Les gouvernements ont plus que jamais recours à des piratages de type "zero-day"

Les menaces "zero-day" ont tendance à augmenter, même si le nombre total de détections a baissé en 2024

Le dernier rapport du Google Threat Intelligence Group (GTIG) fait état d'une tendance à la hausse des attaques de type « zero-day », même si le nombre total de détections a baissé en 2024. Selon les conclusions du rapport, 44 % de ces attaques ont touché des technologies d'entreprise, soit une augmentation de 7 % par rapport à l'année précédente. En outre, les opérations de cyberespionnage soutenues par des États, notamment par la Chine et la Corée du Nord, représentent plus de 50 % des vulnérabilités que Google a pu attribuer en 2024. Face à l'escalade de ces menaces, Google appelle à une vigilance accrue et à des mesures de cybersécurité renforcées dans toutes les infrastructures d'entreprise.

Une vulnérabilité « zero-day » est une vulnérabilité ou une faille de sécurité dans un système informatique, inconnue de ses développeurs ou de toute personne capable de l'atténuer. Jusqu'à ce que la vulnérabilité soit corrigée, les acteurs de la menace peuvent l'exploiter dans le cadre d'un exploit ou d'une attaque zero-day. À l'origine, le terme « zero-day » faisait référence au nombre de jours écoulés depuis qu'un nouveau logiciel a été rendu public, de sorte que les « logiciels zero-day » étaient obtenus en piratant l'ordinateur d'un développeur avant sa publication. Par la suite, le terme a été appliqué aux vulnérabilités qui ont permis ce piratage et au nombre de jours que le fournisseur a eu pour les corriger. Les fournisseurs qui découvrent la vulnérabilité peuvent créer des correctifs ou conseiller des solutions de contournement pour l'atténuer, mais les utilisateurs doivent déployer ces solutions pour éliminer la vulnérabilité de leurs systèmes. Les vulnérabilités « zero-day » sont des menaces graves.

L'augmentation de l'exploitation des vulnérabilités « zero-day » révélée par le dernier rapport du GTIG s'inscrit dans le cadre d'une tendance plus large dans le paysage de la cybersécurité. Selon une précédente étude de Protect AI, les vulnérabilités « zero-day » liées à l'IA ont été multipliées par trois depuis novembre 2023. En avril 2024, 48 vulnérabilités avaient été découvertes dans des outils open-source largement utilisés tels que MLFlow, Ray et Triton, soit une augmentation de 220 % en à peine six mois. Les plus préoccupantes d'entre elles étant les menaces d'exécution de code à distance, qui permettent aux attaquants de contrôler entièrement le système à distance.

L'année 2024 a également été riche en exploits « zero-day ». Grâce à son réseau tentaculaire de services et d'initiatives de recherche, Google a été le premier à repérer un grand nombre de ces menaces. Dans son nouveau rapport du GTIG, l'entreprise a révélé qu'elle avait détecté 75 exploits de type « zero-day » en 2024, ce qui est un peu moins que l'année précédente. Comme on pouvait s'y attendre, une bonne partie de ces exploits étaient l'œuvre de pirates parrainés par des États.


Synthèse

Le Google Threat Intelligence Group (GTIG) a recensé 75 vulnérabilités « zero-day » exploitées dans la nature en 2024, soit une diminution par rapport au nombre identifié en 2023 (98 vulnérabilités), mais une augmentation par rapport à 2022 (63 vulnérabilités). Les vulnérabilités examinées ont été divisées en deux catégories principales : les plateformes et les produits destinés aux utilisateurs finaux (par exemple, les appareils mobiles, les systèmes d'exploitation et les navigateurs) et les technologies axées sur l'entreprise, telles que les logiciels et les appareils de sécurité.

Les fournisseurs continuent d'apporter des améliorations qui rendent l'exploitation de certaines vulnérabilités zero-day plus difficile, comme le montrent à la fois la diminution des chiffres dans plusieurs catégories et la réduction des attaques observées contre des cibles autrefois populaires. Dans le même temps, les fournisseurs de systèmes de surveillance commerciale semblent renforcer leurs pratiques de sécurité opérationnelle, ce qui pourrait entraîner une diminution de l'attribution et de la détection.

Google a observé que l'exploitation des vulnérabilités « zero-day » cible un plus grand nombre et une plus grande variété de technologies spécifiques aux entreprises, bien que ces technologies représentent toujours une proportion plus faible de l'exploitation globale par rapport aux technologies destinées aux utilisateurs finaux. Alors que l'accent historique mis sur l'exploitation des technologies populaires destinées aux utilisateurs finaux et à leurs utilisateurs se poursuit, l'évolution vers un ciblage accru des produits destinés aux entreprises exigera d'un ensemble plus large et plus diversifié de fournisseurs qu'ils renforcent leurs mesures de sécurité proactives afin de réduire les futures tentatives d'exploitation des vulnérabilités de type « zero-day ».

Portée

Le rapport décrit ce que Google Threat Intelligence Group (GTIG) sait de l'exploitation des vulnérabilités zero-day en 2024. Google explique comment les fournisseurs ciblés et les produits exploités déterminent des tendances qui reflètent les objectifs des acteurs de la menace et l'évolution des approches d'exploitation, puis examine de près plusieurs exemples d'exploitation de vulnérabilités « zero-day » de 2024 qui démontrent comment les acteurs utilisent des techniques historiques et nouvelles pour exploiter les vulnérabilités des produits ciblés. Le contenu du rapport s'appuie sur des recherches originales menées par GTIG, combinées à des résultats d'enquêtes sur des violations et à des rapports provenant de sources ouvertes fiables, bien que Google ne puisse pas confirmer de manière indépendante les rapports de chaque source. La recherche dans ce domaine est dynamique et les chiffres peuvent être ajustés en raison de la découverte continue d'incidents antérieurs dans le cadre d'enquêtes judiciaires numériques. Les chiffres présentés reflètent la meilleure compréhension des données actuelles par Google.

