Le fonctionnement de tout programme informatique repose sur un code, mais des erreurs de programmation peuvent engendrer des failles de sécurité. Certaines de ces vulnérabilités ont provoqué une panique générale et des conséquences désastreuses, bouleversant l’univers de la cybersécurité.
Quelles sont donc les vulnérabilités logicielles les plus notables et les plus dangereuses ?
1. Log4Shell
La vulnérabilité logicielle Log4Shell affectait Apache Log4j, un outil de journalisation Java largement utilisé par des dizaines de millions d’utilisateurs à travers le monde.
En novembre 2021, une faille de codage critique a été mise en évidence par Chen Zhaojun, membre de l’équipe de sécurité d’Alibaba Cloud. Zhaojun avait initialement repéré la faille sur les serveurs de Minecraft.
Officiellement désignée CVE-2021-44228, cette faille est devenue universellement connue sous le nom de Log4Shell.
La faille de sécurité Log4Shell était une vulnérabilité « zero-day », c’est-à-dire qu’elle a été exploitée par des acteurs malveillants avant d’être détectée par des experts en cybersécurité. Cela leur permettait d’exécuter du code à distance. Ainsi, les pirates pouvaient installer des logiciels malveillants dans Log4j, facilitant le vol de données, l’espionnage et la propagation de malwares.
Bien qu’un correctif ait été rapidement déployé après la découverte de Log4Shell, cette faille de sécurité reste préoccupante.
Les cybercriminels continuent d’exploiter Log4Shell, même si le correctif a considérablement réduit le niveau de menace. Selon Rezilion, 26 % des serveurs Minecraft publics sont toujours vulnérables à Log4Shell.
Si une entreprise ou un particulier n’a pas mis à jour son logiciel, la vulnérabilité Log4Shell est potentiellement toujours présente, offrant une porte d’entrée aux attaquants.
2. EternalBlue
EternalBlue (officiellement référencée MS17-010) est une vulnérabilité logicielle qui a fait grand bruit à partir d’avril 2017. L’aspect étonnant de cette faille est qu’elle a été partiellement conçue par la NSA, une importante agence de renseignement américaine reconnue pour son soutien au département de la Défense des États-Unis dans les affaires militaires.
La NSA avait découvert la vulnérabilité EternalBlue au sein de Microsoft, mais ce n’est que cinq ans plus tard que Microsoft en a pris connaissance. EternalBlue était étudiée par la NSA en tant que potentielle cyberarme, et il a fallu un piratage pour que le monde soit informé de son existence.
En 2017, un groupe de hackers connu sous le nom de Shadow Brokers a révélé l’existence d’EternalBlue après avoir infiltré numériquement la NSA. Il s’est avéré que la faille donnait à la NSA un accès secret à une multitude d’appareils Windows, notamment ceux fonctionnant sous Windows 7, Windows 8 et Windows Vista, souvent critiqué. En d’autres termes, la NSA pouvait accéder à des millions d’appareils à l’insu de leurs utilisateurs.
Bien qu’un correctif ait été mis à disposition pour EternalBlue, le manque de sensibilisation du public à cette faille a rendu les appareils vulnérables pendant des années, ainsi qu’une lenteur de réaction de Microsoft.
3. Heartbleed
La faille de sécurité Heartbleed a été officiellement découverte en 2014, bien qu’elle ait été présente dans la bibliothèque de code OpenSSL pendant deux ans auparavant. Certaines versions obsolètes de la bibliothèque OpenSSL contenaient Heartbleed, et celle-ci a été jugée sérieuse lors de sa découverte.
Officiellement connue sous le nom de CVE-2014-0160, Heartbleed était particulièrement préoccupante en raison de son emplacement dans OpenSSL. Étant donné qu’OpenSSL était utilisé comme couche de chiffrement SSL entre les bases de données des sites Web et les utilisateurs finaux, de nombreuses données sensibles pouvaient être compromises via la faille Heartbleed.
Toutefois, au cours du processus de communication, il existait une connexion additionnelle qui n’était pas chiffrée, une sorte de couche de base garantissant que les deux ordinateurs impliqués dans la conversation étaient actifs.
