Bien que le total des « zero days » découverts ait diminué en 2022, les attaquants ont plus de temps pour les exploiter, car il n’y a pas de correctifs. Les fabricants d’Android devraient donc déployer les correctifs plus rapidement.
Le Google Threat Analysis Group surveille de près depuis 2014 le nombre de vulnérabilités zero day découvertes sur la Toile. En 2022, ce chiffre s’élevait à 41, soit 40 % de moins qu’en 2021, année record où 69 zero days avaient été enregistrés. Ce sont des signes que le monde de la sécurité est bien parti pour empêcher les attaquants d’exploiter les zero days, même s’il est encore trop tôt pour Google de péter le champagne.
Selon les chercheurs de Google, les correctifs pour les zero days mettent trop de temps à être appliqués. Un reproche aux fabricants d’Android. Sans correctif, les attaquants n’ont même plus besoin de faire des efforts pour exploiter une vulnérabilité de type zero day.
Google veut donc que les utilisateurs reçoivent plus rapidement les correctifs, ce qui est le principal moyen de se débarrasser complètement des zero days. La transparence et la coopération entre les équipes de sécurité et les vendeurs sont également essentielles.
« Zero click »
Le rapport traite également de certaines tendances concernant l’évolution des zero days et de leur exploitation. Google note que les nouveaux zero days sont de plus en plus des variantes de vulnérabilités déjà découvertes. Depuis 2020, les chercheurs ont déjà observé cette tendance, et elle persiste. Les attaquants exploitent également de plus en plus de vulnérabilités multiples pour organiser une attaque.
Google constate aussi que le modèle classique d’attaque par lien malicieux dans le navigateur est en train de disparaître. Les nouvelles vulnérabilités fonctionnent plus souvent selon un système « zero click » qui ne requiert plus qu’un lien soit ouvert. Selon Google, cette évolution est due à la meilleure sécurité que les principaux navigateurs offrent pour bloquer les liens malicieux. L’équipe de sécurité espère que d’autres plate-formes logicielles (à nouveau : Android) suivront ce bon exemple.