Ignorer le contenu principal

Qu’est-ce qu’une attaque zero-day ? - Définition et explication

Définition de zero-day

« Zero-day » est un terme générique qui décrit les dernières vulnérabilités de sécurité détectées que les cybercriminels peuvent utiliser pour attaquer les systèmes. Le terme « zero-day » désigne le fait que le fournisseur ou le développeur vient de prendre connaissance de la faille, ce qui signifie qu’il a « zéro jour » pour la corriger. Une attaque zero-day survient lorsque les cybercriminels exploitent la faille avant que les développeurs n’aient la possibilité de la rectifier.

Le terme « zero-day » s’écrit parfois « 0-day ». Les mots vulnérabilité, faille d’exploitation et attaque accompagnent généralement le terme zero-day et ont des significations différentes :

  • Une vulnérabilité zero-day est une vulnérabilité logicielle détectée par des cybercriminels avant que le fournisseur n’en ait connaissance. Comme les fournisseurs n’ont pas conscience de cette vulnérabilité, aucun correctif n’existe et les attaques enregistrent un taux élevé de réussite.
  • Une faille d’exploitation zero-day est la méthode que les cybercriminels utilisent pour attaquer les systèmes présentant une vulnérabilité non identifiée précédemment.
  • Une attaque zero-day désigne l’utilisation d’une faille d’exploitation zero-day pour endommager un système affecté par une vulnérabilité ou en dérober les données.

Que sont les attaques zero-day et comment fonctionnent-elles ?

Les logiciels présentent souvent des failles de sécurité que les cybercriminels peuvent exploiter pour provoquer des dégâts. Les développeurs de logiciels recherchent constamment les vulnérabilités à rectifier, impliquant le développement d’une solution intégrée dans une nouvelle mise à jour.

Cependant, il arrive que des cybercriminels ou des acteurs malveillants détectent la vulnérabilité avant les développeurs. Même si la vulnérabilité est toujours présente, les cybercriminels peuvent écrire et implémenter un code pour en tirer profit. C'est ce que l'on appelle la « liaison dynamique ».

Le code d’exploitation peut entraîner la corruption des utilisateurs du logiciel, par exemple par le biais d’une usurpation d’identité ou d’autres formes de cybercrime. Une fois que les cybercriminels identifient une vulnérabilité zero-day, ils cherchent à atteindre le système vulnérable. Pour ce faire, ils utilisent souvent un email d’ingénierie sociale, c’est-à-dire un email ou autre message émanant d’un cybercriminel mais ayant l’aspect d’un contenant provenant d’un expéditeur légitime. Le message tente de convaincre l’utilisateur d’exécuter une action, comme ouvrir un fichier ou accéder à un site Web malveillant. Une telle action entraîne le téléchargement du programme malveillant du cybercriminel, qui s’infiltre dans les dossiers de l’utilisateur et s’empare de ses données confidentielles.

Lorsqu’une vulnérabilité est identifiée, les développeurs tentent de la corriger pour stopper l’attaque. Cependant, les vulnérabilités de sécurité sont rarement détectées immédiatement. Il s’écoule parfois plusieurs jours, plusieurs semaines, voire plusieurs mois avant que les développeurs n’identifient la vulnérabilité à l’origine de l’attaque. Et même lorsqu’un correctif est disponible, les utilisateurs ne sont pas tous prompts à l’implémenter. Ces dernières années, les cybercriminels sont parvenus à exploiter les vulnérabilités très rapidement après leur détection.

Les failles d’exploitation peuvent être vendues sur le dark Web à des prix considérables. Une fois la faille d’exploitation détectée et rectifiée, elle n’est plus appelée « menace zero-day ».

Les attaques zero-day sont particulièrement dangereuses car les seules personnes qui les connaissent sont les cybercriminels eux-mêmes. Dès que les cybercriminels infiltrent un réseau, ils passent à l’attaque immédiatement ou patientent jusqu’au moment le plus avantageux.

Qui lance des attaques zero-day ?

