14 av Garric CS60005, 15000 Aurillac
L'équipe de Carry web se tient à votre disposition.
Retrouvez régulièrement des extraits de l'actualité du numérique selon plusieurs catégories de contenus.
Accueil > Actualités
"Le multimédia à portée de tous"
14 av Garric CS60005, 15000 Aurillac
04/07/2022
Les éditeurs de logiciels doivent mieux analyser les causes profondes des bugs de sécurité qu'ils corrigent.
La moitié des 18 failles de type "zero day" qui ont été exploitées cette année auraient pu être évitées, si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.
C'est le verdict des chercheurs de l'équipe Google Project Zero, qui a recensé jusqu'à présent 18 failles "zero day" en 2022. Ces dernières affectent Windows (Microsoft), iOS et WebKit (Apple), Chromium et Pixel (Google), et le serveur Confluence (Atlassian).
Google Project Zero ne recueille des données que sur les failles de type "zero day" – des bugs exploités par des attaquants avant qu'un correctif ne soit disponible – dans les principaux logiciels, de sorte que le nombre annoncé n'englobe pas toutes les failles 0day découvertes dans les logiciels.
En outre, selon l'équipe de Google, il n'y a eu que quatre failles zero day vraiment uniques cette année, car les attaquants se contentent de modifier leurs exploits pour contourner les correctifs partiels.
« Au moins la moitié des failles zero day que nous avons observées au cours des six premiers mois de 2022 auraient pu être évitées grâce à des correctifs et des tests de régression plus complets. En outre, quatre des failles zero day de 2022 sont des variantes de failles zero day de 2021. 12 mois à peine après la correction de la première 0day, les attaquants sont revenus avec une variante du bug original », écrit Maddie Stone, membre du groupe Project Zero, dans un billet de blog.
Elle ajoute qu'au moins la moitié des failles zero day « sont étroitement liés à des bugs que nous avons déjà vus ».
Ce manque d'originalité va dans le sens d'une tendance que Maddie Stone et d'autres chercheurs de Google ont récemment mise en évidence.
Plus de failles zero day ont été trouvées en 2021 qu'au cours des cinq dernières années où Google Project Zero les a comptabilisés.
Plusieurs facteurs sont potentiellement en jeu. Tout d'abord, les chercheurs pourraient être plus à même de détecter leur exploitation par des attaquants qu'auparavant. D'autre part, le code source des navigateurs est devenu aussi complexe que les systèmes d'exploitation. De plus, les navigateurs sont devenus une cible directe, suite à la disparition de plug-in de navigateur comme Flash Player.
Mais si la détection, la divulgation et l'application de correctifs s'améliorent dans l'ensemble de l'industrie, « nous ne rendons pas les 0day difficiles (à créer) », souligne Maddie Stone. Elle souhaite que l'industrie élimine des classes entières de failles de sécurité.
Par exemple, 67 % des 58 failles zero day étaient des vulnérabilités de corruption de mémoire.
L'équipe chargée de la sécurité de Chrome travaille à des solutions pour les failles de mémoire découlant de l'énorme base de code du navigateur écrit en C++, mais les mesures d'atténuation ont un coût en termes de performances. Chrome ne peut pratiquement pas être réécrit en Rust, qui offre de meilleures garanties de sécurité mémoire que le C et le C++.
Maddie Stone souligne également que l'équipe Windows de Microsoft et l'équipe Chrome de Google ont fourni des correctifs partiels.
« Bon nombre des failles zero day de 2022 sont dues au fait que la vulnérabilité précédente n'a pas été entièrement corrigée. Dans le cas des bugs Windows win32k et Chromium property access interceptor, le flux d'exécution que les exploits visaient ont été corrigés, mais la cause première n'a pas été traitée : les attaquants ont pu revenir et déclencher la vulnérabilité originale par un chemin différent », raconte-t-elle.
« Dans le cas de WebKit et de Windows PetitPotam, la vulnérabilité originale avait déjà été corrigée, mais à un moment donné, elle a régressé de sorte que les attaquants ont pu exploiter à nouveau la même vulnérabilité. »
Voici la liste des failles zero day exploitées en 2022 que Google Project Zero a suivies jusqu'au 15 juin :