Le Google Project Zero vient de publier un rapport faisant état d'une analyse des failles zero-day (des vulnérabilités informatiques n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu) détectées et réellement exploitées au cours de l’année 2021. L'industrie de la cybersécurité a progressé. 60 failles zero-day ont été détectées en 2021 contre 23 en 2020.

L'industrie de la cybersécurité a amélioré sa capacité de détection

Depuis 2014, date à laquelle les chercheurs de Google ont commencé à chercher des vulnérabilités informatiques, le nombre de failles zero-day découvertes chaque année n'avait jamais dépassé la trentaine. Cette année 2021 est exceptionnelle pour plusieurs raisons. Il faut tout d'abord souligner le fait que le nombre de cyberattaques a augmenté. Ce phénomène a donc directement entraîné une évolution des méthodes de piratage. Selon les chercheurs, ce bond spectaculaire de découvertes s'explique surtout par le fait que l’industrie de la cybersécurité a globalement amélioré sa capacité de détection des failles.

L'évolution des découvertes des failles zero-day. Image : Google Project Zero.

De manière individuelle ou collective, il y a de plus en plus d'experts qui se penchent sur ce phénomène. Des géants comme Google et Microsoft font également beaucoup plus d’efforts pour anticiper et stopper les tentatives d’exploitation de leurs propres produits. C’est une bonne chose, car ce sont eux qui ont le plus de données et de connaissances sur le sujet. Justement, les deux géants américains ont détecté 17 failles zero-day dans leurs produits en 2021 (7 pour Google et 10 pour Microsoft), contre seulement 5 en 2020.

De nombreuses failles zero-day chez les géants du web

Les experts du Google Project Zero constatent que les failles zero-day détectées en 2021 ne sont pas foncièrement différentes de celles des années précédentes. Les hackers continuent globalement d’utiliser les mêmes méthodes. Un constat qui laisse penser que les entreprises technologiques n’arrivent pas à se débarrasser de ces défauts de code. Tant que cette situation durera et que le niveau de cybersécurité des entreprises sera faible, il sera difficile de réduire le piratage. Les chercheurs du Google Project Zero se sont fixés un objectif à atteindre pour les prochaines années : rendre le piratage plus difficile et plus coûteux pour les cybercriminels. Il y a encore du travail.

Chez Apple, 7 failles zero-day ont été découvertes au cours de l'année qui vient de s'écouler, contre 1 seule en 2020. Par ailleurs, un autre rapport d'Atlas VPN montrait récemment que les failles exploitées dans l'écosystème Apple ont augmenté de 467% au cours de l'année 2021. Parmi les vulnérabilités les plus dangereuses pour les appareils Apple figure CVE-2021-30858, avec un score de gravité de 8,8. Cette vulnérabilité a touché les iPhone et iPad avec la version 14.8 d'iOS, ainsi que les terminaux Mac avec macOS Big Sur 11.6.