Un exploit « zero-day » est un vecteur ou une méthode de cyberattaque qui tire parti d'une faille de sécurité inconnue ou non corrigée dans un logiciel, un matériel ou un microprogramme informatique. Le terme « Zero day » fait référence au fait que le fournisseur de logiciels ou d'appareils n'a pas eu le temps de corriger la faille, car des pirates peuvent d'ores et déjà l'utiliser pour accéder à des systèmes vulnérables.
La vulnérabilité inconnue ou non corrigée est appelée vulnérabilité zero-day ou menace zero-day. On parle d'attaque zero-day lorsqu'un pirate utilise un exploit zero-day pour implanter un logiciel malveillant, voler des données ou causer d'autres dommages aux utilisateurs, à l'organisation ou aux systèmes.
Un concept similaire mais distinct, le logiciel malveillant zero day, est un virus ou une autre forme de logiciel malveillant dont la signature est inconnue ou pas encore établie, et donc indétectable par de nombreuses solutions logicielles antivirus ou d'autres technologies de détection des menaces basées sur la signature.
L'équipe X-Force Threat Intelligence d'IBM a enregistré 7 327 vulnérabilités zero-day depuis 1988. Bien que cela ne représente que 3 % de l'ensemble des failles de sécurité enregistrées, les vulnérabilités zero-day, en particulier celles des systèmes d'exploitation ou des appareils informatiques très répandus, font partie des risques de sécurité les plus graves, car elles exposent un grand nombre d'utilisateurs ou des organisations entières à la cybercriminalité jusqu'à ce que le fournisseur ou la communauté chargée de la cybersécurité identifie le problème et y apporte une solution.
Une vulnérabilité zero-day existe dans une version d'un système d'exploitation, d'une application ou d'un appareil dès son lancement, mais l'éditeur du logiciel ou le fabricant du matériel ne le sait pas. La vulnérabilité peut passer inaperçue pendant des jours, des mois ou des années, jusqu'à ce que quelqu'un la découvre.
Dans le meilleur des cas, les spécialistes de la sécurité ou les développeurs de logiciels découvrent la faille avant les pirates. Parfois, cependant, les pirates informatiques découvrent la vulnérabilité en premier.
Quelle que soit la personne qui découvre la faille, celle-ci est souvent rendue publique peu de temps après. Les vendeurs et les professionnels de la sécurité informent généralement les clients afin qu'ils puissent prendre leurs précautions. Les hackers peuvent se transmettre la menace entre eux et les spécialistes peuvent en découvrir l'existence en observant l'activité des cybercriminels. Certains fournisseurs peuvent taire une vulnérabilité jusqu'à ce qu'ils aient mis au point une mise à jour logicielle ou un autre correctif, mais c'est un pari risqué : si les pirates découvrent la faille avant que les fournisseurs ne la corrigent, les organisations peuvent se retrouver prises au dépourvu.
La connaissance d'une nouvelle faille zero-day déclenche une course contre la montre entre les professionnels de la sécurité qui travaillent sur une solution et les pirates qui développent un exploit zero-day qui tire parti de la vulnérabilité pour infiltrer un système. Une fois que les hackers ont mis au point un exploit zero-day, ils l'utilisent pour lancer une cyberattaque.
Les hackers peuvent souvent développer des exploits plus rapidement que les équipes de sécurité ne peuvent développer des solutions correctives. Selon une estimation (lien externe à ibm.com), les exploits sont généralement disponibles dans les 14 jours qui suivent la divulgation d'une vulnérabilité. Toutefois, lorsque les attaques zero-day sont lancées, les correctifs sont souvent appliqués en l'espace de quelques jours seulement. En effet, les fournisseurs peuvent utiliser les informations issues des attaques pour identifier la faille qu'ils doivent corriger. Ainsi, bien que la vulnérabilité zero-day soit dangereuse, les hackers ne peuvent généralement pas l'exploiter longtemps.
