Le rapport annuel de l'équipe de chercheurs en failles de cybersécurité de Google souligne que les développeurs de logiciels espion et autres malwares sophistiqués ont de plus en plus de mal à s'attaquer aux navigateurs. Ce pourquoi ils recyclent exploits et vulnérabilités non ou mal corrigées, profitant notamment de la lenteur de l'écosystème Android.
Le quatrième rapport annuel des chercheurs en cybersécurité de Google consacré aux exploits « 0-day » en répertorie 41 en 2022, attribués à 18 organisations, contre 69 en 2021, attribués à 20 organisations. Bien qu'en baisse de 40 %, ces 41 exploits font de 2022 la seconde année la plus prolifique en la matière depuis que Google a commencé à les documenter, en 2014.
Le tableau Spreadsheet où ils compilent ces exploits en répertorie en effet 28 en 2015, 12 en 2018, mais d'ores et déjà 30 pour les sept premiers mois de 2023. 10 de ces 41 exploits découverts en 2022 ciblaient les systèmes Windows (contre 8 en 2021), 7 Android (contre 3), 6 iOS (contre 4), 5 Exchange server (contre 2) et 1 macOS (contre 2).
Il précise par ailleurs que ces failles de sécurité « 0-day » (parce qu'elles n'ont fait l'objet d'aucune publication et ne disposent d'aucun correctif connu au moment de leurs découvertes) ont pour point commun d'être exploitées « dans la nature », et donc d'avoir été détectées lors de cyberattaques réelles ciblant des utilisateurs – qu'il s'agisse d'êtres humains, d'organisations ou de systèmes d'information.
Les chercheurs de Google ont identifié deux facteurs contribuant à ce nombre plus élevé de vulnérabilités exploitées « dans la nature » comparé aux années passées : la transparence des éditeurs de logiciels – qu'ils saluent et qualifient de « nette victoire » – et le « pourcentage élevé » de variantes exploitant ce qu'ils surnomment des « Déjà vu-lnérabilités » d'autre part – qui leur semble autrement problématiques.
Dans le même ordre d'idée, ils estiment que la diminution du nombre de bogues exploitables, ayant entraîné de nombreux attaquants à utiliser les mêmes vulnérabilités, pourrait expliquer ce recul de 40 % des exploits « 0-day » répertoriés l'an passé.
Android : des failles exploitées pendant des mois, malgré les correctifs
Cherchant à identifier les grandes tendances de 2022, le rapport déplore, au premier chef, que les vulnérabilités « N-days » (répertoriées depuis N jours) sont de plus en plus exploitées à la manière des failles « 0-day » sur Android, du fait des délais à rallonge avec lesquels les intégrateurs déploient les correctifs de sécurité, un phénomène que Google avait déjà documenté en novembre 2022, ainsi que par le Laboratoire de sécurité Github en janvier 2023 :
« Dans l'ensemble de l'écosystème Android, il y a eu de nombreux cas où les correctifs n'ont été mis à la disposition des utilisateurs qu'après une longue période d'attente. Les attaquants n'ont pas eu besoin d'exploits 0-day et ont pu utiliser des n-days qui fonctionnaient comme des 0-day. »
Ce temps de latence est d'autant plus dommageable que les correctifs étaient pourtant disponibles en amont, mais pas diffusés en aval par les fabricants et intégrateurs. « Il s'agit d'un cas idéal pour les attaquants », déplore Google, à mesure qu'il leur suffit de développer des exploits reposant sur des vulnérabilités publiques et documentées.
Le rapport évoque par exemple une vulnérabilité notifiée en juillet 2022 par un chercheur du Github Security Lab, et que l'équipe de sécurité d'Android avait labellisée « Won't Fix » en août, au motif qu'il était spécifique aux architectures ARM.
Le correctif de sécurité, fourni par ARM en octobre, ne fut finalement inclus dans le bulletin de sécurité Android qu'en avril 2023, avec six mois de retard, et neuf mois après la découverte de la vulnérabilité. Et ce, alors même que les équipes de sécurité de Google avaient découvert un exploit « dans la nature » en novembre 2022, reposant sur cette vulnérabilité pourtant corrigée.
En décembre 2022, le Threat Analysis Group (TAG) de Google, qui traque et documente ce type d'exploits, a identifié deux autres vulnérabilités de type « N-days » exploitées à la manière des failles « 0-day ». Elles reposaient sur des failles corrigées en janvier et juin 2022 mais, « bien qu'elles aient été marquées comme "exploitées dans la nature", les attaquants ont pu l'utiliser 11 mois plus tard en tant que "0-day" » :
« Bien que cette vulnérabilité ait été connue comme exploitée dans la nature en janvier 2022, elle n'a été incluse dans le bulletin de sécurité Android qu'en juin 2023, soit 17 mois après la publication du correctif et la connaissance publique de son exploitation active. »
Le rapport n'explique pas, cela dit, pourquoi les équipes du système d'exploitation mobile de Google ont mis autant de mois à intégrer les correctifs. Les équipes de sécurité de Google avaient pourtant documenté leur exploitation « dans la nature ». Un appel à commentaires a été lancé :
« Nous continuerons à essayer de déchiffrer cette "zone grise" de bogues, mais nous aimerions recevoir des commentaires sur la façon dont ils devraient être suivis. »
La sécurisation accrue des navigateurs favorise les exploits « 0-clicks »
Le rapport relève par ailleurs que le nombre d'exploits ciblant les navigateurs web a chuté de 42 %, passant de 26 à 15 entre 2021 et 2022. Il estime que cela résulte d'un changement dans le comportement des attaquants, « qui délaissent les navigateurs au profit d'exploits "0-clicks" ciblant d'autres composants sur l'appareil », ainsi que des efforts mis en œuvre par leurs éditeurs afin d'en améliorer la sécurité :
« Pour Chrome, c'est MiraclePtr, v8 Sandbox, et le durcissement de libc ++. Safari a lancé son Lockdown Mode et Firefox un sandboxing plus fin. Lors de sa conférence d'avril 2023 à la Zer0Con, Ki Chan Ahn, chercheur en vulnérabilités et développeur d'exploits chez Dataflow Security, un fournisseur de solutions de sécurité offensives, a expliqué que ces types de mesures d'atténuation rendent l'exploitation des navigateurs plus difficile et incitent à se tourner vers d'autres surfaces d'attaque »
Le rapport souligne à ce titre qu'en 2019 et 2020, un pourcentage important des attaques étaient de type « point d'eau », technique consistant à piéger un site web afin d'infecter les ordinateurs de ses visiteurs. En 2021, de nombreuses attaques reposaient sur des exploits « en 1 clic », nécessitant une interaction de la part de la victime.
Ces deux types d'attaques, souligne le rapport, reposent sur des vulnérabilités utilisant le navigateur web comme vecteur initial. Ce pourquoi, en 2022, « de plus en plus d'attaquants ont commencé à utiliser des exploits "0-click", qui ne nécessitent aucune interaction de la part de l'utilisateur pour se déclencher », et qui ont donc tendance à cibler des composants de l'appareil autres que les navigateurs.
Or, les exploits « 0-click » sont difficiles à détecter, pour plusieurs raisons :
- ils sont de courte durée ;
- on ne dispose souvent d'aucun indicateur visible de leur présence ;
- ils peuvent cibler de nombreux composants et les vendeurs ne sont même pas toujours conscients de tous les composants accessibles à distance ;
- ils sont livrés directement à la cible plutôt que d'être largement disponibles comme dans le cas d'une attaque par « point d'eau » ;
- souvent, ils ne sont pas hébergés sur un site web ou un serveur.
Dans le cas des exploits « en 1 clic », il existe un lien visible sur lequel la cible doit cliquer pour obtenir l'exploit, et qui peut donc être identifié, soit par la cible, soit par des outils de sécurité.
