Qu’est-ce qu’une faille zero-day ?

Définition de la faille zero-day

La faille zero-day, ou vulnérabilité zero-day, est un terme donné à une faille de sécurité qui n’a jamais été observée auparavant.

En général, un attaquant sonde un système jusqu’à ce qu’il découvre une vulnérabilité. Si celle-ci n’a jamais été signalée, il s’agit d’un “zero-day”, ou une “journée zéro”, car les développeurs n’ont encore eu aucun jour pour la corriger.

L’exploitation de la faille de sécurité est appelée en anglais un “zero-day exploit”, ou attaque zero-day – celle-ci conduit souvent à la compromission du système cible.

Les vulnérabilités zero-day peuvent être disponibles pendant des années avant d’être signalées. Les attaquants qui les trouvent vendent souvent leurs exploitations sur les marchés du darknet.

La formation à la cybersécurité commence ici

Démarrer l'évaluation gratuite

Votre évaluation gratuite fonctionne comme suit :

  • Prenez rendez-vous avec nos experts en cybersécurité afin qu'ils évaluent votre environnement et déterminent votre exposition aux menaces.
  • Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
  • Découvrez nos technologies en action !
  • Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.

Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.

Un représentant de Proofpoint vous contactera sous peu.

Comment une vulnérabilité zero-day est-elle exploitée ?

Le type d’exploitation utilisé pour tirer parti d’une vulnérabilité zero-day dépend de la faille découverte.

Plusieurs exploitations peuvent être utilisées pour tirer parti d’un seul zero-day. Par exemple, une attaque de type “adversary-in-the-middle” peut être utilisée pour intercepter des données et réaliser une attaque supplémentaire de type “cross-site scripting” (XSS).

Le flux de travail d’un “zero-day exploit” commence lorsqu’un attaquant trouve la vulnérabilité. La vulnérabilité peut concerner le matériel, le micrologiciel, le logiciel ou tout autre système d’entreprise.

Les étapes suivantes décrivent un flux de travail général pour l’exploitation d’un zero-day :

  • Les développeurs déploient une application ou une mise à jour d’une application qui contient une vulnérabilité inconnue.
  • Un attaquant analyse le logiciel et trouve une vulnérabilité, ou un attaquant trouve une faille dans le code source après l’avoir téléchargé du dépôt.
  • Un attaquant utilise des outils et des ressources pour exploiter la vulnérabilité. Il peut s’agir d’un logiciel personnalisé écrit par l’attaquant ou d’outils déjà disponibles dans la nature.
  • La vulnérabilité peut être exploitée pendant des années avant d’être remarquée, mais les chercheurs, le public ou les professionnels de l’informatique finissent par identifier l’activité de l’attaquant et signalent la vulnérabilité aux développeurs.

Note : Le nom “zero-day exploit” fait référence au temps dont disposent les développeurs pour corriger la vulnérabilité. Au moment où elle est découverte, les développeurs ont eu zéro jour pour la corriger. Une fois qu’un correctif est déployé, la vulnérabilité n’est plus considérée comme un jour zéro.

Même si les développeurs déploient un correctif, la vulnérabilité peut rester active si les administrateurs et les utilisateurs n’installent pas la mise à jour et que le système reste sans correctif.

Les systèmes non corrigés sont la principale raison des violations de données critiques. Par exemple, la violation de données d’Equifax, où des attaquants ont exfiltré des centaines de millions d’enregistrements, était due à un serveur web public non corrigé.

Comment détecter une faille zero-day ?

Les développeurs ne pensent pas comme les pirates, il n’est donc pas rare qu’il y ait au moins une vulnérabilité dans une base de code importante. Les attaquants analysent les logiciels pendant des semaines et examinent le code à la recherche d’une erreur.

Les attaquants à distance utilisent de nombreux outils pour trouver des vulnérabilités dans les logiciels en cloud, mais les organisations peuvent prendre des mesures pour détecter les comportements suspects et empêcher les zero-day exploit.

Voici quelques stratégies disponibles pour détecter une activité suspecte et empêcher une attaque zero-day :

  • Surveillance basée sur les statistiques : Les fournisseurs de logiciels anti-malware publient des statistiques sur les vulnérabilités précédemment détectées. Ces points de données peuvent être introduits dans un système d’apprentissage automatique pour aider à détecter les attaques actuelles. Ce type de détection est limité dans la recherche de menaces actuelles avancées, de sorte qu’il pourrait être sujet à des faux positifs et des faux négatifs.
  • Détection par signature : Chaque zero-day exploit possède une signature numérique. Les signatures numériques peuvent également être introduites dans des systèmes d’intelligence artificielle et des algorithmes d’apprentissage automatique pour détecter des variantes d’attaques précédentes.
  • Surveillance basée sur le comportement : Les logiciels malveillants utilisent des procédures spécifiques pour sonder un système, et la détection basée sur le comportement envoie des alertes lorsque du trafic et des analyses suspects sont détectés sur le réseau. Au lieu d’analyser les signatures ou l’activité en mémoire, la détection basée sur le comportement identifie les logiciels malveillants en fonction de leur interaction avec les appareils.
  • Détection hybride : Une approche hybride utilise une combinaison des trois méthodes ci-dessus. Elle peut même utiliser les trois méthodes de surveillance et de détection pour être plus efficace dans la recherche de logiciels malveillants.

