Une vulnérabilité zero-day est une faille de sécurité présente dans un logiciel, un équipement matériel ou un microprogramme et dont les responsables (fournisseurs de logiciels ou de matériel) n'ont pas connaissance avant qu'elle leur soit directement signalée ou qu'elle soit divulguée au grand public. Dans certains cas, le fournisseur n'a pas conscience de la faille avant sa divulgation publique, ou n'a pas eu suffisamment de temps pour créer un correctif. Il n'existe donc pas de solution officielle ni de correctif officiel pour empêcher la vulnérabilité d'être exploitée. Ces vulnérabilités sont particulièrement dangereuses car elles peuvent passer inaperçues pendant de longues périodes (plusieurs jours, plusieurs mois voire plusieurs années).

 

L'expression « zero-day » fait référence à l'absence de temps entre la découverte d'une vulnérabilité, son exploitation potentielle, et sa reconnaissance publique et/ou son atténuation par le fournisseur. Les vulnérabilités de ce type sont des cibles privilégiées pour les cybercriminels qui tentent de les exploiter avant qu'elles soient reconnues, ou dès que possible après leur divulgation. Techniquement, une fois la faille révélée au public, elle n'est plus considérée comme une vulnérabilité zero-day, mais plutôt comme une vulnérabilité du « jour un » ou une vulnérabilité du « jour n ».

Qu'est-ce qu'un exploit zero-day ?

Un exploit zero-day est une méthode ou une technique spécifiquement utilisée par des attaquants pour tirer parti d'une vulnérabilité zero-day. Il s'agit d'un morceau de code ou d'une séquence de commandes qui exploite une vulnérabilité en vue d'obtenir un résultat permettant de lancer une attaque. Lorsque des cybercriminels découvrent ces exploits avant les fournisseurs, ils bénéficient d'une longueur d'avance pour concevoir et déployer des attaques. Incitation financière supplémentaire pour les attaquants, les kits d'exploits zero-day se monnayent à prix fort sur le Dark Web.

Qu'est-ce qu'une attaque zero-day ?

En termes de cybersécurité, une attaque zero-day se produit lorsqu'un attaquant utilise un exploit zero-day pour compromettre un système présentant une vulnérabilité existante mais inconnue. Ces attaques peuvent prendre différentes formes, allant du vol de données à l'installation de logiciels malveillants. Les attaques zero-day sont particulièrement dangereuses car, bien souvent, les seules personnes qui en ont conscience sont les attaquants eux-mêmes. Dans de nombreux cas, les attaquants déploient l'exploit zero-day en recourant à des méthodes sophistiquées telles que des e-mails d'ingénierie sociale ou des fraudes par phishing, initiant ainsi la séquence d'attaque.

Fonctionnement

qu'est-ce qu'un exploit zero-day

Les vulnérabilités zero-day sont particulièrement préoccupantes dans la mesure où elles permettent aux attaquants d'exploiter des failles avant même que les cibles aient conscience de leur existence. Cela signifie que les attaquants, après qu'ils se sont introduits subrepticement dans les systèmes, ont amplement le temps d'y faire des ravages. Une fois qu'une vulnérabilité zero-day est divulguée, les fournisseurs peuvent mettre beaucoup de temps à publier un correctif. En attendant, les organisations demeurent très vulnérables.

Pour compliquer encore les choses, l'architecture même des réseaux modernes est de plus en plus complexe. Les organisations recourent désormais à un mélange d'applications basées dans le cloud et sur site, à divers types d'appareils et même à des technologies de l'IdO (Internet des objets), élargissant ainsi considérablement leur surface d'attaque.

Voir plus

 

 

Les personnes qui lancent des attaques zero-day ne constituent pas un groupe monolithique ; elles ont des motivations diverses et appartiennent à différentes catégories. Les pirates opportunistes ne représentent qu'une partie du problème ; il existe également un marché noir florissant sur lequel les vulnérabilités et les exploits zero-day se négocient pour de grosses sommes d'argent. Des acteurs d'États-nations sont également à la recherche de ces failles. Au lieu de les divulguer, ils stockent souvent ces vulnérabilités en vue de créer des exploits zero-day spécialisés qu'ils utiliseront contre leurs adversaires, une pratique qui suscite de vives critiques car elle met en danger des organisations innocentes.

 

Les cybercriminels recherchent généralement un gain financier : ils se concentrent sur l'acquisition d'informations sensibles, qu'ils chiffrent (ransomware) et/ou menacent de divulguer si une rançon ne leur est pas versée. Les États-nations et les hacktivistes exploitent les vulnérabilités zero-day pour faire avancer des causes sociales ou politiques, souvent dans le but de collecter des données sensibles ou de faire connaître leur mission. Autre motivation, l'espionnage industriel : dans ce cas, il s'agit d'entreprises qui déploient des exploits pour obtenir un avantage concurrentiel en accédant aux informations confidentielles de leurs concurrents. Enfin, ces attaques peuvent être utilisées dans le cadre de cyberguerres, orchestrées par des États-nations qui ciblent l'infrastructure numérique d'un autre pays au moyen d'attaques perturbatrices à plus ou moins long terme afin de prendre la main sur les services publics, les institutions économiques, les investissements stratégiques et les propriétés intellectuelles (y compris les secrets d'État).

 

Les exploits zero-day ont une large portée et frappent de multiples cibles, des systèmes d'exploitation aux navigateurs Internet en passant par le matériel et les appareils de l'IdO. Toutes ces cibles sont utilisées par les victimes, au nombre desquelles figurent :

· les utilisateurs ordinaires équipés d'un système vulnérable (par exemple, un navigateur obsolète) ;

· les propriétaires de données d'entreprise ou de propriétés intellectuelles précieuses ;

· les grandes entreprises et organisations qui gèrent d'importantes quantités de données sensibles ; et

· les agences gouvernementales qui détiennent des informations relevant de la sécurité nationale.

 

Les cibles peuvent être spécifiques ou générales. Les attaques zero-day ciblées visent des cibles de grande valeur telles que des agences gouvernementales ou de grandes entreprises, tandis que les attaques non ciblées se concentrent sur l'exploitation de tous les systèmes vulnérables qu'elles peuvent toucher. Dans ce dernier cas, l'objectif est souvent de compromettre le plus grand nombre d'utilisateurs possible, afin que personne ne soit véritablement à l'abri de dégâts potentiels.

 

La mise en place d'une attaque zero-day repose sur plusieurs facteurs, tels que :

· l'identification d'une vulnérabilité logicielle, (par exemple, une faille dans l'exécution d'une application) ;

· la non-divulgation publique de la vulnérabilité ; et

· le développement rapide d'un exploit pour cette vulnérabilité.

 

Ces facteurs sont autant d'éléments facilitateurs pour diverses activités nuisibles, mais le déploiement d'un code d'exploit reste nécessaire pour lancer une attaque. Le déploiement d'un exploit peut se faire par le biais de différents canaux :

· l'ingénierie sociale : les attaquants recourent à divers moyens hautement interactifs, tels que les e-mails personnalisés, les réseaux sociaux et autres messages ; les attaquants établissent le profil de leurs cibles pour gagner leur confiance ;

· le phishing : les attaquants emploient cette méthode pour inciter les utilisateurs à ouvrir un fichier ou un lien malveillant contenu dans un e-mail qui semble légitime mais qui provient en fait d'une personne mal intentionnée ;

· le téléchargement furtif : dans ce scénario, les malfaiteurs implantent un code d'exploit (sous forme d'élément masqué) dans un site qui semble légitime, mais qui a été compromis. Lorsqu'un visiteur parcourt le site infecté, l'exploit est téléchargé et exécuté sur son système à son insu et sans son intervention. Cette technique est souvent utilisée pour mener des attaques zero-day basées sur des vulnérabilités zero-day pour infiltrer discrètement des systèmes ;

