Comprendre la vulnérabilité zero-day

Sécurité des données

illustration d’un calendrier

Les hackers plébiscitent la facilité quand il s’agit d’exploiter les faiblesses des systèmes, et c’est exactement ce qu’ils font en menant une attaque de vulnérabilité zero-day. Une vulnérabilité zero-day est une faille logicielle ou un exploit qui n’a pas fait l’objet d’un correctif, ce qui signifie que les hackers peuvent envahir votre réseau avant même que vous ne réalisiez qu’il y a un problème avec votre système.

Même si l’idée que des hackers puissent cibler des correctifs que vous n’avez peut-être même pas encore besoin d’installer vous dérange, rassurez-vous. Dans cet article, nous expliquons tout ce qu’il y a à savoir sur les attaques de vulnérabilité zero-day et sur la façon de vous en protéger. Nous avons également inclus quelques actualités récentes, des exemples et des ressources supplémentaires pour vous prémunir contre les attaques zero-day.

Qu’est-ce qu’une vulnérabilité zero-day ?

Commençons par expliquer ce qu’est une vulnérabilité de type zero-day. Les vulnérabilités sont des faiblesses ou des failles dans les logiciels, le matériel ou les processus organisationnels d’un système ; elles permettent aux attaquants de passer outre vos défenses et de pénétrer dans votre réseau. L’expression « zero-day » décrit le temps dont vous disposez pour corriger ou réparer la vulnérabilité.

Le fait que vous disposiez de « zéro jour » pour corriger la vulnérabilité rend ce type d’attaque particulièrement dangereux. Les vulnérabilités logicielles zero-day doivent être résolues le jour même par les développeurs. En effet, à peine identifiées, elles constituent déjà des risques majeurs pour la sécurité et peuvent entraîner des dommages considérables. La plupart du temps, les failles zero-day ne sont pas rendues publiques et sont corrigées avant que les hackers ne puissent concevoir un kit d’exploit pour en tirer parti.

Fonctionnement des vulnérabilités zero-day

Toutes les attaques de vulnérabilité zero-day ont pour origine une faille au sein des réseaux ou de l’infrastructure informatique qui ne fait pas l’objet d’un correctif à l’heure actuelle. Cette faille est découverte par les hackers, qui écrivent alors du code pour cibler cette faiblesse au niveau de la sécurité. Ils l’intègrent dans un malware appelé « exploit zero-day », que nous aborderons dans la section suivante. Les dommages aux systèmes et le vol de données ne sont que quelques-unes des conséquences négatives d’un exploit zero-day. Une fois l’attaque découverte, il ne reste plus de temps pour réparer les dégâts.

Qui s’attaque généralement aux vulnérabilités zero-day ?

Différents types d’acteurs malveillants cherchent à mener des attaques zero-day. Ils appartiennent le plus souvent à l’une des catégories suivantes :

  • Cybercriminels : ces pirates informatiques sont généralement motivés par l’appât du gain ou les récompenses.
  • Hacktivistes : ces acteurs malveillants cherchent à attirer l’attention à des fins politiques ou sociales.
  • Espions industriels : ils espionnent la concurrence ou tentent de s’emparer de secrets relevant de la propriété intellectuelle.
  • Cyberguerriers : commandités par un État, ils mènent des attaques d’espionnage ou de sabotage.

Quelles sont habituellement les cibles d’attaques zero-day ?

Que le hacker souhaite s’emparer d’actifs de valeur ou de données confidentielles, l’éventail de cibles potentielles est vaste.

Les cibles classiques des attaques zero-day relèvent de deux catégories d’attaques : les attaques ciblées et les attaques non ciblées. Les attaques zero-day ciblées visent des cibles pertinentes telles que des personnalités, de grandes entreprises ou des agences gouvernementales.

Les attaques zero-day non ciblées visent des systèmes vulnérables dotés d’une sécurité faible, comme un système d’exploitation ou un navigateur. Si la plupart des attaques zero-day sont ciblées, des attaques non ciblées peuvent se produire et causer des dommages collatéraux, car de nombreux utilisateurs sont victimes du hacker.

