Secu
L’inquiétant essor des failles Zero-Day
Par Laurent Delattre, publié le 18 octobre 2024
Jusqu’ici la plupart des failles activement utilisées par les cybercriminels étaient des failles connues, parfois de longue date. Mais avec l’essor des attaques sponsorisées par les états, ce n’est plus vrai. Selon Mandiant, les failles désormais les plus utilisées sont des failles Zero Day. Un essor qui a de quoi inquiéter l’écosystème cyber.
Dans un billet de blog, les analystes cybersécurité de Google Mandiant mettent en lumière une tendance alarmante : les cybercriminels démontrent une capacité accrue à découvrir et exploiter des vulnérabilités zero-day. Ces failles, inconnues des éditeurs au moment de leur exploitation, représentent l’un des plus importants défis pour la sécurité des systèmes d’information.
Ainsi, selon Mandiant, sur les 138 vulnérabilités activement exploitées en 2023, 97 étaient des failles zero-day, soit 70,3 % des failles les plus exploitées. Cela signifie que les attaquants ont tiré parti de ces failles avant même que les éditeurs n’en soient informés ou n’aient pu déployer des correctifs.
Cette volonté de privilégier les failles « zero-day » témoigne d’une intensification des recherches de failles inconnues dans les milieux des cybercriminels et donc d’investissements plus importants de la part des cyberattaquants alors que de plus en plus de groupes sont financés par des états pour mener des attaques de déstabilisation ou de prépositionnement dans les infrastructures sensibles.
Autre tendance relevée par les chercheurs, les attaquants ne se concentrent plus uniquement sur les grands éditeurs comme Microsoft, Apple ou Google. En 2023, un nombre record de 56 éditeurs ont été touchés par des vulnérabilités exploitées, contre 44 en 2022. De plus, 58 % de ces éditeurs n’ont été affectés que par une seule vulnérabilité, ce qui démontre une diversification des cibles et une expansion de la surface d’attaque.
Enfin, concernant les attaques « non zero-days » autrement dit s’appuyant sur des vulnérabilités connues, les cyberattaquants se sont adaptés aux évolutions des pratiques. Avec des logiciels et des systèmes qui se mettent généralement automatiquement à jour, il devient plus difficile d’exploiter des failles dont les rustines n’ont pas été déployées. Les cyberattaquants doivent donc faire preuve d’une réactivité accrue. Ainsi, selon Google Mandiant, le temps moyen nécessaire pour exploiter une vulnérabilité après sa divulgation, appelé Time-to-Exploit (TTE), a drastiquement diminué. En 2018-2019, le TTE moyen était de 63 jours. En 2023, il est tombé à seulement 5 jours. Cette réduction significative montre que les cyberattaquants agissent désormais beaucoup plus rapidement, laissant aux équipes de sécurité un délai très court pour réagir et appliquer les correctifs nouvellement publiés.
La rapidité avec laquelle les vulnérabilités sont exploitées et l’essor des vulnérabilités Zero Day ne font qu’accroître un peu plus les défis de cyber-résilience auxquels sont confrontés DSI et RSSI. Les chercheurs exhortent les entreprises à faire évoluer leurs stratégies de défense pour intégrer une gestion proactive des correctifs (afin de réduire le délai entre la divulgation d’une faille et l’implantation de son correctif), adopter une surveillance en temps réel (pour détecter rapidement les tentatives d’exploitation), mettre en œuvre une vraie segmentation du réseau (afin de limiter la propagation en cas de compromission) mais aussi d’opter pour une évaluation holistique des risques : il faut prendre en compte non seulement la disponibilité des exploits ou la couverture médiatique, mais aussi la complexité de l’exploitation et la valeur potentielle pour les attaquants. Dit autrement, les DSI et RSSI doivent encore accroître leur vigilance… et ce n’est pas une surprise !
À LIRE AUSSI :
À LIRE AUSSI :