Qu'est-ce qu'une attaque de type "zero-day" ?

Une attaque qui exploite une vulnérabilité logicielle avant que le développeur ait la chance de la corriger est appelée attaque zero-day.

.st0{fill:#0D3ECC;} TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT

Également pour Windows, iOS, Android, Chromebook et pour les entreprises

Vous ne réfléchissez peut-être pas beaucoup au logiciel que vous utilisez pour faire fonctionner vos ordinateurs et appareils, mais derrière l'interface se trouve un code très complexe qui a pu prendre des années à une grande équipe de développeurs pour être écrit et affiné. Malgré leurs meilleurs efforts, les développeurs peuvent manquer des défauts de logiciel. Alors que certains défauts n'affectent que l'expérience utilisateur, d'autres sont beaucoup plus graves.  

Une faille zero-day est toute vulnérabilité logicielle exploitable par des hackers qui n'a pas encore de correctif. Les développeurs du logiciel peuvent soit ne pas être au courant de la faille, être en train de développer un correctif ou l'ignorer. Comme vous pouvez l'imaginer, une telle vulnérabilité peut entraîner une brèche de sécurité critique.

Pourquoi cela s'appelle-t-il zero-day ?

Beaucoup de gens veulent savoir pourquoi les experts appellent ce type d'exploitation informatique une vulnérabilité zero-day plutôt que quelque chose d'autre. Il faut admettre qu'il y a un peu de sarcasme derrière ce nom. Dans le monde informatique, on l'appelle une attaque zero-day — car les créateurs du logiciel ont zéro jour pour réagir après que les hackers en aient profité. C'est un peu comme fermer la porte de l'écurie après que le loup soit déjà entré. Bien sûr, vous pouvez prévenir les futures attaques, mais cela ne réconforte pas vraiment les moutons disparus.  

Une fois que la vulnérabilité zero-day est rendue publique, ce n'est plus un défaut zero-day — c'est juste une vulnérabilité. Habituellement, les fabricants brûlent la chandelle par les deux bouts pour développer un correctif afin de réparer la faille dès qu'ils en prennent connaissance.

Comment sont découvertes les failles zero-day ?

Avec les fabricants qui travaillent dur pour minimiser les vulnérabilités, vous remarquerez que vos logiciels se mettent à jour assez régulièrement. Parfois, les mises à jour de sécurité sortent même le jour même de la sortie du logiciel. Bien que les développeurs préfèrent trouver les failles de sécurité en interne, ils ne refusent pas non plus un peu d'aide extérieure. 

Hackers à chapeau blanc

Hacker chapeau blanc est un terme archaïque pour désigner un hacker éthique. Les entreprises engagent ces spécialistes pour améliorer la sécurité du réseau. Identifier des bugs zero-day potentiels peut faire partie du travail.

Hackers à chapeau gris

Les hackers "gris" sont comme les "blancs", sauf qu'ils ne travaillent pas dans un cadre officiel. hackers peuvent essayer de trouver des bogues de type "zero-day" dans l'espoir de décrocher un emploi dans l'entreprise, d'acquérir une certaine notoriété ou simplement pour se divertir. Un hacker "chapeau gris" n'exploite jamais les failles qu'il découvre. Par exemple, un hacker a exploité une vulnérabilité de la plateforme de crypto-monnaie Poly Network pour s'emparer de 600 millions de dollars de jetons avant de les restituer.

Concours

De nombreux éditeurs de logiciels organisent des événements de piratage et versent aux hackers argent et des prix pour la découverte d'exploits. Les hackers trouvent des failles dans les systèmes d'exploitation, les navigateurs web et les applications pour les appareils mobiles et les ordinateurs. Un exemple récent est celui de deux spécialistes néerlandais de la sécurité qui ont remporté 200 000 dollars pour la découverte d' un zero-day Zoom lors de l'événement Pwn2Own.