A contrario, les exploits « 0-click » ciblent souvent le code qui traite les appels ou les messages entrants, « ce qui signifie qu'ils peuvent souvent s'exécuter avant qu'un indicateur de message ou d'appel entrant ne soit affiché », souligne le rapport :
« Cela réduit considérablement leur durée de vie et la fenêtre dans laquelle ils peuvent être détectés "en direct". Il est probable que les attaquants continueront à s'orienter vers des exploits 0-click et, en tant que défenseurs, nous devons donc nous concentrer sur la manière dont nous pouvons détecter et protéger les utilisateurs contre ces exploits. »
41 % des exploits « 0-day » identifiés reposent sur des « Déja vu-lnerabilités »
17 des 41 (soit 41 %) exploits « 0-day » identifiés « dans la nature » en 2022 sont des variantes de vulnérabilités pourtant déjà rendues publiques, constatent les chercheurs de Google. Ils renvoient à un rapport, datant de 2020, qu'ils avaient consacré à ces « Déja vu-lnerabilités », qui ne représentaient alors que 25 % des exploits « 0-day » découverts « dans la nature ».
En outre, « plus de 20 % des bugs sont des variantes de "0-day" antérieurs » (7 datant de 2021, et 1 de 2020). Le rapport répertorie les vulnérabilités et variantes ciblant 17 logiciels prisés par les développeurs d'exploits « 0-day », « N-days » ou basés sur des variants. Il renvoie à plusieurs conférences susceptibles d'aider développeurs et chercheurs en sécurité à s'en prémunir, appelant la communauté de la cybersécurité à renforcer leurs pratiques d'évaluation par les pairs (ou peer review) :
« L'une des intentions de notre Bilan de l'année est de rendre nos conclusions et nos résultats "révisables par les pairs". Si nous voulons protéger au mieux les utilisateurs des méfaits des 0-day et rendre l'exploitation des 0-day difficile, nous avons besoin de tous les yeux et de tous les cerveaux qui peuvent s'attaquer à ce problème. »
Commentaires (22)
#1
A-t-on une explication sur le fait que les entreprises communiquent davantage sur les attaques dont elles sont victimes ? Est ce que ce sont les lois qui les obligent à le faire (RGPD par exemple) ou bien est-ce autre chose ?
#1.1
Oui, mais pas uniquement le RGPD : des lois obligeant à faire part (publiquement ou non) des attaques subies se multiplient, et pas seulement en Europe. Avec parfois des petites variantes : en Chine, Alibaba Cloud, dont les chercheurs avaient découvert la faille log4shell, a eu des problèmes pour avoir divulgué la faille publiquement (= à l’éditeur Apache) au lieu d’en informer au préalable les instances gouvernementales chinoises (cf. ZDNet).
#2
C’est quoi une vulnérabilité exploitée « dans la nature » ?
#2.1
Comme indiqué : elles ont été détectées lors de cyberattaques réelles ciblant des utilisateurs (qu’il s’agisse d’êtres humains, d’organisations ou de systèmes d’information), contrairement aux « 0 days » identifiés dans des logiciels sans pour autant avoir été exploités dans des cyberattaques documentées.
Le rapport n’en parle pas, sinon qu’il loue les efforts entrepris en matière de sécurisation et de transparence par de plus en plus d’éditeurs de logiciels.
#2.2
C’est une 0 day découverte coté attaquants, pas du coté chercheurs donc.
Pixel 5 ici, je suis censé recevoir Android 14. On verra bien.
#3
Mes Android commencent à me saouler pour ça.
Mi 9T, bloqué à Android 11. Les maj de sécu, sauf sur les appli Xiaomi, pas vu souvent.
Me rappelle avec mon Samsung S5 SFR pour recevoir les maj de sécu ou l’upgrade l’OS : surcouche fabricant + surcouche opérateur = la vitesse d’un escargot au galop se rendant de Paris à Marseille pour recevoir les maj.
Je me dit que le prochain téléphone, sera un Google Phone, ou un Iphone.
#3.1
Idem avec mon OnePlus 6T de 4,5 ans sous android 11. J’ai mis LineageOS en android 13, et découvert cet OS dans la foulée. Le FOSS c’est chouette mais pas super fluide sur mon tel. En attendant, même si c’est pas le sujet de cet article, j’ai fais un doigt d’honneur a Google en retirant ses services Google Play.
J’attends l’iPhone 15 et s’il est enfin USB-C, ou le 16 peut-être. Mais bon, quitter Google pour Apple, quel poison choisir?
#3.3
Tu as GrapheneOS qui, apparemment, est arrivé à exécuter les services Google Play en bac à sable, donc ça t’ouvre la boutique officiel sans pour autant accepter l’espionnage permanent.
