Qu'est-ce qu'un exploit zero-day ?

La vulnérabilité inconnue ou non corrigée est appelée vulnérabilité zero-day ou menace zero-day. On parle d’attaque zero-day lorsqu’un pirate utilise un exploit zero-day pour implanter un logiciel malveillant, voler des données ou causer d’autres dommages aux utilisateurs, à l’organisation ou aux systèmes.

Un concept similaire mais distinct, le logiciel malveillant zero day, est un virus ou une autre forme de logiciel malveillant dont la signature est inconnue ou pas encore établie, et donc indétectable par de nombreuses solutions logicielles antivirus ou d’autres technologies de détection des menaces basées sur la signature.

L’équipe en charge des renseignements sur les menaces X-Force Threat Intelligence d’IBM a enregistré 7 327 vulnérabilités zero-day depuis 1988, soit à peine 3 % de toutes les failles de sécurité enregistrées. Cependant, les vulnérabilités zero-day, en particulier dans les systèmes d’exploitation ou les appareils informatiques les plus utilisés, constituent un grave risque de sécurité. Elles exposent un grand nombre d’utilisateurs ou des organisations entières à la cybercriminalité jusqu’à ce que le fournisseur ou la communauté chargée de la cybersécurité identifie le problème et y apporte une solution.

Une vulnérabilité zero-day existe dans une version d’un système d’exploitation, d’une application ou d’un appareil dès son lancement, mais l’éditeur du logiciel ou le fabricant du matériel ne le sait pas. La vulnérabilité peut passer inaperçue pendant des jours, des mois ou des années, jusqu’à ce que quelqu’un la découvre.

Dans le meilleur des cas, les spécialistes de la sécurité ou les développeurs de logiciels découvrent la faille avant les pirates. Cependant, il arrive parfois que les pirates informatiques parviennent à détecter la vulnérabilité en premier.

Quelle que soit la personne qui découvre la faille, celle-ci est souvent rendue publique peu de temps après. Les vendeurs et les professionnels de la sécurité informent généralement les clients afin qu’ils puissent prendre leurs précautions. Les pirates informatiques peuvent se transmettre la menace entre eux et les spécialistes peuvent en découvrir l’existence en observant l’activité des cybercriminels. Certains fournisseurs peuvent garder une vulnérabilité secrète jusqu’à ce qu’ils aient développé une mise à jour logicielle ou un autre correctif, mais cela peut être un pari risqué. Si les pirates informatiques découvrent la faille avant que les éditeurs ne la corrigent, les entreprises peuvent être prises au dépourvu.

La connaissance d’une nouvelle faille zero-day déclenche une course contre la montre entre les professionnels de la sécurité qui travaillent sur une solution et les pirates qui développent un exploit zero-day qui tire parti de la vulnérabilité pour infiltrer un système. Une fois que les pirates ont mis au point un exploit zero-day, ils l’utilisent pour lancer une cyberattaque.

Les pirates peuvent souvent développer des exploits plus rapidement que les équipes de sécurité ne peuvent développer des solutions correctives. Selon une estimation, les exploits sont généralement disponibles dans les 14 jours qui suivent la divulgation d’une vulnérabilité. Toutefois, lorsque les attaques zero-day sont lancées, les correctifs sont souvent appliqués en l’espace de quelques jours seulement, car les éditeurs utilisent les informations issues des attaques pour identifier la faille qu’ils doivent corriger. Ainsi, bien que la vulnérabilité zero-day soit dangereuse, les pirates ne peuvent généralement pas l’exploiter longtemps.

Stuxnet est un ver informatique avancé qui exploite quatre vulnérabilités logicielles zero-day différentes dans les systèmes d’exploitation Microsoft Windows. En 2010, Stuxnet a été utilisé dans une série d’attaques contre des installations nucléaires en Iran. Une fois le ver introduit dans les systèmes informatiques d’une centrale nucléaire, il envoie des commandes malveillantes aux centrifugeuses utilisées pour enrichir l’uranium. Ces commandes ont fait tourner les centrifugeuses à une vitesse telle qu’elles se sont brisées. Au total, Stuxnet a endommagé 1 000 centrifugeuses.

Les chercheurs pensent que les gouvernements américain et israélien ont travaillé ensemble pour créer Stuxnet, mais cela n’est pas confirmé.

Log4Shell était une vulnérabilité zero-day dans Log4J, une bibliothèque Java open source utilisée pour la journalisation des messages d’erreur. Les pirates pouvaient utiliser la faille Log4Shell pour contrôler à distance la quasi-totalité des appareils utilisant des applications Java. Log4J étant associé à des programmes populaires tels que Apple iCloud et Minecraft, des centaines de millions d’appareils étaient menacés. La base de données Common Vulnerabilities and Exposures (CVE) de MITRE a attribué à Log4Shell le score de risque le plus élevé qui soit, à savoir 10 sur 10.

La faille Log4Shell était présente depuis 2013, mais les pirates n’ont commencé à l’exploiter qu’en 2021. La vulnérabilité a été corrigée peu après sa découverte, mais les spécialistes en sécurité ont détecté plus de 100 attaques Log4Shell par minute au plus fort de l'attaque.

Début 2022, des pirates nord-coréens ont exploité une vulnérabilité zero-day d’exécution de code à distance dans les navigateurs web Google Chrome. Les hackers ont utilisé des e-mails de phishing pour diriger les victimes vers des sites frauduleux, qui utilisaient la vulnérabilité de Chrome pour installer des logiciels espions et des logiciels malveillants d’accès à distance sur les appareils des victimes. La vulnérabilité a été rapidement corrigée, mais les pirates ont bien couvert leurs traces, et les experts ne savent pas exactement quelles données ont été volées.

Les attaques zero-day font partie des cybermenaces les plus difficiles à contrer. Les hackers peuvent exploiter les vulnérabilités zero-day avant même que leurs cibles n'en aient connaissance, ce qui leur permet d'infiltrer les réseaux sans se faire repérer.

Même si la vulnérabilité est connue de tous, il peut s’écouler un certain temps avant que les éditeurs de logiciels ne publient un correctif, ce qui expose les entreprises à des risques.

De nos jours, les pirates informatiques exploitent de plus en plus fréquemment les vulnérabilités Zero Day. Selon un rapport de Mandiant datant de 2022, plus de vulnérabilités zero-day ont été exploitées au cours de la seule année 2021 qu’au cours de la période allant de 2018 à 2020.

L’augmentation des attaques zero-day est probablement liée au fait que les réseaux des entreprises deviennent de plus en plus complexes. Aujourd’hui, les organisations s’appuient sur un mix d’applications sur le cloud et sur site, d’appareils appartenant à l’entreprise et aux employés, et d’appareils de l’Internet des objets (IoT) et de la technologie opérationnelle (OT). Tous ces éléments élargissent la surface d’attaque d’une organisation, et les vulnérabilités zero-day peuvent se cacher dans n’importe lequel d’entre eux.

Les failles zero-day offrant de si précieuses opportunités aux hackers, les cybercriminels échangent désormais des vulnérabilités zero-day et des exploits zero-day sur le marché noir pour des sommes astronomiques. Par exemple, en 2020, des pirates informatiques vendaient les failles de Zoom pour un montant pouvant atteindre 500 000 USD.

Les acteurs étatiques sont également connus pour rechercher des failles zero-day. Nombre d’entre eux choisissent de ne pas divulguer les zero-day qu’ils découvrent, préférant créer leurs propres exploits zero-day confidentiels pour les utiliser contre leurs ennemis. De nombreux fournisseurs et experts en sécurité critiquent cette pratique, en affirmant qu’elle met en danger les entreprises à leur insu.

Les équipes de sécurité sont souvent désavantagées en cas de vulnérabilité zero-day. Ces failles étant inconnues et non corrigées, les entreprises ne peuvent pas en tenir compte dans leur gestion des risques liés à la cybersécurité ou dans leurs efforts de lutte contre les vulnérabilités.

Cependant, les entreprises peuvent prendre des mesures pour découvrir davantage de vulnérabilités et réduire l’impact des attaques zero-day.

Gestion des correctifs : les fournisseurs s’empressent de publier des correctifs de sécurité dès qu’ils sont informés de l’existence d’exploits zero-day, mais de nombreuses entreprises négligent d’appliquer rapidement ces correctifs. Un processus formel de gestion des correctifs pourrait permettre aux équipes de sécurité de rester informées de ces correctifs critiques.

Gestion des vulnérabilités : une évaluation approfondie des vulnérabilités et des tests de détection pourraient aider les entreprises à découvrir les vulnérabilités zero-day dans leurs systèmes avant que les pirates.

Gestion de la surface d’attaque (ASM) : les outils ASM permettent aux équipes de sécurité d’identifier tous les actifs de leurs réseaux et d’en examiner les vulnérabilités. Les outils ASM analysent le réseau du point de vue d’un hacker, en se concentrant sur la manière dont ces derniers sont susceptibles d’exploiter les actifs pour obtenir un accès. Les outils ASM aidant les organisations à visualiser leurs réseaux à travers les yeux d’un hacker, ils permettent en outre de découvrir des vulnérabilités zero-day.

Flux de renseignements sur les menaces : les experts en sécurité sont souvent parmi les premiers à signaler les vulnérabilités zero-day. Les entreprises qui reçoivent les renseignements sur les menaces externes peuvent avoir connaissance des nouvelles vulnérabilités zero-day plus tôt.

Méthodes de détection basées sur les anomalies : les logiciels malveillants zero-day peuvent échapper aux méthodes de détection basées sur les signatures, mais les outils qui utilisent le machine learning pour repérer les activités suspectes en temps réel peuvent souvent détecter les attaques zero-day. Les solutions courantes de détection des anomalies comprennent l’analyse du comportement des utilisateurs et des entités (UEBA), les plateformes de détection et de réponse étendues (XDR), les outils de détection et réponse des terminaux (EDR), ainsi que certains systèmes de détection et de prévention des intrusions.

Architecture zero trust : si un hacker exploite une vulnérabilité zero-day pour s’introduire dans un réseau, cette architecture peut limiter les dégâts. Zero trust utilise l’authentification continue et l’accès au moindre privilège pour empêcher les mouvements latéraux et éviter que des malfaiteurs n’accèdent à des ressources sensibles.