Chercheurs

Les chercheurs de sociétés de cybersécurité telles que Malwarebytes cherchent des exploits dans le cadre de leur travail. Lorsque les chercheurs trouvent un exploit avant les cybercriminels, ils le rapportent généralement aux fabricants avant de le rendre public. En donnant aux fabricants une longueur d'avance, les chercheurs peuvent minimiser les chances pour les hackers de lancer des attaques zero-day.

Comment sont détectées les attaques zero-day ?

Un utilisateur de logiciel se rend compte qu'il est la cible d'une attaque de type "zero-day" lorsque son système se comporte de manière inhabituelle ou lorsqu'un hacker utilise l'exploit pour diffuser des logiciels malveillants menaçants tels que des ransomwares. Les chercheurs peuvent également découvrir une attaque de type "zero-day" après un événement. Par exemple, après l'attaque d'État Stuxnet contre l'Iran, des chercheurs du monde entier ont réalisé qu'il s'agissait d'une attaque par ver de type "zero-day ". Parfois, une attaque de type "zero-day" est reconnue par un fabricant après qu'un client a signalé une activité inhabituelle.

Les attaques zero-day sont-elles courantes ?

Les attaques zero-day comme le ver Stuxnet ont des cibles précises et n'affectent pas les utilisateurs réguliers d'ordinateurs. Pendant ce temps, des entreprises réputées comme Microsoft, Apple et Google, réparent généralement les zero-days dès que possible pour protéger leur réputation et leurs utilisateurs. Souvent, une correction est disponible avant que l'utilisateur lambda ne soit touché. Pourtant, les zero-days ne doivent pas être pris à la légère car leur impact peut être très nuisible.

Comment une attaque zero-day se produit-elle ?

  • Identification : Hackers trouvent des vulnérabilités non signalées dans les logiciels en les testant ou en les achetant sur des marchés noirs dans les bas-fonds de l'Internet, comme le Dark Web.
  • Création: Les acteurs malveillants créent des kits, des scripts ou des processus qui peuvent exploiter les vulnérabilités nouvellement découvertes.
  • Intelligence: Les attaquants ont déjà une cible en tête ou utilisent des outils comme les bots, le sondage ou les scanners pour trouver des cibles rentables aux systèmes exploitables.
  • Planification: Les hackers évaluent la force et les faiblesses de leur cible avant de lancer une attaque. Ils peuvent utiliser l'ingénierie sociale, les espions ou toute autre tactique pour infiltrer un système.  
  • Exécution: Une fois tout en place, les attaquants déploient leur logiciel malveillant et exploitent la vulnérabilité.

Comment atténuer les attaques zero-day

Éviter que des attaquants n'exploitent des vulnérabilités inconnues pour compromettre votre système est sans aucun doute un défi. Il est crucial de fermer les vecteurs de menace qu'un acteur malveillant pourrait utiliser pour infiltrer votre réseau en appliquant des protections par couches et des pratiques plus sûres. Voici quelques conseils qui pourraient vous aider à détecter et à prévenir les menaces inconnues:

  • Ne pas utiliser de vieux logiciels. Les hackers peuvent plus facilement créer des exploits pour des logiciels que le vendeur ne prend plus en charge.
  • Utilisez des outils antivirus avancés dotés de fonctions d'apprentissage automatique, de détection comportementale et d'atténuation des exploits. Ces fonctionnalités peuvent aider vos outils de cybersécurité à arrêter les menaces dont les signatures sont inconnues.
  • Dans les entreprises:
    • Former les employés à identifier les attaques d'ingénierie sociale, comme le spear-phishing, que les hackers peuvent utiliser comme vecteur d'attaque.
    • Adopter des solutions Endpoint Detection and Response (EDR) pour surveiller et sécuriser vos terminaux.
    • Améliorer la sécurité réseau avec des pare-feux, VPN privés et IPsec.
    • Segmenter vos réseaux avec des contrôles d'accès robustes.

Actualités sur les zero-days