Définition du jour zéro

Du jour zéro

Aucun logiciel n’est parfait. Un logiciel peut très bien exceller aux tâches auxquelles il est destiné, mais son code peut comporter certaines failles. Bien que les concepteurs de logiciels travaillent dur à résoudre les problèmes, les pirates sont souvent plus rapides qu’eux à détecter les vulnérabilités et en tirer profit. Ils peuvent exploiter ces défauts pour lancer des attaques Zero-Day contre des ordinateurs et réseaux et même les meilleures solutions de cybersécurité peuvent échouer à les prévenir.

Sommaire: Le terme « zero-day » désigne des problèmes inconnus et/ou non documentés auparavant. Il peut aussi être utilisé pour faire référence à des vulnérabilités sur un logiciel ou un système ainsi qu’aux virus, vers informatiques, maliciels et attaques qui exploitent ces failles pour prendre le contrôle d’ordinateurs et réseaux. Continuez votre lecture pour en savoir plus sur les plus importantes attaques Zero-day et les meilleurs moyens de vous en protéger.

• Qu’est-ce que le Zero-Day ?
• Quels sont les types d’attaques Zero-Day ?
• Comment détecter une attaque Zero-Day
• Comment vous protéger contre les attaques Zero-Day

Qu’est-ce que le Zero-Day ?

En informatique, le terme « Zero-Day » (souvent écrit 0-day) fait référence au premier jour auquel un problème est connu ou anticipé. Cette expression est aussi utilisée comme point de référence qui permet aux équipes de sécurité de garder une trace du temps écoulé entre le jour où un problème informatique a été découvert et le jour auquel il a été résolu. Le Zero-Day désigne donc le jour auquel elle a commencé à travailler sur le problème. Ce terme est le plus souvent utilisé pour désigner certaines cybermenaces telles que les virus, vulnérabilités et attaques.

Un virus Zero-Day est un terme cybersécurité utilisé pour désigner un virus qui vient juste d’être découvert et ne peut pas être détecté et/ou supprimé par un logiciel antivirus existant. De même, un maliciel Zero-Day fait référence aux maliciels découverts récemment et doivent être analysés et résolus rapidement. Il existe aussi des vers informatiques Zero-Day qui peuvent être soit métaphoriques (dont le code entier est changé à chaque nouvelle attaque pour éviter la détection) ou polymorphes (dont seulement une partie du code est modifiée).

Quel que soit son type, toute cybermenace nouvellement découverte et toujours non résolue peut porter le nom d’exploit Zero-Day. Comme leur nom l’indique, ces menaces atteignent leur objectif en identifiant et en exploitant les failles dans la sécurité des applications, systèmes et réseaux encore non détectées, documentées ou signalées par le public aux experts en cybersécurité dans la sécurité des applications, systèmes et réseaux. Le plus fréquemment présentes dans les nouveaux logiciels ou logiciels récemment mis à jour, ces failles sont communément appelées vulnérabilités Zero-Day.

Les termes « exploit Zero-Day » et « vulnérabilité Zero-Day » sont tous deux utilisés bien qu’il existe une différence majeure entre eux. Référant aux cybermenaces, un exploit Zero-Day est malveillant par essence. L’expression attaque Zero-Day est la plus fréquemment utilisée, car aucune cyberattaque n’est bienveillante. D’un autre côté, le terme « vulnérabilité Zero-Day » est neutre puisqu’il fait aussi référence à des failles contenues dans logiciel que les experts ont découverte et résolue avant que les pirates n’aient eu le temps de les détecter et exploiter.

Quels sont les types d’attaques Zero-Day ?

