Les vulnérabilités du jour zéro sont des vulnérabilités de protocole, de logiciel et d'application qui ne sont pas encore connues du grand public ou des développeurs du produit où la vulnérabilité existe. Étant donné qu'une vulnérabilité de type "zero-day" n'est pas connue du public ou des développeurs, les correctifs ne sont pas disponibles. L'exploitation d'un jour zéro est une menace émergente en matière de cybersécurité, dans laquelle les pirates exploitent des vulnérabilités dans la nature avant qu'elles ne soient connues des créateurs ou du public. Avant que les hackers "white hat" n'interviennent pour résoudre le problème, les attaquants violent les données et pénètrent dans les systèmes et les réseaux à des fins malveillantes.
Selon l'étude GPZ, la moitié des 18 vulnérabilités "zero-day" exploitées par les pirates au cours du premier semestre 2022 avant qu'une mise à jour ne soit disponible auraient pu être évitées si les éditeurs de logiciels avaient effectué des tests plus approfondis et créé des correctifs plus complets. Il est surprenant de constater qu'au moins quatre des vulnérabilités "zero-day" de cette année sont des variantes de 2021. En outre, le nombre d'exploits "zero-day" en 2021 a augmenté de plus de 100 % par rapport au précédent record établi en 2019, ce qui indique que près de 40 % du total des exploits "zero-day" se sont produits en 2021 seulement. Le rapport sur la sécurité Internet de WatchGuard pour le quatrième trimestre 2021 a également révélé que les logiciels malveillants zero-day représentaient les deux tiers de toutes les menaces au cours de cette période.
Mais qu'est-ce qu'une vulnérabilité de type "zero-day" ? C'est ce que vous allez apprendre dans ce guide. Mais pour bien comprendre cette définition, nous devons d'abord définir quelques autres choses.
Points clés à retenir
- Les vulnérabilités du jour zéro sont des failles inconnues et non corrigées exploitées par les attaquants avant que les vendeurs ne puissent les corriger.
- Les attaques suivent un cycle de vie, depuis la découverte de la vulnérabilité et le développement de l'exploitation jusqu'à la livraison et l'exécution.
- La détection nécessite diverses méthodes, notamment l'analyse des vulnérabilités, le contrôle des performances et les rapports d'utilisateurs.
- Les cibles de grande valeur telles que les organisations gouvernementales, financières et informatiques sont fréquemment attaquées, mais toute entité détenant des données précieuses est en danger.
- La prévention implique des correctifs en temps utile, des logiciels de sécurité robustes, des contrôles d'accès des utilisateurs et une recherche proactive des menaces.
Qu'est-ce qu'un "Zero-day Exploit" ?
Un exploit de type "zero-day" est une faille de sécurité qui n'a pas été divulguée publiquement ou qui n'a pas été corrigée. Le terme fait référence à la fois à l'exploit lui-même et au paquet de code qui comprend l'exploit et les outils connexes. On l'appelle aussi, de manière synonyme, "attaque du jour zéro" ou "exploit du jour zéro". Le terme "jour zéro" indique l'intensité du problème et le fait que les développeurs ont zéro jour pour corriger l'erreur avant qu'elle ne devienne un problème urgent.
Les attaquants utilisent souvent des exploits de type "zero-day" pour déployer des logiciels malveillants. logiciels malveillants sur des systèmes et des réseaux qui n'ont pas été corrigés. Les défenseurs peuvent également les utiliser pour effectuer des tests de pénétration afin de détecter les vulnérabilités des réseaux. Les logiciels malveillants sont l'un de ces exploits "zero day" qui se répandent pour attaquer les agences gouvernementales, les entreprises informatiques, les institutions financières, etc. Les logiciels malveillants et les rançongiciels diffusés par le biais de courriels frauduleux peuvent être atténués par des protocoles de sécurité des courriels tels que DMARC.
