ClickCease 0 jours, n jours, trop de jours

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

0 jours, n jours, trop de jours

par Joao Correia

14 février 2024 - Évangéliste technique

Un éditeur de logiciels, un acteur de la menace et un chasseur de bogues entrent dans un bar. Le chasseur de bogues dit : "Avez-vous entendu parler de ce nouveau bogue que je viens de repérer ?" "Je n'en ai jamais entendu parler", répond l'éditeur de logiciels. L'acteur de la menace affiche un large sourire. Pendant ce temps, les utilisateurs assis à une autre table boivent leur vin, complètement inconscients de ce qui se passe.

D'accord, ce n'est pas une blague drôle. Mais c'est un reflet sombre de la réalité des technologies de l'information.

 

Dernières nouvelles : L'eau est humide

 

Google a constaté que 80 % des exploits de type "zero-day" qu'il a découverts pouvaient être attribués à "vendeurs de logiciels espions "commerciaux. Dans un revirement sans surprise qui entrera certainement dans l'histoire sous le nom de "Rosebud 2". Google a découvert que plus de la moitié de tous les exploits "zero-day" des 10 dernières années affectant les produits et services de Google ont été créés, utilisés ou identifiés par des fournisseurs de logiciels espions commerciaux.

En outre, Google a identifié la véritable raison de ce phénomène - l'incitation financière qui récompense les CSV - et la manière dont ce facteur est à l'origine de la chasse aux nouveaux exploits. Dans le bras de fer permanent entre les éditeurs de logiciels qui mettent fin aux exploits et les acteurs de la menace qui en trouvent de nouveaux, la possibilité de monnayer les nouveaux bogues perpétue cette activité en dépit des nombreuses améliorations apportées à la création, au test et à la validation des logiciels. 

Des noms familiers comme le groupe NSO (responsable du tristement célèbre logiciel espion Pegasus) continuent à gagner des millions - et, en fait, à opérer comme une entreprise légitime - sans se soucier du fait que leur modus operandis consiste à trouver, exploiter et vendre des outils d'accès à distance, de surveillance et d'espionnage.

 

De 0 à n jours

 

Il est également tout à fait remarquable que Google mette en avant l'idée que les "n-jours" sont aussi dangereux que les "0-jours". l'idée que les "n-jours" sont aussi dangereux que les 0-jours en termes de cybersécurité. La différence est qu'un exploit de type "0-day" n'a pas encore été traité par le fournisseur (ou le correctif n'a pas encore été livré), et qu'un "n-day" est un exploit pour lequel un correctif est déjà disponible mais n'a pas encore été déployé sur un système. Des appareils mobiles aux serveurs web, le même concept s'applique sans changement.

En fait, le risque des jours n est probablement plus grand que celui des jours 0. Alors que le 0-day n'est connu que d'un petit groupe d'acteurs de la menace, voire d'un seul, un n-day fait généralement l'objet d'avis et de rapports publiés par de multiples canaux, ce qui le rend beaucoup plus visible pour quiconque le cherche. En fait, des outils comme Metasploit sont souvent mis à jour avec les dernières preuves de concept pour les nouvelles vulnérabilités quelques jours seulement après leur divulgation. À ce stade, les équipes informatiques se retrouvent dans une situation de jeu de piste : il faut corriger les bogues avant que quelqu'un n'en découvre l'existence dans les systèmes qu'elles gèrent.

Ne vous méprenez pas : si votre système est jugé vulnérable et qu'un acteur de la menace le sonde, il importe peu qu'il s'agisse d'un jour 0 ou d'un jour n. Jusqu'à ce qu'un correctif soit apporté, les deux sont également capables de causer des problèmes. Jusqu'à ce qu'elles soient corrigées, les deux sont également capables de causer des problèmes.

Chez TuxCare, nous ne cessons de répéter qu'il faut patcher maintenant. On pourrait dire que nous avons un intérêt à le faire, puisque nous fournissons KernelCare Enterpriseun outil de patching en direct qui permet justement de patcher dès qu'un correctif est disponible, plutôt que dans le futur. Mais cela ne s'arrête pas là.

Le déploiement immédiat d'un correctif est une course contre la montre, où la deuxième place peut coûter des millions à votre organisation (coût d'une violation). De plus, chaque violation réussie encourage les acteurs de la menace à poursuivre leur activité, avec des gains plus élevés en vue.

Mais c'est aussi la solution la plus sûre. Il n'y a pas grand-chose à faire contre les attaques de type "0-day". Il est impossible de connaître les menaces qui n'ont pas été divulguées ou pour lesquelles il n'existe pas de correctif, ou de s'en protéger. Mais chaque jour où vous retardez l'application d'un correctif alors qu'il existe pour vos systèmes est un jour de plus où vous ne devriez pas permettre aux acteurs de la menace de vous cibler.

Nous sommes encore loin d'une solution magique qui résoudrait le problème de la cybersécurité pour tout le monde. Nous n'en aurons probablement jamais. La seule véritable option consiste à atténuer les risques dans la mesure du possible. L'état d'esprit "ça ne m'arrivera pas" est un grand ennemi - les acteurs de la menace ne suivent pas cette idée.

 

Vendeurs de logiciels espions commerciaux

 

La légitimation des logiciels espions en tant qu'industrie crée un champ de bataille faussé en matière de cybersécurité. Lorsque les gouvernements négligent les activités de ces fournisseurs, ils ignorent les risques généraux qui pèsent sur la sécurité numérique et la vie privée. Il est essentiel de reconnaître et de corriger les distorsions introduites par l'industrie commerciale des logiciels espions, qui tire profit de la création et de l'exploitation de vulnérabilités aux dépens de la cybersécurité mondiale.

 

Aller de l'avant

 

Bien qu'il n'y ait pas de panacée pour la myriade de défis liés à la cybersécurité, la voie à suivre consiste à atténuer les risques avec diligence. Il est essentiel d'accepter la réalité de l'existence de vulnérabilités et d'agir rapidement pour y remédier. La communauté de la cybersécurité doit continuer à plaider en faveur d'une divulgation responsable des vulnérabilités, de pratiques de sécurité robustes et de l'application rapide des correctifs. Ce n'est qu'au prix d'un effort collectif que nous pourrons espérer maintenir un semblant de sécurité dans le monde numérique.

La conversation entre l'éditeur de logiciels, l'acteur de la menace et le chasseur de bogues dans le bar métaphorique n'est pas seulement un reflet de l'état actuel de la cybersécurité, mais aussi un appel à l'action. La sensibilisation, la vigilance et les mesures proactives constituent notre meilleure défense contre les menaces en constante évolution que représentent les vulnérabilités connues et inconnues. Chacun a un rôle à jouer dans la protection de la frontière numérique et dans la délégitimation des modèles d'entreprise axés sur l'exploitation, le vol et le piratage d'autrui.

 

Résumé
0 jours, n jours, trop de jours
Nom de l'article
0 jours, n jours, trop de jours
Description
Google a constaté que plus de la moitié des exploits de type "zero-day" des dix dernières années affectaient des produits et des services. Lire notre réflexion
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !