Selon une récente analyse de Google, les attaques par des États et des entreprises de surveillance exploitent les mêmes vulnérabilités persistantes pour cibler des systèmes non corrigés.
Les attaques menées par des acteurs sponsorisés par des États et des entreprises de surveillance commerciale révèlent une tendance : l’utilisation des mêmes vulnérabilités pour cibler des systèmes non corrigés. Google TAG souligne que des groupes comme APT29 et des entreprises comme NSO exploitent des failles similaires, notamment dans iOS et Chrome, malgré la disponibilité de correctifs.
Pour information, le Google TAG est une unité interne de Google spécialisée dans l’analyse des menaces cybernétiques à grande échelle, notamment les attaques étatiques et les campagnes de surveillance. Leur mission est d’identifier, de suivre et de bloquer les attaques malveillantes visant les utilisateurs de Google et au-delà. L’équipe TAG se concentre sur les campagnes sophistiquées, en particulier celles qui exploitent des vulnérabilités 0-day, et partage ses découvertes avec l’industrie pour améliorer la résilience globale face aux menaces.
Convergence entre attaques étatiques et commerciales
Les vulnérabilités exploitées par ces deux types d’acteurs sont souvent issues de chaînes d’exploits 0-day. Une fois que ces failles sont découvertes et documentées, elles sont rapidement intégrées dans des outils commerciaux de surveillance ou dans des campagnes d’espionnage d’État. L’exemple des vulnérabilités iOS montre que, même après la correction par les éditeurs, les systèmes non patchés restent une cible de choix pour ces groupes malveillants.
Des entreprises comme Intellexa et NSO ont été épinglées pour avoir utilisé ces exploits dans des solutions de surveillance vendues à divers États. Ces outils sont souvent conçus pour contourner les protections des systèmes d’exploitation mobiles et accéder aux données sensibles des cibles. Parallèlement, les États s’appuient sur les mêmes méthodes pour espionner ou perturber des entités adverses.
Des vulnérabilités récurrentes
La répétition des vulnérabilités exploitées, même après leur découverte initiale, montre à quel point les correctifs de sécurité sont cruciaux. Les acteurs malveillants comptent sur la lenteur de certains utilisateurs à appliquer les mises à jour, ce qui leur permet de continuer à exploiter des systèmes non corrigés. Cette tendance met également en lumière la collaboration croissante entre les groupes cybercriminels étatiques et commerciaux, rendant floue la distinction entre surveillance gouvernementale et commerciale.
Dans cette optique, les vulnérabilités 0-day jouent un rôle central dans les campagnes des cyberattaquants, qu’ils soient sponsorisés par des États ou des entreprises commerciales de surveillance. Pour rappel, une vulnérabilité 0-day fait référence à une faille qui n’est pas encore connue du grand public ou de l’éditeur du logiciel, ce qui la rend particulièrement dangereuse, car il n’existe pas de correctif au moment où elle est exploitée.
Les 0-day sont particulièrement recherchées par les APT (Advanced Persistent Threats) car elles offrent une voie d’accès discrète aux systèmes ciblés. Ces groupes mentionnés par le TAG investissent massivement dans la recherche de nouvelles failles, les gardant secrètes jusqu’à ce qu’elles soient utilisées dans des opérations d’espionnage. Les 0-day, souvent découverts dans des logiciels populaires tels que les systèmes d’exploitation mobiles ou les navigateurs web, permettent aux attaquants de contourner les mesures de sécurité sans éveiller de soupçons. Une fois exploitées, ces vulnérabilités peuvent permettre aux attaquants de voler des données sensibles, d’espionner des communications ou de perturber des opérations critiques.
La vente de vulnérabilités 0-day est également un marché lucratif pour certaines entreprises, qui vendent leurs découvertes à des États-nations ou à des sociétés privées spécialisées dans la surveillance.
Implications pour la cybersécurité
Cette convergence représente un défi majeur pour la sécurité des informations. Les outils commerciaux de surveillance, souvent vendus sous couvert de légalité à certains États, partagent des caractéristiques et des méthodes similaires avec les cyberattaques étatiques. Cela amplifie les risques pour les utilisateurs, qu’ils soient des gouvernements, des entreprises ou des particuliers.
Pour se protéger efficacement, il est crucial de mettre à jour régulièrement les systèmes, en particulier après la publication de correctifs pour des vulnérabilités critiques. Les entreprises doivent également renforcer leur vigilance en surveillant les tendances des cyberattaques pour identifier les vulnérabilités exploitées et anticiper les attaques futures.
Pour en savoir plus
State-backed attackers and commercial surveillance vendors repeatedly use the same exploits
We’re sharing an update on suspected state-backed attacker APT29 and the use of exploits identical to those used by Intellexa and NSO.