Les acteurs malveillants qui lancent des attaques zero-day s’inscrivent dans différentes catégories selon leur motivation : Par exemple :

  • Cybercriminels : pirates dont la motivation est généralement financière
  • Hacktivistes : pirates motivés par une cause politique ou sociale qui souhaitent que les attaques soient visibles pour attirer l’attention sur leur combat
  • Espionnage industriel : pirates qui espionnent des entreprises pour obtenir des informations
  • Guerre de l’information : acteurs nationaux ou politiques espionnant ou attaquant la cyberinfrastructure d’un autre pays

Qui les failles d’exploitation zero-day ciblent-elles ?

Une faille d’exploitation zero-day peut exploiter les vulnérabilités de différents systèmes, y compris :

  • Systèmes d'exploitation 
  • Navigateurs Web 
  • Applications de bureau
  • Renseignement de sources ouvertes
  • Matériel et firmware
  • Internet des objets (IoT) 

En conséquence, les victimes potentielles sont très diverses :

  • Les particuliers qui utilisent un système vulnérable, comme un navigateur ou un système d’exploitation. Les cybercriminels peuvent utiliser des vulnérabilités de sécurité pour compromettre les appareils et créer des botnets à grande échelle
  • Les particuliers ayant accès à des données professionnelles sensibles, comme la propriété intellectuelle
  • Appareils matériel, firmware et Internet des objets
  • Grandes entreprises
  • Agences gouvernementales
  • Cibles politiques et/ou menaces de sécurité nationale

Il est judicieux de réfléchir en termes d’attaques zero-day ciblées et non ciblées :

  • Les attaques zero-day ciblées visent des cibles potentielles intéressantes, comme les grandes entreprises, les organismes gouvernementaux ou les célébrités.
  • Les attaques zero-day non ciblées ciblent généralement les utilisateurs de systèmes vulnérables, comme un système d’exploitation ou un navigateur.

Même lorsque les cybercriminels ne ciblent pas d’individus spécifiques, un grand nombre de personnes peuvent être affectées par les attaques zero-day, ce qui s’apparente à des dommages collatéraux. Les attaques non ciblées ont pour objectif de capturer autant d’utilisateurs que possible. Les données des utilisateurs moyens peuvent alors être affectées.

Comment identifier des attaques zero-day

Les vulnérabilités zero-day pouvant prendre toutes sortes de formes, comme le chiffrement manquant des données, les autorisations manquantes, les algorithmes interrompus, les bugs, les problèmes de sécurité des mots de passe, etc., ils peuvent être difficiles à détecter. En raison de la nature de ce type de vulnérabilités, les informations précises sur les failles d’exploitation zero-day ne sont disponibles qu’une fois les problèmes identifiés.

Les entreprises attaquées par une faille d’exploitation zero-day peuvent voir apparaître un trafic inattendu ou une activité d’analyse suspecte provenant d’un client ou d’un service. Exemples de techniques de détection zero-day :

  1. Utilisation des bases de données existantes de programmes malveillants et comportement de référence. Même si ces bases de données sont mises à jour très rapidement et peuvent servir de point de référence, les failles d’exploitation zero-day sont par définition nouvelles et inconnues. Il existe donc une limite à la quantité d’informations qu’une base de données existante peut vous fournir.
  2. D’autres techniques recherchent les caractéristiques du programme malveillant zero-day sur la base de leur interaction avec le système cible. Au lieu d’examiner le code des fichiers entrants, cette technique recherche leurs interactions avec le logiciel existant et tente de déterminer si elles résultent d’actions malveillantes.
  3. Le Machine Learning est de plus en plus utilisé pour détecter les données des failles d’exploitation précédemment enregistrées en vue d’établir un référentiel de comportements système sécurisés à partir des données des interactions passées et actuelles avec le système. Plus les données disponibles sont nombreuses, plus la détection est fiable.

Souvent, une combinaison de différents systèmes de détection est utilisée.

Failles d'exploitation zero-day

Exemples d’attaques zero-day

Exemples d’attaques zero-day récentes :

2021: Vulnérabilité zero-day de Chrome

En 2021, Google Chrome a fait l’objet d’une série de menaces zero-day ayant entraîné la publication de mises à jour par Chrome. La vulnérabilité provenait d’un bug dans le moteur JavaScript V8 utilisé dans le navigateur Web.