Stuxnet est un ver informatique avancé qui exploite quatre vulnérabilités logicielles zero-day différentes dans les systèmes d'exploitation Microsoft Windows. En 2010, Stuxnet a été utilisé dans une série d'attaques contre des installations nucléaires en Iran. Une fois le ver introduit dans les systèmes informatiques d'une centrale nucléaire, il envoie des commandes malveillantes aux centrifugeuses utilisées pour enrichir l'uranium. Ces commandes ont fait tourner les centrifugeuses à une vitesse telle qu'elles se sont brisées. Au total, Stuxnet a endommagé 1 000 centrifugeuses.
Les chercheurs pensent que les gouvernements américain et israélien ont collaboré à la construction de Stuxnet, mais cela n'a pas été confirmé.
Log4Shell était une vulnérabilité zero-day dans Log4J, une bibliothèque Java open source utilisée pour la journalisation des messages d'erreur. Les hackers pouvaient utiliser la faille Log4Shell pour contrôler à distance la quasi-totalité des appareils utilisant des applications Java. Log4J étant associé à des programmes populaires tels que Apple iCloud et Minecraft, des centaines de millions d'appareils étaient menacés. La base de données Common Vulnerabilities and Exposures (CVE) de MITRE a attribué à Log4Shell le score de risque le plus élevé qui soit, à savoir 10 sur 10.
La faille Log4Shell était présente depuis 2013, mais les hackers n'ont commencé à l'exploiter qu'en 2021. La vulnérabilité a été corrigée peu après sa découverte, mais les spécialistes en sécurité ont détecté plus de 100 attaques Log4Shell par minute au plus fort de l'attaque. (lien externe à ibm.com).
Début 2022, des pirates nord-coréens ont exploité une vulnérabilité zero-day d'exécution de code à distance dans les navigateurs web Google Chrome. Les hackers ont utilisé des e-mails de phishing pour diriger les victimes vers des sites frauduleux, qui utilisaient la vulnérabilité de Chrome pour installer des logiciels espions et des logiciels malveillants d'accès à distance sur les appareils des victimes. La vulnérabilité a été corrigée après sa découverte, mais les hackers ont bien couvert leurs traces, et les experts ne savent pas exactement quelles données ont été volées.
Les attaques zero-day font partie des cybermenaces les plus difficiles à contrer. Les hackers peuvent exploiter les vulnérabilités zero-day avant même que leurs cibles n'en aient connaissance, ce qui leur permet d'infiltrer les réseaux sans se faire repérer.
Même si la vulnérabilité est connue de tous, il peut s'écouler un certain temps avant que les fournisseurs de logiciels ne publient un correctif, ce qui expose les entreprises à des risques.
Ces dernières années, les hackers ont plus souvent exploité les vulnérabilités zero-day. Un rapport Mandiant de 2022 a révélé que davantage de vulnérabilités zero-day avaient été exploitées au cours de la seule année 2021 que pendant toute la période 2018-2020 (lien externe à ibm.com).
L'augmentation des attaques zero-day est probablement liée au fait que les réseaux des entreprises deviennent de plus en plus complexes. Aujourd'hui, les organisations s'appuient sur un mix d'applications sur le cloud et sur site, d'appareils appartenant à l'entreprise et aux employés, et d'appareils de l'Internet des objets (IoT) et de la technologie opérationnelle (OT). Tous ces éléments élargissent la surface d'attaque d'une organisation, et les vulnérabilités zero-day peuvent se cacher dans n'importe lequel d'entre eux.
Les failles zero-day offrant de si précieuses opportunités aux hackers, les cybercriminels échangent désormais des vulnérabilités zero-day et des exploits zero-day sur le marché noir pour des sommes astronomiques. Par exemple, en 2020, des hackers vendaient les failles de Zoom pour un montant allant jusqu'à 500 000 USD (lien externe à ibm.com).
Les acteurs étatiques sont également connus pour rechercher des failles zero-day. Nombre d'entre eux choisissent de ne pas divulguer les zero-day qu'ils découvrent, préférant créer leurs propres exploits zero-day confidentiels pour les utiliser contre leurs ennemis. De nombreux fournisseurs et experts en sécurité ont critiqué cette pratique, arguant qu'elle mettait en danger l'organisation sans qu'elle le sache.
