Qu’est-ce qu’une attaque zero-day ?
Les attaques zero-day, aussi appelées exploits zero-day, sont des tentatives réussies par les cybercriminels de trouver et d’exploiter des vulnérabilités inconnues dans un logiciel. Malheureusement, tous les logiciels présentent des points faibles, qui sont autant de portes dérobées permettant aux pirates de faire entrer les malwares ou de provoquer des fuites de données. Les attaques qui exploitent les vulnérabilités dont les développeurs n’ont pas encore conscience sont appelées « attaques zero-day » ou attaques zéro jours, car les développeurs disposaient de zéro jours pour corriger le problème avant l’attaque.
Bien que la définition des attaques zero-day puisse paraître un peu sinistre, ce type d’attaque n’est pas vraiment différent des autres attaques par malware, en tous cas d’un point de vue technique. Toujours est-il que les exploits zero-day restent tout particulièrement difficiles à repérer et à éviter, tout simplement parce que la vulnérabilité qu’ils ciblent n’est pas encore connue des développeurs qui ont créé le code au moment où l’attaque a lieu. C’est la raison pour laquelle les pirates recherchent et exploitent toutes les opportunités zero-day.
Qu’est-ce qu’une vulnérabilité logicielle ?
Les vulnérabilités logicielles sont des failles dans la conception d’un programme, d’un logiciel ou d’un système d’exploitation qui offrent aux cybercriminels la possibilité de pirater un appareil ou un réseau. Dès qu’une vulnérabilité est découverte, les développeurs se précipitent pour corriger le problème en publiant une mise à jour du logiciel, aussi appelée correctif, qui élimine cette opportunité. La solution idéale est que les développeurs puissent appliquer le correctif avant que les pirates ne découvrent la vulnérabilité et ne l’exploitent.
Toutes les failles des logiciels ne sont pas exploitables, mais il suffit qu’un pirate en repère une qui n’a pas été identifiée par les développeurs du logiciel pour que cette vulnérabilité se transforme en menace zero-day.
Il s’agit là d’une lutte constante entre les développeurs qui essaient de limiter le nombre de vulnérabilités et les cybercriminels qui cherchent à exploiter les nouvelles failles et faiblesses des logiciels. Bien qu’il ne soit pas possible d’éviter totalement les vulnérabilités logicielles, un bon logiciel antivirus peut détecter ces menaces et vous en protéger en temps réel, offrant ainsi une protection puissante contre tous les exploits possibles, même les exploits zero-day qui essaient d’inonder votre système de malwares.
Comment les pirates repèrent-ils les vulnérabilités ?
Dès l’instant où un nouveau programme sort ou qu’une mise à jour d’un logiciel est publiée, les pirates se mettent à la recherche des points faibles de la sécurité ou de l’architecture qui pourraient représenter une vulnérabilité face aux exploits. À mesure que le temps s’écoule, la probabilité de détecter une faille qui n’a pas encore été repérée diminue, ainsi que le temps dont disposent les pirates pour lancer un exploit avant que les développeurs ne publient un correctif pour corriger cette vulnérabilité.
Les cybercriminels recherchent les failles dans le code informatique à l’aide d’outils spécialisés, par exemple les analyseurs statiques automatisés, capables de déterminer si le code se comporte de façon imprévue, et si oui, pour quelle raison et comment. Toutes les failles des logiciels ne sont pas exploitables, mais il suffit qu’un pirate en repère une qui n’a pas été identifiée par les développeurs du logiciel pour que cette vulnérabilité se transforme en menace zero-day.
Toutes les vulnérabilités logicielles ne sont pas exploitables : certaines peuvent être faciles à pirater, par exemple dans le cas de la fenêtre du milieu, tandis que d’autres peuvent être trop difficiles à exploiter, comme la fenêtre de droite.
