes d’une société. Le projet de Google a pour but de comptabiliser et analyser les bugs de la firme de Mountain View ainsi que ceux d’autres sociétés telles que Apple ou Microsoft. Avec 58 failles détectées, les experts ont découvert 36 erreurs de plus qu’en 2020. Le précédent record date de 2015, à l’époque les experts avaient enregistré 28 brèches sur une année.
La prouesse doit-être attribuée aux hackers ou aux chercheurs ? « Nous pensons que la forte augmentation des failles zero-day en 2021 est due à une détection accrue, plutôt qu’à une croissance de l’exploitation des zero-day », explique Maddie Stone. « Bien que nous constatons une amélioration dans l’industrie dans la détection des failles zero-day, nous admettons également qu’il reste encore beaucoup à faire ». ajoute l’experte en cyber.
L’exploitation des bugs iOS, « une œuvre d’art » selon chercheurs
Sur les 58 zero-day détectées en 2021, 39, soit 67 %, étaient liées à de la corruption de mémoire, comme des dépassements de mémoire tampon, par exemple. Ce problème est récurent et signifie que les développeurs bloquent dans la correction de leur code. Chrome, le navigateur de Google est le navigateur qui réunit le plus failles, avec 14 brèches repérées.
L’exploitation des deux bugs iOS, le système d’exploitation d’Apple, a surpris les chercheurs, indique le rapport. Ils qualifient même ces attaques « d’oeuvre d’art ». « Ceci est un exemple de ce à quoi pourrait ressembler une exploitation difficile d’un zero-day : les attaquants doivent développer une nouvelle façon d’exploiter un bug et cette méthode nécessite beaucoup d’expertise et de temps ». C’est cette faille qui a permis au groupe israélien NSO d’installer le logiciel Pegasus afin d’espionner les utilisateurs.
Maddie Stone constante dans son article « qu’il est important de rester implacable dans notre poursuite pour rendre plus difficile l’exploitation par les attaquants des failles zero-day. Nous avons entendu encore et encore et encore comment les gouvernements ciblaient les journalistes, les minorités, les politiciens, les défenseurs des droits de l’homme, et même les chercheurs en sécurité du monde entier.»
La récente découverte de smartphones infectés par Pegasus pour espionner des indépendantistes catalans ne fait que confirmer l’utilité de la recherche de failles dans les systèmes.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !