Au moins 66 zero-days ont été trouvées en cours d'utilisation cette année, selon des bases de données telles que le projet de suivi des « 0day » de Google, qui documente le phénomène depuis près d'une décennie. C'est presque le double du total de 2020 et plus que toute autre année enregistrée, écrit la MIT Technology Review.
La Chine, à elle seule, est soupçonnée d'être responsable de neuf zero-days cette année, a déclaré Jared Semrau, directeur de la vulnérabilité et de l'exploitation à la société américaine de cybersécurité FireEye Mandiant.
Des cybercriminels ont également utilisé des attaques zero-day pour gagner de l'argent ces dernières années, trouvant des failles dans les logiciels qui leur permettent d'exécuter de précieux programmes de ransomware. Le tiers des attaques leurs sont attribués.
Aucun des experts interrogés par le MIT ne pense que le nombre total d'attaques zero-day a plus que doublé en si peu de temps. Ils estiment plutôt que les défenseurs s'améliorent pour attraper ceux qui les exploitent en flagrant délit. Ils notent également qu'il y a plus d'argent disponible pour la défense, notamment grâce aux primes de bug bounty.
Des groupes comme le Threat Analysis Group (TAG) de Google, l'équipe mondiale de recherche et d'analyse de Kaspersky (GReAT) et le Threat Intelligence Center (MSTIC) de Microsoft « disposent d'une énorme mine de talents, de ressources et de données, à tel point qu'ils rivalisent avec les capacités de services de renseignement à détecter et à suivre les pirates informatiques », souligne le MIT.
Ce faisant, les attaques sont plus coûteuses et nécessitent plus de ressources, et elles deviennent de plus en plus difficiles et coûteuses à réaliser. Les prix publics des failles zero-day achetées par Zerodium, un des leaders du secteur, montrent ainsi jusqu'à 1 150 % d'augmentation au cours des trois dernières années.