· la publicité malveillante : cette stratégie consiste à faire passer des publicités malveillantes via des réseaux publicitaires fiables. Le simple fait de cliquer ou de survoler ces publicités suffit à déclencher le code d'exploit. Sachant que les utilisateurs ont tendance à faire confiance aux sites Internet connus, c'est une façon astucieuse de lancer des attaques zero-day ; et

· le spear phishing : cette technique consiste à cibler des utilisateurs finaux spécifiques au moyen de messages hautement personnalisés envoyés par e-mail, par SMS ou via d'autres plateformes. Si un attaquant parvient à accéder à un compte privilégié, l'utilité de l'exploit est amplifiée au sein de l'infrastructure cible. Cela permet d'étendre la portée d'une attaque au-delà d'une entreprise afin qu'elle touche également les partenaires et autres filiales de ladite entreprise.

 

Ces exploits peuvent également être regroupés au sein d'un « paquet d'exploits », qui explore le système à la recherche de multiples vulnérabilités et qui déploie les exploits là où ils seront le plus efficaces. Une fois le code exécuté, il peut entraîner de nombreux dégâts, allant du vol de données au blocage du système. Compte tenu de la nature furtive et sophistiquée de ces attaques, elles sont souvent difficiles à détecter et à prévenir, nécessitant la mise en place de stratégies de prévention des attaques zero-day.

9 exemples concrets d'exploits zero-day

 

Le monde a été témoin de plusieurs exploits importants au fil des ans. Certains d'entre eux ont même fait la une des journaux, semant la panique parmi les utilisateurs. Nous répertorions ci-dessous quelques exemples d'exploits majeurs qui ont façonné notre compréhension de cette menace cybersécuritaire.

 

1. EternalBlue - Développé par l'Agence nationale de sécurité (NSA) des États-Unis, cet exploit ciblait une vulnérabilité du protocole Microsoft Windows Server Message Block (SMB). Utilisé dans le cadre de cyberattaques majeures, à l'instar de celle du ransomware WannaCry, il a affecté de manière significative des ordinateurs du monde entier. EternalBlue exploitait une vulnérabilité des anciens systèmes Windows, permettant à des attaquants distants d'exécuter du code et de prendre le contrôle des systèmes affectés.

2. Log4Shell - La vulnérabilité Log4Shell présente dans la bibliothèque Java Log4J a exposé un grand nombre d'appareils à de potentielles violations. Des applications majeures, comme Apple iCloud et Minecraft, étaient notamment concernées. Malgré sa présence depuis 2013, cette vulnérabilité n'est devenue une cible pour les pirates qu'en 2021. Après sa mise au jour, les équipes de sécurité se sont engagées dans une course contre le temps, détectant plus de 100 tentatives d'attaque Log4Shell par minute au plus fort de la vague d'attaques.

3. Vulnérabilité zero-day de Chrome - Le navigateur de Google, Chrome, a été confronté à une série de menaces zero-day en 2021. Une faille présente dans le moteur JavaScript V8 a contraint Google à déployer en toute urgence un certain nombre de mises à jour.

4. Zoom - Le passage mondial aux communications virtuelles a entraîné le brusque essor de Zoom. En parallèle, des pirates ont découvert une vulnérabilité affectant les personnes qui utilisaient une version obsolète de Windows, leur permettant de prendre le contrôle des PC des utilisateurs concernés. Dès lors qu'un compte compromis détenait des droits d'administration, le pirate pouvait prendre le contrôle total de la machine.

5. Apple iOS - Bien que réputé pour sa robuste sécurité, le système d'exploitation d'Apple est lui aussi devenu la cible des attaquants. Deux ensembles notables de vulnérabilités zero-day sont apparus sur iOS en 2020, dont l'un permettait aux attaquants de pirater des iPhones à distance.

6. Microsoft Windows en Europe de l'Est - Des institutions gouvernementales d'Europe de l'Est sont devenues la cible d'une attaque exploitant une vulnérabilité d'élévation des privilèges locaux présente dans Microsoft Windows. En 2019, l'exploit zero-day a permis à des malfaiteurs de manipuler du code arbitraire, de modifier des données et d'installer des applications sur des systèmes compromis.

7. Microsoft Word - Dans le cadre d'un stratagème visant à compromettre des comptes bancaires personnels, un exploit zero-day a ciblé des utilisateurs de Microsoft Word. Les personnes peu méfiantes qui ouvraient un certain document Word étaient invitées par une fenêtre contextuelle à autoriser un accès externe. En tombant dans ce piège, ces personnes permettaient l'installation d'un malware, qui capturait ensuite leurs informations de connexion bancaires.

8. Stuxnet - L'attaque zero-day Stuxnet, qui ciblait principalement les installations iraniennes d'enrichissement d'uranium, se distingue par son ampleur. Initialement découvert en 2010, ce ver exploitait des vulnérabilités présentes dans le logiciel Siemens Step7, modifiant ainsi le fonctionnement des automates programmables industriels. Les retombées ont été importantes, affectant les machines des lignes d'assemblage et perturbant les initiatives nucléaires de l'Iran. L'évènement a inspiré le documentaire intitulé « Zero Days ».

9. Attaques ciblant Chrome - Le début de l'année 2022 a vu des pirates nord-coréens exploiter une vulnérabilité zero-day de Chrome. À l'aide d'e-mails de phishing, les malfaiteurs orientaient les victimes vers des sites contrefaits. Tirant parti de la faille de Chrome, ils pouvaient implanter des spywares et des malwares d'accès à distance.

Comment détecter et prévenir les attaques zero-day

 

Les menaces zero-day sont particulièrement difficiles à déjouer en raison de leur nature même : en effet, les vulnérabilités zero-day demeurent inconnues jusqu'à ce qu'elles soient mises au jour. Par conséquent, les stratégies les plus efficaces impliquent une défense multicouche qui intègre des éléments tels que l'analyse des données et des algorithmes de Machine Learning.

Les algorithmes de Machine Learning sont entraînés à l'aide de données historiques portant sur d'anciennes vulnérabilités. Cette méthode permet de donner au système les moyens de détecter les comportements malveillants consécutifs à l'exploitation d'une nouvelle vulnérabilité. 

Dans le domaine de la cybersécurité, l'une des méthodes permettant d'identifier les menaces est la détection des variantes basée sur les signatures. Cette technique recourt aux signatures numériques pour identifier instantanément les exploits connus et les variantes d'attaques précédemment identifiées. En s'appuyant sur la surveillance des comportements, les mécanismes de défense recherchent les tactiques de malwares les plus communes. Il s'agit là d'une approche plutôt concrète.

L'analyse du comportement des utilisateurs joue elle aussi un rôle déterminant. Sur un réseau, les utilisateurs autorisés ont des habitudes d'utilisation prévisibles. Une incohérence dans les comportements des utilisateurs, en particulier lorsqu'ils s'écartent beaucoup de la norme, peut témoigner d'une attaque zero-day. Par exemple, si un serveur Web commence à créer des connexions sortantes de manière inattendue, cela peut indiquer la présence d'un exploit.

Une approche de détection hybride combine toutes ces méthodes afin d'améliorer l'identification des menaces zero-day. Une telle approche recourt à des bases de données consacrées aux comportements de malwares, continuellement enrichies par des algorithmes de Machine Learning, ainsi qu'à l'analyse comportementale pour déterminer ce qui est « normal » et signaler tout écart par rapport à cette norme. Là où les antimalwares traditionnels basés sur des signatures peuvent manquer d'efficacité lorsqu'ils sont utilisés seuls, une stratégie diversifiée offre une protection robuste contre les menaces zero-day.

Il est important de bien comprendre que les attaques zero-day sont pratiquement impossibles à prévenir ; toutefois, leurs conséquences peuvent être considérablement atténuées moyennant la mise en place de mesures de cybersécurité efficaces et proactives.

