{"id":100633,"date":"2022-04-20T12:28:18","date_gmt":"2022-04-20T14:28:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/google-project-zero-detecte-un-nombre-record-dexploits-zero-day-en-2021\/"},"modified":"2022-04-20T12:28:23","modified_gmt":"2022-04-20T14:28:23","slug":"google-project-zero-detecte-un-nombre-record-dexploits-zero-day-en-2021","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/google-project-zero-detecte-un-nombre-record-dexploits-zero-day-en-2021\/","title":{"rendered":"Google Project Zero d\u00e9tecte un nombre record d’exploits Zero Day en 2021"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Google Project Zero a qualifi\u00e9 2021 d'”ann\u00e9e record pour les 0 jours dans la nature”, comme 58 failles de s\u00e9curit\u00e9<\/a> ont \u00e9t\u00e9 d\u00e9tect\u00e9s et divulgu\u00e9s au cours de l’ann\u00e9e.<\/p>\n

Le d\u00e9veloppement marque plus du double du pr\u00e9c\u00e9dent maximum lorsque 28 exploits de 0 jour ont \u00e9t\u00e9 suivis en 2015. En revanche, seuls 25 exploits de 0 jour ont \u00e9t\u00e9 d\u00e9tect\u00e9s en 2020.<\/p>\n

“La forte augmentation des 0-days dans la nature en 2021 est due \u00e0 une d\u00e9tection et \u00e0 une divulgation accrues de ces 0-days, plut\u00f4t qu’\u00e0 une simple utilisation accrue des exploits 0-day”, a d\u00e9clar\u00e9 un chercheur en s\u00e9curit\u00e9 de Google Project Zero. Pierre Maddie<\/a> mentionn\u00e9<\/a>.<\/p>\n

\"La<\/a><\/div>\n

“Les attaquants r\u00e9ussissent en utilisant les m\u00eames sch\u00e9mas de bugs et techniques d’exploitation et en s’attaquant aux m\u00eames surfaces d’attaque”, a ajout\u00e9 Stone.<\/p>\n

L’\u00e9quipe de s\u00e9curit\u00e9 interne du g\u00e9ant de la technologie a caract\u00e9ris\u00e9 les exploits comme similaires aux vuln\u00e9rabilit\u00e9s pr\u00e9c\u00e9dentes et connues publiquement, avec seulement deux d’entre eux nettement diff\u00e9rents pour la sophistication technique et l’utilisation de bogues logiques pour \u00e9chapper au bac \u00e0 sable.<\/p>\n

\"\"<\/div>\n

Les deux se rapportent \u00e0 l’ENTR\u00c9E FORC\u00c9E, un exploit iMessage sans clic<\/a> attribu\u00e9e \u00e0 la soci\u00e9t\u00e9 isra\u00e9lienne de logiciels de surveillance NSO Group. “L’exploit \u00e9tait une \u0153uvre d’art impressionnante”, a d\u00e9clar\u00e9 Stone.<\/p>\n

L’\u00e9vasion du bac \u00e0 sable est “remarquable pour n’utiliser que des bogues logiques”, les chercheurs de Google Project Zero Ian Beer et Samuel Gro\u00df expliqu\u00e9<\/a> le mois dernier. “Le point le plus frappant est la profondeur de la surface d’attaque accessible \u00e0 partir de ce qui, esp\u00e9rons-le, serait un bac \u00e0 sable assez restreint.”<\/p>\n

\"\"<\/div>\n

Une r\u00e9partition de ces exploits par plate-forme montre que la plupart des 0-days dans la nature provenaient de Chromium (14), suivi de Windows (10), Android (7), WebKit\/Safari (7), Microsoft Exchange Server (5), iOS\/macOS (5) et Internet Explorer (4).<\/p>\n

\"La<\/a><\/div>\n

Sur les 58 jours 0 dans la nature observ\u00e9s en 2021, 39 \u00e9taient des vuln\u00e9rabilit\u00e9s de corruption de m\u00e9moire, les bogues r\u00e9sultant de l’utilisation apr\u00e8s lib\u00e9ration (17), de la lecture et de l’\u00e9criture hors limites (6), D\u00e9fauts de d\u00e9bordement de tampon (4) et de d\u00e9bordement d’entier (4).<\/p>\n

Il convient \u00e9galement de noter que 13 des 14 jours 0 de Chromium \u00e9taient des vuln\u00e9rabilit\u00e9s de corruption de m\u00e9moire, dont la plupart, \u00e0 leur tour, \u00e9taient des vuln\u00e9rabilit\u00e9s d’utilisation apr\u00e8s lib\u00e9ration.<\/p>\n

De plus, Google Project Zero a soulign\u00e9 le manque d’exemples publics mettant en \u00e9vidence l’exploitation \u00e0 l’\u00e9tat sauvage de failles 0-day dans des services de messagerie tels que WhatsApp, Signal et Telegram, ainsi que d’autres composants, notamment les c\u0153urs de processeur, les puces Wi-Fi, et le nuage.<\/p>\n

“Cela conduit \u00e0 la question de savoir si ces 0-days sont absents en raison d’un manque de d\u00e9tection, d’un manque de divulgation ou des deux?”, A d\u00e9clar\u00e9 Stone, ajoutant: “En tant qu’industrie, nous ne rendons pas 0-day difficile.”<\/p>\n

“0-day sera plus difficile lorsque, dans l’ensemble, les attaquants ne sont pas en mesure d’utiliser des m\u00e9thodes et des techniques publiques pour d\u00e9velopper leurs exploits 0-day”, les obligeant “\u00e0 repartir de z\u00e9ro chaque fois que nous d\u00e9tectons l’un de leurs exploits”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Google Project Zero a qualifi\u00e9 2021 d’”ann\u00e9e record pour les 0 jours dans la nature”, comme 58 failles de s\u00e9curit\u00e9 ont \u00e9t\u00e9 d\u00e9tect\u00e9s et divulgu\u00e9s au cours de l’ann\u00e9e. Le d\u00e9veloppement marque plus du double du pr\u00e9c\u00e9dent maximum lorsque 28 exploits de 0 jour ont \u00e9t\u00e9 suivis en 2015. En revanche, seuls 25 exploits de […]<\/p>\n","protected":false},"author":1,"featured_media":100634,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,11648,47855,52872,7755,4157,4159,4171,4170,4167,4160,2578,4163,4162,8906,4282,4172,4169,4166,4164],"class_list":["post-100633","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-day","tag-detecte","tag-dexploits","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nombre","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-project","tag-record","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/100633","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=100633"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/100633\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/100634"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=100633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=100633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=100633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}