Google : oui, nous repérons plus de failles zero-day que jamais, mais les pirates ont encore la vie trop facile
Sur les 58 failles de type “zero-day” que le projet Zero de Google a suivis en 2021, seules deux étaient nouvelles. Les autres reposaient sur des techniques connues.
C’est à la fois une bonne et une mauvaise nouvelle pour l’industrie du logiciel.
L’année 2021 a été une année record en ce qui concerne le nombre de failles de type “zero-day” trouvées dans des logiciels tels que Chrome, Windows, Safari, Android, iOS, Firefox, Office et Exchange. Des logiciels suivis par le Google Project Zero (GPZ), et qui contenaient des failles avant qu’un correctif du fournisseur ne soit disponible.
Les attaquants peuvent continuer à utiliser leurs méthodes d’exploitation existantes
58, c’est plus du double du taux annuel de découverte et de détection des exploits de type “zero-day” depuis que GPZ a commencé à suivre les “zero days”, à la mi-2014.
Mais cela ne veut pas dire grand chose. Les chercheurs en sécurité de Google soulignent que ce n’est pas parce qu’un bug n’a pas été repéré qu’il n’a pas été utilisé. Google fait valoir que la détection s’améliore. Mais il y avait aussi une grande lacune dans les informations : il n’y avait que cinq échantillons des exploits utilisés contre chacune des 58 vulnérabilités.
Alors que les découvertes de failles zero-day sont un “échec” pour les attaquants, Maddie Stone, chercheuse chez GPZ, souligne dans un billet de blog que “sans l’échantillon de l’exploit ou une description technique détaillée basée sur l’échantillon, nous ne pouvons nous concentrer que sur la correction de la vulnérabilité plutôt que sur l’atténuation de la méthode d’exploitation”.
Cela signifie que les attaquants peuvent continuer à utiliser leurs méthodes d’exploitation existantes plutôt que de devoir revenir à la phase de conception et de développement pour élaborer une nouvelle méthode d’exploitation, explique-t-elle.
“Seuls deux zero-day se sont distingués par leur nouveauté”
Les attaquants, note-t-elle, utilisent avec succès les mêmes modèles de bugs et techniques d’exploitation et s’attaquent aux mêmes surfaces d’attaque. Cette répétition signifie que les attaquants ne sont pas obligés d’investir dans de nouvelles méthodes et soulève des questions quant à l’augmentation du coût pour les attaquants par l’industrie.
“Seuls deux zero-day se sont distingués par leur nouveauté : l’une par la sophistication technique de son exploitation et l’autre par l’utilisation de bugs logiques pour échapper à la sandbox”, note-t-elle.
Pour progresser en 2022, GPZ espère que tous les fournisseurs accepteront de révéler qu’une faille est exploitée dans leurs bulletins de bogue, comme le fait régulièrement l’équipe de sécurité de Google pour Chrome. Apple a divulgué ce statut pour iOS pour la première fois en 2021.
Elle souhaite également que des échantillons d’exploits ou des descriptions techniques détaillées de ces exploits soient partagés plus largement.
GPZ souhaiterait également que l’on s’attache davantage à réduire les vulnérabilités liées à la corruption de la mémoire, qui sont de loin le type de faille le plus courant, selon Microsoft et Google.
Maddie Stone note que 67 % – soit 39 – des 58 “0-days” de l’année étaient des vulnérabilités de corruption de mémoire.
La conclusion de GPZ est que l’industrie a fait quelques progrès en 2021 grâce à une meilleure détection et divulgation, mais Stone ajoute que “en tant qu’industrie, nous ne rendons pas les 0-day difficiles (à créer).”
Comme elle l’explique : “L’objectif est de forcer les attaquants à repartir de zéro chaque fois que nous détectons un de leurs exploits : ils sont obligés de découvrir une toute nouvelle vulnérabilité, ils doivent investir du temps dans l’apprentissage et l’analyse d’une nouvelle surface d’attaque, ils doivent développer une toute nouvelle méthode d’exploitation.”
Source : “ZDNet.com”
