Le rapport 2024 de Google sur les vulnérabilités Zero-Day révèle les angles morts de la sécurité des entreprises

Le rapport 2024 de Google sur les vulnérabilités Zero-Day révèle les angles morts de la sécurité des entreprises

Le dernier rapport de Google, Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis, révèle une réalité inquiétante : les hackers se concentrent désormais sur l’infrastructure qui gère vos données d’entreprise les plus sensibles. Publié le 29 avril 2025 par le Threat Intelligence Group de Google (GTIG), l’analyse a suivi 75 vulnérabilités zero-day exploitées en 2024. Près de la moitié ciblaient les systèmes d’entreprise, un changement radical par rapport aux années précédentes où les navigateurs et les téléphones dominaient le paysage des menaces.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?

Lire maintenant

Ce que le rapport de Google sur les Zero-Day a réellement révélé

Les vulnérabilités zero-day sont des failles logicielles que les attaquants exploitent avant que les fournisseurs ne puissent les corriger. Le Threat Intelligence Group de Google suit ces exploits chaque année, en combinant ses propres recherches avec des enquêtes sur les violations et des rapports fiables de tiers. Leur analyse de 2024 révèle à la fois des progrès et de nouveaux défis en matière de cybersécurité.

Les chiffres bruts racontent une partie de l’histoire : 75 zero-days en 2024, contre 98 en 2023 mais en hausse par rapport à 63 en 2022. Plus révélateur est l’endroit où ces attaques ont eu lieu. Les technologies d’entreprise ont fait face à 33 de ces exploits, soit 44 % du total, contre 37 % l’année précédente. Au sein des systèmes d’entreprise, les produits de sécurité et de mise en réseau ont été les plus touchés, représentant 20 vulnérabilités, soit plus de 60 % de tous les zero-days ciblant les entreprises.

Peut-être le plus frappant : 18 fournisseurs d’entreprise différents ont été ciblés, représentant presque tous les fournisseurs touchés par des zero-days en 2024. Les cibles traditionnelles comme les navigateurs et les appareils mobiles ont connu des baisses significatives : les exploits de navigateurs sont passés de 17 à 11, tandis que les mobiles ont chuté de 17 à 9.

Pourquoi les outils de transfert de fichiers et de sécurité sont devenus des cibles privilégiées

Le rapport identifie des raisons spécifiques pour lesquelles les attaquants se sont tournés vers l’infrastructure d’entreprise. Les appliances de sécurité, les VPN et les plateformes de transfert sécurisé de fichiers (MFT) offrent aux attaquants des avantages uniques :

Compromission en un point unique : Contrairement aux appareils grand public qui nécessitent souvent des chaînes d’exploit complexes, de nombreux systèmes d’entreprise peuvent être entièrement compromis avec une seule vulnérabilité. Le rapport note que ces produits manquent souvent des défenses en couches présentes dans les navigateurs et systèmes d’exploitation modernes.

Accès privilégié : Ces systèmes fonctionnent généralement avec des privilèges administratifs et se connectent à plusieurs segments de réseau, permettant un mouvement latéral rapide après la compromission initiale.

Surveillance limitée : Une constatation critique : de nombreux appliances de sécurité et de mise en réseau fonctionnent en dehors du champ d’application des outils de détection et de réponse des points de terminaison (EDR), créant des lacunes de visibilité que les attaquants exploitent.

Données de grande valeur : Les systèmes de transfert de fichiers, les serveurs de messagerie et les plateformes de collaboration traitent régulièrement des données réglementées, y compris des dossiers financiers, des informations médicales et de la propriété intellectuelle.

Vulnérabilités critiques menaçant la conformité

Plusieurs exploits de 2024 impactent directement les organisations soumises à des réglementations en matière de protection des données comme le RGPD, la HIPAA et le CMMC 2.0 :

CVE-2024-55956 (Plateforme Cleo MFT) : Un groupe suspecté d’être FIN11 a exploité cette vulnérabilité pour extorquer des données. Le rapport souligne que c’est la “troisième année sur les quatre dernières (2021, 2023 et 2024)” que FIN11 ou des groupes associés ciblent les produits de transfert de fichiers, montrant une focalisation persistante sur ces systèmes.