#3.4
Je regarderais si LOS me déplait trop, merci de l’info :)
#3.2
Nexus 5X, Pixel 3a, Pixel 4a 5G, Pixel 6
Sinon effectivement prendre un Android Phone avec support d’un OS Custom.
C’est très dommage pour les concurrents, mais ils font pas beaucoup d’effort. Il est à noter que c’est mieux qu’avant (pas de mise à jour de sécurité du tout) surtout que Google patch Android 11 à 13.
#3.5
L’avantage de Xiaomi c’est que c’est l’un des plus facile à déverrouiller et à mettre à jour manuellement.
L’inconvénient c’est qu’il faut le faire soi-même et donc nécessite un minimum de connaissance.
Mon Mi8 qui à maintenant dans les 5 ans est sur Android 13 avec la dernière mise à jour de sécurité aujourd’hui.
#3.6
Merci pour l’info.
Je vais chercher comment faire :)
#4
Bonjour,
Il existe en foss Jolla https://jolla.com/ ou calyxos https://calyxos.org/ ou encore mobian ou postmarketos, certes tous ne sont pas fonctionnel, perso j’ai un Xperia 10 sous Jolla et cela fonctionne bien pour mes usages.
Et sinon en open Android iode Os https://iode.tech/ ou encore e/os https://e.foundation/fr/ .
#4.1
Justement, je me demandais, est-ce que les applis bancaires et d’authentification fonctionnent sans problème via la couche de compatibilité Android ? Mon Xperia 10 II n’a plus de support de la part de Sony, et j’envisageais de passer sous SailfishOS pour éviter d’avoir un appareil trop vulnérable, mais ces deux points sont rédhibitoires pour basculer.
#5
C’était pas le but de Treeble justement que Google s’occupe des patchs et non les fabriquant qui n’en n’ont rien à faire une fois le téléphone vendu ?
#5.1
Trebble c’est bien, mais pas utilisé comme ça par les constructeurs puisque Google fourni sans surcouche. C’est utilisé notamment pour Android Beta sur les téléphone non Google.
Trebble n’affecte que la couche Android sans le noyau/drivers qui reste donc vulnérable.
Trebble permet surtout de faire des ROM custom GSI rapidement sur des nouveau téléphone sans avoir les sources constructeurs.
#6
Fairphone avec de longues années de mise à jour
#7
C’est vrai mais ça permet déjà de réduire la surface d’attaque.
#8
Mon Motorola est pas mal là dessus. Android 13 avec les MAJ de juin. C’est vrai que c’est la loterie sur le suivi de Android et c’est pire en Entreprise… On deploi du Zebra tout neuf en Android 11… Le pire c’est la gestion centralisé avec des protocoles ftp,ftps et pas de sftp, la tristesse
#9
ce qui m’intrigue c’est les failles 0 clic ?
“…ciblent souvent le code qui traite les appels ou les messages entrants, « ce qui signifie qu’ils peuvent souvent s’exécuter avant qu’un indicateur de message ou d’appel entrant ne soit affiché »
…”
sous quel forme elles ont lieu ?
tu vas sur un site et tu le choppes ?
tu reçois un sms ?
un mail sans l’ouvrir ?
un flux rss ?
un appel téléphonique ?
(sa me fait penser que quand je reçois un appel google me dit que tel appel est un scam potentiel cela veut dire qu’Android a contacter une base de donnée en amont qui peut être vecteur de ces failles 0 clic ?
je pige pas ?
#9.1
L’article parle des composants utilisés dans le processus des appels ou messages entrants. Donc il suffit que le pirate active ce processus (dans lequel une faille existe) pour qu’il injecte du code ou permette l’installation d’un payload ou le téléchargement de données de l’appareil.
L’article explique que ces attaques sont vicieuses car très furtives.
C’est assez frustrant car tu ne peut pas vraiment t’en protéger sauf à mettre à jour l’OS.
#10
Ce que je crains, c’est qu’une attaque d’ampleur soit menée un jour contre les vieux Android non patchés, à la manière de ce qui s’est passé avec les caméras fosscam.
Avec un tel scénario, on aurrait un nombre considérable d’appareils briqués et un gros name and shame par la suite.