Qu'est-ce qu'une attaque de type "zero-day" ?

Une attaque qui exploite une vulnérabilité logicielle avant que le développeur du logiciel n'ait eu le temps de la corriger s'appelle une attaque de type "zero-day".

.st0{fill:#0D3ECC;} TÉLÉCHARGER GRATUITEMENT MALWAREBYTES

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Vous ne réfléchissez peut-être pas aux logiciels que vous utilisez pour faire fonctionner vos ordinateurs et vos appareils, mais derrière l'interface se cache un code extrêmement complexe dont la rédaction et la mise au point ont parfois demandé des années à une grande équipe de développeurs. Malgré tous leurs efforts, les développeurs peuvent manquer des failles dans les logiciels. Si certaines failles n'affectent que l'expérience de l'utilisateur, d'autres sont beaucoup plus graves.  

Une faille de type "zero-day" est une vulnérabilité logicielle exploitable par les pirates qui n'a pas encore de correctif. Les développeurs de logiciels peuvent soit ne pas être au courant de la faiblesse, soit être en train d'élaborer un correctif, soit l'ignorer. Comme vous pouvez l'imaginer, une telle faille peut entraîner une violation critique de la cybersécurité.

Pourquoi l'appelle-t-on "zero-day" ?

Beaucoup de gens veulent savoir pourquoi les experts appellent ce type d'exploit informatique une vulnérabilité "zero-day" plutôt qu'autre chose. Il est vrai que ce nom n'est pas dénué de sarcasme. Dans le monde de l'informatique, on parle d'attaque "zero-day" parce que les créateurs de logiciels n'ont aucun jour pour réagir une fois que les pirates informatiques ont tiré parti de la faille. C'est un peu comme fermer la porte de la grange une fois que le loup est entré. Bien sûr, on peut prévenir les attaques futures, mais ce n'est pas un grand réconfort pour les brebis disparues.  

Une fois que la vulnérabilité "zero-day" est rendue publique, il ne s'agit plus d'une faille "zero-day", mais simplement d'une vulnérabilité. En général, les fabricants mettent tout en œuvre pour développer un correctif afin de combler la faille dès qu'ils en ont connaissance.

Comment les bogues de type "zero-day" sont-ils découverts ?

Les fabricants faisant des heures supplémentaires pour minimiser les vulnérabilités, vous remarquerez que vos logiciels sont mis à jour assez régulièrement. Parfois, les mises à jour de sécurité sont même publiées le même jour que le lancement du logiciel. Si les développeurs aiment trouver les failles de sécurité en interne, ils n'hésitent pas non plus à faire appel à une aide extérieure. 

Les hackers "white hat" (chapeau blanc)

White hat hacker est un terme archaïque pour désigner un hacker éthique. Les entreprises engagent ces spécialistes pour renforcer la sécurité de leurs réseaux. L'identification de bogues potentiels de type "zero-day" peut faire partie du travail.

Hackers gris

Les hackers "gris" sont comme les "blancs", sauf qu'ils ne travaillent pas dans un cadre officiel. Ils peuvent essayer de trouver des bogues de type "zero-day" dans l'espoir de décrocher un emploi dans l'entreprise, d'acquérir une certaine notoriété ou simplement pour se divertir. Un hacker "chapeau gris" n'exploite jamais les failles qu'il découvre. Par exemple, un pirate a exploité une vulnérabilité de la plateforme de crypto-monnaie Poly Network pour s'emparer de 600 millions de dollars de jetons avant de les restituer.

Concours

De nombreux éditeurs de logiciels organisent des événements de piratage et versent aux pirates de l'argent et des prix pour la découverte d'exploits. Les pirates trouvent des failles dans les systèmes d'exploitation, les navigateurs web et les applications pour les appareils mobiles et les ordinateurs. Un exemple récent est celui de deux spécialistes néerlandais de la sécurité qui ont remporté 200 000 dollars pour la découverte d' un zero-day Zoom lors de l'événement Pwn2Own.

