Analyse Google 2024 de l’exploitation des failles zero-day : quelles conséquences pour la sécurité de vos données
La nouvelle analyse Google 2024 sur l’exploitation des failles zero-day révèle un changement préoccupant dans la manière dont les attaquants ciblent l’infrastructure des entreprises. En 2024, les acteurs malveillants se concentrent de plus en plus sur les systèmes qui traitent vos données les plus sensibles et réglementées. Selon le rapport, 44 % de toutes les vulnérabilités zero-day exploitées dans la nature visaient des technologies d’entreprise, mettant en lumière d’importantes failles dans les modèles de sécurité traditionnels. Il s’agit d’une hausse significative par rapport aux années précédentes et cela souligne l’urgence pour les organisations de revoir leurs stratégies de sécurité, en particulier celles soumises aux réglementations sur la protection des données telles que le RGPD, HIPAA et CMMC 2.0.
Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?
Qu’est-ce que l’analyse Google 2024 sur l’exploitation des failles zero-day ?
Une vulnérabilité zero-day désigne une faille de sécurité logicielle exploitée par des attaquants avant que les développeurs n’aient eu le temps de créer et de publier un correctif. L’analyse Google 2024 sur l’exploitation des failles zero-day est un rapport annuel publié par le Threat Intelligence Group (GTIG) de Google, qui recense ces vulnérabilités et analyse les tendances d’exploitation lors d’attaques réelles. Cette analyse s’appuie sur les recherches originales du GTIG, les résultats d’enquêtes sur des violations de données et des rapports issus de sources ouvertes fiables, offrant ainsi une vision parmi les plus autorisées du paysage actuel des menaces.
En 2024, le GTIG a recensé 75 vulnérabilités zero-day exploitées dans la nature—une baisse par rapport aux 98 de 2023, mais un chiffre supérieur aux 63 enregistrés en 2022. Bien que ces chiffres varient d’une année à l’autre, la tendance générale montre que l’exploitation des failles zero-day continue de croître lentement mais sûrement. L’élément le plus marquant est le déplacement des attaques des technologies destinées aux utilisateurs finaux, comme les navigateurs et appareils mobiles, vers les systèmes orientés entreprise. Alors que les éditeurs ont renforcé la sécurité des plateformes courantes, les attaquants se tournent désormais vers les logiciels de sécurité, les outils de transfert de fichiers, les appliances réseau et les infrastructures collaboratives—des systèmes qui disposent souvent d’un accès étendu et d’une visibilité limitée.
Systèmes d’échange de données d’entreprise : la nouvelle cible privilégiée
L’un des constats les plus urgents du rapport concerne l’évolution de la surface d’attaque. En 2024, les systèmes d’échange de données d’entreprise sont devenus des cibles de choix, avec 44 % de toutes les vulnérabilités zero-day visant des technologies d’entreprise—contre 37 % en 2023. Cela inclut les plateformes de transfert sécurisé de fichiers (MFT), les serveurs de messagerie et webmail, les suites collaboratives comme Microsoft 365, les formulaires web utilisés dans les applications accessibles au public, ainsi que les appliances SFTP et de transfert réseau.
Ces systèmes constituent des cibles idéales pour plusieurs raisons. Ils traitent régulièrement des contenus sensibles, comprenant souvent des informations personnelles identifiables, des données financières et d’autres informations réglementées. Ils fonctionnent fréquemment en dehors du périmètre des outils EDR (Endpoint Detection and Response), créant ainsi des angles morts dans la surveillance de la sécurité. De plus, ils disposent généralement d’un accès étendu au sein des réseaux d’entreprise, permettant aux attaquants de se déplacer latéralement une fois l’accès initial obtenu.
Le plus préoccupant reste la multiplication des exploits à vulnérabilité unique permettant l’exécution de code à distance, contournant totalement les défenses périmétriques traditionnelles. Contrairement aux chaînes d’exploitation plus complexes nécessitant plusieurs vulnérabilités pour atteindre leur objectif, ces exploits ponctuels peuvent compromettre immédiatement des systèmes critiques avec un minimum d’efforts, ce qui les rend particulièrement dangereux et attractifs pour les attaquants.
Vulnérabilités clés impactant la conformité des données
Le rapport relie plusieurs exploits zero-day à des échecs de conformité réglementaire et à des scénarios potentiels de notification de violation. Un exemple marquant concerne la CVE-2024-55956, une vulnérabilité zero-day dans la plateforme MFT de Cleo, exploitée par le groupe FIN11 pour le vol et l’extorsion de données. C’est la troisième fois en quatre ans qu’une solution MFT est ciblée par ce groupe, illustrant une persistance des attaques contre les infrastructures de transfert de fichiers.
Les vulnérabilités de type cross-site scripting (XSS) constituent un autre vecteur d’attaque courant, ciblant en particulier les serveurs de messagerie d’entreprise. Ces exploits permettent un accès non autorisé et l’exécution de scripts, pouvant entraîner le vol d’identifiants et l’exfiltration de données. Les conséquences sont graves pour les organisations soumises à des exigences de conformité, car ces attaques peuvent conduire à un accès non autorisé à des données protégées.
Les attaques de détournement de cookies représentent une autre menace sophistiquée mise en avant dans le rapport. Elles ont servi à voler les données de session pour login.microsoftonline.com, contournant ainsi l’authentification multifactorielle et compromettant des comptes sur des applications Microsoft 365 telles qu’Outlook, SharePoint et Teams. Une fois ce niveau d’accès obtenu, les attaquants peuvent souvent opérer sans être détectés dans l’environnement numérique de l’organisation pendant de longues périodes.
Le rapport détaille également comment des attaquants ont compromis le plugin WordPress Contact Form 7 pour injecter du JavaScript et voler des cookies de navigateur. Ce type d’attaque représente un risque direct pour la confidentialité et la conformité PCI DSS, notamment pour les organisations qui collectent des informations sensibles via des formulaires web. Chacune de ces attaques peut enfreindre des réglementations telles que le RGPD, HIPAA, PCI DSS et CMMC 2.0—en particulier en cas d’exfiltration de données, d’accès non autorisé ou de défaut de mise en œuvre de pratiques de codage sécurisé.
L’angle mort des entreprises : quand la surveillance de la sécurité fait défaut
Malgré l’importance des systèmes comme MFT, VPN et appliances SFTP, le rapport souligne que beaucoup restent en dehors du champ de la surveillance EDR et SIEM traditionnelle. Cela crée des angles morts dangereux dans la posture de sécurité des organisations. Ces systèmes ne sont souvent pas conçus pour une journalisation fine ou la détection d’anomalies comportementales, étant plutôt considérés comme des infrastructures « à installer et oublier », gérées séparément des opérations de sécurité globales.
Le danger réside dans le fait que ces mêmes systèmes disposent généralement de privilèges administrateur, relient des environnements disparates et traitent des fichiers contenant des informations confidentielles ou réglementées. Sans surveillance et contrôles de sécurité adaptés, ces angles morts permettent aux attaquants de rester indétectés, de se déplacer latéralement dans le réseau ou d’exfiltrer des données sensibles sans grande résistance—ce qui représente un risque majeur pour les organisations réglementées.
Exploits réels : la confiance brisée dans l’échange de fichiers et de contenus
Pour comprendre l’impact de ces vulnérabilités, il est utile d’examiner des exemples précis issus du rapport. Le cas du groupe FIN11 ciblant la plateforme MFT de Cleo (CVE-2024-55956) est particulièrement préoccupant. Cette attaque a servi à des campagnes d’extorsion ciblées et marque la troisième plateforme MFT visée par FIN11 en seulement quatre ans. Ce schéma révèle une faiblesse systémique dans les processus de correctifs des éditeurs et suggère que les attaquants ciblent délibérément l’infrastructure de transfert de fichiers en tant que cible à forte valeur.
Un autre exemple notable concerne les exploits WebKit utilisés pour voler les cookies de connexion Microsoft. Ces attaques sophistiquées contournent les protections MFA, donnent aux attaquants accès à des applications critiques comme la messagerie, OneDrive et Teams, et sapent fondamentalement la confiance dans les flux d’authentification cloud. Les conséquences sont majeures, alors que les organisations s’appuient de plus en plus sur des outils collaboratifs cloud pour leurs activités.
