Attaque Zero-Day

Qu’est-ce qu’une attaque Zero-Day?

Une attaque zero-day (également appelée Day Zero) est une attaque qui exploite une faille de sécurité logicielle potentiellement grave dont le fournisseur ou le développeur peut ne pas être au courant. Le développeur de logiciels doit se précipiter pour résoudre la faiblesse dès qu’elle est découverte afin de limiter la menace aux utilisateurs de logiciels. La solution s’appelle un correctif logiciel. Les attaques zero-day peuvent également être utilisées pour attaquer l’ Internet des objets (IoT).

Une attaque zero-day tire son nom du nombre de jours pendant lesquels le développeur du logiciel a eu connaissance du problème.

Points clés à retenir

  • Une attaque zero-day est une attaque logicielle qui exploite une faiblesse dont un fournisseur ou un développeur n’était pas au courant.
  • Le nom vient du nombre de jours qu’un développeur de logiciel a connu du problème.
  • La solution pour corriger une attaque zero-day est connue sous le nom de correctif logiciel.
  • Les attaques zero-day peuvent être évitées, mais pas toujours, grâce à un logiciel antivirus et à des mises à jour régulières du système.
  • Il existe différents marchés pour les attaques zero-day qui vont de la légalité à l’illégale. Ils comprennent le marché blanc, le marché gris et le marché noir.

Comprendre une attaque Zero-Day

Une attaque zero-day peut impliquer des logiciels malveillants, des logiciels publicitaires, des logiciels espions ou un accès non autorisé aux informations utilisateur. Les utilisateurs peuvent se protéger contre les attaques zero-day en configurant leurs logiciels (y compris les systèmes d’exploitation, les logiciels antivirus et les navigateurs Internet) pour qu’ils se mettent à jour automatiquement et en installant rapidement toutes les mises à jour recommandées en dehors des mises à jour régulièrement programmées.

Cela étant dit, avoir mis à jour un logiciel antivirus ne protégera pas nécessairement un utilisateur d’une attaque zero-day, car tant que la vulnérabilité du logiciel n’est pas connue publiquement, le logiciel antivirus peut ne pas avoir un moyen de la détecter. Les systèmes de prévention des intrusions de l’hôte aident également à se protéger contre les attaques zero-day en empêchant et en se défendant contre les intrusions et en protégeant les données.

Considérez une vulnérabilité zero-day comme une porte de voiture déverrouillée que le propriétaire pense être verrouillée mais qu’un voleur découvre qu’elle est déverrouillée. Le voleur peut entrer sans être détecté et voler des objets dans la boîte à gants ou dans le coffre du propriétaire de la voiture qui ne seront peut-être remarqués que quelques jours plus tard, lorsque le dommage est déjà fait et que le voleur est parti depuis longtemps.

Bien que les vulnérabilités zero-day soient connues pour être exploitées par des pirates informatiques criminels, elles peuvent également être exploitées par les agences de sécurité gouvernementales qui souhaitent les utiliser à des fins de surveillance ou d’attaques. En fait, il y a tellement de demande de vulnérabilités zero-day de la part des agences de sécurité gouvernementales qu’elles aident à stimuler le marché de l’achat et de la vente d’informations sur ces vulnérabilités et comment les exploiter.

Les exploits Zero Day peuvent être divulgués publiquement, divulgués uniquement au fournisseur de logiciels ou vendus à un tiers. S’ils sont vendus, ils peuvent être vendus avec ou sans droits exclusifs. La meilleure solution à une faille de sécurité, du point de vue de l’éditeur de logiciels qui en est responsable, est qu’un hacker éthique ou un chapeau blanc divulgue en privé la faille à l’entreprise afin qu’elle puisse être corrigée avant que des pirates informatiques ne la découvrent. Mais dans certains cas, plusieurs parties doivent remédier à la vulnérabilité pour la résoudre complètement, de sorte qu’une divulgation privée complète peut être impossible.

Marchés pour les attaques Zero-Day

Sur le marché sombre des informations zero-day, les pirates informatiques échangent des détails sur la façon de percer des logiciels vulnérables pour voler des informations précieuses. Sur le marché gris, les chercheurs et les entreprises vendent des informations aux militaires, aux agences de renseignement et aux forces de l’ordre. Sur le marché blanc, les entreprises paient des pirates informatiques ou des chercheurs en sécurité pour détecter et divulguer les vulnérabilités logicielles aux développeurs afin qu’ils puissent résoudre les problèmes avant que les pirates informatiques puissent les trouver.

Selon l’acheteur, le vendeur et l’utilité, les informations zero-day peuvent valoir de quelques milliers à plusieurs centaines de milliers de dollars, ce qui en fait un marché potentiellement lucratif auquel participer. Avant qu’une transaction puisse être conclue, le vendeur doit fournir un preuve de concept (PoC) pour confirmer l’existence de l’exploit zero-day. Pour ceux qui souhaitent échanger des informations zero-day non détectées, le réseau Tor permet d’effectuer des transactions zero-day de manière anonyme en utilisant Bitcoin.

Les attaques zero-day peuvent être moins une menace qu’elles ne le paraissent. Les gouvernements peuvent avoir des moyens plus faciles d’espionner leurs citoyens et le zero-day n’est peut-être pas le moyen le plus efficace d’exploiter des entreprises ou des individus. Une attaque doit être déployée de manière stratégique et à l’insu de la cible pour avoir un effet maximal. Déclencher une attaque zero-day sur des millions d’ordinateurs à la fois pourrait révéler l’existence de la vulnérabilité et obtenir un correctif publié trop rapidement pour que les attaquants atteignent leur objectif ultime.

Exemple du monde réel

En avril 2017, banker trojan pour exploiter une version vulnérable et non corrigée du logiciel. Le cheval de Troie permettait aux attaquants d’incorporer du code malveillant dans des documents Word qui se déclenchait automatiquement lors de l’ouverture des documents. L’attaque a été découverte par le fournisseur d’antivirus McAfee qui a notifié à Microsoft son logiciel compromis. Bien que l’attaque zero-day ait été découverte en avril, des millions d’utilisateurs avaient déjà été ciblés depuis janvier.