David Irlweg / Shutterstock.com
David Irlweg / Shutterstock.com

Ne traînez pas avant d'installer les mises à jour qui apparaissent pour votre PC dans Windows Update, ou sur vos autres appareils électroniques. Dans un rapport, Microsoft rappelle à notre bon souvenir que les pirates, eux, savent mettre à profit notre lenteur et la banalisation, rapidement après leur découverte, des vulnérabilités les plus graves.

De plus en plus de hackers et d'États comptent sur la lenteur à installer les mises à jour pour exploiter des failles zero-day qui n'ont pas encore été patchées et ainsi pénétrer dans des environnements ciblés insuffisamment protégés. C'est ce que nous dit Microsoft dans un long rapport dont les meilleurs extraits nous sont relayés par The Hacker News. La firme explique notamment avoir « observé une réduction du délai entre l'annonce d'une vulnérabilité et la banalisation de cette vulnérabilité ». Ce facteur tend à privilégier l'action des pirates. Pour Microsoft, les géants de la tech et les utilisateurs doivent donc jouer contre la montre.

Des attaques plus agressives contre les failles récemment découvertes

Comme le souligne The Hacker News, les remarques de Microsoft rappellent les conclusions formulées par la Cybersecurity and Infrastructure Security Agency (CISA), cette fois dans un autre rapport publié en avril dernier. La CISA rapportait notamment avoir observé une « agressivité » accrue des attaques portant sur des failles récemment découvertes… n'ayant potentiellement pas encore été comblées.

Microsoft estime par ailleurs qu'une vulnérabilité reste en moyenne 14 jours exploitable « dans la nature » après avoir été rendue publique, ce qui laisse un important créneau aux pirates pour en tirer profit. Et en l'occurrence, certains États se seraient fait une spécialité d'exploiter ces failles. La firme explique ainsi que la Chine serait notamment devenue « particulièrement compétente » en matière de découverte et d'exploitation de failles zero-day.

La durée de vie d'une faille après sa découverte © Microsoft
La durée de vie d'une faille après sa découverte © Microsoft

La Chine très douée pour transformer ces failles en « cyber-armes »

L'exploitation de ces failles est une denrée précieuse pour les activités d'espionnage destinées à faire progresser les intérêts économiques et militaires de la Chine, explique Microsoft. L'année dernière, la CAC (Cyberspace Administration of China) a d'ailleurs fait adopter une loi relative au signalement de ces vulnérabilités. Cette nouvelle réglementation impose désormais que les failles de sécurité soient signalées au gouvernement avant même d'être partagées avec les développeurs des logiciels et produits concernés.

Cela permettrait à l'État d'avoir une longueur d'avance pour les exploiter entre-temps et les transformer pendant quelques jours ou quelques semaines en véritables armes cyber. Ces dernières ouvrent alors la porte au vol de propriétés intellectuelles et peuvent donner accès à des réseaux critiques.