Les pirates ont trouvé un moyen d’exploiter cette ligne de communication non chiffrée afin d’extraire des données sensibles de l’ordinateur prétendument sécurisé. En substance, l’attaquant inondait le système de requêtes dans l’espoir de récupérer des informations confidentielles.
Heartbleed a été corrigée le même mois que sa découverte officielle, mais les versions antérieures d’OpenSSL peuvent toujours être sensibles à la faille.
4. Double Kill
Double Kill (ou CVE-2018-8174) était une vulnérabilité critique de type zero-day qui mettait les systèmes Windows en péril. Découverte en 2018, cette faille a fait la une de l’actualité en matière de cybersécurité en raison de sa présence dans tous les systèmes d’exploitation Windows à partir de la version 7.
Double Kill se manifeste au sein du navigateur Windows Internet Explorer et exploite une faille dans le script VB. La méthode d’attaque consiste à utiliser une page Web malveillante via Internet Explorer contenant le code nécessaire pour abuser de la vulnérabilité.
Double Kill est susceptible de donner aux attaquants les mêmes niveaux d’autorisation système que l’utilisateur légitime initial s’il est exploité correctement. Dans de tels cas, les attaquants peuvent même prendre le contrôle total de l’appareil Windows cible.
Windows a publié un correctif pour Double Kill en mai 2018.
5. CVE-2022-0609
CVE-2022-0609 est une autre vulnérabilité logicielle critique identifiée en 2022. Ce bogue lié à Chrome s’est révélé être une vulnérabilité zero-day exploitée activement par des attaquants.
Cette vulnérabilité pouvait impacter tous les utilisateurs de Chrome, d’où son niveau de gravité élevé. CVE-2022-0609 est un bogue de type « use-after-free », ce qui signifie qu’il a la capacité de modifier des données et d’exécuter du code à distance.
Google n’a pas tardé à déployer un correctif pour CVE-2022-0609 dans une mise à jour du navigateur Chrome.
6. BlueKeep
En mai 2019, une faille logicielle critique connue sous le nom de BlueKeep a été découverte par Kevin Beaumont, un expert en cybersécurité. La faille se situait dans le protocole de bureau à distance de Microsoft, utilisé pour diagnostiquer à distance des problèmes système et pour permettre aux utilisateurs d’accéder à distance à leur bureau depuis un autre appareil.
Officiellement désignée CVE-2019-0708, BlueKeep est une vulnérabilité d’exécution à distance, c’est-à-dire qu’elle peut être employée pour exécuter du code à distance sur un appareil cible. Les preuves de concept développées par Microsoft ont démontré que les ordinateurs ciblés pouvaient être compromis et pris en charge par des attaquants en moins d’une minute, soulignant la gravité de la faille.
Une fois qu’un appareil est compromis, l’attaquant peut exécuter du code à distance sur le bureau de l’utilisateur.
Le seul avantage de BlueKeep est qu’il n’affecte que les anciennes versions de Windows, à savoir :
- Windows Vista
- Windows XP
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows 7
Si votre appareil fonctionne avec une version de Windows plus récente que celles énumérées ci-dessus, il est probable que vous n’ayez pas à vous soucier de BlueKeep.
7. ZeroLogon
ZeroLogon, ou CVE-2020-1472, comme elle est officiellement désignée, est une faille de sécurité logicielle liée à Microsoft découverte en août 2020. Le Common Vulnerability Scoring System (CVSS) a attribué à cette faille une note de 10 sur 10 sur l’échelle de gravité, ce qui la rend très dangereuse.
Elle peut exploiter la ressource Active Directory, généralement présente sur les serveurs d’entreprise Windows. Elle est officiellement nommée protocole distant Active Directory Netlogon.
ZeroLogon met les utilisateurs en danger, car elle a le potentiel de modifier des informations de compte sensibles, notamment les mots de passe. La faille exploite la méthode d’authentification, de sorte que les comptes deviennent accessibles sans vérification d’identité.
Microsoft a déployé deux correctifs pour ZeroLogon le mois de sa découverte.
Les vulnérabilités logicielles sont d’une fréquence préoccupante
Notre dépendance aux logiciels est telle qu’il est inévitable que des bogues et des défauts surgissent. Cependant, certaines de ces erreurs de codage peuvent créer des failles de sécurité facilement exploitables, mettant en danger les fournisseurs et les utilisateurs.