À mesure que la technologie progresse, offrant des capacités de plus en plus riches, la complexité des applications et des plateformes augmente. Tout cela élargit la surface d'attaque potentiellement accessible aux cybercriminels, en particulier en ce qui concerne les configurations et la gestion des identités et des accès, rendant les attaques zero-day plus probables et plus difficiles à traiter. Les correctifs traditionnels n'étant pas immédiatement disponibles, la mise en œuvre d'une stratégie de sécurité diversifiée est indispensable, en particulier dans les environnements utilisant des systèmes multi-cloud ou hybrides cloud. Bien qu'il soit impossible de prévenir complètement les attaques zero-day, l'objectif devrait être de réduire significativement leur impact et de renforcer la capacité des victimes à y répondre efficacement lorsqu'elles se produisent.

Plutôt que de s'appuyer sur des approches uniques, les solutions de sécurité devraient aborder les vulnérabilités sous plusieurs angles, tout en veillant à ce que des politiques de sécurité soient systématiquement appliquées dans tous les environnements, y compris dans les systèmes multi-cloud et hybrides cloud. 

Bonnes pratiques en matière de protection contre les attaques zero-day

 

Maintenez à jour vos logiciels et vos systèmes : les exploits zero-day sont tributaires de l'existence de logiciels et de systèmes non corrigés, que ce soit en raison de l'absence de correctifs disponibles ou de la non-application des correctifs disponibles. Pour profiter des correctifs mis au point par les développeurs de logiciels suite à la découverte de vulnérabilités, il est essentiel de mettre régulièrement à jour l'ensemble de vos logiciels et de vos systèmes d'exploitation. Les fournisseurs de logiciels publient régulièrement des correctifs de sécurité qui corrigent les vulnérabilités récemment découvertes, mais il relève souvent de votre responsabilité de les appliquer.

 

Évaluez et analysez l'utilisation des logiciels : en réduisant le nombre d'applications installées, les organisations peuvent minimiser les vulnérabilités potentielles. Parmi les outils utilisés dans le processus de décision figurent l'analyse de la composition des logiciels (SCA), qui identifie et évalue les composants des logiciels, y compris les éléments propriétaires et les éléments open source. Cette analyse permet de mettre au jour des vulnérabilités cachées dans les logiciels, facilitant ainsi le processus visant à trouver un équilibre entre sécurité et préférences logicielles.

 

Formez les utilisateurs finaux : les erreurs humaines sont un vecteur fréquemment utilisé par les exploits zero-day ; une formation régulière aux bonnes pratiques en matière de cybersécurité permet de réduire considérablement ce risque. Proposez diverses formations, portant par exemple sur les pratiques de sécurisation des mots de passe, l'identification des tentatives de phishing, les habitudes de navigation sûre sur Internet, etc.

 

Appliquez le principe du moindre privilège (confiance zéro) :

· mettez en œuvre des mesures de sécurité du réseau et des systèmes, y compris des pare-feu et des systèmes de détection des intrusions ;

· attribuez des privilèges aux utilisateurs en fonction de leur rôle et de leur poste, et activez l'authentification multifactorielle (MFA) ; et

· renforcez vos systèmes en limitant le nombre de points d'attaque potentiels. Cela implique de désactiver les services inutiles, de fermer les ports ouverts et de supprimer les logiciels redondants. Utilisez des solutions de sécurité des endpoints pour détecter et atténuer les menaces au niveau des appareils.

 

Élaborez un plan :

· agissez de manière proactive en recourant à des outils de gestion de la surface d'attaque (ASM) pour identifier et corriger les vulnérabilités avant qu'elles soient exploitées ; et

· pensez à effectuer régulièrement des sauvegardes de vos données et à mettre au point des plans efficaces de réponse aux incidents. La surveillance des journaux système permet d'obtenir des alertes précoces en cas de violations potentielles, tandis que les tests réguliers des plans de réponse aux incidents garantissent la bonne préparation aux véritables attaques.

Quelles solutions Bitdefender pour faire face aux vulnérabilités zero-day ?

