Dans un rapport publié ce 19 avril, Google répertorie 58 bugs « zero-day, soit 33 de plus que l’année dernière. Le géant de la tech attribue d’abord cette trouvaille à une meilleure analyse des chercheurs. Mais au fait, que sont exactement ces failles 0-Day ?

Bonne ou mauvaise nouvelle ? Le nombre de failles « zero-day » détectées par Project Zero, l’équipe de chercheurs en cybersécurité de Google, atteint un nombre record en 2021. « Cette année a été marquée par la détection et la divulgation de 58 bugs, soit le nombre le plus élevé jamais enregistré depuis le début du projet Zero », indique Maddie Stone, chercheuse chez Google, dans un article publié ce 19 avril sur le blog du groupe.

Les zero-day sont des failles non repérées qui permettent aux hackers de mener des attaques sophistiquées sur les programmes d’une société. Le projet de Google a pour but de comptabiliser et analyser les bugs de la firme de Mountain View ainsi que ceux d’autres sociétés telles que Apple ou Microsoft. Avec 58 failles détectées, les experts ont découvert 36 erreurs de plus qu’en 2020. Le précédent record date de 2015, à l’époque les experts avaient enregistré 28 brèches sur une année.

La prouesse doit-être attribuée aux hackers ou aux chercheurs ? « Nous pensons que la forte augmentation des failles zero-day en 2021 est due à une détection accrue, plutôt qu’à une croissance de l’exploitation des zero-day », explique Maddie Stone. « Bien que nous constatons une amélioration dans l’industrie dans la détection des failles zero-day, nous admettons également qu’il reste encore beaucoup à faire ». ajoute l’experte en cyber.

L’exploitation des bugs iOS, « une œuvre d’art » selon chercheurs

Sur les 58 zero-day détectées en 2021, 39, soit 67 %, étaient liées à de la corruption de mémoire, comme des dépassements de mémoire tampon, par exemple. Ce problème est récurent et signifie que les développeurs bloquent dans la correction de leur code. Chrome, le navigateur de Google est le navigateur qui réunit le plus failles, avec 14 brèches repérées.

google zero
2021 est déjà une année à part dans la détection des bugs. // Source : Google

L’exploitation des deux bugs iOS, le système d’exploitation d’Apple, a surpris les chercheurs, indique le rapport. Ils qualifient même ces attaques « d’oeuvre d’art ». « Ceci est un exemple de ce à quoi pourrait ressembler une exploitation difficile d’un zero-day : les attaquants doivent développer une nouvelle façon d’exploiter un bug et cette méthode nécessite beaucoup d’expertise et de temps ». C’est cette faille qui a permis au groupe israélien NSO d’installer le logiciel Pegasus afin d’espionner les utilisateurs.

Maddie Stone constante dans son article « qu’il est important de rester implacable dans notre poursuite pour rendre plus difficile l’exploitation par les attaquants des failles zero-day. Nous avons entendu encore et encore et encore comment les gouvernements ciblaient les journalistes, les minorités, les politiciens, les défenseurs des droits de l’homme, et même les chercheurs en sécurité du monde entier

La récente découverte de smartphones infectés par Pegasus pour espionner des indépendantistes catalans ne fait que confirmer l’utilité de la recherche de failles dans les systèmes.