Qu’est-ce qu’une vulnérabilité de type “Zero-Day” ?
Une vulnérabilité de type “Zero-Day” est une faille de sécurité logicielle que le fournisseur ou le développeur vient de découvrir, et pour laquelle ils n’ont pas encore eu le temps de créer ou de publier un correctif. Comme il n’existe pas encore de solution, les cybercriminels peuvent exploiter ces failles pour lancer des attaques difficiles à détecter et à arrêter.
Par exemple, l’attaque par ransomware WannaCry en mai 2017 a montré à quel point les vulnérabilités de type “Zero-Day” peuvent être dommageables. Cette attaque mondiale a touché plus de 200 000 ordinateurs dans 150 pays en utilisant une faille de Windows avant que de nombreuses organisations puissent mettre à jour leurs systèmes.
Caractéristiques clés d’un Zero-Day
- Inconnu du fournisseur : Le créateur du logiciel n’est pas conscient de l’existence de la faille jusqu’à ce qu’une attaque se produise ou qu’elle soit divulguée par des chercheurs.
- Aucun correctif disponible : Il n’y a pas de mise à jour de sécurité officielle ou de “correctif” au moment de la découverte.
- Risque élevé : Les outils antivirus réguliers qui utilisent des signatures de menaces connues passent souvent à côté des exploits de type “Zero-Day” car ces menaces sont nouvelles et inconnues.
- Menace immédiate : Les attaquants ont un avantage clair jusqu’à ce qu’un correctif soit publié et appliqué.
Comment fonctionne une attaque de type “Zero-Day”
Une menace de type “Zero-Day” suit généralement une chronologie appelée la ‘Fenêtre de vulnérabilité.’
- Vulnérabilité introduite : Un développeur écrit involontairement du code contenant une faille de sécurité (par exemple, un débordement de tampon ou une faille de injection SQL).
- Exploitation créée : Un attaquant découvre la faille avant que le fournisseur ou les chercheurs en sécurité ne la remarquent. Ils créent alors une ‘Exploitation Zero Day’, qui est un code conçu pour utiliser cette faiblesse.
- Attaque lancée : L’attaquant utilise une ‘Attaque Zero Day’ sur certaines cibles ou même sur Internet. À ce stade, les analyses de sécurité standard ne peuvent souvent pas détecter l’attaque.
- Découverte et divulgation : Le fournisseur finit par découvrir la faille, soit par un programme de récompense, un chercheur en sécurité, ou en détectant une attaque active.
- Correctif publié : Le fournisseur développe et distribue une mise à jour de sécurité. Une fois le correctif disponible, la faille n’est plus un “zero day” mais devient une “vulnérabilité connue” (souvent assignée un numéro CVE).
Pourquoi les vulnérabilités Zero Day sont importantes en cybersécurité
Les vulnérabilités zero day sont parmi les risques les plus graves pour les organisations car elles contournent la principale défense, qui est la gestion des correctifs.
- Contournement des défenses : Étant donné que les outils de sécurité hérités reposent sur des bases de données de menaces connues, les attaques zero-day peuvent passer à travers les pare-feu et la protection des points de terminaison sans être détectées.
- Haute valeur : Ces exploits sont très précieux sur le dark web. Les hackers d’État et les groupes de menaces persistantes avancées (APT) les conservent souvent pour les utiliser contre des cibles importantes comme les infrastructures critiques ou les réseaux gouvernementaux.
- Impact opérationnel : Corriger une faille zero-day signifie souvent un arrêt d’urgence, l’utilisation de solutions manuelles ou même la mise hors ligne des systèmes jusqu’à ce qu’un correctif soit prêt.
Zero Day vs. Vulnérabilités Connues
| Caractéristique | Vulnérabilité Zero Day | Vulnérabilité Connue (N-Day) |
|---|---|---|
| Statut | Inconnu du fournisseur/public | Divulgué publiquement |
| Disponibilité du correctif | Aucun | Un correctif existe (mais peut ne pas être appliqué) |
| Détection | Difficile (nécessite une analyse comportementale) | Facile (détection basée sur des signatures) |
| Niveau de risque | Critique / Sévère | Variable (dépend du statut du correctif) |
Termes Associés
- Système de notation de prédiction des exploits (EPSS)
- Vulnérabilités et expositions communes (CVE)
- Test de sécurité des applications statiques (SAST)
- Test de sécurité des applications dynamiques (DAST)
FAQ : Vulnérabilité Zero-Day
Q : Quelle est la différence entre une vulnérabilité zero-day et un exploit zero-day ?
La vulnérabilité est une faille dans le code logiciel lui-même. L’exploit est le code ou la technique que les attaquants utilisent pour exploiter une faille et pénétrer dans un système.
Q : Comment puis-je me protéger contre les attaques zero-day s’il n’y a pas de correctif ?
Parce que vous ne pouvez pas corriger ce que vous ne connaissez pas, la protection dépend de l’utilisation de plusieurs couches de défense :
- Utilisez des pare-feu d’application Web (WAF) pour bloquer les modèles de trafic suspects.
- Implémentez la protection d’application en temps réel (RASP).
- Employez l’analyse comportementale plutôt que la détection basée uniquement sur les signatures.
- Maintenez un plan de réponse aux incidents strict pour réagir rapidement une fois qu’un zero-day est divulgué.
Q : Les logiciels antivirus peuvent-ils détecter les attaques zero-day ?
Les logiciels antivirus traditionnels qui utilisent uniquement des “signatures” (qui sont comme des empreintes digitales de logiciels malveillants connus) ne peuvent pas détecter les menaces zero-day. Cependant, les outils modernes de détection et de réponse des points de terminaison (EDR) qui utilisent l’IA et surveillent les comportements inhabituels peuvent souvent repérer les attaques zero-day, telles que le chiffrement de fichiers inattendu ou les transferts de données non autorisés.