 

L'ensemble des mesures et conseils décrits ci-dessus sont susceptibles d'échouer. C'est pourquoi les experts recommandent à la fois aux particuliers et aux entreprises de recourir à des solutions de sécurité professionnelles avancées. Bitdefender propose des produits sur mesure, primés et systématiquement classés numéro 1 dans les tests indépendants afin de répondre aux besoins des particuliers et des entreprises.

Dans le monde des affaires, les produits GravityZone de Bitdefender offrent des solutions évolutives aux entreprises de toutes tailles. Ces solutions intègrent des mécanismes de prévention avancés, tels que l'EDR (détection et réponse au niveau des endpoints), des technologies de protection multicouche contre les tentatives de phishing, les ransomwares et les attaques sans fichier, ainsi qu'une capacité de prévention avancée fournissant des renseignements contextuels et des rapports sur les menaces.

 

En intégrant les solutions de sécurité de Bitdefender à votre réseau, vous renforcez l'efficacité des mesures de protection existantes telles que les pare-feu et les systèmes de prévention des intrusions. Vous obtenez ainsi une protection holistique et résiliente contre la menace des malwares, qui rend plus difficile pour les attaquants de s'introduire dans vos systèmes.

Existe-t-il des réglementations gouvernementales concernant les exploits zero-day ?

La façon dont les gouvernements abordent les exploits zero-day est un sujet complexe qui varie d'un pays à l'autre, mais il existe certaines spécificités réglementaires communes.

Par exemple, concernant les politiques de divulgation, nous constatons que les gouvernements encouragent souvent les chercheurs à informer les fournisseurs de logiciels de l'existence de vulnérabilités avant leur divulgation publique, afin que ces derniers puissent publier des correctifs.

Un attention particulière est accordée aux réglementations sur les infrastructures critiques visant à protéger les services vitaux, tels que les réseaux électriques, contre les attaques zero-day. La nature de l'implication des gouvernements dans la gestion des vulnérabilités zero-day est double. La plupart des pays technologiquement avancés sanctionnent par des amendes ou des peines d'emprisonnement l'exploitation malveillante de vulnérabilités zero-day. Dans le même temps, certains gouvernements gardent sous la main des vulnérabilités zero-day à des fins de renseignement, les conservant pour répondre à leurs propres besoins en la matière.

Sur le plan économique, il existe des cas de restrictions à l'exportation visant à freiner la prolifération des cyberarmes. De plus, dans de nombreux pays, nous remarquons que les gouvernements s'associent souvent à des sociétés privées concernant le partage des renseignements sur les menaces.

Quelle différence y a-t-il entre une attaque zero-day et un exploit zero-day ?

Bien que ces expressions soient souvent utilisées de manière interchangeable, il existe une différence sur le plan sémantique. L'expression « exploit zero-day » fait référence à la technique utilisée pour tirer parti d'une vulnérabilité logicielle ou matérielle dont le développeur n'a pas conscience.

L'expression « attaque zero-day » fait quant à elle référence à la mise en œuvre concrète de cet exploit. En termes simples, si l'exploit est la « recette », alors l'attaque est la « préparation » de cette recette.

Si des vulnérabilités zero-day sont présentes dans les nouveaux logiciels, n'est-il pas plus sûr de reporter l'installation des mises à jour ?

Des vulnérabilités zero-day peuvent être présentes dans les nouveaux logiciels comme dans les anciens. Le report des mises à jour peut éviter de nouvelles vulnérabilités, mais il vous expose à des problèmes connus corrigés par les mises à jour. Plutôt que de reporter une mise à jour, procédez comme suit :

·       consultez les avis sur la mise à jour ;

·       patientez un peu après la publication d'une nouvelle version pour profiter des premiers correctifs ;

·       maintenez de bonnes pratiques en matière de cybersécurité, par exemple en recourant à un logiciel de sécurité fiable et en sauvegardant vos données ; et

·       informez-vous sur les principales vulnérabilités et leurs correctifs. Priorisez toujours la sécurité, mais n'oubliez pas que les mises à jour s'accompagnent souvent d'améliorations en la matière.