Vous pourriez entendre les termes "vulnérabilités de jour zéro", "exploits de jour zéro" ou "attaques de jour zéro" lorsque vous vous renseignez sur les exploits de jour zéro. Ces termes présentent une différence cruciale :
- La méthode employée par les pirates pour cibler les logiciels est connue sous le nom de "exploit zero-day".
- Le défaut dans votre système est connu sous le nom de "vulnérabilité de jour zéro".
- "Les attaques de type "zéro jour" sont ce que font les pirates lorsqu'ils exploitent une vulnérabilité pour s'infiltrer dans votre système.
Lorsqu'on parle de vulnérabilité du jour zéro, le mot "non découverte" est essentiel car pour être appelée "vulnérabilité du jour zéro", une faille doit être inconnue des concepteurs du système. Lorsqu'une faille de sécurité est découverte et qu'un correctif est mis à disposition, elle cesse d'être une "vulnérabilité du jour zéro".
Les exploits de type "zero-day" peuvent être utilisés par les attaquants de diverses manières, notamment :
- Exploiter des systèmes non corrigés (c'est-à-dire sans appliquer les mises à jour de sécurité) pour installer des logiciels malveillants ou prendre le contrôle d'ordinateurs à distance ;
- mener des campagnes d'hameçonnage (c'est-à-dire envoyer des courriels en essayant d'inciter les destinataires à cliquer sur des liens ou des pièces jointes) en utilisant des pièces jointes malveillantes ou des liens menant à des exploits en matière d'hébergement de sites web ; ou
- Pour effectuer des attaques par déni de service (c'est-à-dire inonder les serveurs de demandes de sorte que les demandes légitimes ne puissent pas passer).
Durée de vie d'un exploit de type "zero day" (jour zéro)
La durée de vie habituelle d'un exploit "zero day" est divisée en 7 étapes. Voyons quelles sont ces étapes.
Étape 1 : Introduction de la vulnérabilité
Lors de la création et du test d'un logiciel, le développeur voit un signe vert. Cela signifie que le logiciel contient un code vulnérable sans le savoir.
Étape 2 : Publication de l'exploitation
Un acteur de la menace découvre la vulnérabilité avant que le vendeur ou le développeur n'en ait connaissance et n'ait la possibilité de la corriger. Le pirate informatique écrit et déploie des codes exploités à des fins malveillantes.
Étape 3 : Découverte de la vulnérabilité
À ce stade, les vendeurs sont informés des failles, mais le correctif n'est pas encore créé et publié.
Étape 4 : Divulgation de la vulnérabilité
La vulnérabilité est reconnue publiquement par le vendeur ou les chercheurs en sécurité. Les utilisateurs sont informés des risques potentiels associés au logiciel.
Stage 5 : Publication de la signature de l'antivirus
Une signature antivirus est publiée afin que, si les appareils des utilisateurs sont attaqués pour lancer un exploit de type "zero-day", les vendeurs d'antivirus puissent identifier cette signature et offrir une protection. Mais le système peut être vulnérable à de tels risques si des acteurs malveillants disposent d'autres moyens d'exploiter la vulnérabilité.
Étape 6 : Publication du correctif de sécurité
Les développeurs créent et diffusent un correctif de sécurité pour remédier à la vulnérabilité. Le temps nécessaire à sa création dépend de la complexité de la vulnérabilité et de sa priorité dans le processus de développement.
Étape 7 : Déploiement des correctifs de sécurité terminé
Dans la dernière étape, l'installation du correctif de sécurité est terminée avec succès. L'installation est nécessaire car la publication d'un correctif de sécurité ne se comporte pas comme une solution immédiate car les utilisateurs prennent du temps pour le déployer. Ainsi, les entreprises et les particuliers qui l'utilisent sont informés de la version mise à jour.
Prévenir les vulnérabilités du jour zéro avec PowerDMARC !
Quelles sont les caractéristiques uniques des exploits de type "zero-day" qui les rendent si dangereux ?
Il existe deux catégories de vulnérabilités de type "zero-day" :
Non découverte : L'éditeur du logiciel n'a pas encore eu connaissance de la faille. Ce type de faille est extrêmement rare car la plupart des grandes entreprises disposent d'équipes dédiées qui travaillent à plein temps pour trouver et corriger les failles de leurs logiciels avant que des pirates ou des utilisateurs malveillants ne les découvrent.
Non détectée : La faille a été découverte et corrigée par le développeur du logiciel, mais personne ne l'a encore signalée parce qu'il n'a rien remarqué d'anormal dans son système. Cette vulnérabilité peut être très utile si vous cherchez à lancer une attaque contre le système de quelqu'un d'autre et que vous ne voulez pas qu'il sache ce qui se passe avant que ce ne soit fait !
Les exploits du jour zéro sont particulièrement risqués car ils ont plus de chances de réussir que les attaques sur des failles connues. Lorsqu'une vulnérabilité est rendue publique le jour zéro, les entreprises doivent encore la corriger, ce qui rend une attaque concevable. Les programmes sont sujets à des vulnérabilités, et il n'est pas pratique pour les développeurs de tout détecter. C'est pourquoi ils créent et publient des correctifs dès qu'ils ont connaissance des failles. Cependant, si les pirates informatiques les découvrent avant les développeurs, ils sont plus susceptibles de les compromettre pour pénétrer dans les systèmes. En outre, les pirates informatiques conçoivent souvent des attaques suffisamment spécifiques pour lancer avec succès un exploit de type "zero day". Ces adaptations font qu'il est difficile de contrer leurs actions malveillantes. Souvent, les victimes finissent par trouver des solutions à la volée, car elles sont moins susceptibles de rencontrer de telles situations autrement. La vulnérabilité étant inconnue, il n'y a souvent pas de défense ou de protection en place ; la résolution du problème et de ses répercussions commence dès que l'on en prend connaissance.
Le fait que certaines organisations cybercriminelles sophistiquées déploient des exploits de type "zero-day" de manière stratégique les rend beaucoup plus risquées. Ces entreprises réservent les exploits "zero-day" à des cibles de grande valeur. Les pirates peuvent utiliser les vulnérabilités du jour zéro pour exploiter les systèmes sans avoir à développer des exploits pour eux, ce qui leur permet de s'introduire dans les systèmes et de voler des données ou de causer des dommages sans avertissement. Cela peut entraîner des failles de sécurité, des pertes de données, des pertes financières et des atteintes à la réputation. Les organisations ont besoin d'environnements informatiques sécurisés, mais si une organisation n'est pas informée de l'existence d'une vulnérabilité de type "zéro jour" avant que les pirates ne l'exploitent, elle ne peut pas se protéger contre de telles attaques.
Les utilisateurs doivent continuer à mettre à jour leurs systèmes même après la création d'un correctif. S'ils ne le font pas, jusqu'à ce que le système soit patché, les attaquants peuvent toujours utiliser un exploit de type "zero-day". En outre, les utilisateurs ne respectent souvent pas les règles d'hygiène de l'internet et transmettent des courriels, téléchargent des fichiers, cliquent sur des liens ou suivent des instructions sans s'assurer de l'authenticité de l'expéditeur, ce qui peut conduire à une exploitation réussie.
Cibles communes d'une exploitation de type "Zero-Day" (jour zéro)
Un exploit de type "zero-day" peut cibler toute personne ou organisation susceptible de lui rapporter des bénéfices. Les cibles les plus courantes sont les suivantes
- Des cibles de grande valeur, notamment des agences gouvernementales, des institutions financières et des établissements de soins de santé.
- Les entreprises dont la cybersécurité est faible.
- Les entreprises qui enregistrent les données des utilisateurs telles que les noms, les coordonnées, les informations financières, les adresses, les numéros de sécurité sociale, les informations médicales, etc.
- Les entreprises qui manipulent des données confidentielles.
- Entreprises qui développent des logiciels et du matériel pour leurs clients.
- Les entreprises qui travaillent pour le secteur de la défense.
Ce ciblage stratégique peut allonger la durée de l'attaque et réduire la probabilité que la victime trouve une vulnérabilité. Par exemple, le géant de l'informatique en nuage Rackspace a annoncé publiquement que des pirates avaient accédé aux données personnelles de 27 clients lors d'une attaque par ransomware qui s'est appuyée sur un exploit de type "zero-day".
Anatomie d'une attaque de type Zero-Day
Les attaques de type "jour zéro" sont complexes et sophistiquées, mais elles suivent toutes un schéma similaire. Lorsqu'une vulnérabilité est découverte, les attaquants peuvent en tirer parti avant que quiconque n'ait découvert la faille. Ce processus est appelé "exploitation". Les étapes ci-dessous vous aideront à comprendre comment cela fonctionne :
Identification de la vulnérabilité
Cette étape peut sembler évidente, mais il est important de noter que toutes les vulnérabilités ne sont pas égales. Certaines sont plus faciles à trouver que d'autres, certaines nécessitent plus de compétences pour être exploitées et certaines ont un impact plus important sur les utilisateurs lorsqu'elles sont exploitées.
Développement de l'exploit
Une fois qu'un attaquant a identifié une vulnérabilité, il doit développer un exploit, c'est-à-dire un programme qui tire parti de cette vulnérabilité. En général, les exploits permettent un accès non autorisé aux systèmes ou aux réseaux en profitant des failles de sécurité ou des bogues dans les logiciels ou le matériel. Cet accès permet souvent aux attaquants de voler des informations sensibles ou d'installer des logiciels malveillants sur les ordinateurs des victimes.
Livraison de l'exploit
Le pirate doit transmettre son exploit aux ordinateurs des victimes pour qu'il fonctionne. Cette méthode de diffusion peut se faire par le biais de courriels d'hameçonnage contenant des pièces jointes malveillantes ou des liens vers des sites web hébergeant des téléchargements de logiciels malveillants (également connus sous le nom de "drive-by downloads").
Exécution de l'exploit
L'attaquant utilise une vulnérabilité inconnue dans le produit logiciel cible pour lancer l'exploit. Pour réussir cette étape, l'attaquant doit connaître cette vulnérabilité, qui n'a pas encore été rendue publique.
Établissement de la persistance
Après avoir exécuté un exploit, l'attaquant doit s'assurer qu'il peut à nouveau accéder au système de sa victime pour exécuter d'autres attaques. Pour ce faire, il installe un logiciel malveillant sur le système de la victime, qui s'exécute au démarrage et n'est pas détecté par les logiciels de sécurité.
Exfiltration de données
L'attaquant peut maintenant utiliser des informations d'identification compromises ou des logiciels malveillants. logiciels malveillants installés sur le système de la victime pour exfiltrer des données de son réseau (mots de passe, numéros de cartes de crédit, etc.).
Nettoyer et dissimuler
Pour éviter d'être détectés, les attaquants nettoient leurs traces après avoir terminé leurs activités malveillantes sur l'ordinateur d'une victime en supprimant les fichiers qu'ils ont créés ou en supprimant les clés de registre qu'ils ont créées au cours de leur attaque. Ils peuvent également désactiver les outils de surveillance tels que les logiciels antivirus ou les pare-feu.
Comment identifier et détecter une vulnérabilité de type "Zero-day" ?
Il est difficile d'identifier les vulnérabilités du jour zéro avant qu'elles ne soient exploitées en raison de leur nature inconnue. Cependant, plusieurs méthodes et techniques peuvent aider à détecter les activités potentielles du jour zéro ou les failles non découvertes :
- Analyse des vulnérabilités : Alors que les scanners traditionnels utilisent principalement des signatures pour les vulnérabilités connues, certains scanners avancés utilisent l'analyse heuristique ou la détection d'anomalies pour identifier des modèles suspects qui pourraient indiquer une faille inconnue. Une analyse régulière permet d'identifier les vulnérabilités connues qui pourraient être combinées à des "zero-days".
