La société de logiciels de sécurité Rapid 7 affirme que 53 % des vulnérabilités récentes ont été exploitées jusqu’au début de 2024 sans que les équipes de sécurité ne soient en mesure de les corriger. Ce problème persiste lorsque l’on revient à la situation de 2021. Près de la moitié des incidents de 2023 résultaient de l’absence ou de la non-mise en œuvre de l’authentification multifacteur (MFA).
La surveillance des CVE (Common Vulnerabilities and Exposures), à savoir la liste publique des vulnérabilités de sécurité, doit s’accompagner de la mise en œuvre rapide de correctifs appropriés afin d’empêcher leur utilisation par des attaquants. Cela est évident mais s’explique notamment par le fait que les équipes de sécurité doivent gérer une multitude de logiciels et de services.
L’éditeur Rapid 7 a publié un rapport informatif à ce sujet. Ainsi, le « délai d’exploitation connue » s’est considérablement réduit au cours des trois dernières années, en grande partie à cause de ce type de problème. Plus précisément, 53 % des nouvelles vulnérabilités ont été exploitées jusqu’au début de 2024 avant que les éditeurs de logiciels n’implémentent de correctifs.
Un autre point important est que près d’un quart (23 %) des attaques zero-day (sans solution connue) sont planifiées par un seul attaquant capable de compromettre des dizaines, voire des centaines d’organisations en une seule fois.
Le graphique ci-dessous montre le délai rapide d’exploitation d’une vulnérabilité de sécurité Zero Day. Sur un total de 188 compromis, 83 ont été conclus dès le premier jour. Un indicateur explicite de la dangerosité de ce type de vulnérabilité.
En 2023, davantage de compromissions résultent de vulnérabilités de type zéro jour plutôt que de vulnérabilités de n jours.
Pour la deuxième fois en trois ans, les compromissions zero-day ont dépassé en 2023 les vulnérabilités de n jours, c’est-à-dire les failles qui n’ont toujours pas été corrigées, parfois depuis plus d’un mois, comme le montre le graphique ci-dessus.
Les compromissions massives résultant de l’exploitation d’appareils de pointe en dehors du réseau d’entreprise ont presque doublé depuis début 2023. De leur côté,
36 % des vulnérabilités exploitées à grande échelle se produisent dans les réseaux organisationnels. Plus de 60 % des vulnérabilités analysées par Rapid7, présentes dans les équipements réseaux en 2023, ont été exploitées sous forme de menaces zero-day.
Les corruptions de mémoire telles que le débordement de pile et d’autres menaces de ce type sont encore largement exploitées. Mais la plupart des CVE sont des vulnérabilités plus simples et plus faciles à compromettre, telles que les incidents d’injection de commandes et d’authentification. A ce propos, notons que 41% des incidents observés par Rapid7 en 2023 résultaient de l’absence ou de la non-application de l’authentification multifacteur (MFA) sur les VPN et les bureaux virtuels notamment.
Sur le terrain, et pour ne citer que ces deux exemples, la faille de contournement de l’authentification Ivanti Connect a été exploitée par un attaquant national et par la Chine. D’un autre côté, l’outil de transfert de fichiers GoAnywhere de Fortra a été compromis.
Les solutions de détection et de réponse des points de terminaison (EDR) et un outil d’authentification (MFA) sont des éléments clés d’une stratégie de défense en profondeur. Mais la lutte contre les cybermenaces doit bien sûr combiner les compétences en cybersécurité, trop rares, et la technologie.