Les attaques zero-day visent une large gamme de systèmes, dont les suivants :

  • Systèmes d’exploitation
  • Composants open source
  • Matériel et micrologiciels
  • Navigateurs Web
  • Applications de bureau

Les victimes potentielles des attaques zero-day incluent :

  • Les personnes qui utilisent un système vulnérable
  • Les personnes qui ont accès à des données métier pertinentes
  • Les dispositifs matériels et les micrologiciels
  • Les grandes entreprises et organisations
  • les agences gouvernementales ;
  • Les cibles politiques
  • Les personnes/organisations qui menacent la sécurité nationale

Les victimes subissent en général nombre de conséquences négatives, qu’il s’agisse du vol de données, d’une compromission, de la corruption de fichiers ou de la prise de contrôle à distance de machines et d’appareils.

Ressources sur la vulnérabilité zero-day

Voici quelques ressources détaillées qui peuvent vous aider à mieux comprendre les vulnérabilités zero-day et les solutions potentielles pour vous défendre.

Derniers exemples de vulnérabilités et d’attaques zero-day

Chaque année, au moins une douzaine de vulnérabilités zero-day différentes sont identifiées et corrigées par les éditeurs de logiciels.

Selon le magazine MIT Technology Review, l’année 2021 a battu le record d’attaques zero-day. Bases de données, chercheurs en sécurité et entreprises de cybersécurité ont identifié au moins 66 exploits et attaques zero-day cette année.

On en conclut que même si les outils de piratage permettant de préparer des exploits zero-day sont devenus plus facilement accessibles, le nombre d’attaques détectées suggère que les défenseurs repèrent mieux les hackers.

Voici quelques exemples récents d’attaques zero-day :

Apple iOS (2021)

Trois vulnérabilités zero-day exploitées par le spyware Pegasus de NSO Group ont été découvertes en septembre dernier. L’attaque visait plusieurs modèles d’iPhone et d’iPad, avec pour mission de renforcer le malware. Les vulnérabilités ont été corrigées grâce à une nouvelle mise à jour publiée pour les systèmes d’exploitation iOS et macOS.

Google (2021)

Le groupe d’analyse des menaces (TAG) de Google et les chercheurs en sécurité de Project Zero ont découvert quatre incidents zero-day qui ont été utilisés dans le cadre de trois campagnes ciblées de malware. Des failles précédemment non détectées ont également été découvertes dans Google Chrome, Internet Explorer et WebKit.

Zoom (2021)

Une faille non corrigée a été découverte chez les utilisateurs de PC exécutant Windows 7 ou une version antérieure non mise à jour. Zoom a rapidement corrigé la vulnérabilité et publié sa version 5.1.3, invitant instamment les utilisateurs à mettre à jour le programme.

La vulnérabilité « Strutshock » au centre de la fuite de données d’Equifax est l’une des plus tristement célèbres. Les développeurs ont corrigé cette vulnérabilité en mars 2017, mais Equifax n’a pas appliqué la mise à jour, ce qui en fait une attaque zero-day.

Combien rapporte un exploit zero-day ?

Malheureusement, il existe un marché florissant pour les hackers et les cybercriminels désireux d’acheter des exploits zero-day existants sur le dark Web ou via le Peer-to-Peer. Le prix de ces exploits dépend du type de système d’exploitation et de vulnérabilité pour lesquels ils sont conçus ; certains s’échangent pour des sommes considérables.

Actuellement, la valeur d’échange la plus faible du marché des exploits zero-day tourne autour de 60 000 dollars pour une attaque sur Adobe Reader. Sur le marché haut de gamme, les exploits zero-day ciblant Apple iOS peuvent dépasser 2,5 millions de dollars. Comme pour tout autre marché, les prix des exploits zero-day dépendent en grande partie de l’offre et de la demande. Étant donné la prédominance d’Apple iOS, le prix de ces exploits a tendance à être plus élevé.

