Cybersécurité : iOS et Android ont tous deux leur part de vulnérabilités
Orange Cyberdefense livre les conclusions et analyses de son rapport Security Navigator 2023.
Dans quelque jours, l’analyse sera rendue publique. Elle porte sur 99 506 incidents potentiels ayant fait l’objet d’une investigation par nos CyberSOC, soit un nombre d’incidents en augmentation de 5 % par rapport à 2022. Ce rapport montre les signes encourageants d’un ralentissement du rythme des attaques, mais plusieurs facteurs restent préoccupants et les défis à relever sont nombreux. Les données montrent que les entreprises mettent encore 215 jours en moyenne pour corriger une vulnérabilité signalée. Dans le cas d’une vulnérabilité critique ou élevée, selon nos experts de Ethical Hacking, plus de six mois s’écoulent avant l’application d’un correctif. Si la cyber-extorsion touche des entreprises de toutes tailles dans le monde entier, les petites entreprises représentent 82 % du total des victimes.
La cyber-extorsion reste la forme d’attaque dominante, mais la localisation des victimes se déplace clairement de l’Amérique du Nord vers l’Europe, l’Asie et les marchés émergents. Les rançongiciels et les attaques de cyber-extorsion continuent de représenter une menace majeure pour les organisations du monde entier. Les mois de mars et d’avril ont été marqués par des pics notables d’activité de ransomwares, avec notamment Lapsus$, les fuites de données de Conti, ainsi que des préoccupations liées à la guerre en Ukraine. Simultanément, 40 % des incidents traités par nos CyberSOCs ont impliqué des logiciels malveillants.
Les chercheurs ont identifié la persistance inquiétante de vulnérabilités graves sur les systèmes informatiques des entreprises, avec 47 % identifiées comme d’une gravité « critique » ou « élevée ». Pour celles critiques, les organisations prennent souvent plus de six mois pour appliquer les correctifs… Les autres vulnérabilités peuvent donc persister beaucoup plus longtemps, voire ne jamais être corrigées. Dans les hôpitaux, 491 jours sont en moyenne nécessaires pour corriger les failles. Dans les transports, les correctifs sont appliqués après 473 jours en moyenne. Par opposition, le temps moyen pris par des hackers éthiques pour découvrir une vulnérabilité sérieuse est de 7,7 jours.
Quelques points du rapport
- Toutes les entreprises sont confrontées à des attaques. Les logiciels malveillants représentant 40 % des incidents CyberSOC (Centres opérationnels de détection et réponse).
- Avec plus de 99 000 incidents traités cette année, le nombre recensé est en augmentation de 5 %. La moyenne est de 34 incidents par mois et par client, soit un incident par jour et par organisation.
- Un net déplacement de la localisation géographique des victimes des cyber-attaques est observé. De 2021 à 2022, la diminution du nombre de victimes basées en Amérique du Nord (-8 % aux États-Unis, -32 % au Canada) a été compensée par l’augmentation de celles en Europe (+18 %), au Royaume-Uni (+21 %), dans les pays nordiques (+138 %) et en Asie de l’Est (+44 %).
- Les petites entreprises (49 %) ont spécifiquement fait l’objet d’attaques par logiciels malveillants. Le secteur industriel est le plus touché tandis que l’administration publique fait face au plus grand nombre d’incidents d’origine interne (66 %).
- Près de la moitié (47 %) de l’ensemble des incidents de sécurité détectés sont provoqués par des acteurs en interne, délibérément ou accidentellement.
- Pour la première fois, le Security Navigator Report inclut des données de près de 5 millions de mobiles, illustrant les différences de vulnérabilité entre Android et iOS.
Sécurité mobile : iOS vs Android
La sécurité des appareils mobiles réside davantage dans le logiciel que dans le matériel. En effet, le matériel change plus lentement et les types d’attaques qui ont été les plus répandus au cours des dernières années se sont concentrés sur le vol d’argent et d’informations d’identification plutôt que sur l’exploitation des failles matérielles. Par exemple pour Apple, en mai 2022, environ 89 % des utilisateurs d’iPhone avaient effectué une mise à niveau vers iOS 15 et recevaient des mises à jour de sécurité périodiques (sur les appareils de moins de cinq ans). Il se peut qu’Apple ne veuille pas révéler combien de personnes utilisent encore en toute sécurité des iPhone plus anciens.
Pour la première fois, le Security Navigator Report 2023 inclut des données propriétaires sur les niveaux de mises à jour de sécurité de près de 5 millions d’appareils mobiles. Des recherches tierces suggèrent qu’en 2021, iOS et Android ont tous deux eu leur part de vulnérabilités : 547 pour Android et 357 pour iOS. 79 % des vulnérabilités Android ont été considérées comme peu complexes contre seulement 24 % pour iOS.
Dans le rapport Security Navigator sont examinées les vulnérabilités graves d’Apple et d’Android afin de déterminer le temps nécessaire à l’écosystème pour déployer les correctifs requis. Dans le cas d’iOS, nous avons déterminé qu’il a fallu 224 jours pour que 90 % de l’écosystème Apple passe à la version corrigée. Pour Android comme pour iOS, il apparaît qu’environ 10 % de la base d’utilisateurs n’appliquera jamais les correctifs correctement. Les résultats montrent qu’une plus grande proportion d’utilisateurs d’iPhone est menacée lors de la divulgation d’un problème de sécurité, ce qui s’explique par l’homogénéité du système. Les utilisateurs migrent néanmoins rapidement vers une nouvelle version, puisque 70 % d’entre eux appliquent un correctif dans les 51 jours suivant sa publication. La nature plus fragmentée de l’écosystème Android signifie que les appareils sont souvent laissés exposés à un plus grand nombre d’anciennes vulnérabilités, tandis qu’un plus petit nombre d’appareils peut être compromis en utilisant de nouvelles failles.