Pourquoi parle-t-on d'attaque « zero-day » ?

On parle de « zero-day » car les éditeurs de logiciels n'ont aucun délai pour réagir une fois que hackers exploité la faille : l'attaque survient avant même qu'un correctif ne soit disponible.

Qu'est-ce qu'une vulnérabilité « zero-day » ?

Une faille « zero-day » désigne toute vulnérabilité logicielle pouvant être exploitée par hackers aucun correctif n'a encore été publié, soit parce que les développeurs n'en ont pas connaissance, soit parce qu'ils sont en train d'élaborer un correctif, soit parce qu'ils l'ignorent.

Comment hackers -ils les vulnérabilités « zero-day » ?

Hackers des failles non signalées en testant des logiciels ou en achetant des informations sur des exploits sur des marchés noirs tels que le Dark Web.

Comment puis-je me protéger contre les attaques « zero-day » ?

Utilisez des outils antivirus avancés dotés de l'apprentissage automatique, de la détection comportementale et de la protection contre les exploits ; évitez d'utiliser des logiciels obsolètes qui ne sont plus pris en charge, et veillez à mettre régulièrement à jour tous vos logiciels.

Que se passe-t-il lorsqu'une faille « zero-day » est rendue publique ?

Une fois que la faille « zero-day » a été rendue publique, elle ne constitue plus une faille « zero-day » : il s'agit simplement d'une vulnérabilité, et les fabricants s'empressent généralement de développer un correctif pour y remédier.

Qu'est-ce qu'une attaque Zero-Day ?

Q: Qu'est-ce qu'une attaque de type "zero-day" ?

Une attaque « zero-day » exploite une faille de sécurité dans un logiciel avant que le développeur n'ait eu le temps de la corriger.

Q: Les attaques zero-day sont-elles courantes ?

Les attaques de type « zero-day » visent souvent des cibles spécifiques et n'affectent généralement pas les utilisateurs lambda ; de plus, les entreprises réputées corrigent généralement ces failles dès que possible, avant que l'utilisateur lambda n'en soit affecté.

Q: Qui détecte les failles « zero-day » avant que les pirates ne les exploitent ?

hackers « white hat » hackers par des entreprises, hackers « grey hat » hackers à leur compte, les chercheurs issus de sociétés de cybersécurité telles que Malwarebytes, ainsi que les participants à des concours de piratage contribuent à la découverte de failles « zero-day ».

Points clés à retenir

Une attaque « zero-day » se produit lorsque hackers exploitent une faille logicielle avant que le développeur n'ait créé ou publié un correctif.
Le terme « zero-day » signifie que les développeurs n'ont aucun délai pour corriger la faille une fois que les pirates ont commencé à l'exploiter.
Les vulnérabilités « zero-day » existent car même les logiciels bien conçus peuvent comporter des bogues ou des failles cachés que les développeurs n'ont pas encore découverts.
Ces failles peuvent être découvertes par hackers éthiques, des chercheurs indépendants ou des acteurs malveillants qui les exploitent avant même que l'on sache qu'elles existent.
En l'absence de correctif disponible, les attaques « zero-day » présentent de graves risques pour la sécurité ; c'est pourquoi il est essentiel, pour assurer une protection efficace, de procéder à des mises à jour régulières, d'assurer une surveillance constante et de disposer d'outils de prévention des exploits.

Qu'est-ce qu'une attaque de type "zero-day" ?

Vous ne réfléchissez peut-être pas beaucoup au logiciel que vous utilisez pour faire fonctionner vos ordinateurs et appareils, mais derrière l'interface se trouve un code très complexe qui a pu prendre des années à une grande équipe de développeurs pour être écrit et affiné. Malgré leurs meilleurs efforts, les développeurs peuvent manquer des défauts de logiciel. Alors que certains défauts n'affectent que l'expérience utilisateur, d'autres sont beaucoup plus graves.

Une faille zero-day est toute vulnérabilité logicielle exploitable par des hackers qui n'a pas encore de correctif. Les développeurs du logiciel peuvent soit ne pas être au courant de la faille, être en train de développer un correctif ou l'ignorer. Comme vous pouvez l'imaginer, une telle vulnérabilité peut entraîner une brèche de sécurité critique.

Pourquoi cela s'appelle-t-il zero-day ?

Beaucoup de gens veulent savoir pourquoi les experts appellent ce type d'exploitation informatique une vulnérabilité zero-day plutôt que quelque chose d'autre. Il faut admettre qu'il y a un peu de sarcasme derrière ce nom. Dans le monde informatique, on l'appelle une attaque zero-day — car les créateurs du logiciel ont zéro jour pour réagir après que les hackers en aient profité. C'est un peu comme fermer la porte de l'écurie après que le loup soit déjà entré. Bien sûr, vous pouvez prévenir les futures attaques, mais cela ne réconforte pas vraiment les moutons disparus.

Une fois que la vulnérabilité zero-day est rendue publique, ce n'est plus un défaut zero-day — c'est juste une vulnérabilité. Habituellement, les fabricants brûlent la chandelle par les deux bouts pour développer un correctif afin de réparer la faille dès qu'ils en prennent connaissance.

Comment sont découvertes les failles zero-day ?

