La vulnérabilité ” Zero-day ” expliquée

zero-day

Une vulnérabilité zero-day est une faille logicielle ou un exploit qui n’a pas fait l’objet d’un correctif. C’est un peu comme un trou dans la semelle de votre chaussure. Vous ne l’avez pas encore remarqué, mais il a déjà été repéré par un individu malintentionné à longue moustache, qui s’apprête à poser des clous sur votre pédale d’accélérateur. Les hackers peuvent utiliser ces failles et ces exploits pour voler vos données avant même que vous ne soyez en mesure de trouver et corriger la vulnérabilité.

Qu’est-ce qu’une vulnérabilité ?

Les vulnérabilités permettent aux hackers de contourner vos défenses et de pénétrer dans votre réseau, comme le logiciel non corrigé qui a permis le piratage d’Equifax.

En tant que professionnels de la sécurité, nous sommes régulièrement confrontés à tous types de vulnérabilités, comme les bugs et failles logiciels, les piratages et les vulnérabilités humaines.

Les failles logicielles, comme celle qui a provoqué le vol de données subi par Equifax, sont des erreurs de codage que les hackers peuvent exploiter pour atteindre vos données. Dans le cadre d’une attaque, les hackers utilisent une fonctionnalité existante : l’attaque Golden Ticket, par exemple, est une attaque par augmentation des droits qui tire parti du fonctionnement normal de Microsoft Kerberos. Les vulnérabilités humaines sont le plus souvent exploitées par des attaques d’ingénierie sociale, qui abusent de la confiance (ou de la naïveté) des utilisateurs pour voler des mots de passe ou envoyer de l’argent à des princes africains.

Qu’est-ce qui fait une vulnérabilité zero-day ?

attributes of zero-day vulnerability attack

En bref, ce sont l’urgence et l’immédiateté qui font une vulnérabilité zero-day.

Certaines failles logicielles doivent être résolues le jour même par les développeurs. En effet, à peine identifiées, elles constituent déjà des risques majeurs pour la sécurité et peuvent entraîner des dommages considérables. La plupart du temps, les failles zero-day se sont pas rendues publiques et sont corrigées avant que les pirates puissent concevoir un kit d’exploit pour en tirer parti.

Tant que la vulnérabilité zero-day n’est pas publique, les développeurs ont le Temps avec eux. Mais une fois qu’elle est rendue publique, les développeurs sont engagés dans une course contre la montre pour réaliser un correctif avant que le mal ne soit fait.

De nombreuses organisations offrent des primes à ceux qui découvrent des vulnérabilités zero-day dans leurs logiciels. Microsoft et Google offrent des récompenses financières pouvant aller jusqu’à 100 000 dollars, pour les vulnérabilités qui leur sont directement signalées.

Exploit zero-day

Un exploit zero-day est différent d’une vulnérabilité zero-day. Les exploits zero-day ne sont pas obligatoirement des vulnérabilités existantes : ils peuvent être un tout nouveau malware ou un programme de ransomware. Un exploit zero-day est un tout nouveau type d’attaque qui exige une résolution immédiate.

Mais lorsqu’une vulnérabilité zero day n’est pas découverte et corrigée avant d’être repérée par les pirates, elle devient aussi un exploit zero-day.

Il est difficile de détecter les exploits zero-day et de s’en défendre : ils ne sont connus que lorsqu’il est trop tard, et leur nature est peu étudiée. Les solutions de sécurité fonctionnant avec des bases de signatures ne sont pas en mesure de détecter un exploit zero-day, et il n’existe aucun correctif immédiatement disponible contre la vulnérabilité logicielle. Vous devez réagir rapidement aux exploits zero-day afin d’empêcher des dégâts à grande échelle sur le réseau ou un vol des données.

Comment se protéger des attaques zero day

Vous pouvez mettre en place un réseau sécurisé capable de résister aux attaques zero-day. En surveillant les données et en comparant l’activité en cours à un comportement de référence, vous pouvez détecter les anomalies causées par les attaques zero-day. Toute cyberattaque, qu’elle soit zero-day ou non, laisse derrière elle des traces numériques, que ce soit dans les données ou sur le réseau.

Par exemple, un exploit zero-day qui donne à un pirate l’accès au compte d’un utilisateur provoquera probablement un comportement anormal de ce compte. Le pirate pourra essayer de chercher sur le réseau des numéros de carte bleue ou des listes de mots de passe, ou tenter d’augmenter les droits de l’utilisateur au niveau d’administrateur de domaine. Avec Varonis, les activités de ce type seront détectées en fonction d’un ou plusieurs modèles de menaces basés sur le comportement et elles seront signalées comme étant suspectes. Que pouvez-vous faire pour vous protéger contre les vulnérabilités zero-day ?

how to defend against zero-day attacks

  • Surveillez vos données essentielles – y compris les fichiers, dossiers, courriers électroniques, Active Directory, VPN, DNS, et proxies Web – pour détecter les comportements pouvant correspondre à une cyberattaque zero-day
  • Appliquez un modèle de moindre privilège pour empêcher les déplacements latéraux et l’exfiltration de données par une attaque zero-day
  • Mettez à jour les logiciels et systèmes de sécurité (y compris les IPS et terminaux) dès que possible pour vous protéger contre les vulnérabilités zero-day connues.
  • Sauvegardez les systèmes critiques et mettez en place des plans de reprise et de réponse aux incidents.
  • Appliquez des règles d’usage strictes pour l’utilisation des logiciels et d’Internet et formez les utilisateurs à l’identification des attaques de phishing et des autres risques.

Ce dernier point est essentiel. Responsabilisez l’équipe pour signaler des comportements anormaux de leurs systèmes : les employés sont souvent la dernière ligne de défense contre une attaque zero-day.

Exemples d’attaques zero-day

Chaque année, au moins une douzaine de vulnérabilités zero-day différentes sont identifiées et corrigées par les éditeurs de logiciels. L’une des plus tristement célèbres est la vulnérabilité Strutshock exploitée dans la fuite des données subie par Equifax. Les développeurs avaient corrigé cette vulnérabilité en mars 2017, mais Equifax n’avait pas appliqué la mise à jour – transformant ainsi cette vulnérabilité en attaque zero-day.

Autres attaques zero-day renommées :

Quelques conseils pour éviter les vulnérabilités zero-day

Protéger votre réseau contre les attaques zero-day exige une surveillance des données basée sur le comportement, qui contribue à vous protéger contre les menaces connues et inconnues. Varonis établit des références comportementales afin de détecter le comportement anormal d’une activité inhabituelle sur votre réseau, et donne l’alerte en cas d’activité suspecte. Vous pouvez ainsi réagir et mettre fin à la menace avant qu’elle ne provoque une violation des données. Les systèmes fonctionnant avec des bases de signatures ne détecteront pas un exploit zero-day, mais une solution centrée sur les données peut détecter les traces numériques d’un exploit zero-day en cours.

Découvrez comment Varonis détecte les attaques avec une démonstration individuelle gratuite et découvrez les meilleures pratiques pour se défendre contre les attaques zero-day.