Vous ne réfléchissez peut-être pas beaucoup au logiciel que vous utilisez pour faire fonctionner vos ordinateurs et appareils, mais derrière l'interface se trouve un code très complexe qui a pu prendre des années à une grande équipe de développeurs pour être écrit et affiné. Malgré leurs meilleurs efforts, les développeurs peuvent manquer des défauts de logiciel. Alors que certains défauts n'affectent que l'expérience utilisateur, d'autres sont beaucoup plus graves.
Une faille zero-day est toute vulnérabilité logicielle exploitable par des hackers qui n'a pas encore de correctif. Les développeurs du logiciel peuvent soit ne pas être au courant de la faille, être en train de développer un correctif ou l'ignorer. Comme vous pouvez l'imaginer, une telle vulnérabilité peut entraîner une brèche de sécurité critique.
Pourquoi cela s'appelle-t-il zero-day ?
Beaucoup de gens veulent savoir pourquoi les experts appellent ce type d'exploitation informatique une vulnérabilité zero-day plutôt que quelque chose d'autre. Il faut admettre qu'il y a un peu de sarcasme derrière ce nom. Dans le monde informatique, on l'appelle une attaque zero-day — car les créateurs du logiciel ont zéro jour pour réagir après que les hackers en aient profité. C'est un peu comme fermer la porte de l'écurie après que le loup soit déjà entré. Bien sûr, vous pouvez prévenir les futures attaques, mais cela ne réconforte pas vraiment les moutons disparus.
Une fois que la vulnérabilité zero-day est rendue publique, ce n'est plus un défaut zero-day — c'est juste une vulnérabilité. Habituellement, les fabricants brûlent la chandelle par les deux bouts pour développer un correctif afin de réparer la faille dès qu'ils en prennent connaissance.
Comment sont découvertes les failles zero-day ?
Avec les fabricants qui travaillent dur pour minimiser les vulnérabilités, vous remarquerez que vos logiciels se mettent à jour assez régulièrement. Parfois, les mises à jour de sécurité sortent même le jour même de la sortie du logiciel. Bien que les développeurs préfèrent trouver les failles de sécurité en interne, ils ne refusent pas non plus un peu d'aide extérieure.
Hackers à chapeau blanc
Hacker chapeau blanc est un terme archaïque pour désigner un hacker éthique. Les entreprises engagent ces spécialistes pour améliorer la sécurité du réseau. Identifier des bugs zero-day potentiels peut faire partie du travail.
Hackers à chapeau gris
Les hackers chapeau gris sont comme les chapeau blanc, sauf qu'ils ne travaillent pas dans un cadre officiel. Ces hackers peuvent essayer de trouver des bugs zero-day en espérant obtenir un travail dans l'entreprise, gagner en notoriété ou simplement pour se divertir. Un hacker chapeau gris ne profite jamais des failles qu'il découvre. Un exemple est lorsqu'un hacker a exploité une vulnérabilité dans la plateforme de cryptomonnaie Poly Network pour prendre pour 600 millions de dollars de jetons avant de restituer la somme.
Concours
De nombreuses entreprises de logiciels organisent des événements de hacking et rétribuent les hackers avec de l'argent et des prix pour trouver des exploits. Ici, les hackers détectent des failles dans les systèmes d'exploitation, les navigateurs Web et les apps pour les appareils mobiles et les ordinateurs. Un exemple récent est celui de deux spécialistes de la sécurité néerlandais qui ont remporté 200,000 $ pour une découverte zero-day sur Zoom lors de Pwn2Own.
Chercheurs
Les chercheurs de sociétés de cybersécurité telles que Malwarebytes cherchent des exploits dans le cadre de leur travail. Lorsque les chercheurs trouvent un exploit avant les cybercriminels, ils le rapportent généralement aux fabricants avant de le rendre public. En donnant aux fabricants une longueur d'avance, les chercheurs peuvent minimiser les chances pour les hackers de lancer des attaques zero-day.
Comment sont détectées les attaques zero-day ?
Un utilisateur de logiciel se rend compte qu'il est la cible d'une attaque zero-day lorsque son système se comporte de manière inhabituelle ou lorsque qu'un hacker utilise l'exploit pour déposer un logiciel malveillant comme un ransomware. Les chercheurs peuvent également découvrir une attaque zero-day après un événement. Par exemple, après l'attaque Stuxnet commanditée par l'État contre l'Iran, des chercheurs du monde entier ont réalisé qu'il s'agissait d'une attaque de type ver zero-day. Parfois, une attaque zero-day est reconnue par un fabricant après qu'un client ait signalé une activité inhabituelle.
