Au cours de l’année 2023, le domaine de la cybersécurité a été marqué par des événements significatifs, notamment une augmentation notable des vulnérabilités Zero-Day exploitée. Selon le rapport intitulé « Nous sommes tous dans le même bateau : un bilan annuel des vulnérabilités Zero-Day exploitées dans le monde réel en 2023 », cette tendance croissante met en évidence les défis persistants auxquels sont confrontés les plateformes technologiques et les utilisateurs. Google et Mandiant ont observé 97 vulnérabilités Zero-day exploitées en 2023, soit 50 % de plus qu’en 2022
(62 vulnérabilités), mais moins que le record de 106 vulnérabilités exploitées en 2021.
Les chercheurs ont divisé les vulnérabilités examinées en deux catégories : les plateformes et les produits destinés aux utilisateurs finaux (par exemple, les appareils mobiles, les systèmes d’exploitation, les navigateurs et d’autres applications) et les technologies destinées aux entreprises, telles que les logiciels et les dispositifs de sécurité. Parmi leurs conclusions, les Fournisseurs de Surveillance Commerciale (FSC) se sont distingués en tant qu’acteurs majeurs de l’exploitation de ces vulnérabilités, notamment dans les navigateurs et les appareils mobiles. Leur capacité à développer des technologies avancées pour exploiter les failles de sécurité des dispositifs des consommateurs soulève des préoccupations justifiées quant à la prolifération des outils de piratage.
Les technologies d’espionnage et de surveillance en ligne de mire
Pour rappel, les FSC sont des entreprises spécialisées dans le développement et la vente de technologies d’espionnage et de surveillance. La plus célèbre d’entre elles est NSO Group, l’entreprise israélienne qui a développé le fameux Pegasus. Ces technologies sont souvent utilisées pour exploiter des vulnérabilités dans les systèmes informatiques, les navigateurs web et les appareils mobiles. L’objectif principal de ces fournisseurs est de permettre à leurs clients, qui peuvent être des gouvernements, des agences de renseignement ou des acteurs privés, de surveiller, d’espionner, ou de collecter des données sans le consentement ou la connaissance des individus ciblés.Les fournisseurs de surveillance commerciale (FSC) mènent l’exploitation des navigateurs et des appareils mobiles. Les FSC étaient derrière 75 % des exploits Zero-Day connus ciblant les produits Google ainsi que les appareils de l’écosystème Android en 2023 (13 sur 17 vulnérabilités). Sur les 37 vulnérabilités Zero-Day dans les navigateurs et appareils mobiles exploitées en 2023, le rapport en a attribué plus de 60 % aux FSC qui vendent des capacités de logiciels espions aux clients gouvernementaux.
Outre les FSC, les états représentent la dimension géopolitique de l’exploitation des vulnérabilités. Ces activités étatiques accentuent la complexité de la menace, témoignant de l’utilisation croissante des capacités cybernétiques à des fins d’espionnage et de conflit.L’année a également vu une augmentation des attaques ciblant spécifiquement les technologies d’entreprise. La hausse du nombre de vulnérabilités affectant les logiciels de sécurité et les appareils spécialisés souligne l’importance critique des mesures de détection et de réponse.
Le ciblage des entreprises croît et devient plus varié
Les attaquants se concentrent sur les composants et les bibliothèques qui ont constitué une surface d’attaque de choix en 2023, puisque l’exploitation de ce type de vulnérabilité peut s’étendre pour affecter plus d’un produit. Les systèmes d’exploitation et les navigateurs figurent parmi ces cibles, avec la palme de l’augmentation des ciblage pour Safari et Android, respectivement 8 et 6 points d’augmentation entre 2022 et 2023. Chrome, MacOS, Firefox connaissent une baisse de respectivement 1 et 2 points.Parmi les autres constats, le rapport indique que le ciblage des entreprises continue d’augmenter et devient plus varié. Les chercheurs ont observé une augmentation de l’exploitation des technologies spécifiques aux entreprises en 2023, avec une augmentation de 64 % du nombre total de vulnérabilités par rapport à l’année précédente et une augmentation générale du nombre de fournisseurs d’entreprise ciblés depuis en 2019. Cette augmentation a été principalement alimentée par l’exploitation de logiciels de sécurité et des appareils, notamment Barracuda Email Security Gateway, Cisco Adaptive Security Appliance, Ivanti Endpoint Manager Mobile and Sentry, et Trend Micro Apex One.
Effet induit de la sensibilisation accrue de l’industrie et des entreprises, le rapport constate que l’exploitation associée aux acteurs motivés financièrement a diminué en 2023. Ceux-ci ont été responsables de 10 vulnérabilités Zero-Day exploitées en 2023, une proportion plus faible du total que ce que les chercheurs ont observé en 2022. Le groupe de menaces FIN11 a exploité trois vulnérabilités Zero-Day distinctes et au moins quatre groupes de rançongiciels ont exploité séparément quatre autres Zero-Days.
Ce panorama de la cybersécurité en 2023 invite à une réflexion approfondie, aussi bien des entreprises que de leurs fournisseurs, sur les mesures à adopter pour contrer efficacement ces menaces qui évoluent constamment, tout en renforçant la résilience des infrastructures numériques contre les acteurs malveillants.