Les équipes de sécurité sont souvent désavantagés en cas de vulnérabilité zero-day. Ces failles étant inconnues et non corrigées, les entreprises ne peuvent pas en tenir compte dans leur gestion des risques liés à la cybersécurité ou dans leurs efforts de lutte contre les vulnérabilités.
Cependant, les entreprises peuvent prendre certaines mesures pour découvrir davantage de vulnérabilités et réduire l'impact des attaques zero-day.
Gestion des correctifs : les fournisseurs s'empressent de publier des correctifs de sécurité dès qu'ils sont informés de l'existence d'exploits zero-day, mais de nombreuses organisations négligent d'appliquer rapidement ces correctifs. Un processus formel de gestion des correctifs pourrait permettre aux équipes de sécurité de rester au fait de ces correctifs critiques.
Gestion des vulnérabilités : une évaluation approfondie des vulnérabilités et un test de détection pourraient aider les entreprises à découvrir les vulnérabilités zero-day dans leurs systèmes avant que les hackers ne le fassent.
Gestion de la surface d'attaque (ASM) : les outils ASM permettent aux équipes de sécurité d'identifier tous les actifs de leurs réseaux et d'en examiner les vulnérabilités. Les outils ASM analysent le réseau du point de vue d'un hacker, en se concentrant sur la manière dont ces derniers sont susceptibles d'exploiter les actifs pour obtenir un accès. Les outils ASM aidant les organisations à visualiser leurs réseaux à travers les yeux d'un hacker, ils permettent en outre de découvrir des vulnérabilités zero-day.
Flux de renseignements sur les menaces : les experts en sécurité sont souvent parmi les premiers à signaler les vulnérabilités zero-day. Les organisations qui se tiennent informées des menaces externes pourraient avoir connaissance plus tôt des nouvelles vulnérabilités zero-day.
Méthodes de détection basées sur les anomalies : les logiciels malveillants zero-day peuvent échapper aux méthodes de détection basées sur les signatures, mais les outils qui utilisent le machine learning pour repérer les activités suspectes en temps réel peuvent souvent détecter les attaques zero-day. Les solutions courantes de détection des anomalies comprennent l'analyse du comportement des utilisateurs et des entités (UEBA), les plateformes de détection et de réponse étendues (XDR), les outils de détection et réponse des terminaux (EDR), ainsi que certains systèmes de détection et de prévention des intrusions.
Architecture zero trust : si un hacker exploite une vulnérabilité zero-day pour s'introduire dans un réseau, cette architecture peut limiter les dégâts. Zero trust utilise l'authentification continue et l'accès au moindre privilège pour empêcher les mouvements latéraux et éviter que des malfaiteurs n'accèdent à des ressources sensibles.
Améliorez rapidement la cyber-résilience de votre entreprise. Gérez l’évolution de votre empreinte numérique, détectez l’informatique fantôme et atteignez votre objectif grâce à des résultats corrélés et factuels basés sur la tentation adverse.
81 % des professionnels des SOC indiquent que les enquêtes manuelles les ralentissent1. IBM Security QRadar Suite est une sélection de technologies de sécurité modernes qui accélère les enquêtes et propose des analyses unifiées basées sur l’IA et l’automatisation.
Adoptez un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la correction des failles, renforce votre capacité de résistance aux attaques, raccourcit les délais de correction et contribue au maintien de la conformité réglementaire.
Découvrez tout ce que vous devez savoir sur les exploits zero-day et le rôle crucial qu’ils jouent dans la sécurité. Conçu par Randori, une société IBM.
Les cyberattaques désignent les tentatives de vol, d’exposition, d’altération, de désactivation ou de destruction des biens d’autrui via un accès non autorisé à des systèmes informatiques.
La gestion des vulnérabilités est la découverte et la résolution continues des failles de sécurité dans l’infrastructure et les logiciels informatiques d’une organisation.
Notes de bas de page
1 Global Security Operations Center Study Results (PDF), menée par Morning Consult et sponsorisé par IBM, mars 2023