À titre d’exemple, le récent boom du télétravail a entraîné la croissance exponentielle de l’utilisation du logiciel de visioconférence Zoom. Et à mesure que les hackers zero-day se focalisent sur ce logiciel particulier, les prix des exploits zero-day dédiés ont augmenté. Selon des chiffres récents, le prix des exploits Zoom serait d’environ 500 000 dollars.

Se protéger contre les attaques zero-day

L’un des meilleurs moyens de se prémunir contre les attaques zero-day consiste à créer un réseau sécurisé et résilient. En surveillant les données et en comparant l’activité en cours à un comportement de référence, vous pouvez détecter les anomalies causées par les attaques zero-day. Toute cyberattaque, qu’elle soit zero-day ou non, laisse derrière elle des traces numériques, que ce soit dans les données ou sur le réseau.

Par exemple, un exploit zero-day qui donne à un hacker l’accès au compte d’un utilisateur provoquera probablement un comportement anormal de ce compte. Le hacker pourra essayer de chercher sur le réseau des numéros de carte bancaire ou des listes de mots de passe, ou tenter d’élever les privilèges de l’utilisateur au niveau d’administrateur de domaine.

Avec Varonis, l’une ou l’autre de ces activités déclenchera l’un des nombreux modèles de menace basés sur le comportement et la signalera en tant qu’activité suspecte. Que pouvez-vous faire pour vous protéger contre les vulnérabilités zero-day ?

  • Surveiller toutes les données essentielles : elles comprennent les fichiers, dossiers, e-mails, Active Directory, VPN, DNS et proxies Web. Cela permettra de détecter les comportements pouvant correspondre à une cyberattaque zero-day.
  • Appliquer un modèle de moindre privilège : empêchez les mouvements latéraux et l’exfiltration de données au moyen d’une attaque zero-day en appliquant la règle du moindre privilège dans toute votre organisation.
  • Mettre à jour les logiciels et systèmes de sécurité : tous les paquets (y compris les IPS et terminaux) doivent être mis à jour dès que possible pour vous protéger contre les vulnérabilités zero-day connues.
  • Sauvegarder les systèmes critiques : en outre, établissez des plans de récupération et de réponse aux incidents spécifiques aux attaques zero-day et installez des correctifs en urgence.
  • Appliquer des règles d’usage strictes pour l’utilisation des logiciels et d’Internet : formez également les utilisateurs à l’identification des attaques de phishing et des autres risques associés aux attaques zero-day.

La coopération à l’échelle de l’organisation et les règles d’usage rigoureuses sont d’une importance capitale. Permettez à vos équipes et vos collaborateurs de signaler des comportements anormaux sur leurs systèmes. Les employés sont souvent la dernière ligne de défense contre une attaque zero-day.

Différence entre vulnérabilité zero-day et exploit zero-day 

Une vulnérabilité zero-day représente un vecteur d’attaque potentiel qui, en théorie, pourrait être exploité par des cybercriminels. Mais lorsqu’une faille dans votre infrastructure informatique fait déjà l’objet d’une attaque concrète, on parle d’exploit zero-day. Par exemple, les vulnérabilités zero-day correspondent à des failles de sécurité inconnues, des bugs logiciels ou des correctifs qui ne sont pas à jour. Mais si tous ces domaines peuvent potentiellement faire l’objet d’une attaque, il n’existe pas forcément d’exploit réel.

En fait, un exploit zero-day est la technique concrète que les hackers utilisent pour tirer parti de certaines vulnérabilités. Parmi les exemples d’exploits zero-day en existence, citons les chevaux de Troie, les vers polymorphes et les ransomwares. Avant le déploiement effectif de l’exploit, les attaquants zero-day entreprennent généralement des activités comme le phishing ou l’ingénierie sociale à des fins de reconnaissance ou pour obtenir les données d’identification nécessaires pour lancer l’exploit.

Dans la pratique, nous vous conseillons de réaliser un audit de votre infrastructure informatique pour remédier au plus grand nombre possible de vulnérabilités zero-day susceptibles d’exister actuellement. Et vous devrez savoir quelles variétés d’exploits sont les plus couramment utilisées contre votre type d’organisation pour vous protéger de ces attaques spécifiques.

Quelques conseils pour éviter les vulnérabilités zero-day

La protection de votre réseau contre les attaques zero-day exige la surveillance des données basées sur les comportements, surveillance qui contribue à vous protéger contre les menaces connues et inconnues. La technologie Varonis établit des références comportementales afin de détecter le comportement anormal d’une activité inhabituelle sur votre réseau, et donne l’alerte en cas d’activité suspecte. Vous pouvez ainsi réagir et mettre fin à la menace avant qu’elle ne provoque une fuite de données.

Les systèmes à base de signature ne détecteront pas un exploit zero-day, mais une solution centrée sur les données peut détecter les traces numériques d’un exploit zero-day en cours. Outre la mise en œuvre des bonnes solutions technologiques, voici d’autres conseils qui peuvent empêcher votre organisation d’être la cible d’une attaque zero-day réussie.

1. Tenez à jour les pare-feu et l’antivirus

L’un des meilleurs moyens d’éviter une vulnérabilité zero-day est de disposer d’un pare-feu solide et actualisé, et de tenir à jour votre antivirus de manière optimale. Les pare-feu surveillent le trafic entrant et sortant de votre réseau, ce qui réduit les connexions non autorisées au fil du temps. Même si vous ne savez pas si une attaque est de type zero-day, les pare-feu peuvent stopper net toute activité suspecte. Il en va de même pour les mesures antivirus. C’est pourquoi il est essentiel de les mettre à jour régulièrement pour éviter les vulnérabilités zero-day.

2. Installez un système de détection et de prévention d’intrusion (IPS) réseau

La nature exacte d’un exploit zero-day ne peut pas être connue à l’avance. Toutefois, un système de détection et de prévention d’intrusion (IPS) réseau surveille en permanence vos réseaux pour détecter toute activité suspecte. L’avantage de l’IPS réseau par rapport à un antivirus traditionnel, c’est qu’un IPS vérifie les logiciels et programmes suspects à l’aide d’une base de données de menaces connue. Par conséquent, un IPS ne nécessite généralement pas de mises à jour ni de correctifs pour en savoir plus sur les dernières menaces, et constitue de ce fait une défense particulièrement robuste contre les attaques zero-day.

3. Veillez à la formation continue de l’équipe et des utilisateurs

L’erreur humaine est l’une des principales vulnérabilités qu’exploitent les attaquants zero-day pour réussir leurs attaques. Le personnel qui ne pratique pas une bonne « cyber-hygiène » laisse souvent la porte grande ouverte aux vulnérabilités zero-day, que la personne se fasse piéger par un e-mail de phishing ou qu’elle se montre négligente dans l’utilisation de ses identifiants et mots de passe. C’est pourquoi vous devez former et sensibiliser vos collaborateurs en continu concernant les bonnes pratiques générales de cyber-hygiène ainsi que les tactiques spécifiques aux attaques zero-day. Les employés devraient connaître les indices révélateurs d’une tentative de phishing et les secrets de l’ingénierie sociale, ainsi que les canaux de communication et les procédures appropriés s’ils soupçonnent de telles attaques.

Conclusion

Les vulnérabilités zero-day sont conçues pour être furtives et indécelables, et trop souvent, elles y parviennent. Les violations récentes dont certaines des plus grandes entreprises, comme Apple et Google, ont été victimes, montrent l’efficacité redoutable des attaques zero-day. D’une part, vous aurez besoin d’un solide plan de réponse aux incidents dans l’éventualité où vous repéreriez une vulnérabilité de ce type, car le facteur temps est primordial.

D’autre part, vous aurez besoin d’une pile technologique de cybersécurité pilotée par les données pour surveiller vos réseaux, détecter les activités malveillantes et repousser les attaquants zero-day avant qu’ils ne causent des dégâts.

Avatar

David Harrington

David est rédacteur professionnel et consultant en leadership d'expertise pour des marques de technologie d'entreprise, des start-up et des sociétés de capital-risque.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.