Danger des failles zero-day

Comme les zero-day exploits sont inconnus, les vulnérabilités potentielles ne sont généralement pas découvertes. La charge utile peut être une exécution de code à distance, un ransomware, un vol d’informations d’identification, un déni de service (DoS) ou de nombreuses autres possibilités.

La nature insidieuse des attaques zero-day peut compromettre les organisations pendant des mois avant d’être détectée et contenue.

Avec une vulnérabilité inconnue, l’organisation pourrait être victime d’une menace persistante avancée (APT). Les menaces persistantes avancées sont particulièrement dangereuses, car ces attaquants laissent des portes dérobées et traversent le réseau à l’aide de logiciels malveillants complexes.

Il n’est pas rare que les organisations pensent avoir maîtrisé la menace, mais une APT restera présente sur le réseau jusqu’à ce qu’une réponse complète à l’incident et une enquête médico-légale soient effectuées.

Les vulnérabilités ne sont pas toujours dues à une mauvaise configuration ou à des failles dans le réseau de l’entreprise. Les entreprises qui appliquent une politique de “bring-your-own-device” (BYOD) ajoutent des risques au réseau local en permettant aux utilisateurs d’apporter leurs appareils personnels au travail. Si l’appareil d’un utilisateur est compromis, l’ensemble du réseau de l’entreprise peut être infecté.

Plus longtemps une vulnérabilité reste cachée, plus longtemps un attaquant peut l’exploiter. Des failles zero-day pourraient permettre à un attaquant d’exfiltrer des gigaoctets de données.

En général, les données sont exfiltrées lentement pour éviter d’être détectées, et ce n’est qu’après la perte de millions d’enregistrements que l’organisation détecte la compromission.

Comment se protéger d’une attaque zero-day ou s’en remettre ?

Les organisations et les particuliers disposent de plusieurs options pour les aider à éviter et à se remettre d’une attaque zero-day réussie.

Les organisations et les particuliers doivent être proactifs en matière de défense contre les logiciels malveillants. Les défenses doivent être une combinaison de stratégies et de techniques de cybersécurité standard qui arrêtent les attaquants et envoient des notifications de vulnérabilités éventuelles.

Voici quelques moyens de défense en matière de cybersécurité qui contribuent à empêcher les attaques zero-day :

  • Les applications antivirus : Que ce soit sur un appareil mobile ou un ordinateur de bureau, un logiciel antivirus doit être installé. Les applications antivirus avancées qui intègrent l’intelligence artificielle utilisent les modèles et le comportement des logiciels malveillants pour détecter les menaces au lieu des fichiers de signature comme les antivirus traditionnels.
  • Pare-feu : Un pare-feu arrête les analyses de port et l’accès à différents services sur un ordinateur de bureau ou sur le réseau. Ils peuvent être utilisés pour filtrer le trafic et l’accès au réseau non autorisés.
  • Applications de surveillance : Les systèmes de surveillance sont inhabituels pour les réseaux domestiques individuels, mais ils sont nécessaires pour les organisations. Les logiciels de surveillance détectent les activités de trafic inhabituelles, les demandes d’accès aux fichiers (qu’elles soient réussies ou non), les lectures de bases de données, les changements de configuration du système d’exploitation et de nombreuses autres actions d’attaquants.
  • Passez régulièrement en revue les configurations du système : Les erreurs de configuration entraînent des vulnérabilités ouvertes. Examinez les configurations du système pour vous assurer qu’elles bloquent les attaquants, y compris les acteurs de la menace interne.
  • Sensibilisez les utilisateurs aux dangers du phishing : En donnant aux utilisateurs les outils nécessaires pour détecter et signaler le phishing, vous réduirez considérablement le risque de réussite des attaques par phishing et ingénierie sociale.

Si l’organisation est victime d’une compromission réussie, la réponse aux incidents et les enquêtes sont les étapes suivantes. Le temps de réaction compte après une violation pour la contenir et l’éradiquer rapidement de l’environnement.

Une enquête complète peut être nécessaire pour identifier les vulnérabilités et les éventuelles portes dérobées laissées par l’attaquant. La criminalistique numérique aidera à identifier l’attaquant, ce qui est essentiel lors de la récupération, surtout si l’attaquant était un initié.

Prêt à essayer Proofpoint ?

Commencez par un essai gratuit de Proofpoint.