Ces dernières années, les attaques Zero-Day sont devenues particulièrement courantes. Selon des statistiques de 2016, les exploits Zero-Day représentent plus d’un tiers des attaques par maliciel dans le monde. Cette menace cible tous les appareils connectés à internet, qu’ils appartiennent à des individus ou à des sociétés. Certaines des plus importantes attaques Zero-Day récentes sont :

1. Stuxnet

Découvert en 2010, Stuxnet est l’un des premiers exploits Zero-Day à faire la une des médias spécialisés. Exploitant les vulnérabilités Zero-Day du logiciel Windows, ce ver informatique se distinguait par le fait qu’il ciblait l’équipement numérique de contrôle de la production d’uranium enrichi utilisé dans les armes nucléaires. Bien que les auteurs de Stuxnet soient toujours inconnus, on suppose qu’il était en fait une tentative par les services de renseignement américain et israélien de déstabiliser les efforts de l’Iran en matière de développement d’armes nucléaires.

2. L’attaque Zero-Day Sony Zero-Day

En 2014, un groupe de pirates suspecté d’avoir des liens avec la Corée du Nord lance une attaque Zero-Day contre Sony Pictures Entertainment, l’un des six plus grands studios de cinéma d’Hollywood. La faille précise exploitée par les pirates reste inconnue, mais des milliers de pages de contrat, des business plans, scripts et même des copies de cinq films non encore sortis avaient été volés. Plus important encore, les pirates avaient pu obtenir des milliers d’e-mails privés échangés entre les dirigeants du studio.

3. L’attaque Zero-Day DNC

L’attaque Zero-Day la plus célèbre de 2016 est celle par laquelle un groupe de pirates russes avait exploité au moins six vulnérabilités Zero-Day sur des programmes tels que Flash et Java pour infiltrer le Democratic National Committee. Ils avaient obtenu un grand nombre d’e-mails personnels échangés entre des politiciens célèbres, notamment la candidate à la présidence de l’époque Hillary Clinton. Toutes les informations volées, y compris une longue liste de donateurs au DNC, fut publiée sur WikiLeaks ainsi que sur le tout nouveau site DCLeaks.

4. Les exploits Zero-Day Microsoft de 2017-2018

En 2017 et 2018, des pirates avaient identifié plusieurs vulnérabilités Zero-Day dans Microsoft Office. Malgré les tentatives de Microsoft de résoudre ces problèmes, les pirates trouvaient toujours des moyens de contourner les correctifs de sécurité et continuaient leurs attaques. L’une d’entre-elles utilisait le maliciel à porte dérobée FELIXROOT pour mener une campagne de cyber espionnage contre des cibles principalement ukrainiennes. Le fait qu’il était disséminé à travers des documents au format .rtf (Rich Text Format) et en russe donne à penser que le gouvernement russe était responsable de cette attaque.

Quelques mois après l’attaque FELIXROOT, en août 2018, un utilisateur de Twitter prétendant être un analyste en cybersécurité découvre une vulnérabilité Zero-Day dans la version 64 bit de Windows 10. Cette information était publique, ce qui signifiait que les pirates pouvaient y accéder et l’exploiter pour attaquer des ordinateurs utilisant ce système d’exploitation. Qui plus est, le fait qu’il avait fallu à Microsoft une semaine entière pour créer un correctif avait donné tout le temps nécessaire aux pirates pour mener leurs attaques.

5. La vente de l’exploit Zero-Day BuggiCorp

En 2016, un utilisateur du nom de BuggiCorp annonce la vente d’un exploit Zero-Day majeur sur un forum internet spécialisé dans la vente d’informations concernant la cybersécurité. À un prix de 90,000$, l’exploit promettait de permettre l’exploitation d’une vulnérabilité au niveau de l’escalade locale de privilège sur toutes les versions de Microsoft Windows, y compris Windows 10, la version la plus récente du système d’exploitation lancée l’année précédente.

Le vendeur prétendait qu’une fois activé, l’exploit était capable d’affecter jusqu’à 1,5 milliards d’ordinateurs dans le monde. On ne sait toujours pas si un cybercriminel l’a acheté, uniquement que le vendeur en demandait à l’origine 95,000$ avant de baisser le prix à 90,000$ et enfin 85,000$. Certains médias spécialisés de la cybersécurité en avaient déduit que le vendeur cet exploit ne parvenait pas à trouver d’acheteur.

Comment détecter une attaque Zero-Day

Les vulnérabilités Zero-Day étant spécifiques à un logiciel particulier, il est impossible aux individus de les détecter s’ils ne possèdent pas d’excellentes compétences en matière de codage et d’analyser minutieusement le code source à la recherche de failles de sécurité. Les programmateurs peuvent utiliser l’une des techniques suivantes pour détecter les attaques Zero-Day et prendre les mesures nécessaires pour les neutraliser :

• Méthode statistique – Cette méthode est principalement basée sur les données d’exploits déjà identifiés et qui ciblent le même système. Les experts en sécurité utilisent diverses techniques d’apprentissage automatique pour rassembler les données et déterminer le comportement normal d’un système. Toute déviation d’un comportement sécurisé est traitée comme un signe de menace.
• Méthode comportementale – Cette méthode est axée sur la manière dont un maliciel interagit avec sa cible. Plutôt que de se concentrer sur le contenu réel des fichiers entrant, cette technique examine leur interaction avec le système pour voir s’il s’agit d’une interaction normale ou le résultat d’une activité possiblement malveillante.
• Méthode par signature – Chaque cybermenace, qu’elle soit un virus, un ver informatique ou un maliciel, est accompagnée d’une signature unique que le logiciel antivirus utiliser pour la détecter. Par définition les exploits Zero-Day sont inconnus, ce qui signifie qu’ils ne possèdent pas de signature. Les experts en sécurité peuvent cependant utiliser l’apprentissage automatique pour développer de nouvelles signatures basées sur des exploits déjà identifiés et éventuellement détecter des attaques Zero-Day futures.
• Méthode combinée – Comme son nom l’indique, cette méthode combine les trois méthodes décrites ci-dessus. Bien qu’étant plus compliquées que toutes les autres techniques individuelles, cette méthode devrait donner les résultats les plus précis.

Comment vous protéger contre les attaques Zero-Day

Étant donné que les attaques Zero-Day utilisent des vulnérabilités inconnues des logiciels et systèmes, il est impossible de les éviter. Vous pouvez cependant prendre certaines mesures pour éviter d’être victime d’une attaque Zero-Day. Tout d’abord, mettez régulièrement à jour toutes les applications installées sur votre ordinateur. Si vous avez des programmes que vous n’utilisez plus, il est toujours préférable de les supprimer de votre ordinateur et non de conserver un logiciel obsolète et éventuellement exposer votre système et fichiers aux attaques de pirates.

Il est aussi indispensable d’utiliser l’un des meilleurs logiciels antivirus pour protéger votre ordinateur. Comme avec la majorité des cybermenaces, les pirates peuvent utiliser les exploits Zero-Day pour installer des logiciels espion, ransomware et autres types de maliciels sur votre ordinateur. Un bon programme antivirus est capable de détecter toutes ces menaces et les effacer de votre ordinateur. En outre, un tel programme vous offre une protection en temps réel contre toutes les autres cybermenaces et effectuent des scans automatiques en arrière-plan sans ralentir votre ordinateur.

Votre pare-feu joue aussi un rôle crucial dans le combat contre les attaques Zero-Day. Bien que certains systèmes d’exploitation soient équipés de pare-feu intégré, certains des meilleurs programmes antivirus pour Mac sont accompagnés de pare-feu avancé qui offre une protection optimale en permanence. En sus du pare-feu, n’oubliez pas d’activer les mises à jour régulières des bases de données et définitions de virus, et assurez que votre ordinateur soit bien protégé contre les menaces les plus récentes.

Sources (en anglais)

• Apriorit
• Barkly
• Computer Weekly
• Comodo
• CS Online (1)
• CS Online (2)
• Fire Eye
• Gizmodo
• Techopedia (1)
• Techopedia (2)
• Techopedia (3)
• TechTarget
• Watch Point Data
• Wikipedia (1)
• Wikipedia (2)
• ZD Net (1)
• ZD Net (2)