Les pirates se concentrent sur les vulnérabilités exploitables dans les programmes les plus courants, les navigateurs web et les systèmes d’exploitation afin de pouvoir cibler un maximum d’utilisateurs avant que le problème ne soit corrigé. L’une des techniques les plus courantes pour exploiter par exemple un navigateur web est d’utiliser des méthodes de phishing par e-mail pour pousser les destinataires à utiliser un site web piraté à leur insu. Les pirates emploient aussi des techniques de phishing (hameçonnage) pour tromper leurs victimes et les pousser à télécharger des documents piratés qui contiennent des vulnérabilités zero-day.
Comment les attaques zero-day sont-elles détectées ?
Le seul moyen sûr de détecter les exploits zero-day et de s’en protéger est que les développeurs repèrent et corrigent les vulnérabilités dans leurs logiciels avant que les pirates n’aient pu les exploiter. Par définition, dès qu’une vulnérabilité inconnue est exploitée et qu’une attaque zero-day se déroule, il est déjà trop tard. C’est pour cela que les développeurs consacrent énormément de temps et de ressources à la recherche et à la correction rapide des vulnérabilités, afin d’anticiper les attaques zero-day.
Dès qu’une vulnérabilité inconnue est exploitée et qu’une attaque zero-day se déroule, il est déjà trop tard.
Même une fois que les attaques zero-day ont déposé leur charge (en général un malware sous une forme ou une autre), elles continuent souvent d’échapper à toute détection jusqu’à ce que les symptômes de l’infection deviennent évidents. C’est tout particulièrement le cas des appareils et des réseaux qui utilisent des logiciels antivirus passifs qui s’appuient sur les signatures et ne sont capables de détecter et de bloquer que les menaces connues.
Les logiciels antivirus plus sophistiqués s’appuyant sur des algorithmes heuristiques, comme ceux utilisés par AVG Antivirus Gratuit sont les mieux armés pour repérer et bloquer les malwares zero-day les plus récents et les plus dangereux, et ce en examinant tous les fichiers pour détecter toute caractéristique suspecte.
Une fois l’attaque zero-day détectée, les équipes responsables de la sécurité et les développeurs sont engagés dans une course contre la montre pour limiter les dégâts. Les équipes en charge de la cybersécurité doivent très rapidement comprendre comment éliminer le programme malveillant et mettre à jour leur logiciel pour tenir compte de la nouvelle signature. Les développeurs de logiciels se dépêchent de leur côté pour corriger le code et éviter de futurs exploits. Plus tout cela est fait rapidement, plus les conséquences globales de l’attaque peuvent être maîtrisées, car moins d’utilisateurs sont alors exposés.
Pourquoi les attaques zero-day sont-elles aussi dangereuses ?
Les attaques zero-day sont particulièrement dangereuses en raison de leur caractère inconnu. Pour réagir face à ce genre attaque, le développeur du logiciel peut proposer un correctif, mais cette solution ne sera d’aucun secours à ceux qui ont déjà été touchés. Et comme les attaques zero-day visent en général les logiciels récemment publiés, la publication de la mise à jour permettant de corriger la vulnérabilité peut prendre un certain temps, ce qui expose dangereusement les utilisateurs finaux.
Pour compliquer le tout, de nombreux systèmes antivirus classiques utilisent des outils de détection des menaces basés sur les signatures de cyberattaques connues. Comme les attaques zero-day ciblent des vulnérabilités inconnues avant l’attaque (avec potentiellement des malwares inconnus), elles peuvent ne pas être détectées avant un certain temps et peuvent être encore plus difficiles à combattre.
C’est une autre bonne raison de toujours tenir à jour votre logiciel antivirus. Les systèmes d’analyse heuristique sophistiqués des meilleurs programmes antivirus sont eux capables d’identifier les menaces inconnues et de vous en protéger dès qu’elles font leur apparition, offrant ainsi un système de défense efficace même contre les attaques zero-day.
Grâce à son système sophistiqué de détection des menaces constamment mis à jour, AVG Antivirus Gratuit vous assure un excellent niveau de sécurité face à tous les types possibles de vecteurs d’attaques zero-day.
Les attaques zero-day sont-elles très répandues ?
Clairement, du fait des problèmes que posent leur détection et leur élimination, les attaques zero-day sont désormais l’une des méthodes les plus employées par les pirates. En réalité, certains des problèmes les plus graves de cybersécurité ont pour origine une attaque de type zero-day, et selon certaines études récentes, on estime qu’environ 30 % des attaques par malware ciblent des vulnérabilités zero-day.
Comme seulement quelques vulnérabilités exploitables sont découvertes, le potentiel de croissance de ce secteur est énorme pour les cybercriminels. Et les dernières attaques zero-day en date montrent bien que ce type de menace n’est pas près de disparaître.
Attaques zero-day les plus connues
L’attaque zero-day la plus connue est certainement celle qui a ébranlé Sony Pictures 2014. La vulnérabilité qui a permis aux pirates de contourner les systèmes de sécurité de l’entreprise est aujourd’hui encore tenue secrète. Mais le groupe de pirates a pu bénéficier d’un accès pratiquement illimité au réseau de Sony, tout en réussissant à ne pas se faire repérer pendant plusieurs mois, avant finalement de faire fuiter tout un ensemble de données contenant des informations personnelles sur les employés, des e-mails internes, des informations financières et des scripts de films encore en développement.
Pour couronner le tout, les pirates ont ensuite utilisé un programme malveillant pour effacer le contenu des disques durs de l’entreprise et endommager l’infrastructure réseau. Le piratage de Sony est un très bon exemple d’attaque zero-day et de leur niveau de dangerosité. Même face à des réseaux censés être très sûrs, les exploits zero-day peuvent encore rester cachés longtemps après le début de l’attaque.
La plupart des attaques zero-day ne font pas l’objet d’un tel déballage médiatique, mais leurs conséquences sont tout aussi désastreuses. L’exploit CVE-2019-0797 qui a compromis le système d’exploitation Windows de Microsoft en 2019 est lui aussi un bon exemple du jeu du chat et de la souris auquel se livrent constamment les cybercriminels et les développeurs.
Cette vulnérabilité Microsoft a rapidement été repérée par des professionnels de la cybersécurité, mais les pirates avaient déjà eu le temps de prendre le contrôle total de nombreux ordinateurs personnels un peu partout dans le monde. Microsoft a publié un correctif en quelques semaines seulement, mais cette vulnérabilité représentait encore un risque évident pour tous les utilisateurs qui n’avaient pas rapidement mis à jour leur logiciel.
Dès la publication de ce correctif, les pirates se sont mis à rechercher des failles dans ce nouveau logiciel, ce qui a débouché sur une autre attaque zero-day ciblant Windows quelques mois plus tard.
Comment se protéger des attaques zero-day
Malgré le danger évident que représentent les attaques zero-day, il existe quelques mesures permettant de limiter cette menace.
La défense la plus simple et la plus facile à mettre en place face est de tenir à jour vos pilotes, vos programmes et votre système d’exploitation. Les correctifs zero-day sont le moyen le plus efficace de neutraliser les menaces causées par les vulnérabilités, mais ils ne sont efficaces que si vous utilisez la dernière version des logiciels. Tout le temps que vous perdez avant de mettre à jour vos logiciels vous expose inutilement aux vulnérabilités que les développeurs ont déjà repérées et corrigées.
Mais peu importe que vous mettiez régulièrement à jour vos logiciels pour vous protéger des menaces connues, de nouvelles menaces inconnues finiront toujours par émerger. Et il est impossible de prévenir totalement les attaques zero-day. Par contre, en cas de cyberattaque, votre priorité doit être d’assurer une sécurité maximale. C’est pour cette raison qu’il est si important de disposer d’un outil de cybersécurité complet. C’est votre meilleure chance de détecter et d’éliminer les menaces avant qu’elles n’affectent votre sécurité.
AVG Antivirus Gratuit se met automatiquement à jour dès que de nouvelles menaces sont repérées et applique également des méthodes de détection heuristiques de pointe pour bloquer et éliminer les virus inconnus. Avec AVG Antivirus Gratuit, vous pouvez naviguer en toute confiance, vos appareils étant parfaitement protégés, et ce même contre les menaces les plus récentes.