- Rétro-ingénierie : L'analyse des binaires des logiciels (fichiers exécutables) permet de découvrir des failles cachées. Cette méthode nécessite une expertise technique importante mais peut révéler des vulnérabilités inconnues des vendeurs.
- Surveillance du comportement du système et du réseau : Un comportement inattendu du système, un trafic réseau inhabituel (par exemple, une communication avec des serveurs inconnus), une consommation accrue des ressources ou des changements inexpliqués dans les performances des logiciels peuvent indiquer une compromission, potentiellement par le biais d'un exploit de type "zero-day". Remarquez une déviation de la vitesse du réseau ou une dégradation des performances des logiciels.
- Analyse des rapports d'utilisateurs : Les utilisateurs du système interagissent souvent avec le logiciel plus fréquemment que les développeurs et peuvent être les premiers à remarquer des anomalies ou des comportements inattendus. Encourager et analyser les rapports des utilisateurs peut permettre une découverte précoce.
- Contrôle des performances du site web : Pour les applications web, surveillez les problèmes de connexion, les changements visuels, les redirections inattendues, les déviations de trafic ou les avertissements du navigateur ("Ce site peut être piraté").
- La chasse au rétro : Il s'agit de rechercher de manière proactive dans les journaux historiques et les données système des indicateurs de compromission (IoC) associés à des attaques de type "zero-day" récemment découvertes. En comparant les activités passées avec les nouveaux renseignements sur les menaces, les organisations peuvent trouver des brèches non détectées auparavant. Consultez les notifications de sécurité des fournisseurs et tenez-vous au courant de l'actualité en matière de cybersécurité.
Exemples de vulnérabilités de type "jour zéro
Voici quelques exemples de vulnérabilités de type "zero-day" :
Heartbleed - Cette vulnérabilité, découverte en 2014, a permis à des attaquants d'extraire des informations de serveurs utilisant les bibliothèques de chiffrement OpenSSL. La vulnérabilité a été introduite en 2011 mais n'a été découverte que 2 ans plus tard, lorsque des chercheurs ont découvert que certaines versions d'OpenSSL étaient sensibles aux battements de cœur envoyés par des attaquants. Les pirates pouvaient alors obtenir les clés privées des serveurs utilisant cette bibliothèque de chiffrement, ce qui leur permettait de déchiffrer les données transmises par les utilisateurs.
Shellshock - Cette vulnérabilité a été découverte en 2014 et permettait aux attaquants d'accéder aux systèmes exécutant un système d'exploitation vulnérable aux attaques via l'environnement shell Bash. Shellshock affecte toutes les distributions Linux et Mac OS X 10.4 et les versions antérieures. Bien que des correctifs aient été publiés pour ces systèmes d'exploitation, certains appareils n'ont pas encore été patchés contre cet exploit.
Violation des données d'Equifax - La violation de données d'Equifax a été une cyberattaque majeure en 2017. L'attaque a été perpétrée par un groupe inconnu de pirates informatiques qui ont exploité une vulnérabilité dans le cadre d'application web Apache Struts pour violer le site web d'Equifax et voler les informations personnelles d'environ 145 millions de clients, y compris les numéros de sécurité sociale et les dates de naissance.
Ransomware WannaCry - WannaCry est un ransomware qui cible les systèmes d'exploitation Microsoft Windows. Il crypte les fichiers des utilisateurs et exige le paiement d'une rançon en bitcoins pour les décrypter. Il se propage à travers les réseaux en utilisant EternalBlue. Un programme d'exploitation Windows (exploitant une vulnérabilité SMB) a été divulgué par la NSA en avril 2017. Le ver a affecté plus de 300 000 ordinateurs dans le monde depuis sa publication le 12 mai 2017.
