Les personnes qui lancent des attaques zero-day ne constituent pas un groupe monolithique ; elles ont des motivations diverses et appartiennent à différentes catégories. Les pirates opportunistes ne représentent qu'une partie du problème ; il existe également un marché noir florissant sur lequel les vulnérabilités et les exploits zero-day se négocient pour de grosses sommes d'argent. Des acteurs d'États-nations sont également à la recherche de ces failles. Au lieu de les divulguer, ils stockent souvent ces vulnérabilités en vue de créer des exploits zero-day spécialisés qu'ils utiliseront contre leurs adversaires, une pratique qui suscite de vives critiques car elle met en danger des organisations innocentes.
Les cybercriminels recherchent généralement un gain financier : ils se concentrent sur l'acquisition d'informations sensibles, qu'ils chiffrent (ransomware) et/ou menacent de divulguer si une rançon ne leur est pas versée. Les États-nations et les hacktivistes exploitent les vulnérabilités zero-day pour faire avancer des causes sociales ou politiques, souvent dans le but de collecter des données sensibles ou de faire connaître leur mission. Autre motivation, l'espionnage industriel : dans ce cas, il s'agit d'entreprises qui déploient des exploits pour obtenir un avantage concurrentiel en accédant aux informations confidentielles de leurs concurrents. Enfin, ces attaques peuvent être utilisées dans le cadre de cyberguerres, orchestrées par des États-nations qui ciblent l'infrastructure numérique d'un autre pays au moyen d'attaques perturbatrices à plus ou moins long terme afin de prendre la main sur les services publics, les institutions économiques, les investissements stratégiques et les propriétés intellectuelles (y compris les secrets d'État).
Les exploits zero-day ont une large portée et frappent de multiples cibles, des systèmes d'exploitation aux navigateurs Internet en passant par le matériel et les appareils de l'IdO. Toutes ces cibles sont utilisées par les victimes, au nombre desquelles figurent :
· les utilisateurs ordinaires équipés d'un système vulnérable (par exemple, un navigateur obsolète) ;
· les propriétaires de données d'entreprise ou de propriétés intellectuelles précieuses ;
· les grandes entreprises et organisations qui gèrent d'importantes quantités de données sensibles ; et
· les agences gouvernementales qui détiennent des informations relevant de la sécurité nationale.
Les cibles peuvent être spécifiques ou générales. Les attaques zero-day ciblées visent des cibles de grande valeur telles que des agences gouvernementales ou de grandes entreprises, tandis que les attaques non ciblées se concentrent sur l'exploitation de tous les systèmes vulnérables qu'elles peuvent toucher. Dans ce dernier cas, l'objectif est souvent de compromettre le plus grand nombre d'utilisateurs possible, afin que personne ne soit véritablement à l'abri de dégâts potentiels.
La mise en place d'une attaque zero-day repose sur plusieurs facteurs, tels que :
· l'identification d'une vulnérabilité logicielle, (par exemple, une faille dans l'exécution d'une application) ;
· la non-divulgation publique de la vulnérabilité ; et
· le développement rapide d'un exploit pour cette vulnérabilité.
Ces facteurs sont autant d'éléments facilitateurs pour diverses activités nuisibles, mais le déploiement d'un code d'exploit reste nécessaire pour lancer une attaque. Le déploiement d'un exploit peut se faire par le biais de différents canaux :
· l'ingénierie sociale : les attaquants recourent à divers moyens hautement interactifs, tels que les e-mails personnalisés, les réseaux sociaux et autres messages ; les attaquants établissent le profil de leurs cibles pour gagner leur confiance ;
· le phishing : les attaquants emploient cette méthode pour inciter les utilisateurs à ouvrir un fichier ou un lien malveillant contenu dans un e-mail qui semble légitime mais qui provient en fait d'une personne mal intentionnée ;
· le téléchargement furtif : dans ce scénario, les malfaiteurs implantent un code d'exploit (sous forme d'élément masqué) dans un site qui semble légitime, mais qui a été compromis. Lorsqu'un visiteur parcourt le site infecté, l'exploit est téléchargé et exécuté sur son système à son insu et sans son intervention. Cette technique est souvent utilisée pour mener des attaques zero-day basées sur des vulnérabilités zero-day pour infiltrer discrètement des systèmes ;
· la publicité malveillante : cette stratégie consiste à faire passer des publicités malveillantes via des réseaux publicitaires fiables. Le simple fait de cliquer ou de survoler ces publicités suffit à déclencher le code d'exploit. Sachant que les utilisateurs ont tendance à faire confiance aux sites Internet connus, c'est une façon astucieuse de lancer des attaques zero-day ; et
· le spear phishing : cette technique consiste à cibler des utilisateurs finaux spécifiques au moyen de messages hautement personnalisés envoyés par e-mail, par SMS ou via d'autres plateformes. Si un attaquant parvient à accéder à un compte privilégié, l'utilité de l'exploit est amplifiée au sein de l'infrastructure cible. Cela permet d'étendre la portée d'une attaque au-delà d'une entreprise afin qu'elle touche également les partenaires et autres filiales de ladite entreprise.
Ces exploits peuvent également être regroupés au sein d'un « paquet d'exploits », qui explore le système à la recherche de multiples vulnérabilités et qui déploie les exploits là où ils seront le plus efficaces. Une fois le code exécuté, il peut entraîner de nombreux dégâts, allant du vol de données au blocage du système. Compte tenu de la nature furtive et sophistiquée de ces attaques, elles sont souvent difficiles à détecter et à prévenir, nécessitant la mise en place de stratégies de prévention des attaques zero-day.