Ce n’est pas une surprise mais cela va mieux en le disant. “Les attaquants se concentrent de plus en plus sur les produits de sécurité et de réseau”, avertit le Google Threat Intelligence dans son dernier bilan annuel sur le sujet des failles jour-zéro.
Les spécialistes dans le renseignement sur les cybermenaces de la célèbre firme ont ainsi identifié un total de 75 vulnérabilités jour-zéro exploitées en 2024. Ce sont notamment des failles par injection de commande ou utilisation de mémoire après libération.
Dont 20 vulnérabilités, sur les 33 visant des logiciels ou appliance, visant spécifiquement les produits de sécurité. Sur ce périmètre précis, Google remarque des failles par injection de code et par injection de commandes.
Cette observation est à mettre en parallèle des alertes répétées de l’Anssi. 50% des opérations de cyberdéfense de l’agence concernait en 2024 du piratage d’équipements de sécurité informatique, avait par exemple souligné le cyber-pompier lors de la présentation de son panorama de la menace.
Failles efficaces et puissantes
Les raisons de cet intérêt sont relativement simples. “L’exploitation de ces produits peut conduire plus efficacement à des compromissions étendues des systèmes et des réseaux”, signalent les chercheurs de Google. Plus précisément, ces failles peuvent échapper aux outils de détection et de réponse de type EDR.
Et elles ne nécessitent “généralement” pas une chaîne d’exploitation, leur conférant un intérêt et une puissance considérable. Résultat: avec sept failles jour-zéro, l’entreprise de cybersécurité Ivanti, dont les déboires ont alimenté la chronique, arrive ainsi l’an passé en troisième position des entreprises les plus visées, notamment par des groupes liés à la Corée du Nord. Au total, dix des vulnérabilités jour-zéro repérées sont liées à ce pays.
Ce positionnement “reflète un changement nouveau et crucial”. “Un fournisseur de sécurité est désormais plus fréquemment ciblé qu’un fournisseur populaire de technologies destinées aux utilisateurs finaux”, souligne Google.
Ses chercheurs parlent même de “chute drastique” pour des cibles autrefois très populaires, comme les navigateurs et les systèmes d’exploitation mobiles. Un mouvement qui devrait se poursuivre. “Nous prévoyons que les cybercriminels continueront de se concentrer davantage sur ces technologies”, signalent-ils.
Lacunes à combler
Des entreprises qui doivent désormais “tenir compte de cette évolution des menaces”, avertit Google. Le géant les enjoint ainsi de “combler les lacunes” dans leurs produits qui pourraient permettre l’exploitation d’une faille.
Globalement, si le nombre de vulnérabilités jour-zéro observées est en décrue par rapport à 2023, ce chiffre est en hausse si l’on compare à l’année précédente. Résultat? Une “tendance moyenne” à une croissance “à un rythme lent mais régulier”.
Reste la limite de ce type de mesure: il s’agit peut-être un problème de détection. Le bilan de Google porte évidemment uniquement sur les vulnérabilités jour-zéro identifiées.