Blog

Que sont les exploits et les vulnérabilités du jour zéro ?

exploits et vulnérabilités du jour zéro



Vous avez probablement déjà entendu l’expression « jour zéro ». Le terme a été initialement inventé pour décrire les médias piratés (musique, films, logiciels, jeux) aux débuts du partage de fichiers. Les médias piratés étaient qualifiés de « jour zéro » lorsqu’ils étaient rendus disponibles le jour même ou avant leur diffusion officielle. Il est rendu publiczéro jouraprès sa sortie officielle.

Mais c'était à l'époque, et c'est maintenant le cas. Aujourd’hui, l’expression « jour zéro » décrit les vulnérabilités et les exploits des logiciels. Dans le monde informatique, une vulnérabilité Zero Day est un bug logiciel dont le public et l'éditeur ne sont pas conscients. On peut également appliquer l’expression « zero-day » aux vulnérabilités connues pour lesquelles aucun patch n’est disponible.



Un exploit Zero Day est tout simplement une attaque qui exploite la vulnérabilité Zero Day pour compromettre un utilisateur, un système, une application, un réseau, etc. Et au moment où le fournisseur en prend conscience, il n'a aucun jour pour le réparer, comme il a déjà été activement exploité.

Comment fonctionnent les exploits Zero Day ?

  1. Un éditeur développe un produit logiciel (un système d'exploitation, une application, une bibliothèque, etc.) qui contient du code vulnérable, à son insu à ce moment-là, en raison d'une erreur de programmation ou d'un oubli.
  2. La vulnérabilité est inconnue du fournisseur ou aucun correctif actuel n'existe pour atténuer la vulnérabilité.
  3. Un acteur malveillant analyse les réseaux, sites Web, etc. de diverses organisations et finit par découvrir la vulnérabilité. Ils élaborent ensuite un exploit pour en profiter.
  4. Une attaque est montée à l'aide de l'exploit contre une organisation (réseau, serveur, site Web, application Web, etc.). Le résultat de l’attaque peut être presque n’importe quoi (déni de service, prise de contrôle du serveur, informations d’identification compromises, etc.).
  5. La vulnérabilité est divulguée et le fournisseur ne dispose d'aucun jour pour atténuer l'attaque, soit parce que c'est l'attaque qui l'a averti, soit parce qu'il ne sait tout simplement pas encore comment corriger la vulnérabilité.
  6. Si l'attaque est montée en utilisant malware , antivirus les signatures sont généralement publiées quelques jours après la divulgation.
  7. Quelques jours ou semaines plus tard, selon la complexité de l'exploit, un correctif de sécurité est publié.

Gardez à l’esprit qu’il faut parfois des années aux organisations pour se rendre compte que leur code héberge une vulnérabilité Zero Day – ou pire, qu’elles ont été victimes d’une attaque Zero Day sans en être conscientes.



Que ciblent les exploits Zero Day ?

Une vulnérabilité Zero Day peut être trouvée dans tout ce qui a été codé (logiciel) et dans les composants qui prennent en charge le code (matériel). Tout ce qui ressemble à un ordinateur (et avouons-le, qu’est-ce qui n’est pas un ordinateur aujourd’hui ?) peut contenir un jour zéro.

Une attaque Zero Day peut exploiter les vulnérabilités d’une grande variété de systèmes, tels que :

  • Navigateurs Web
  • Systèmes d'exploitation
  • Applications
  • Composants open source
  • Matériel informatique
  • Routeurs
  • Micrologiciel de l'appareil
  • Appareils Internet des objets (IoT)
  • Même les automobiles de nos jours

Les appareils IoT sont particulièrement problématiques dans la mesure où les utilisateurs ont généralement un accès ou un contrôle minimal sur eux. Les utilisateurs d'appareils IoT doivent compter sur le fournisseur pour publier des mises à jour du micrologiciel et des correctifs de sécurité. Vous ne pouvez pas faire grand-chose par vous-même avec ces appareils (y compris votre voiture connectée).