GTIG définit une vulnérabilités de type « zero-day » comme une vulnérabilité qui a été exploitée de manière malveillante dans la nature avant qu'un correctif ne soit mis à la disposition du public. GTIG reconnaît que les tendances observées et discutées dans son rapport sont basées sur les vulnérabilités « zero-day » détectées et divulguées. L'analyse représente l'exploitation suivie par le GTIG mais peut ne pas refléter l'ensemble de l'exploitation des vulnérabilités « zero-day ».

Principales conclusions

• L'exploitation des vulnérabilités « zero-day » continue de croître progressivement. Les 75 vulnérabilités « zero-day » exploitées en 2024 suivent une tendance qui s'est dessinée au cours des quatre dernières années. Bien que le nombre d'années individuelles ait fluctué, la ligne de tendance moyenne indique que le taux d'exploitation des vulnérabilités « zero-day » continue de croître à un rythme lent mais régulier.
• Le ciblage des technologies axé sur les entreprises continue de se développer. Le GTIG a continué à observer une augmentation de l'exploitation par les adversaires des technologies spécifiques aux entreprises tout au long de 2024. En 2023, 37 % des vulnérabilités « zero-day » ciblaient des produits d'entreprise. Ce chiffre est passé à 44 % en 2024, principalement en raison de l'exploitation accrue des logiciels et des appareils de sécurité et de mise en réseau.
• Les attaquants s'intéressent de plus en plus aux produits de sécurité et de mise en réseau. Les vulnérabilités « zero-day » dans les logiciels de sécurité et les appliances constituaient une cible de grande valeur en 2024. Google a identifié 20 vulnérabilités de sécurité et de mise en réseau, soit plus de 60 % de toutes les exploitations de vulnérabilités « zero-day » des technologies d'entreprise. L'exploitation de ces produits, par rapport aux technologies destinées aux utilisateurs finaux, peut conduire plus efficacement à la compromission de systèmes et de réseaux de grande envergure, et Google prévoit que les adversaires continueront à se concentrer sur ces technologies.
• Les fournisseurs changent la donne. Les investissements des fournisseurs dans l'atténuation des exploits ont un impact évident sur les domaines dans lesquels les acteurs de la menace sont en mesure de réussir. Google constate une diminution notable de l'exploitation des vulnérabilités « zero-day » de certaines cibles historiquement populaires telles que les navigateurs et les systèmes d'exploitation mobiles.
• Les acteurs menant des opérations de cyberespionnage sont toujours en tête des exploitations zero-day attribuées. Entre les groupes soutenus par les gouvernements et les clients des fournisseurs de solutions de surveillance commerciale (CSV), les acteurs menant des opérations de cyberespionnage représentent plus de 50 % des vulnérabilités que Google a pu attribuer en 2024. Les groupes soutenus par la République populaire de Chine (RPC) ont exploité cinq vulnérabilités « zero-day », et les clients des CSV en ont exploité huit, poursuivant ainsi leur rôle collectif de leader dans l'exploitation des vulnérabilités « zero-day ». Pour la toute première année, Google a également attribué l'exploitation du même volume de vulnérabilités « zero-day » en 2024 (cinq) à des acteurs nord-coréens mêlant espionnage et opérations à motivation financière qu'à des groupes soutenus par la RPC.

Examen des chiffres

Le GTIG a suivi 75 vulnérabilités « zero-day » exploitées dans la nature qui ont été divulguées en 2024. Ce chiffre semble correspondre à une tendance à la hausse consolidée que Google a observée au cours des quatre dernières années. Après un pic initial en 2021, les chiffres annuels ont fluctué mais ne sont pas revenus aux chiffres les plus bas observés en 2021 et avant.

Bien que de multiples facteurs interviennent dans la découverte de vulnérabilités « zero-day », Google note que l'amélioration continue et l'omniprésence des capacités de détection, ainsi que des divulgations publiques plus fréquentes, ont toutes deux entraîné une augmentation du nombre de vulnérabilités « zero-day » détectées par rapport à ce qui a été observé avant 2021.


Plus élevé que n'importe quelle année précédente, 44 % (33 vulnérabilités) des zero-days de 2024 suivis ont affecté les technologies d'entreprise, poursuivant la croissance et les tendances que Google a observées l'année 2024. Les 42 vulnérabilités « zero-day » restantes ciblaient les technologies des utilisateurs finaux.

L'exploitation des entreprises se développe en 2024, tandis que l'exploitation des navigateurs et des téléphones mobiles diminue

Plateformes et produits pour utilisateurs finaux

En 2024, 56 % (42) des zero-days suivis ont ciblé des plateformes et des produits pour utilisateurs finaux, que Google définit comme des appareils et des logiciels que les particuliers utilisent dans leur vie quotidienne, même si elle reconnaît que les entreprises les utilisent aussi souvent. Toutes les vulnérabilités de cette catégorie ont été utilisées pour exploiter des navigateurs, des appareils mobiles et des systèmes d'exploitation de bureau.

• L'exploitation des vulnérabilités zero-day dans les navigateurs et les appareils mobiles a considérablement diminué, d'environ un tiers pour...