L’exploitation du formulaire WordPress via Contact Form 7 constitue un autre vecteur d’attaque. Les attaquants ont injecté du code JavaScript pour voler des cookies, ciblant notamment des sites gouvernementaux. Ce qui rend cette attaque particulièrement préoccupante, c’est qu’elle pourrait être reproduite sur n’importe quel formulaire web non corrigé, affectant potentiellement un grand nombre d’organisations utilisant des technologies similaires. Ces cas montrent que les flux de transfert de données, de messagerie et de traitement de formulaires ne sont plus de simples infrastructures passives—ils constituent désormais des surfaces d’attaque actives nécessitant des mesures de sécurité robustes.
Comment les entreprises doivent réagir : zéro trust et contrôle unifié
La défense la plus efficace face à ces menaces évolutives consiste à mettre en œuvre un modèle de sécurité zéro trust appliqué directement aux flux d’échange de données. Cette approche part du principe que les menaces existent à la fois à l’intérieur et à l’extérieur des frontières traditionnelles du réseau et exige donc une vérification systématique de toute personne cherchant à accéder aux ressources, quel que soit son emplacement.
Les organisations doivent appliquer les principes du zéro trust à la circulation des contenus en imposant des règles de moindre privilège pour tout partage de fichiers, transfert et soumission de formulaires. Cela signifie accorder aux utilisateurs uniquement les accès nécessaires à leurs missions spécifiques, limitant ainsi les dégâts potentiels en cas de compromission des identifiants.
Les équipes de sécurité doivent étendre leurs capacités de surveillance pour inclure les systèmes MFT et SFTP en les intégrant aux workflows EDR et SIEM existants. Cela comble les lacunes de visibilité critiques et garantit que ces systèmes bénéficient du même niveau d’attention que le reste de l’infrastructure.
L’utilisation de plateformes unifiées et durcies comme le Réseau de données privé Kiteworks, qui regroupe la messagerie, le transfert de fichiers, la sécurité des formulaires web et des API sous une même architecture, permet également de réduire les risques. Ces solutions intégrées offrent généralement une meilleure visibilité et un meilleur contrôle que la gestion de multiples solutions ponctuelles issues de différents éditeurs.
Les organisations doivent aussi accorder la priorité aux bonnes pratiques de codage sécurisé, en particulier pour les plugins tiers, les appliances obsolètes et les composants fournis par les éditeurs. De nombreuses vulnérabilités exploitées en 2024 proviennent d’erreurs de codage basiques qui auraient pu être évitées par de meilleures pratiques de développement et des revues régulières du code.
Des audits réguliers des correctifs sont essentiels, notamment pour les solutions MFT et VPN qui doivent être évaluées quant à leur réactivité face aux zero-day et à la rapidité de réponse des éditeurs. Savoir à quelle vitesse un éditeur réagit à la découverte d’une vulnérabilité et publie un correctif aide les organisations à mieux choisir les technologies à déployer.
Comprendre les implications pour votre organisation
Pour la plupart des entreprises, la principale leçon à tirer de l’analyse Google 2024 sur l’exploitation des failles zero-day est que le paysage de la sécurité a profondément changé. Les systèmes sur lesquels vous comptez pour envoyer, partager et recevoir des données sensibles sont désormais des cibles privilégiées des cyberattaques. Les serveurs de messagerie, plateformes de transfert de fichiers, outils collaboratifs et formulaires web doivent être sécurisés avec autant de rigueur que les endpoints et l’infrastructure cloud.
Les organisations doivent moderniser leur stratégie de protection des données en appliquant les principes du zéro trust, en mettant en place une surveillance adaptée et en instaurant une gouvernance unifiée des contenus sur tous les canaux de communication. Le rapport montre clairement que les approches traditionnelles basées sur le périmètre ne suffisent plus dans un contexte où les attaquants ciblent spécifiquement l’infrastructure qui gère vos données les plus sensibles.