Attaques de logiciels malveillants contre les hôpitaux - Les attaques de logiciels malveillants sont devenues de plus en plus fréquentes ces dernières années, les pirates informatiques ciblant les organismes de santé à des fins personnelles ou pour des raisons politiques. Dans le cadre d'une de ces attaques, des pirates ont accédé aux dossiers des patients du Hollywood Presbyterian Medical Center par le biais de courriels d'hameçonnage envoyés par l'administration de l'hôpital. Bien que l'hameçonnage soit souvent à l'origine de ces attaques, les exploits sous-jacents de type "zero-day" peuvent faciliter une compromission plus profonde du système.
Comment prévenir les exploits de type "Zero-Day" ?
Bien qu'il soit impossible d'empêcher complètement les attaques de type "zero-day" en raison de leur nature, plusieurs bonnes pratiques peuvent réduire de manière significative le risque et l'impact :
- Maintenir les logiciels et les systèmes à jour : Appliquez rapidement les correctifs et les mises à jour. Bien que cela n'empêche pas les attaques de type "zero-day" (puisque le correctif n'existe pas encore), cela permet de combler les vulnérabilités connues que les attaquants pourraient associer à un exploit de type "zero-day". Les versions mises à jour corrigent également des bogues mineurs susceptibles d'être exploités.
- Utiliser des logiciels de sécurité complets : Utilisez des solutions de sécurité multicouches, notamment un antivirus de nouvelle génération (NGAV), un système de détection et de réponse (EDR), un pare-feu et un système de prévention des intrusions (IPS). Ces outils utilisent souvent la détection basée sur le comportement et l'heuristique qui peuvent parfois identifier ou bloquer l'activité des exploits du jour zéro, même sans signature spécifique.
- Restreindre l'accès et les privilèges des utilisateurs : Mettre en œuvre le principe du moindre privilège. En limitant les autorisations des utilisateurs, on s'assure que même si un compte est compromis par un exploit de type "zero-day", l'accès de l'attaquant et les dommages potentiels sont limités. Utilisez des listes d'autorisation ou des listes de blocage pour contrôler l'exécution des applications.
- Segmentation du réseau : Divisez votre réseau en segments plus petits et isolés. Cela permet d'endiguer la propagation des logiciels malveillants introduits par un exploit de type "zero-day" et de limiter la portée de l'attaque.
- les pare-feu pour applications web (WAF) : Pour les applications orientées vers le web, les WAF peuvent filtrer, surveiller et bloquer le trafic HTTP/S malveillant, ce qui peut permettre d'atténuer les exploits de type "zero-day" basés sur le web.
- Sauvegardes régulières : Maintenez des sauvegardes régulières et testées des données critiques. Cela n'empêchera pas une attaque, mais c'est essentiel pour la récupération, en particulier en cas de ransomware déployé via des exploits de type "zero-day".
- Formation de sensibilisation à la sécurité : Sensibiliser les utilisateurs à l'hameçonnage, à l'ingénierie sociale et aux habitudes de navigation sûres afin de réduire les chances de réussite des exploits.
Le mot de la fin
Une vulnérabilité de type "jour zéro" est un bogue logiciel qui a été identifié mais qui n'a pas encore été divulgué à l'éditeur du logiciel. Il s'agit d'un "zéro jour" avant d'être connu, du moins par le public. En d'autres termes, il s'agit d'un exploit dans la nature dont personne n'est vraiment au courant, à l'exception de celui qui l'a découvert et signalé en premier, ou pire, des attaquants qui l'exploitent. Le monde devient de plus en plus dangereux, et ces menaces devraient encourager les organisations et les individus à adopter des stratégies de sécurité robustes et multicouches. Si les vulnérabilités de type "zéro jour" représentent un défi de taille, il est essentiel de comprendre leur cycle de vie, leur impact potentiel et les techniques d'atténuation pour améliorer la position en matière de cybersécurité.