Les routeurs grand public sont confrontés au même problème. Ces appareils disponibles dans le commerce ont tendance à être utilisés pendant des années, voire des décennies, et les correctifs logiciels pour ces appareils sont incroyablement rares. De nombreux fournisseurs préfèrent se concentrer sur la production et la vente du modèle de nouvelle génération plutôt que de consacrer leur temps et leurs ressources à assurer la sécurité des appareils existants.

Attaques zero-day notables

Google Chrome

En décembre 2021, le navigateur Chrome de Google s’est révélé vulnérable à une série d’exploits zero-day. Alors que Google rapidement mises à jour publiées , il n’a pas divulgué la nature des vulnérabilités trouvées. L’objectif était d’éviter qu’ils soient exploités davantage avant que les utilisateurs n’aient eu le temps de procéder à la mise à jour. Néanmoins, il a été révélé que la vulnérabilité provenait d'un bug dans le moteur JavaScript V8 utilisé par le navigateur Chrome.

AppleiOS

En mai 2021, iOS et iPadOS d'Apple se sont révélés vulnérables à deux exploits zero-day. Les deux vulnérabilités affectaient le moteur de navigation du système d’exploitation, Webkit. Webkit est le backend par défaut pour les navigateurs Web exécutés sur les plateformes. Les navigateurs tiers ont donc également été concernés. L’exploit a permis l’exécution de code arbitraire sur l’appareil après le traitement de contenu Web malveillant – c’est la façon dont Apple désigne une URL malveillante. Les deux vulnérabilités ont depuis été corrigées.

Zoom

En avril 2020, une vulnérabilité zero-day a été découverte dans Zoom La plateforme de visioconférence populaire. La vulnérabilité affectait le logiciel Zoom sur PC et Mac. Les attaquants ont injecté du code dans les machines des utilisateurs qui ont cliqué sur une URL malveillante qui leur a été envoyée via la fonctionnalité de chat intégrée à l’application. Zoom a publié une mise à jour corrigeant la vulnérabilité quelques jours après la divulgation.

Microsoft Windows

En 2019, Microsoft Windows s'est révélé vulnérable à une attaque d'élévation de privilèges Zero Day. Les cibles étaient diverses institutions gouvernementales d’Europe de l’Est. La vulnérabilité Zero Day a été exploitée via une attaque de phishing. Si les utilisateurs sans méfiance cliquaient sur un lien ou une pièce jointe malveillante, l’attaquant pourrait compromettre la machine de l’utilisateur et élever ses privilèges locaux. Cela a permis à l'attaquant d'exécuter du code arbitraire, d'installer des applications et de modifier les données des applications compromises. Microsoft a rapidement déployé un correctif de sécurité après que la vulnérabilité soit devenue publique.

Microsoft Word

En 2017, un Microsoft Word Une vulnérabilité Zero Day a été exploitée pour télécharger le cheval de Troie bancaire Dridex sur les machines des victimes. Lorsque les utilisateurs de Microsoft Word ouvraient le document conçu de manière malveillante, une invite s'affichait pour « charger le contenu distant » afin d'afficher correctement le document. Si les utilisateurs cliquaient sur le bouton pour autoriser le contenu distant, cela déclencherait le téléchargement du cheval de Troie bancaire. Une fois installé, Dridex pourrait faire beaucoup de choses, comme supprimer des fichiers ou configurer son propre réseau virtuel. Une autre de ses astuces était sa capacité à infiltrer les navigateurs Web, à détecter lorsqu'un utilisateur se trouve sur une page Web ou une application de banque en ligne et à injecter des logiciels malveillants ou un logiciel d'enregistrement de frappe pour voler les informations de connexion de l'utilisateur.

Stuxnet

Et n'oublions pas Stuxnet : l'un des exemples les plus célèbres d'attaque zero-day. Stuxnet a été découvert pour la première fois en 2010 lorsqu’il s’est avéré qu’il ciblait les usines iraniennes d’enrichissement d’uranium dans le but de faire dérailler son programme nucléaire. Stuxnet a été initialement trouvé sur des clés USB et s'est rapidement répandu sur les ordinateurs Microsoft Windows. Le malware Stuxnet ciblait les ordinateurs exécutant le logiciel de contrôleur logique programmable (PLC), qui utilisait le logiciel Step 7 de Siemens. L'étape 7 est utilisée par les ordinateurs industriels servant d'automates pour automatiser et surveiller les équipements électromécaniques. Une fois qu'une machine Windows exécutant l'étape 7 était trouvée, Stuxnet commençait à envoyer des instructions dommageables à l'équipement électromécanique contrôlé par le PC. Stuxnet renvoyait également de faux retours au contrôleur principal au fur et à mesure que cela se produisait. Ceux qui surveillaient l’équipement n’avaient aucune idée que quelque chose n’allait pas jusqu’à ce que l’équipement commence à s’autodétruire.

Comment détecter les attaques Zero Day

La nature des vulnérabilités Zero Day signifie qu’elles sont détectées une fois qu’il est trop tard (c’est-à-dire une fois qu’elles ont déjà été exploitées). Même si, par définition, vous ne pourrez pas empêcher l’attaque, voici quelques mesures que vous pouvez prendre pour réduire votre temps de réponse :

  • Analyser le trafic Internet pour identifier les modèles suspects
  • Examiner le code des fichiers entrants sur votre réseau
  • Recherche de logiciels malveillants

Encore une fois, cela ne vous épargnera pas une attaque zero-day, mais réduire votre temps de réponse peut réduire considérablement les dégâts si une telle attaque devait se produire.

Comment prévenir les attaques Zero Day

La principale caractéristique des exploits Zero Day est d’être inconnus (ou connus mais actuellement impossibles à corriger) plutôt que de constituer un type d’attaque spécifique. Pour cette raison, se défendre contre les attaques Zero Day nécessite de ratisser large avec des mesures générales plutôt que ciblées. Voici comment vous pouvez faire pencher davantage en votre faveur les chances d’éviter les attaques du jour zéro. Mais n’oubliez pas que rien n’est à 100 % ici.

Pour les organisations

  • Gardez votre logiciel à jour – Assurez-vous toujours que vous utilisez la dernière version du logiciel que vous utilisez dans votre organisation et sur votre réseau. L’exécution des dernières versions garantit que vous avez installé les derniers correctifs de sécurité et que vos défenses sont optimales. Les mises à jour logicielles incluent également de nombreuses corrections de bogues, et moins il y a de bogues dans votre logiciel, plus vous êtes protégé contre les attaques zero-day.
  • Limitez le nombre d'applications que vous utilisez – Plus vous utilisez d’applications, plus votre surface d’attaque est grande. Vous ne devez installer que les progiciels dont vous avez réellement besoin et que vous utilisez. Chaque nouvelle application que vous installez comporte des bugs potentiels, augmentant les chances que l'un d'entre eux (ou plusieurs) soit exploité. Plus votre système est simple, plus il est sécurisé.
  • Effectuer des tests d'intrusion et mettre en place un programme de bug bounty – Vous pouvez tenter de garder une longueur d’avance en effectuant des tâches en interne test d'intrusion et avoir un programme de bug bounty. Vous pourriez découvrir la prochaine vulnérabilité Zero Day en effectuant des tests d’intrusion sur votre infrastructure. Et un programme de bug bounty peut mobiliser les pirates informatiques pour les trouver à votre place. L’une ou l’autre de ces pratiques pourrait vous épargner une attaque zero-day. Assurez-vous de faire les deux.
  • Utiliser un pare-feu – Un pare-feu vous permet de surveiller et de bloquer les activités suspectes selon presque tous les critères pertinents, tels que le protocole, le port, le type MIME, etc. La surveillance et le blocage du trafic suspect pourraient vous épargner une attaque zero-day même si certaines parties de votre infrastructure étaient vulnérable.
  • Éduquez votre organisation sur les exploits du jour zéro – Assurez-vous que les parties prenantes concernées de votre organisation sont conscientes de la menace des exploits Zero Day. Offrez une formation à votre personnel pour qu'il garde zéro jour à l'esprit lorsqu'il code, effectue le contrôle qualité, etc.
  • Avoir un plan d'urgence Zero Day – J’espère que vous ne serez pas victime d’une attaque Zero Day. Mais si vous le faites, avoir un plan, savoir comment réagir, quoi arrêter, fonctionnera certainement mieux pour vous que de courir partout pour essayer de savoir quoi faire. Être préparé peut ressembler à un conseil de boy-scout, mais cela peut faire toute la différence dans une situation d’urgence.
  • Utilisez un logiciel antivirus – Bien que techniquement, un antivirus ne détecte pas une vulnérabilité inconnue, certains exploits du jour zéro se superposent à d’autres exploits, de sorte qu’un antivirus peut quand même vous aider. De plus, certains exploits sont créés en modifiant des exploits existants qui peuvent encore ressembler suffisamment à l'original pour être détectés par votre antivirus. Bien sûr, il n’y a aucune garantie à ce sujet, mais il s’agit d’un jeu de hasard. Vous voulez que les chances soient autant que possible en votre faveur.

Pour les particuliers

  • Utiliser un pare-feu – Chaque système d’exploitation majeur fournit un système entrant intégré pare-feu , et tous les routeurs commerciaux disponibles dans le commerce ont un Pare-feu NAT . Assurez-vous de les activer.
  • Ne cliquez jamais sur les pop-ups - Jamais.
  • Si votre navigateur affiche un avertissement sur le site Web auquel vous essayez d’accéder, soyez attentif et trouvez les informations dont vous avez besoin ailleurs.
  • Ne téléchargez jamais de logiciel piraté – Tout le monde aime les produits gratuits, mais rappelez-vous que ceux qui téléchargent des logiciels piratés cherchent généralement à gagner de l’argent, soit en compromettant votre système, soit en vendant vos informations à d’autres acteurs malveillants.
  • Achetez uniquement des logiciels de sécurité authentiques et bien évalués auprès de fournisseurs légitimes.
  • N'ouvrez les pièces jointes d'un e-mail que si vous faites confiance à l'expéditeur et vous pouvez vérifier leur identité – les virus arrivent par courrier, et c'est pourquoi vous devez toujours analyser votre courrier entrant avec un programme antivirus.
  • Gardez vos applications à jour – Les logiciels malveillants et les virus exploitent très souvent les failles de sécurité trouvées dans des logiciels obsolètes.
  • Faites des sauvegardes régulières de votre ordinateur – Des sauvegardes régulières vous permettront de récupérer vos fichiers si votre machine est infectée.
  • Si vous recevez un e-mail demandant des informations tout en prétendant appartenir à une organisation officielle avec laquelle vous entretenez une relation, lisez-le très attentivement avant de faire quoi que ce soit. Y a-t-il des fautes d’orthographe et de grammaire ? Est-ce que cela a un air d’urgence ? Ce sont des signes classiques d’une tentative de phishing. Et rappelez-vous toujours que votre banque ou le gouvernement ne vous demandera jamais de leur envoyer des informations sensibles par courrier électronique.
  • Ne cliquez pas sur les liens (URL) dans les e-mails à moins que vous sachiez exactement qui l'a envoyé et où il renvoie. Examinez également le lien. Est-ce un lien HTTP ou HTTPS ? La plupart des sites légitimes utilisent aujourd'hui HTTPS. Le lien contient-il des fautes d'orthographe (google au lieu de google) ? Si vous pouvez arriver à destination sans utiliser le lien, il est fortement recommandé de le faire à la place.

Conclure

Alors voilà. Les vulnérabilités et les exploits du jour zéro sont une mauvaise affaire. Et comme vous ne pouvez pas vous défendre spécifiquement contre eux parce qu’ils sont par définition inconnus (ou connus mais actuellement impossibles à corriger), vous devez vous appuyer sur des pratiques de sécurité générales, comme celles ci-dessus. Ils ne vous protégeront pas à 100 % du temps, mais ils réduiront certainement les risques que votre organisation soit victime d’une attaque. Et toutes les pratiques énumérées ci-dessus sont des choses que vous devriez faire de toute façon.

Soyez prudent.

^