Pour les responsables de la sécurité IT, les responsables conformité et les équipes en charge de la protection des données, cela implique de réévaluer les stratégies de sécurité actuelles, en se concentrant tout particulièrement sur les systèmes traitant des données réglementées. Cela signifie aussi briser les silos entre les opérations de sécurité et les équipes qui gèrent l’infrastructure de communication. Enfin, il s’agit de considérer tous les mécanismes d’échange de données comme faisant partie intégrante du périmètre de sécurité critique, et non comme de simples préoccupations opérationnelles distinctes.
Ne pas s’adapter à cette nouvelle réalité expose à des violations de la vie privée, des sanctions réglementaires et une atteinte à la réputation à une époque où la surface d’attaque ne se limite plus aux endpoints—elle concerne la manière dont les données circulent dans votre organisation et au-delà.
FAQ
Une vulnérabilité zero-day est une faille dans un logiciel exploitée activement par des attaquants avant qu’un correctif ne soit disponible. Ces menaces figurent parmi les plus dangereuses car aucune défense n’existe au moment où l’attaque débute. Le terme « zero-day » vient du fait que les développeurs disposent de « zéro jour » pour corriger le problème avant son exploitation, la faille étant déjà utilisée lors de sa découverte.
Les systèmes MFT gèrent des échanges de données hautement sensibles et sont souvent sous-protégés par rapport à leur importance. Ils traitent généralement de gros volumes d’informations confidentielles, ce qui en fait des cibles attractives pour le vol de données. De plus, les exploiter permet aux attaquants d’accéder à des fichiers confidentiels et de contourner les parties les plus surveillées du réseau, pouvant ainsi s’installer durablement sans déclencher d’alertes de sécurité.
Les attaques de détournement de cookies compromettent la confidentialité des données en permettant aux attaquants de voler les jetons d’authentification utilisés par les sites web pour maintenir la connexion des utilisateurs. En s’emparant de ces jetons, les attaquants peuvent se faire passer pour des utilisateurs légitimes et accéder sans autorisation à la messagerie, aux documents et aux systèmes internes—le tout sans déclencher l’authentification multifactorielle. Cela peut entraîner des violations massives de données, les attaquants opérant avec les mêmes privilèges que les utilisateurs légitimes et restant souvent indétectés pendant de longues périodes.
Lorsque des formulaires web sont exploités, plusieurs réglementations clés peuvent être enfreintes. La conformité RGPD est menacée car ces attaques peuvent entraîner un accès non autorisé aux données personnelles de citoyens européens. Les exigences PCI DSS peuvent être violées si des informations de paiement sont collectées via des formulaires compromis. Des violations HIPAA peuvent survenir si des informations médicales protégées sont transmises via ces formulaires dans un contexte de santé. Enfin, des réglementations sectorielles comme CMMC 2.0 pour les sous-traitants de la défense peuvent être concernées si des informations sensibles sont compromises via des formulaires web exploités.
Les organisations peuvent sécuriser les transferts de fichiers et les outils collaboratifs en mettant en place plusieurs couches de protection. Une plateforme unifiée avec des contrôles d’accès zéro trust constitue une base solide, exigeant une vérification continue plutôt que de supposer la confiance selon la localisation réseau. Le chiffrement automatisé des données en transit et au repos protège l’information même si les défenses périmétriques sont contournées. Des contrôles au niveau du contenu, limitant l’accès selon la classification des données, garantissent que seules les personnes autorisées accèdent aux informations sensibles. Une surveillance en temps réel des transferts permet de détecter toute activité suspecte, et des mécanismes d’authentification renforcée, de préférence multifactorielle, réduisent les risques de vol et d’utilisation abusive des identifiants.
Ressources complémentaires
- Article de blog Zero Trust Architecture : ne jamais faire confiance, toujours vérifier
- Vidéo Comment Kiteworks fait avancer le modèle Zero Trust de la NSA au niveau des données
- Article de blog Étendre le Zero Trust à la couche contenu : de quoi s’agit-il ?
- Article de blog Instaurer la confiance dans l’IA générative grâce au Zero Trust
- Vidéo Kiteworks + Forcepoint : conformité et Zero Trust à la couche contenu