Une attaque zero-day est une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.

C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.

Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.

Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».

Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».

Minimiser l’impact des attaques zero-day

Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.

Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.

Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.

Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.

La controverse sur la divulgation

La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.

Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.

Il existe deux approches principales en matière de divulgation :

La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.

Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.

Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.

Une fois répertoriée, la vulnérabilité devient connue du grand public

Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.

Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?

Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.

Quand le correctif est prêt

Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.

Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.

La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.

Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.

Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.

Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.