2020: Zoom

Une vulnérabilité a été identifiée sur la célèbre plateforme de vidéoconférence. Au cours de cette attaque zero-day, les cybercriminels accédaient au PC d’un utilisateur à distance exécutant une ancienne version de Windows. Si la cible était un administrateur, le cybercriminel pouvait prendre le plein contrôle de sa machine et accéder à l’ensemble de ses fichiers.

Apple iOS

Apple iOS est souvent décrit comme la plus sécurisée des grandes plateformes de smartphone. Toutefois, en 2020, le système d’exploitation a fait l’objet d’au moins deux séries de vulnérabilités zero-day, notamment un bug zero-day permettant aux cybercriminels de compromettre les iPhones à distance.

2019: Microsoft Windows, Europe de l’Est

Cette attaque se concentrait sur l’augmentation locale des droits, un domaine vulnérable de Microsoft Windows, et a ciblé des institutions gouvernementales d’Europe de l’Est. La faille d’exploitation zero-day a profité d’une vulnérabilité de droits locale de Microsoft Windows pour exécuter un code arbitraire, installer des applications, puis afficher et modifier les données sur les applications compromises. Une fois l’attaque identifiée et signalée au Centre de réponse aux problèmes de sécurité Microsoft, un correctif a été développé et déployé.

2017: Microsoft Word

Cette faille d’exploitation zero-day a mis en péril des comptes bancaires personnels. Les victimes étaient des personnes qui avaient ouvert accidentellement un document Word malveillant. Le document affichait une invite « Charger le contenu distant », avec une fenêtre contextuelle demandant aux utilisateurs un accès externe depuis un autre programme. Lorsque les victimes cliquaient sur Oui, le document installait un programme malveillant sur leur appareil, capable de capturer leurs informations de connexion bancaires.

Stuxnet

Stuxnet figure parmi les exemples les plus célèbres d’attaque zero-day. Découvert pour la première fois en 2010, mais se répandant depuis 2005, ce ver informatique malveillant a affecté les ordinateurs du secteur de la fabrication exécutant un automate programmable industriel (API). Le ver ciblait principalement les usines d’enrichissement de l’uranium iraniennes dans le but d’interrompre le programme nucléaire du pays. Il a infecté les API en profitant des vulnérabilités du logiciel Siemens Step7. Les API ont alors exécuté des commandes inattendues sur les machines de la chaîne de montage. L’histoire de Stuxnet a fait ensuite l’objet d’un documentaire intitulé Zero Days.

Comment vous protéger contre les attaques zero-day

Pour se protéger contre les attaques zero-day et garantir la sécurité de leurs ordinateurs et de leurs données, les particuliers comme les entreprises doivent suivre les meilleures pratiques de cybersécurité. Ce qui inclut :

Maintenez l’ensemble de vos logiciels et de vos systèmes d’exploitation à jour. Les fournisseurs incluent des correctifs de sécurité dans les mises à jour pour couvrir les dernières vulnérabilités identifiées. Des outils mis à jour renforceront votre sécurité.

Utilisez uniquement les applications indispensables. Plus vous installez d’applications, plus les risques de vulnérabilités sont élevés. Vous pouvez réduire ces risques réseau en utilisant uniquement les applications dont vous avez besoin.

Utilisez un réseau privé virtuel (VPN) Un pare-feu joue un rôle essentiel pour protéger votre système contre les menaces zero-day. Vous pouvez garantir une protection maximale en le configurant de façon à autoriser uniquement les transactions nécessaires.

Formez les utilisateurs au sein des entreprises. De nombreuses attaques zero-day misent sur les erreurs humaines. Le fait de former les salariés et les utilisateurs aux bonnes mesures de sécurité contribuera à la protéger en ligne et à protéger l’entreprise contre les failles d’exploitation zero-day et autres menaces numériques.

Utilisez une solution logicielle antivirus complète. Kaspersky Total Security vous aide à protéger vos appareils en bloquant les menaces connues et inconnues.

Articles connexes :

Qu’est-ce qu’une attaque zero-day ? - Définition et explication

Que signifie zero-day et que sont les vulnérabilités, les failles d’exploitation et les attaques zero-day ? En savoir plus sur le zero-day, y compris sur la détection et la prévention associées.
Kaspersky logo

Articles connexes