Qu’est ce que le “Zero-day”?
"Zero-day" est un terme général qui décrit les failles de sécurité récemment découvertes que les pirates peuvent utiliser pour attaquer les systèmes. Le terme "zero-day" fait référence au fait que le vendeur ou le développeur vient tout juste d'apprendre l'existence de la faille - ce qui signifie qu'ils ont "zéro jour" pour la corriger. Une attaque de type "zero-day" a lieu lorsque les pirates exploitent la faille avant que les développeurs n'aient la possibilité de la corriger.
Quelles sont les attaques de type "zero-day" et comment fonctionnent-elles ?
Les logiciels présentent souvent des failles de sécurité que les pirates peuvent exploiter pour causer des ravages. Les développeurs de logiciels sont toujours à l'affût des vulnérabilités pour les "corriger", c'est-à-dire développer une solution qu'ils publient dans une nouvelle mise à jour.
Cependant, il arrive que les pirates ou les acteurs malveillants repèrent la vulnérabilité avant les développeurs de logiciels. Tant que la vulnérabilité est encore ouverte, les attaquants peuvent écrire et mettre en œuvre un code pour en tirer parti. C'est ce qu'on appelle le code d'exploitation.
Le code d'exploitation peut conduire les utilisateurs du logiciel à être victimes, par exemple, d'une usurpation d'identité ou d'autres formes de cybercriminalité. Une fois que les attaquants ont identifié une vulnérabilité de type "zero-day", ils doivent trouver un moyen d'atteindre le système vulnérable. Ils y parviennent souvent par le biais d'un courrier électronique d'ingénierie sociale, c'est-à-dire un courrier électronique ou un autre message censé provenir d'un correspondant connu ou légitime, mais qui est en fait celui d'un attaquant. Le message tente de convaincre un utilisateur d'effectuer une action comme ouvrir un fichier ou visiter un site web malveillant. Ce faisant, il télécharge le logiciel malveillant de l'attaquant, qui s'infiltre dans les fichiers de l'utilisateur et dérobe des données confidentielles.
Lorsqu'une vulnérabilité est connue, les développeurs essaient de la corriger pour stopper l'attaque. Cependant, les failles de sécurité ne sont souvent pas découvertes immédiatement. Il faut parfois des jours, des semaines, voire des mois, avant que les développeurs n'identifient la vulnérabilité à l'origine de l'attaque. Et même lorsqu'un correctif de type "zero day" est publié, tous les utilisateurs ne s'empressent pas de l'appliquer. Ces dernières années, les pirates ont été plus rapides à exploiter les vulnérabilités peu après leur découverte.
Les exploits peuvent être vendus sur le dark web pour de grosses sommes d'argent. Une fois qu'un exploit est découvert et corrigé, il n'est plus considéré comme une menace de type "zero day".
Les attaques de type "zero day" sont particulièrement dangereuses car les seules personnes qui en ont connaissance sont les attaquants eux-mêmes. Une fois qu'ils ont infiltré un réseau, les criminels peuvent soit attaquer immédiatement, soit attendre le moment le plus propice pour le faire.
Qui est à l'origine des attaques "zero day" ?
Les acteurs malveillants qui mènent des attaques de type "zero day" se répartissent en différentes catégories, en fonction de leur motivation:
- Les cybercriminels - pirates informatiques dont la motivation est généralement le gain financier.
- Les hacktivistes - des hackers motivés par une cause politique ou sociale qui souhaitent que les attaques soient visibles pour attirer l'attention sur leur cause.
- L'espionnage d'entreprise : les pirates espionnent les entreprises pour obtenir des informations sur elles.
- La cyberguerre : des pays ou des acteurs politiques espionnent ou attaquent la cyberinfrastructure d'un autre pays.
Comment se protéger contre les attaques de type "Zero Day”?
Il est difficile de se protéger contre l'éventualité d'une attaque "zero day", car elle peut prendre de nombreuses formes. Presque tous les types de failles de sécurité peuvent être exploités si un correctif n'est pas produit à temps. En outre, de nombreux développeurs de logiciels essaient intentionnellement de ne pas révéler publiquement la vulnérabilité, dans l'espoir de pouvoir publier un correctif avant que les pirates ne découvrent la vulnérabilité.
- Rester informé
Les exploits de type "zero day" ne sont pas toujours rendus publics, mais il arrive parfois que vous entendiez parler d'une vulnérabilité qui pourrait être exploitée. Si vous restez à l'écoute de l'actualité et que vous prêtez attention aux communiqués de vos fournisseurs de logiciels, vous aurez peut-être le temps de mettre en place des mesures de sécurité ou de réagir à une menace avant qu'elle ne soit exploitée.
- Maintenir vos systèmes à jour
La gestion des correctifs est le processus d'identification et de déploiement des mises à jour logicielles, ou "correctifs", sur une variété de points d'extrémité, y compris les ordinateurs, les appareils mobiles et les serveurs.
Il est important de noter que les correctifs sont généralement des solutions à court terme destinées à être utilisées jusqu'à la prochaine version complète du logiciel. Un processus efficace de gestion des correctifs tiendra compte des éléments suivants :
- Examen des versions de correctifs de sécurité
- Hiérarchisation des efforts de correction en fonction de la gravité de la vulnérabilité
- Test de la compatibilité des correctifs et installation de plusieurs correctifs sur tous les points d'extrémité concernés.
Une stratégie de gestion des correctifs efficace et opportune est extrêmement importante pour la sécurité du réseau, car les versions des correctifs sont basées sur des vulnérabilités connues. Ainsi, le risque d'utiliser des logiciels obsolètes est encore plus grand, car les adversaires peuvent plus facilement identifier et exploiter les faiblesses des systèmes.
- Gérer les vulnérabilités
La gestion des vulnérabilités est le processus continu et régulier d'identification, d'évaluation, de rapport, de gestion et de correction des cyber-vulnérabilités dans les points finaux, les charges de travail et les systèmes. En général, une équipe de sécurité utilise un outil de gestion des vulnérabilités pour les détecter et utilise différents processus pour les corriger ou y remédier.
Un programme solide de gestion des vulnérabilités utilise les renseignements sur les menaces et la connaissance des opérations informatiques et commerciales pour hiérarchiser les risques et traiter les vulnérabilités aussi rapidement que possible.
- Utiliser un pare-feu d'application Web (WAF)
Un pare-feu d'application Web (WAF) est un dispositif de sécurité conçu pour protéger les organisations au niveau des applications en filtrant, surveillant et analysant le trafic du protocole de transfert hypertexte (HTTP) et du protocole de transfert hypertexte sécurisé (HTTPS) entre l'application Web et Internet.
Un WAF agit comme un proxy inverse, protégeant l'application des requêtes malveillantes avant qu'elles n'atteignent l'utilisateur ou l'application web. Partie intégrante d'une stratégie globale de cybersécurité, un WAF aide à protéger l'organisation contre une variété d'attaques de la couche applicative au-delà des attaques de type Zero-Day, notamment les attaques de type Cross Site Scripting (XSS), SQL injection et déni de service (DoS)/déni de service distribué (DDoS).