Avec les fabricants qui travaillent dur pour minimiser les vulnérabilités, vous remarquerez que vos logiciels se mettent à jour assez régulièrement. Parfois, les mises à jour de sécurité sortent même le jour même de la sortie du logiciel. Bien que les développeurs préfèrent trouver les failles de sécurité en interne, ils ne refusent pas non plus un peu d'aide extérieure.

Hackers à chapeau blanc

Hacker chapeau blanc est un terme archaïque pour désigner un hacker éthique. Les entreprises engagent ces spécialistes pour améliorer la sécurité du réseau. Identifier des bugs zero-day potentiels peut faire partie du travail.

Hackers à chapeau gris

Les hackers "gris" sont comme les "blancs", sauf qu'ils ne travaillent pas dans un cadre officiel. hackers peuvent essayer de trouver des bogues de type "zero-day" dans l'espoir de décrocher un emploi dans l'entreprise, d'acquérir une certaine notoriété ou simplement pour se divertir. Un hacker "chapeau gris" n'exploite jamais les failles qu'il découvre. Par exemple, un hacker a exploité une vulnérabilité de la plateforme de crypto-monnaie Poly Network pour s'emparer de 600 millions de dollars de jetons avant de les restituer.

Concours

De nombreuses entreprises de logiciels organisent des événements de hacking et rétribuent les hackers avec de l'argent et des prix pour trouver des exploits. Ici, les hackers détectent des failles dans les systèmes d'exploitation, les navigateurs Web et les apps pour les appareils mobiles et les ordinateurs. Un exemple récent est celui de deux spécialistes de la sécurité néerlandais qui ont remporté 200,000 $ pour une découverte zero-day sur Zoom lors de Pwn2Own.

Chercheurs

Les chercheurs de sociétés de cybersécurité telles que Malwarebytes cherchent des exploits dans le cadre de leur travail. Lorsque les chercheurs trouvent un exploit avant les cybercriminels, ils le rapportent généralement aux fabricants avant de le rendre public. En donnant aux fabricants une longueur d'avance, les chercheurs peuvent minimiser les chances pour les hackers de lancer des attaques zero-day.

Comment sont détectées les attaques zero-day ?

Un utilisateur de logiciel se rend compte qu'il est la cible d'une attaque zero-day lorsque son système se comporte de manière inhabituelle ou lorsque qu'un hacker utilise l'exploit pour déposer un logiciel malveillant comme un ransomware. Les chercheurs peuvent également découvrir une attaque zero-day après un événement. Par exemple, après l'attaque Stuxnet commanditée par l'État contre l'Iran, des chercheurs du monde entier ont réalisé qu'il s'agissait d'une attaque de type ver zero-day. Parfois, une attaque zero-day est reconnue par un fabricant après qu'un client ait signalé une activité inhabituelle.

Les attaques zero-day sont-elles courantes ?

Les attaques zero-day comme le ver Stuxnet ont des cibles précises et n'affectent pas les utilisateurs réguliers d'ordinateurs. Pendant ce temps, des entreprises réputées comme Microsoft, Apple et Google, réparent généralement les zero-days dès que possible pour protéger leur réputation et leurs utilisateurs. Souvent, une correction est disponible avant que l'utilisateur lambda ne soit touché. Pourtant, les zero-days ne doivent pas être pris à la légère car leur impact peut être très nuisible.

Comment une attaque zero-day se produit-elle ?

Identification: Les hackers trouvent des vulnérabilités non signalées dans les logiciels par le biais de tests ou en faisant des emplettes sur les marchés noirs dans les bas-fonds d'Internet comme le Dark Web.
Création: Les acteurs malveillants créent des kits, des scripts ou des processus qui peuvent exploiter les vulnérabilités nouvellement découvertes.
Intelligence: Les attaquants ont déjà une cible en tête ou utilisent des outils comme les bots, le sondage ou les scanners pour trouver des cibles rentables aux systèmes exploitables.
Planification: Les hackers évaluent la force et les faiblesses de leur cible avant de lancer une attaque. Ils peuvent utiliser l'ingénierie sociale, les espions ou toute autre tactique pour infiltrer un système.
Exécution: Une fois tout en place, les attaquants déploient leur logiciel malveillant et exploitent la vulnérabilité.

Comment atténuer les attaques zero-day

Éviter que des attaquants n'exploitent des vulnérabilités inconnues pour compromettre votre système est sans aucun doute un défi. Il est crucial de fermer les vecteurs de menace qu'un acteur malveillant pourrait utiliser pour infiltrer votre réseau en appliquant des protections par couches et des pratiques plus sûres. Voici quelques conseils qui pourraient vous aider à détecter et à prévenir les menaces inconnues:

Ne pas utiliser de vieux logiciels. Les hackers peuvent plus facilement créer des exploits pour des logiciels que le vendeur ne prend plus en charge.
Utiliser des outils antivirus avancés dotés de l'apprentissage machine, la détection comportementale et la mitigation des exploits. De telles caractéristiques peuvent aider vos outils de cybersécurité à arrêter les menaces sans signature connue.
Dans les entreprises:

Former les employés à identifier des attaques d'ingénierie sociale comme le spear-phishing que les hackers peuvent utiliser comme vecteur d'attaque.
Adopter des solutions Endpoint Detection and Response (EDR) pour surveiller et sécuriser vos terminaux.
Améliorer la sécurité réseau avec des pare-feux, VPN privés et IPsec.
Segmenter vos réseaux avec des contrôles d'accès robustes.