Les attaques zero-day sont-elles courantes ?
Les attaques zero-day comme le ver Stuxnet ont des cibles précises et n'affectent pas les utilisateurs réguliers d'ordinateurs. Pendant ce temps, des entreprises réputées comme Microsoft, Apple et Google, réparent généralement les zero-days dès que possible pour protéger leur réputation et leurs utilisateurs. Souvent, une correction est disponible avant que l'utilisateur lambda ne soit touché. Pourtant, les zero-days ne doivent pas être pris à la légère car leur impact peut être très nuisible.
Comment une attaque zero-day se produit-elle ?
- Identification: Les hackers trouvent des vulnérabilités non signalées dans les logiciels par le biais de tests ou en faisant des emplettes sur les marchés noirs dans les bas-fonds d'Internet comme le Dark Web.
- Création: Les acteurs malveillants créent des kits, des scripts ou des processus qui peuvent exploiter les vulnérabilités nouvellement découvertes.
- Intelligence: Les attaquants ont déjà une cible en tête ou utilisent des outils comme les bots, le sondage ou les scanners pour trouver des cibles rentables aux systèmes exploitables.
- Planification: Les hackers évaluent la force et les faiblesses de leur cible avant de lancer une attaque. Ils peuvent utiliser l'ingénierie sociale, les espions ou toute autre tactique pour infiltrer un système.
- Exécution: Une fois tout en place, les attaquants déploient leur logiciel malveillant et exploitent la vulnérabilité.
Comment atténuer les attaques zero-day
Éviter que des attaquants n'exploitent des vulnérabilités inconnues pour compromettre votre système est sans aucun doute un défi. Il est crucial de fermer les vecteurs de menace qu'un acteur malveillant pourrait utiliser pour infiltrer votre réseau en appliquant des protections par couches et des pratiques plus sûres. Voici quelques conseils qui pourraient vous aider à détecter et à prévenir les menaces inconnues:
- Ne pas utiliser de vieux logiciels. Les hackers peuvent plus facilement créer des exploits pour des logiciels que le vendeur ne prend plus en charge.
- Utiliser des outils antivirus avancés dotés de l'apprentissage machine, la détection comportementale et la mitigation des exploits. De telles caractéristiques peuvent aider vos outils de cybersécurité à arrêter les menaces sans signature connue.
- Dans les entreprises:
- Former les employés à identifier des attaques d'ingénierie sociale comme le spear-phishing que les hackers peuvent utiliser comme vecteur d'attaque.
- Adopter des solutions Endpoint Detection and Response (EDR) pour surveiller et sécuriser vos terminaux.
- Améliorer la sécurité réseau avec des pare-feux, VPN privés et IPsec.
- Segmenter vos réseaux avec des contrôles d'accès robustes.
Actualités sur les zero-days
- Le zero-day Log4j « Log4Shell » arrive juste à temps pour gâcher votre week-end.
- Windows La vulnérabilité de l'installateur devient un jour zéro activement exploité
- Mettez à jour maintenant ! Zero-day FatPipe VPN activement exploité.
- Mettez à jour maintenant ! Microsoft comble des zero-days activement exploités et d'autres mises à jour.
- Google corrige une vulnérabilité zero-day, et d'autres, dans Android
- Mettez à jour maintenant ! Apache corrige une vulnérabilité zero-day dans le serveur HTTP.
- Mettez à jour maintenant ! Google Chrome corrige deux zero-days dans la nature.
- Apple publie une mise à jour d'urgence : Appliquez le correctif, mais ne paniquez pas
- HiveNightmare zero-day permet à n'importe qui de devenir SYSTÈME sur Windows 10 et 11
- Le jour 0 de PrintNightmare peut être utilisé pour prendre le contrôle des contrôleurs de domaine Windows
- Microsoft corrige sept zero-days, dont deux cibles PuzzleMaker, et Google corrige une faille Android grave.
- La découverte d'une faille zero-day sur Zoom rend les appels plus sûrs et les hackers $200,000 plus riches.