Attaques par script intersite (XSS) : Six vulnérabilités XSS ont ciblé divers produits, y compris des serveurs de messagerie et des logiciels d’entreprise. Celles-ci permettent l’exécution non autorisée de scripts et une exfiltration potentielle de données, créant des risques de conformité évidents.

Collecte de cookies WebKit : Le rapport détaille une attaque sophistiquée où un JavaScript malveillant sur un site gouvernemental ukrainien a collecté des cookies de navigateur. Les attaquants visaient spécifiquement à accéder aux identifiants de login.microsoftonline.com, compromettant potentiellement des services Microsoft 365 comme Outlook et SharePoint.

Vulnérabilités d’injection de commande : Huit failles d’injection de commande ont été trouvées “ciblant presque exclusivement les logiciels et appliances de mise en réseau et de sécurité”, selon le rapport. Celles-ci permettent aux attaquants d’exécuter des commandes arbitraires avec des privilèges système.

Le fossé de détection : là où la sécurité traditionnelle échoue

L’analyse de Google met en lumière un problème fondamental : les systèmes qui gèrent vos données les plus sensibles ont souvent la moindre visibilité. Le rapport indique explicitement que “les outils de détection et de réponse des points de terminaison (EDR) ne sont généralement pas équipés pour fonctionner sur ces produits”.

Cela crée des défis de sécurité en cascade :

  • Les équipes de sécurité manquent de visibilité en temps réel sur les transferts de fichiers et les échanges de contenu
  • La détection des anomalies comportementales devient impossible sans journalisation appropriée
  • La réponse aux incidents est entravée par des données médico-légales insuffisantes
  • L’audit de conformité manque de documentation nécessaire

Le rapport note que ces angles morts sont particulièrement dangereux car les systèmes affectés “peuvent à eux seuls permettre l’exécution de code à distance ou l’escalade de privilèges” sans les chaînes d’exploit complexes généralement requises pour les appareils des utilisateurs finaux.

Attaques notables du rapport

Comprendre des exploits spécifiques aide à illustrer l’évolution du paysage des menaces :

L’attaque du site Web du gouvernement ukrainien : Les chercheurs de GTIG ont découvert du JavaScript malveillant injecté dans les fichiers du plugin Contact Form 7 sur un site diplomatique ukrainien. Ce n’était pas une vulnérabilité dans le plugin WordPress lui-même, mais plutôt une compromission ciblée qui collectait les cookies des visiteurs. Le code ciblait spécifiquement les utilisateurs de MacOS sur du matériel Intel, démontrant un ciblage sophistiqué.

Exploits doubles du groupe CIGAR : Le rapport détaille comment le groupe CIGAR (également connu sous le nom de RomCom) a utilisé CVE-2024-9680 (une vulnérabilité Firefox) combinée à CVE-2024-49039 (une faille d’escalade de privilèges Windows). Ce groupe mène à la fois des crimes financiers et une espionnage présumée pour le gouvernement russe, soulignant comment les zero-days servent plusieurs objectifs d’acteurs menaçants.

Innovation nord-coréenne : Pour la première fois, les acteurs nord-coréens ont égalé les groupes soutenus par la Chine avec cinq zero-days attribués. Le rapport note que ces acteurs “mélangent des opérations d’espionnage traditionnelles avec des tentatives de financement du régime”, utilisant des techniques sophistiquées comme des publicités malveillantes déclenchant une exécution sans clic.

Construire des défenses contre les menaces zero-day modernes

Sur la base des conclusions du rapport, les organisations ont besoin de défenses multicouches adressant spécifiquement les vulnérabilités de l’infrastructure d’entreprise :

Étendre la surveillance de la sécurité : Intégrez les MFT, SFTP et les appliances de sécurité dans vos flux de travail SIEM et opérations de sécurité. Le rapport souligne que ces systèmes nécessitent la même attention que les points de terminaison traditionnels.

Mettre en œuvre une architecture Zero-Trust : Appliquez les principes de moindre privilège à tout partage de fichiers et mouvement de contenu. Supposons une compromission et vérifiez chaque transaction, en particulier pour les systèmes avec des privilèges administratifs.

Prioriser le développement sécurisé : Le rapport identifie que l’injection de commande, le XSS et les bugs d’utilisation après libération, tous évitables grâce à un codage sécurisé, ont dominé les exploits de 2024. Des revues de code régulières et des pratiques de développement modernes sont essentielles.

Évaluer la sécurité des fournisseurs : Avec 18 fournisseurs d’entreprise ciblés, évaluez la rapidité avec laquelle vos fournisseurs répondent aux vulnérabilités. Le rapport note que “les correctifs prouvent le potentiel de prévention de ces expositions de sécurité dès le départ”.

Considérer les plateformes unifiées : Des solutions comme le Réseau de données privé de Kiteworks qui consolident la messagerie électronique, le transfert de fichiers et la sécurité des API peuvent réduire la complexité et améliorer la visibilité par rapport à la gestion de plusieurs solutions ponctuelles.

Ce que cela signifie pour votre stratégie de sécurité

Le rapport de Google délivre un message clair : l’infrastructure que vous utilisez pour échanger des données sensibles est devenue un vecteur d’attaque principal. Avec 44 % des zero-days ciblant les systèmes d’entreprise et plus de 60 % d’entre eux touchant les produits de sécurité et de mise en réseau, les modèles de sécurité traditionnels nécessitent une mise à jour.

Principaux enseignements pour les responsables de la sécurité :

  1. L’attribution reste difficile : GTIG n’a pu attribuer que 34 des 75 vulnérabilités à des acteurs spécifiques, nous rappelant que de nombreuses attaques restent non attribuées.
  2. Les améliorations des fournisseurs fonctionnent : Les exploits de navigateurs et mobiles ont considérablement diminué, montrant que les investissements en sécurité dans ces domaines portent leurs fruits.
  3. Les nouveaux fournisseurs font face à un risque accru : Le rapport note que les petits fournisseurs d’entreprise peuvent manquer des ressources et de l’expérience des grandes entreprises technologiques pour traiter les zero-days.
  4. La persistance paie pour les attaquants : Des groupes comme FIN11 ciblent à plusieurs reprises les mêmes types d’infrastructure, suggérant qu’ils ont trouvé des chemins d’attaque fiables.

Pour les organisations traitant des données réglementées sous PCI DSS, HIPAA, RGPD ou exigences CMMC, ces conclusions nécessitent une attention immédiate. Les systèmes traitant vos informations les plus sensibles—transferts de fichiers, e-mails, formulaires Web—ne peuvent plus être traités comme une infrastructure passive. Ce sont des champs de bataille actifs nécessitant des stratégies de sécurité complètes.

Questions Fréquemment Posées

Le Threat Intelligence Group de Google a identifié 75 vulnérabilités zero-day exploitées dans la nature en 2024, dont 33 ciblant les technologies d’entreprise.

Les produits de sécurité et de mise en réseau ont fait face au risque le plus élevé, avec 20 zero-days—plus de 60 % de toutes les vulnérabilités ciblant les entreprises. Les systèmes de transfert de fichiers, les VPN et les appliances de sécurité ont été particulièrement ciblés.

Les systèmes d’entreprise nécessitent souvent seulement des vulnérabilités uniques pour une compromission complète, fonctionnent avec des privilèges élevés, traitent des données précieuses et manquent fréquemment de surveillance EDR, ce qui en fait des cibles efficaces.

Étendre la surveillance de la sécurité pour inclure tous les systèmes d’échange de données, mettre en œuvre des principes de zero-trust, garantir des pratiques de codage sécurisé, évaluer la réactivité des fournisseurs face aux vulnérabilités et envisager des plateformes de sécurité unifiées pour une meilleure visibilité.

Le rapport note spécifiquement que les outils EDR ne peuvent généralement pas surveiller les appliances de sécurité et de mise en réseau, créant des angles morts dangereux qui nécessitent des mesures de sécurité supplémentaires.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks