Les correctifs de sécurité sont souvent repérés et corrigés avec les mises à jour logicielles avant qu’ils ne causent un problème. Cependant, certaines failles de sécurité sont activement exploitées par des acteurs malveillants avant d’être détectées, et on les appelle vulnérabilités zero-day. Bon nombre des plus grandes entreprises technologiques ont souffert du Zero Day l’année dernière. Aujourd’hui, un rapport du groupe d’analyse des menaces de Google montre que plus de 60 vulnérabilités zéro jour affectant ces cinq sociétés proviennent de fournisseurs de logiciels espions commerciaux. Ces sociétés de logiciels espions paient souvent les pirates pour leurs exploits, puis les revendent à d’autres pour des sommes plus importantes.
Il existe de nombreuses sociétés commerciales de logiciels espions. Cependant, le TAG de Google en suit une quarantaine. Bien que la société n’ait pas nommé tous ces vendeurs de logiciels espions, elle a nommé les 11 fournisseurs suivants : Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston et Wintego Systems.
Pour comprendre à quel point les sociétés de logiciels espions commerciaux provoquent des vulnérabilités Zero Day, examinez ces chiffres. Google affirme que 25 jours zéro ont été activement explorés en 2023. Sur ce nombre, 20 d’entre eux (soit 80 %) provenaient de vendeurs de logiciels espions. Datant de 2016, le TAG de Google indique que plus de 60 jours zéro affectant Apple, Adobe, Google, Microsoft et Mozilla ont été causés par des fournisseurs de logiciels espions.
De plus, il est important de se rappeler que ces chiffres ne représentent que les attaques dont nous avons connaissance. Cela n’inclut pas ceux dont nous ne sommes pas encore au courant, ni ceux que ces fournisseurs auraient pu exploiter s’ils n’avaient pas été corrigés au préalable. En termes simples, un petit nombre de sociétés de logiciels espions sont responsables de la plupart des problèmes de sécurité. Google a associé quelques failles spécifiques du jour zéro aux sociétés de logiciels espions. Par exemple, trois vulnérabilités dans Chrome étaient liées à Intellexa.
Pourquoi les découvertes de logiciels espions Zero Day par Google sont importantes
Dire que ces vendeurs de logiciels espions existent dans des eaux juridiques troubles serait un euphémisme. Beaucoup d’entre eux affirment qu’ils agissent dans le respect de la loi. En fait, beaucoup affirment travailler avec les forces de l’ordre pour les aider dans la surveillance juridique. Cependant, ce n’est pas toute la vérité. Certaines de ces sociétés de logiciels espions ont été surprises en train de collaborer avec des gouvernements qui espionnent des opposants politiques à des fins personnelles. Les cibles potentielles comprenaient des fonctionnaires, des journalistes ou des manifestants.
Le travail de Google au sein du Threat Analysis Group est important car nous en apprenons souvent peu sur les attaques Zero Day. Comme ils sont activement exploités, les entreprises diffusent le moins d’informations possible à leur sujet pour limiter les dégâts. Les informations publiées arrivent généralement plusieurs mois plus tard. Aujourd’hui, nous savons qu’une grande partie de ces zero-days proviennent de quelques entreprises sélectionnées.
