Black Hat USA 2023

Trend Micro publie les résultats des activités de détection du programme ZDI, pour lequel il est contributeur majeur.

  • Plus de 1 000 vulnérabilités détectées au cours du premier semestre 2023 et diverses failles critiques Microsoft identifiées.
  • L'utilisation de ces vulnérabilités à des fins malveillantes pourrait générer des pertes financières dix fois supérieures au coût de la prévention pour les entreprises.
 

Rueil-Malmaison, le 09 août 2023 - Trend Micro Incorporated (TYO: 4704; TSE: 4704), leader mondial de la cybersécurité, a révélé les résultats du programme Zero Day Initiative dans lequel il est engagé depuis 2005. La Zero Day Initiative est le plus grand plus grand programme indépendant de bug bounty de fournisseur au monde, à l’origine de près de 64 % des failles 0-day divulguées en 2021.

« Notre investissement annuel de plusieurs millions de dollars dans la recherche et l'achat de vulnérabilités 0-day permet à nos clients ainsi qu’au marché d'économiser des milliards de dollars », a déclaré Kevin Simzer, COO – Trend Micro. « Nous observons une tendance inquiétante dans les entreprises : elles manquent cruellement de transparence en matière de divulgation/publication des vulnérabilités et d'application de correctifs par les fournisseurs. Une situation qui constitue une menace pour la sécurité du monde numérique. »

Aujourd'hui, Trend Micro appelle à la fin des correctifs silencieux ; une pratique qui consiste à ralentir ou à diluer la divulgation publique et la documentation des vulnérabilités comme des correctifs. Il s'agit d'un obstacle majeur dans la lutte contre la cybercriminalité, mais cette pratique est trop courante chez les principaux fournisseurs et prestataires de cloud.

Lors d'une session au Black Hat USA 2023, les représentants de Trend Micro Research ont révélé que les correctifs silencieux sont devenus particulièrement courants chez les fournisseurs de cloud. Les entreprises s'abstiennent plus fréquemment d'attribuer un identifiant CVE (Common Vulnerabilities and Exposures) pour la documentation publique et émettent plutôt des correctifs en privé.

L'absence de transparence ou de numéros de version pour les services cloud entrave l'évaluation des risques et prive les acteurs du marché d'informations précieuses pour améliorer la sécurité globale de l'écosystème.

Lors de la conférence Black Hat de l'année dernière, Trend Micro a alerté sur le nombre croissant de correctifs incomplets ou défectueux diffusés par les éditeurs et la réticence croissante des fournisseurs de sécurité à mettre à disposition de leurs clients des informations fiables sur les correctifs, rédigées dans un langage simple. Une posture qui empêche les protecteurs/défenseurs du réseau d'évaluer avec précision leur exposition au risque.

Le fossé se creuse, certaines entreprises se privant complètement de l'application de correctifs, laissant leurs clients et leurs secteurs exposés à des risques inutiles et croissants.

Il est urgent d’intervenir pour donner la priorité aux correctifs, traiter les vulnérabilités et encourager la collaboration entre les chercheurs, les acteurs de la cybersécurité et les fournisseurs de services cloud afin de renforcer les capacités de protection de chacun tout en protégeant les utilisateurs contre de potentiels risques.

Trend Micro s'engage à corriger les vulnérabilités de manière transparente et entend améliorer les mesures de sécurité du marché grâce à son engagement au sein du programme Zero Day Initiative. Dans ce cadre, l’entité a publié lors de Black Hat USA 2023 des avis sur plusieurs vulnérabilités de type "zero-day", notamment :

ZDI-CAN-20784 Github (CVSS 9.9)

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

La Zero Day Initiative a ouvert la voie au marché des vulnérabilités en mettant l'accent sur les risques liés à l’achat de telles informations par les acteurs de la menace ; ainsi qu’en soutenant l'achat légitime du fruit de leurs recherches et leur divulgation aux fournisseurs concernés afin qu'ils les corrigent avant que les informations ne soient rendues publiques et/ou utilisées à des fins malveillantes.