Le rapport annuel de l'équipe de chercheurs en failles de cybersécurité de Google souligne que les développeurs de logiciels espion et autres malwares sophistiqués ont de plus en plus de mal à s'attaquer aux navigateurs. Ce pourquoi ils recyclent exploits et vulnérabilités non ou mal corrigées, profitant notamment de la lenteur de l'écosystème Android.
Le quatrième rapport annuel des chercheurs en cybersécurité de Google consacré aux exploits « 0-day » en répertorie 41 en 2022, attribués à 18 organisations, contre 69 en 2021, attribués à 20 organisations. Bien qu'en baisse de 40 %, ces 41 exploits font de 2022 la seconde année la plus prolifique en la matière depuis que Google a commencé à les documenter, en 2014.
Le tableau Spreadsheet où ils compilent ces exploits en répertorie en effet 28 en 2015, 12 en 2018, mais d'ores et déjà 30 pour les sept premiers mois de 2023. 10 de ces 41 exploits découverts en 2022 ciblaient les systèmes Windows (contre 8 en 2021), 7 Android (contre 3), 6 iOS (contre 4), 5 Exchange server (contre 2) et 1 macOS (contre 2).
Il précise par ailleurs que ces failles de sécurité « 0-day » (parce qu'elles n'ont fait l'objet d'aucune publication et ne disposent d'aucun correctif connu au moment de leurs découvertes) ont pour point commun d'être exploitées « dans la nature », et donc d'avoir été détectées lors de cyberattaques réelles ciblant des utilisateurs – qu'il s'agisse d'êtres humains, d'organisations ou de systèmes d'information.
Les chercheurs de Google ont identifié deux facteurs contribuant à ce nombre plus élevé de vulnérabilités exploitées « dans la nature » comparé aux années passées : la transparence des éditeurs de logiciels – qu'ils saluent et qualifient de « nette victoire » – et le « pourcentage élevé » de variantes exploitant ce qu'ils surnomment des « Déjà vu-lnérabilités » d'autre part – qui leur semble autrement problématiques.
Dans le même ordre d'idée, ils estiment que la diminution du nombre de bogues exploitables, ayant entraîné de nombreux attaquants à utiliser les mêmes vulnérabilités, pourrait expliquer ce recul de 40 % des exploits « 0-day » répertoriés l'an passé.
Android : des failles exploitées pendant des mois, malgré les correctifs
Cherchant à identifier les grandes tendances de 2022, le rapport déplore, au premier chef, que les vulnérabilités « N-days » (répertoriées depuis N jours) sont de plus en plus exploitées à la manière des failles « 0-day » sur Android, du fait des délais à rallonge avec lesquels les intégrateurs déploient les correctifs de sécurité, un phénomène que Google avait déjà documenté en novembre 2022, ainsi que par le Laboratoire de sécurité Github en janvier 2023 :
« Dans l'ensemble de l'écosystème Android, il y a eu de nombreux cas où les correctifs n'ont été mis à la disposition des utilisateurs qu'après une longue période d'attente. Les attaquants n'ont pas eu besoin d'exploits 0-day et ont pu utiliser des n-days qui fonctionnaient comme des 0-day. »
Ce temps de latence est d'autant plus dommageable que les correctifs étaient pourtant disponibles en amont, mais pas diffusés en aval par les fabricants et intégrateurs. « Il s'agit d'un cas idéal pour les attaquants », déplore Google, à mesure qu'il leur suffit de développer des exploits reposant sur des vulnérabilités publiques et documentées.
Le rapport évoque par exemple une vulnérabilité notifiée en juillet 2022 par un chercheur du Github Security Lab, et que l'équipe de sécurité d'Android avait labellisée « Won't Fix » en août, au motif qu'il était spécifique aux architectures ARM.
Le correctif de sécurité, fourni par ARM en octobre, ne fut finalement inclus dans le bulletin de sécurité Android qu'en avril 2023, avec six mois de retard, et neuf mois après la découverte de la vulnérabilité. Et ce, alors même que les équipes de sécurité de Google avaient découvert un exploit « dans la nature » en novembre 2022, reposant sur cette vulnérabilité pourtant corrigée.
En décembre 2022, le Threat Analysis Group (TAG) de Google, qui traque et documente ce type d'exploits, a identifié deux autres vulnérabilités de type « N-days » exploitées à la manière des failles « 0-day ». Elles reposaient sur des failles corrigées en janvier et juin 2022 mais, « bien qu'elles aient été marquées comme "exploitées dans la nature", les attaquants ont pu l'utiliser 11 mois plus tard en tant que "0-day" » :
« Bien que cette vulnérabilité ait été connue comme exploitée dans la nature en janvier 2022, elle n'a été incluse dans le bulletin de sécurité Android qu'en juin 2023, soit 17 mois après la publication du correctif et la connaissance publique de son exploitation active. »
Le rapport n'explique pas, cela dit, pourquoi les équipes du système d'exploitation mobile de Google ont mis autant de mois à intégrer les correctifs. Les équipes de sécurité de Google avaient pourtant documenté leur exploitation « dans la nature ». Un appel à commentaires a été lancé :
« Nous continuerons à essayer de déchiffrer cette "zone grise" de bogues, mais nous aimerions recevoir des commentaires sur la façon dont ils devraient être suivis. »
La sécurisation accrue des navigateurs favorise les exploits « 0-clicks »
Le rapport relève par ailleurs que le nombre d'exploits ciblant les navigateurs web a chuté de 42 %, passant de 26 à 15 entre 2021 et 2022. Il estime que cela résulte d'un changement dans le comportement des attaquants, « qui délaissent les navigateurs au profit d'exploits "0-clicks" ciblant d'autres composants sur l'appareil », ainsi que des efforts mis en œuvre par leurs éditeurs afin d'en améliorer la sécurité :
« Pour Chrome, c'est MiraclePtr, v8 Sandbox, et le durcissement de libc ++. Safari a lancé son Lockdown Mode et Firefox un sandboxing plus fin. Lors de sa conférence d'avril 2023 à la Zer0Con, Ki Chan Ahn, chercheur en vulnérabilités et développeur d'exploits chez Dataflow Security, un fournisseur de solutions de sécurité offensives, a expliqué que ces types de mesures d'atténuation rendent l'exploitation des navigateurs plus difficile et incitent à se tourner vers d'autres surfaces d'attaque »
Le rapport souligne à ce titre qu'en 2019 et 2020, un pourcentage important des attaques étaient de type « point d'eau », technique consistant à piéger un site web afin d'infecter les ordinateurs de ses visiteurs. En 2021, de nombreuses attaques reposaient sur des exploits « en 1 clic », nécessitant une interaction de la part de la victime.
Ces deux types d'attaques, souligne le rapport, reposent sur des vulnérabilités utilisant le navigateur web comme vecteur initial. Ce pourquoi, en 2022, « de plus en plus d'attaquants ont commencé à utiliser des exploits "0-click", qui ne nécessitent aucune interaction de la part de l'utilisateur pour se déclencher », et qui ont donc tendance à cibler des composants de l'appareil autres que les navigateurs.
Or, les exploits « 0-click » sont difficiles à détecter, pour plusieurs raisons :
- ils sont de courte durée ;
- on ne dispose souvent d'aucun indicateur visible de leur présence ;
- ils peuvent cibler de nombreux composants et les vendeurs ne sont même pas toujours conscients de tous les composants accessibles à distance ;
- ils sont livrés directement à la cible plutôt que d'être largement disponibles comme dans le cas d'une attaque par « point d'eau » ;
- souvent, ils ne sont pas hébergés sur un site web ou un serveur.
Dans le cas des exploits « en 1 clic », il existe un lien visible sur lequel la cible doit cliquer pour obtenir l'exploit, et qui peut donc être identifié, soit par la cible, soit par des outils de sécurité.
A contrario, les exploits « 0-click » ciblent souvent le code qui traite les appels ou les messages entrants, « ce qui signifie qu'ils peuvent souvent s'exécuter avant qu'un indicateur de message ou d'appel entrant ne soit affiché », souligne le rapport :
« Cela réduit considérablement leur durée de vie et la fenêtre dans laquelle ils peuvent être détectés "en direct". Il est probable que les attaquants continueront à s'orienter vers des exploits 0-click et, en tant que défenseurs, nous devons donc nous concentrer sur la manière dont nous pouvons détecter et protéger les utilisateurs contre ces exploits. »
41 % des exploits « 0-day » identifiés reposent sur des « Déja vu-lnerabilités »
17 des 41 (soit 41 %) exploits « 0-day » identifiés « dans la nature » en 2022 sont des variantes de vulnérabilités pourtant déjà rendues publiques, constatent les chercheurs de Google. Ils renvoient à un rapport, datant de 2020, qu'ils avaient consacré à ces « Déja vu-lnerabilités », qui ne représentaient alors que 25 % des exploits « 0-day » découverts « dans la nature ».
En outre, « plus de 20 % des bugs sont des variantes de "0-day" antérieurs » (7 datant de 2021, et 1 de 2020). Le rapport répertorie les vulnérabilités et variantes ciblant 17 logiciels prisés par les développeurs d'exploits « 0-day », « N-days » ou basés sur des variants. Il renvoie à plusieurs conférences susceptibles d'aider développeurs et chercheurs en sécurité à s'en prémunir, appelant la communauté de la cybersécurité à renforcer leurs pratiques d'évaluation par les pairs (ou peer review) :
« L'une des intentions de notre Bilan de l'année est de rendre nos conclusions et nos résultats "révisables par les pairs". Si nous voulons protéger au mieux les utilisateurs des méfaits des 0-day et rendre l'exploitation des 0-day difficile, nous avons besoin de tous les yeux et de tous les cerveaux qui peuvent s'attaquer à ce problème. »
