De plus en plus de failles zero-day sont exploitées sur Google Chrome
par Wahid MATA
sur mars 17, 2022




De plus en plus de failles zero-day sont exploitées sur Google Chrome



 Mais pour les ingénieurs du navigateur de Google, ce n’est pas une si mauvaise nouvelle. Voici pourquoi.




L’année 2021 a été une année record pour le nombre de failles de type « zero-day » dans Chrome que les attaquants ont exploité avant que Google n’en ait connaissance. Google est-il en train de perdre la course contre les cyberattaquants ?

Selon le tracker de zero-day du Google Project Zero, 25 failles de navigateurs ont été corrigées l’année dernière, dont 14 pour Chrome, 6 pour le moteur WebKit de Safari et 4 pour Internet Explorer.


En 2020, il n’y avait eu que 14 failles zero-day dans les navigateurs, dont plus de la moitié sur Chrome. Mais entre 2015 et 2018, aucune faille zero-day de Chrome n’avait été activement exploitée, selon les données du tracker.


Moins de failles détectées ne suffit pas forcément moins de failles

Adrian Taylor, responsable du programme technique au sein de l’équipe de sécurité de Chrome, explique dans un billet de blog que l’augmentation des zero-day dans les navigateurs « peut sembler inquiétante au premier abord » et « pourrait indiquer une tendance ». Mais il soutient aussi que c’est peut-être une bonne chose, car cela signifie que davantage de failles de sécurité sont détectées et corrigées.


En d’autres termes, l’interprétation des tendances dans les données sur les zero-day est complexe, car elle ne comprend que les failles qui sont connues et, espérons-le, corrigées. Il y en a probablement d’autres non découvertes qui sont utilisées par des cyberattaquants.

« Nous ne pensons pas qu’il n’y ait eu aucune exploitation des navigateurs basés sur Chromium entre 2015 et 2018 », explique-t-il. « Nous reconnaissons que nous n’avons pas une vue complète de l’exploitation active, et ce n’est pas parce que nous n’avons pas détecté de zero-day pendant ces années que leur exploitation n’a pas eu lieu. Les données disponibles souffrent d’un biais d’échantillonnage. »


Quatre facteurs d’explication

Cette conclusion est similaire à celle que le Threat Analysis Group (TAG) de Google a formulée l’année dernière : « il n’existe pas de relation univoque entre le nombre de failles zero-day utilisées par les attaquants et le nombre de zero-day détectées et divulguées ».


Pourtant, on a découvert beaucoup de failles zero-day activement exploitées en 2021. Adrian Taylor propose quatre raisons pour expliquer cette situation.


Premièrement, les fabricants de navigateurs sont aujourd’hui plus transparents que par le passé sur les bugs exploités par les attaquants. Google Project Zero – qui donne aux fournisseurs 90 jours pour corriger un bug avant de le divulguer publiquement – a contribué à normaliser ce comportement de la part des principaux fournisseurs de logiciels.


Un autre facteur est la disparition du plug-in de navigateur Adobe Flash Player, qui était la principale cible des attaquants en 2015 et 2016.Les fabricants de navigateurs et Adobe ont abandonné le support de ce plug-in le 31 décembre 2020. « Comme Flash n’est plus disponible, les attaquants ont dû se tourner vers une cible plus difficile : le navigateur lui-même », écrit Adrian Taylor.


A cela s’ajoute la popularité du moteur open source Chromium, utilisé par Brave, Opera, Vivaldi, etc. Si Edge est loin d’être aussi populaire que Chrome, il est livré avec Windows 10 et Windows 11. « Les attaquants s’attaquent à la cible la plus populaire. Début 2020, Edge est passé à l’utilisation du moteur de rendu Chromium. Si les attaquants parviennent à trouver un bug dans Chromium, ils peuvent désormais s’attaquer à un plus grand pourcentage d’utilisateurs », explique Adrian Taylor.


Une autre cause de l’augmentation apparente des zero-day dans les navigateurs est qu’en raison des efforts déployés pour renforcer le navigateur, comme l’isolation des sites de Chrome, les attaquants doivent enchaîner plusieurs bugs pour exploiter réellement un navigateur. Les attaquants ont donc besoin de plus de munitions pour obtenir le même effet. « Pour un niveau de réussite identique de la part des attaquants, nous verrions plus de bugs activement exploités signalés au fil du temps, car nous ajoutons plus de couches de défense que l’attaquant doit contourner », note-t-il.


Enfin, les navigateurs sont vastes et désormais presque aussi complexes qu’un système d’exploitation. « Plus de complexité signifie plus de bugs », commente-t-il.


Mettre à jour plus rapidement


Il cite également les recherches récemment publiées par Google Project Zero sur la rapidité avec laquelle les éditeurs de logiciels corrigent les failles. Chrome corrige et publie plus rapidement les correctifs que WebKit et Firefox.


Google exhorte tous les fournisseurs à mettre en œuvre une cadence de mises à jour plus fréquente pour les problèmes de sécurité. Chrome, par exemple, a réduit son cycle de publication des versions stables de six à quatre semaines. Microsoft met en œuvre le même cycle pour Edge à partir de la sortie de la version 94 en septembre.


0day-blog-image-1.png





Pour plus d’information :https://www.zdnet.fr/actualites/google-de-plus-en-plus-de-failles-zero-day-du-navigateur-chrome-sont-exploitees-39938847.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram


Catégories :

Malware

Company

Consulting

Formation

Support

Blog

Solutions

Antivirus

Chiffrement

Data lost prevention

Traçabilité

Firewall/IPS

Anti ATP

Backup

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust

UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité