Zero-day : définition et exemples

Le terme “zero day” fait référence au délai depuis lequel un développeur a connaissance d’une faille de sécurité dans son programme, et du temps dont il dispose pour la rectifier : zéro jour.

Ce terme peut en réalité s’appliquer à trois concepts différents : une vulnérabilité informatique, une faille d’exploitation ou une cyberattaque. Voyons ces notions en détail.

Une vulnérabilité zéro day est une faille de sécurité n’ayant pas encore été découverte par les développeurs d’un programme, matériel ou logiciel informatique. Il peut s’agir d’un bug, d’un défaut dans le chiffrement, ou encore d’une autorisation manquante.

Dans le meilleur des cas, l’utilisateur qui prend connaissance de cette faille peut la signaler aux développeurs du programme, afin que ces derniers la corrigent avant qu’elle ne soit exploitée. Il existe d’ailleurs des communautés ouvertes visant à identifier les bugs et autres vulnérabilités logicielles, afin d’assurer une amélioration continue de la cybersécurité. Mais malheureusement, il arrive que des cybercriminels détectent la faille en premier.

Une faille d’exploitation zero-day se réfère au code utilisé par les pirates informatiques pour exploiter une vulnérabilité zero-day à leur avantage. Ce code d’exploitation leur servira alors à mener ce que l’on appelle une attaque zero-day.

Il existe tout un marché concernant les failles d’exploitation zero-day, qui peuvent se vendre à prix d’or sur le dark web.

Une attaque zero-day a lieu lorsque les cybercriminels exploitent une faille de sécurité avant que les développeurs n’aient le temps de la corriger. Ces attaques peuvent prendre plusieurs formes : installation d’un backdoor (ou porte dérobée), de tout type de malware ou encore vol de données sensibles, entre autres.

Les attaques zero day sont particulièrement intéressantes pour les hackers, car le fournisseur n’ayant pas conscience de la vulnérabilité, elles obtiennent généralement un taux de réussite élevé. En effet, lorsqu’une attaque survient, il se passe parfois des semaines, voire des mois avant que les développeurs ne parviennent à identifier la faille qui en est à l’origine.

Les attaques zero-day peuvent être perpétrées par des cybercriminels, mais également par des services de renseignements ou encore par des entreprises dans un objectif d’espionnage industriel, étant donné qu’elles passent inaperçues durant des délais parfois très longs.

Les développeurs d’un logiciel ou d’un site web effectuent une recherche permanente d’éventuelles failles de sécurité qu’ils pourront rectifier dans les prochaines mises à jour. Néanmoins, il arrive que des acteurs malveillants détectent une faille en premier. Ils écrivent alors un code permettant d’exploiter cette faille, que l’on appelle liaison dynamique, de manière à s’introduire dans le système ciblé.

Les techniques d’attaques zero-day incluent les e-mails de phishing, des messages frauduleux semblant provenir d’une source légitime et destinés à tromper les utilisateurs. Ces messages incitent le destinataire à effectuer une action, telle que cliquer sur un lien malveillant ou télécharger un fichier. Ce faisant, la victime installe un logiciel malveillant dans son système, logiciel qui peut alors s’emparer de nombreuses données confidentielles.

Les attaques zero-day peuvent cibler les vulnérabilités d’un grand nombre de systèmes différents :

• Systèmes d’exploitation ;
• Navigateurs web ;
• Matériel informatique ;
• Applications de bureau ;
• Objets connectés (IoT) ;
• Etc.

Par ailleurs, les attaques zero-day peuvent être ciblées envers un acteur en particulier (grandes entreprises, agences gouvernementales, célébrités) ou non ciblées, c’est-à-dire s’attaquer aux utilisateurs d’un système vulnérable tel qu’un navigateur ou un système d’exploitation.

Voici quelques exemples connus d’attaques zero-day ayant marqué l’histoire de la cybersécurité.

• Le ver Stuxnet est l’un des exemples les plus célèbres d’attaque zero day. Ce ver informatique circulait depuis 2005, mais n’a été détecté pour la première fois que 5 ans plus tard. Il est notamment connu pour avoir infecté les logiciels Siemens des usines d’enrichissement de l’uranium en Iran, paralysant le programme nucléaire du pays en 2010.
• L’attaque zero-day ciblant Sony en 2014 figure également parmi les cas les plus mémorables. Lors du piratage de Sony Pictures, des criminels ont utilisé une vulnérabilité de type “zero day” pour s’introduire dans le réseau de l’entreprise et voler des données. Des informations sensibles, telles que les copies des films à venir ou des e-mails confidentiels de la direction, ont ensuite été divulguées par les hackers.
• En 2017, le logiciel bureautique Microsoft Word a subi une attaque zero-day via le malware Dridex, mettant en danger les données personnelles de ses utilisateurs. Un document Word malveillant invitait ces derniers à accepter un accès externe. En cliquant sur “Oui”, les utilisateurs déclenchaient le téléchargement du logiciel malveillant, capable de récolter leurs informations bancaires.
• En 2010, une série de vulnérabilités zero-day a touché le système d’exploitation iOS, notamment un bug ayant provoqué la compromission de plusieurs iPhone.
• La même année, la plateforme de visioconférence Zoom était la cible d’une attaque zero-day qui permettait aux cybercriminels de prendre le contrôle d’un PC à distance si la cible était un administrateur.
• En 2021, c’est Google Chrome qui a été victime de plusieurs menaces zero-day. En cause, la présence d’un bug dans le moteur JavaScript V8 utilisé par le navigateur web.

En raison de la multitude de formes qu’elle peut prendre, une vulnérabilité zero-day peut être difficile à identifier. Néanmoins, certaines techniques peuvent aider à détecter ces failles de sécurité plus tôt, afin de les rectifier avant qu’elles ne fassent de dégâts.

• Des bases de données existent et référencent les logiciels malveillants connus ainsi que leurs comportements sur les systèmes informatiques. Ces bases de données sont mises à jour régulièrement, de sorte qu’elles peuvent, dans une certaine mesure, servir de point de référence.
• Une autre technique consiste à analyser l’interaction d’un fichier avec le logiciel et à déterminer si celle-ci fait l’objet d’une action malveillante.
• Enfin, l’apprentissage automatique (machine learning) est de plus en plus utilisé pour aider à identifier les nouvelles failles d’exploitation, en les comparant à un référentiel existant.

Si les vulnérabilités zero-day peuvent être difficiles à identifier, certaines mesures vous permettront de réduire considérablement les risques d’attaques.

• Maintenez tous vos logiciels à jour : les mises à jour logicielles effectuées par les développeurs sont essentielles, car elles comprennent des correctifs de sécurité à mesure que des failles sont détectées. Assurez-vous de toujours posséder la dernière version de vos applications.
• Apprenez à reconnaître les signes de phishing : les techniques d’hameçonnage sont toujours plus sophistiquées pour vous convaincre de divulguer vos informations personnelles ou de télécharger un logiciel malveillant. Soyez méfiant en toutes circonstances, et ne cliquez jamais sur des liens douteux ou des pièces jointes dans les messages provenant d’expéditeurs inconnus.
• Utilisez un VPN : un VPN permet de chiffrer votre activité en ligne et de la masquer aux yeux des tiers malveillants. Des fonctionnalités de sécurité avancées telles que la fonction Protection Anti-menaces de NordVPN permettent de repousser les tentatives de cyberattaques, en vous empêchant de télécharger accidentellement des fichiers malveillants ou d’atterrir sur des sites web dangereux.

Ne laissez pas les cybercriminels gagner. Chiffrez vos données avec NordVPN.