Chercheurs

Les chercheurs des entreprises de cybersécurité telles que Malwarebytes recherchent des exploits dans le cadre de leur travail. Lorsque les chercheurs trouvent un exploit avant les cybercriminels, ils le signalent généralement aux fabricants avant de le rendre public. En donnant une longueur d'avance aux fabricants, les chercheurs peuvent minimiser les risques que les pirates lancent des attaques de type "zero-day".

Comment les attaques de type "zero-day" sont-elles découvertes ?

Un utilisateur de logiciel se rend compte qu'il est la cible d'une attaque de type "zero-day" lorsque son système se comporte de manière inhabituelle ou lorsqu'un pirate informatique utilise l'exploit pour diffuser des malwares menaçants tels que des ransomwares. Les chercheurs peuvent également découvrir une attaque de type "zero-day" après un événement. Par exemple, après l'attaque d'État Stuxnet contre l'Iran, des chercheurs du monde entier ont réalisé qu'il s'agissait d'une attaque par ver de type "zero-day". Parfois, une attaque de type "zero-day" est reconnue par un fabricant après qu'un client a signalé une activité inhabituelle.

Les attaques de type "zero-day" sont-elles courantes ?

Les attaques de type "zero day", comme l'attaque du ver Stuxnet, ont des cibles spécifiques et n'affectent pas les utilisateurs d'ordinateurs ordinaires. Par ailleurs, les entreprises réputées telles que Microsoft, Apple et Google corrigent généralement les attaques de type "zero day" dès que possible afin de protéger leur réputation et leurs utilisateurs. Souvent, un correctif est disponible avant que l'utilisateur moyen ne soit affecté. Néanmoins, les failles ne doivent pas être prises à la légère, car leur impact peut être gravement préjudiciable.

Comment une attaque de type "zero-day" se produit-elle ?

  • Identification : Les pirates trouvent des vulnérabilités non signalées dans les logiciels en les testant ou en les achetant sur des marchés noirs dans les bas-fonds de l'Internet, comme le site Dark Web.
  • Création : Les acteurs de la menace créent des kits, des scripts ou des processus capables d'exploiter les vulnérabilités nouvellement découvertes.
  • Renseignement : Les attaquants ont déjà une cible en tête ou utilisent des outils tels que des robots, des sondes ou des scanners pour trouver des cibles rentables dotées de systèmes exploitables.
  • La planification : Les pirates informatiques évaluent les forces et les faiblesses de leur cible avant de lancer une attaque. Ils peuvent avoir recours à l'ingénierie sociale, à l'espionnage ou à toute autre tactique pour infiltrer un système.  
  • Exécution : Lorsque tout est en place, les attaquants déploient leur logiciel malveillant et exploitent la vulnérabilité.

Comment atténuer les attaques de type "zero-day" ?

Empêcher les attaquants d'exploiter des vulnérabilités inconnues pour pénétrer dans votre système est sans aucun doute un défi. Il est essentiel de fermer les vecteurs de menace qu'un acteur de la menace peut utiliser pour infiltrer votre réseau avec des couches de protection et des pratiques plus sûres. Voici quelques conseils qui peuvent vous aider à détecter et à prévenir les menaces inconnues :

  • N'utilisez pas de vieux logiciels. Les pirates informatiques peuvent plus facilement créer des exploits pour les logiciels qui ne sont plus pris en charge par l'éditeur.
  • Utilisez des outils antivirus avancés dotés de fonctions d'apprentissage automatique, de détection comportementale et d'atténuation des exploits. Ces fonctionnalités peuvent aider vos outils de cybersécurité à arrêter les menaces dont les signatures sont inconnues.
  • Dans les entreprises :
    • Former les employés à identifier les attaques d'ingénierie sociale, comme le spear-phishing, que les pirates peuvent utiliser comme vecteur d'attaque.
    • Adoptez des solutions de détection et de réponse des points finaux (EDR) pour surveiller et sécuriser vos points finaux.
    • Renforcer la sécurité du réseau à l'aide de pare-feu, de VPN privés et d'IPsec.
    • Segmentez vos réseaux à l'aide de contrôles d'accès robustes.

Actualités sur les jours zéro