Qu'est-ce qu'une attaque zero-day ?
Une attaque zero-day est un type d'attaque logicielle qui exploite une faiblesse dont le fournisseur ou le développeur n'avait pas connaissance. Le nom du problème se base sur le nombre de jours pendant lesquels le développeur du logiciel en a eu connaissance. Pour traiter une attaque zero-day, la solution consiste à appliquer un correctif logiciel. Un antivirus et des mises à jour régulières du système peuvent aider à prévenir les attaques zero-day, bien que cela ne garantisse pas une protection totale. Il existe différents marchés pour les zero-day, certains légaux et d'autres illégaux.
Principes de base
Les attaques zero-day, également appelées attaques Day Zero, représentent une catégorie redoutable de menaces informatiques qui tirent parti d'une faille de sécurité logicielle non divulguée, inconnue du fournisseur ou du développeur. Cette vulnérabilité secrète nécessite une attention immédiate du développeur afin de réduire les risques potentiels pour les utilisateurs du logiciel. La résolution rapide par le développeur prend la forme d'un correctif logiciel visant à limiter le danger imminent. Fait intéressant, les attaques zero-day s'étendent également à l'Internet des objets (IoT), permettant à des acteurs malveillants d'orchestrer des attaques contre cet ensemble d'appareils interconnectés. Cette appellation, « attaque zero-day », provient de la mesure précise du temps indiquant le degré de connaissance dont dispose le développeur concernant le problème.
Qu'est-ce qu'une attaque zero-day ?
En cybersécurité, une attaque zero-day englobe un éventail de tactiques insidieuses, incluant des malwares, adwares, spywares ou accès non autorisés à des informations sensibles des utilisateurs. Pour renforcer leurs défenses contre de telles attaques, il est conseillé aux utilisateurs d'activer les mises à jour automatiques pour leurs logiciels, y compris les systèmes d'exploitation, les antivirus et les navigateurs Internet. De plus, installer rapidement les mises à jour recommandées, même en dehors des calendriers habituels, est crucial.
Cependant, se fier uniquement à un antivirus à jour ne garantit pas une protection contre les attaques zero-day. En effet, tant qu'une vulnérabilité logicielle n'est pas rendue publique, un antivirus peut ne pas être en mesure de la détecter. Pour compléter l'arsenal de défense, les systèmes de prévention d'intrusion hôtes (HIPS) se révèlent précieux en prévenant et en repoussant les intrusions tout en protégeant les données sensibles.
On peut imaginer une vulnérabilité zero-day comme une porte de voiture déverrouillée à l'insu du propriétaire : la fausse impression de sécurité offre une opportunité à un voleur opportuniste. Non détecté, le voleur pénètre, dérobe des objets du vide-poches ou du coffre, laissant la victime dans l'ignorance pendant des jours, le temps que les dégâts soient constatés et que l'attaquant ait disparu.
Bien que des hackers criminels exploitent souvent les vulnérabilités zero-day, des agences gouvernementales de sécurité les utilisent également à des fins de surveillance ou d'opérations offensives. Cette demande accrue de la part d'organismes étatiques alimente un marché florissant d'échange d'informations sur ces vulnérabilités et leurs techniques d'exploitation.
Les exploits zero-day peuvent rester secrets, être partagés avec le fournisseur du logiciel, ou être vendus à un tiers. En cas de vente, ces exploits peuvent être accompagnés ou non de droits exclusifs. Idéalement, les entreprises responsables des failles de sécurité misent sur les hackers éthiques ou les white hats pour divulguer les vulnérabilités de manière privée, permettant une correction rapide avant que des acteurs malveillants n'en profitent. Cependant, certaines vulnérabilités nécessitent la coopération de plusieurs parties pour parvenir à une résolution complète, rendant la divulgation privée totale difficile à atteindre.
Marchés des zero-day : dévoiler les subtilités des exploits
Dans les sphères clandestines du marché de l'information zero-day, des hackers criminels prospèrent en échangeant des détails complexes qui ouvrent des logiciels vulnérables, donnant accès à des informations recherchées. Pendant ce temps, le marché gris sert de plateforme où chercheurs et entreprises échangent ces informations avec des militaires, agences de renseignement et forces de l'ordre. En revanche, le marché blanc fonctionne sur un paradigme différent, où des entreprises font appel à des hackers white hat et des chercheurs en sécurité pour découvrir et divulguer les vulnérabilités aux développeurs, permettant des correctifs rapides avant que des criminels ne puissent les exploiter.
La valeur des informations zero-day fluctue selon divers facteurs, dont l'acheteur, le vendeur et l'utilité de l'exploit. Allant de quelques milliers à plusieurs centaines de milliers de dollars, ce marché offre une voie lucrative. Avant toute transaction, les vendeurs doivent fournir une preuve de concept (PoC) attestant de l'existence de l'exploit zero-day. Pour des échanges discrets, le réseau Tor propose une plateforme anonyme, tandis que le Bitcoin facilite la finalisation des transactions zero-day.
Si les attaques zero-day semblent toujours imminentes et dangereuses, leur niveau réel de menace peut être plus nuancé. Les gouvernements disposent souvent d'autres moyens pour surveiller leurs citoyens, et les exploits zero-day ne sont pas toujours la méthode la plus efficace pour cibler des entreprises ou des individus. Déployer une attaque de manière stratégique et furtive, sans que la cible ne s'en aperçoive, maximise son impact. Lancer une attaque zero-day de manière indiscriminée sur un vaste réseau de machines risque d'exposer prématurément la vulnérabilité, entraînant la publication rapide de correctifs qui empêchent les attaquants d'atteindre leurs objectifs.
Cas réels : révélations d'exploitations zero-day
Le combat de Microsoft Word
En avril 2017, Microsoft a été la cible d'une attaque zero-day impliquant son logiciel très répandu Microsoft Word. Exploitant une version vulnérable et non corrigée, les attaquants ont infiltré le système en utilisant le cheval de Troie bancaire Dridex. En intégrant du code malveillant dans des documents Word, le cheval de Troie exécutait sa charge dès l'ouverture du document. Bien que l'attaque ait été découverte par McAfee, un éditeur d'antivirus, et rapidement signalée à Microsoft, elle avait déjà touché des millions d'utilisateurs, la campagne remontant à janvier.
La vulnérabilité de Chrome
Plus récemment, le navigateur Chrome de Google a fait face à une série de vecteurs d'attaque et d'exploits. Rien qu'en 2022, Google a émis pas moins de quatre alertes urgentes invitant les utilisateurs de Chrome à mettre à jour leur navigateur. Ces mises en garde répondaient à une série d'attaques zero-day mettant en péril la sécurité des utilisateurs.
Le piratage de Sony Pictures
L'un des cas les plus connus est le piratage de Sony Pictures en 2014. Cette attaque audacieuse a exploité une vulnérabilité non divulguée, permettant l'installation de logiciels malveillants furtifs. À l'insu de Sony, ces malwares ont rapidement visé et altéré des fichiers critiques liés à des films à venir, infligeant des pertes financières considérables de plusieurs millions de dollars. L'incident a également terni la réputation de Sony en exposant des failles perçues dans sa sécurité. L'attaque est largement attribuée à des agents nord-coréens en représailles à la sortie du film « The Interview », une comédie satirique se moquant du dirigeant nord-coréen Kim Jong Un. Cet événement très médiatisé a attiré l'attention mondiale et mis en lumière les dangers persistants des vulnérabilités zero-day dans le paysage cybernétique.
Conclusion
Les attaques zero-day représentent un défi majeur en cybersécurité en exploitant des vulnérabilités logicielles inconnues. Les antivirus et les mises à jour offrent une certaine protection, mais ne sont pas infaillibles. Les marchés des informations zero-day combinent échanges légaux et illégaux. Parmi les exemples réels figurent l'attaque sur Microsoft Word, les vulnérabilités de Chrome et le piratage de Sony Pictures. La vigilance et des mesures proactives sont essentielles pour lutter contre la menace persistante des attaques zero-day.