22% des exploits ont plus de trois ans

On ne vous apprend rien : les correctifs des failles de sécurité ne sont pas toujours appliqués. Et quand ils le sont, ce n’est pas forcément dès leur sortie. Trend Micro met des chiffres sur cette réalité, des chiffres côté cybercriminels. Ainsi, les exploits d’anciennes failles restent particulièrement populaires parmi les hackers de tout poil.

Combien de fois une cyberattaque aurait pu être évitée si jamais la victime avait fermé la porte par laquelle les hackers sont entrés ? Surtout si ladite victime disposait du correctif pour la vulnérabilité ainsi exploitée. Dans sa dernière étude, l’éditeur japonais Trend Micro se penche sur le désamour des cybercriminels pour les failles N-day et Zero-day.

trendmicexploit1

Car, sur le marché des exploits, ces dernières sont en déclin depuis deux ans. Trop chers, ces exploits présentent de moins en moins d’intérêt pour les cybercriminels. Et ce pour deux raisons : d’une part les programmes de bug bounty sont montés en puissance et font la chasse à ce type de failles. De l’autre, les kits d’exploitation livrés clés en main sont bon marché et ne nécessitent de l’acheteur que peu de compétences techniques.

Access as a Service

Alors pourquoi s’embêter ? Surtout si, même pour des failles bien connues, facilement exploitables et corrigées, les victimes potentielles ne sont pas protégées. « Les criminels savent que les entreprises ont parfois du mal à établir certaines priorités en matière de sécurité et n’appliquent pas toujours les correctifs aussi rapidement que nécessaire. Les recherches menées par Trend Micro Research montrent que les retards dans l'application des correctifs sont souvent exploités » explique Renaud Bidou, Directeur Technique Europe du Sud pour Trend Micro.

trendmicexploit2De l’étude, il ressort qu’avec 50 nouvelles CVE par jour l’année dernière, il fallait compter 51 jours en moyenne entre la diffusion d’un correctif et son application par une entreprise. « Or, la durée de vie d'une vulnérabilité ou d'un exploit n’est pas liée à la disponibilité d’un correctif. En effet, les anciens exploits restent moins chers et in fine plus populaires auprès des cybercriminels. Aujourd’hui, les correctifs virtuels restent le meilleur moyen d'atténuer les risques liés aux menaces connues et inconnues pour une entreprise » poursuit l’éditeur.

Ainsi, 22% des exploits en vente sur les forums clandestins ont plus de trois ans, près de la moitié si on rajoute les exploits de vulnérabilités en date de 2018. Le plus ancien recensé sur le marché noir est un RCE en date de 2012, tandis que 700 000 appareils demeurent vulnérables à Wannacry. Car les vendeurs privilégient de plus en plus un modèle as a Service, regroupant « d'anciens exploits qui sont déjà intégrés et automatisés dans les vecteurs utilisés dans les attaques, tels que les documents Microsoft Word ou Excel, pouvant être vendus pour un abonnement mensuel d’environ 1000 dollars, avec divers services ajoutés.