Qu’est-ce qu’une attaque zero-day ?

-
Définition et explication

Définition de zero-day
« Zero-day » est un terme générique qui décrit les dernières vulnérabilités de
sécurité détectées que les cybercriminels peuvent utiliser pour attaquer les
systèmes. Le terme « zero-day » désigne le fait que le fournisseur ou le développeur
vient de prendre connaissance de la faille, ce qui signifie qu’il a « zéro jour » pour la
corriger. Une attaque zero-day survient lorsque les cybercriminels exploitent la faille
avant que les développeurs n’aient la possibilité de la rectifier.

Le terme « zero-day » s’écrit parfois « 0-day ». Les mots vulnérabilité, faille

d’exploitation et attaque accompagnent généralement le terme zero-day et ont des
significations différentes :

 Une vulnérabilité zero-day est une vulnérabilité logicielle détectée par des

cybercriminels avant que le fournisseur n’en ait connaissance. Comme les
fournisseurs n’ont pas conscience de cette vulnérabilité, aucun correctif n’existe et
les attaques enregistrent un taux élevé de réussite.
 Une faille d’exploitation zero-day est la méthode que les cybercriminels utilisent
pour attaquer les systèmes présentant une vulnérabilité non identifiée
précédemment.
 Une attaque zero-day désigne l’utilisation d’une faille d’exploitation zero-day pour
endommager un système affecté par une vulnérabilité ou en dérober les données.
Que sont les attaques zero-day et comment
fonctionnent-elles ?
Les logiciels présentent souvent des failles de sécurité que les cybercriminels
peuvent exploiter pour provoquer des dégâts. Les développeurs de logiciels
recherchent constamment les vulnérabilités à rectifier, impliquant le développement
d’une solution intégrée dans une nouvelle mise à jour.

Cependant, il arrive que des cybercriminels ou des acteurs malveillants détectent la

vulnérabilité avant les développeurs. Même si la vulnérabilité est toujours présente,
les cybercriminels peuvent écrire et implémenter un code pour en tirer profit. C'est ce
que l'on appelle la « liaison dynamique ».

Le code d’exploitation peut entraîner la corruption des utilisateurs du logiciel, par

exemple par le biais d’une usurpation d’identité ou d’autres formes de cybercrime.
Une fois que les cybercriminels identifient une vulnérabilité zero-day, ils cherchent à
atteindre le système vulnérable. Pour ce faire, ils utilisent souvent un email
d’ingénierie sociale, c’est-à-dire un email ou autre message émanant d’un
cybercriminel mais ayant l’aspect d’un contenant provenant d’un expéditeur légitime.
Le message tente de convaincre l’utilisateur d’exécuter une action, comme ouvrir un
fichier ou accéder à un site Web malveillant. Une telle action entraîne le
téléchargement du programme malveillant du cybercriminel, qui s’infiltre dans les
dossiers de l’utilisateur et s’empare de ses données confidentielles.

Lorsqu’une vulnérabilité est identifiée, les développeurs tentent de la corriger pour

stopper l’attaque. Cependant, les vulnérabilités de sécurité sont rarement détectées
immédiatement. Il s’écoule parfois plusieurs jours, plusieurs semaines, voire
plusieurs mois avant que les développeurs n’identifient la vulnérabilité à l’origine de
l’attaque. Et même lorsqu’un correctif est disponible, les utilisateurs ne sont pas tous
prompts à l’implémenter. Ces dernières années, les cybercriminels sont parvenus à
exploiter les vulnérabilités très rapidement après leur détection.

Les failles d’exploitation peuvent être vendues sur le dark Web à des prix
considérables. Une fois la faille d’exploitation détectée et rectifiée, elle n’est plus
appelée « menace zero-day ».

Les attaques zero-day sont particulièrement dangereuses car les seules personnes
qui les connaissent sont les cybercriminels eux-mêmes. Dès que les cybercriminels
infiltrent un réseau, ils passent à l’attaque immédiatement ou patientent jusqu’au
moment le plus avantageux.

Qui lance des attaques zero-day ?

Les acteurs malveillants qui lancent des attaques zero-day s’inscrivent dans
différentes catégories selon leur motivation : Par exemple :

 Cybercriminels : pirates dont la motivation est généralement financière

 Hacktivistes : pirates motivés par une cause politique ou sociale qui souhaitent que
les attaques soient visibles pour attirer l’attention sur leur combat
 Espionnage industriel : pirates qui espionnent des entreprises pour obtenir des
informations
 Guerre de l’information : acteurs nationaux ou politiques espionnant ou attaquant la
cyberinfrastructure d’un autre pays

Qui les failles d’exploitation zero-day ciblent-elles ?

Une faille d’exploitation zero-day peut exploiter les vulnérabilités de différents
systèmes, y compris :

 Systèmes d'exploitation 
 Navigateurs Web 
 Applications de bureau
 Renseignement de sources ouvertes
 Matériel et firmware
 Internet des objets (IoT) 

En conséquence, les victimes potentielles sont très diverses :

 Les particuliers qui utilisent un système vulnérable, comme un navigateur ou un

système d’exploitation. Les cybercriminels peuvent utiliser des vulnérabilités de
sécurité pour compromettre les appareils et créer des botnets à grande échelle
 Les particuliers ayant accès à des données professionnelles sensibles, comme la
propriété intellectuelle
 Appareils matériel, firmware et Internet des objets
 Grandes entreprises
 Agences gouvernementales
 Cibles politiques et/ou menaces de sécurité nationale

Il est judicieux de réfléchir en termes d’attaques zero-day ciblées et non ciblées :

 Les attaques zero-day ciblées visent des cibles potentielles intéressantes, comme
les grandes entreprises, les organismes gouvernementaux ou les célébrités.
 Les attaques zero-day non ciblées ciblent généralement les utilisateurs de systèmes
vulnérables, comme un système d’exploitation ou un navigateur.

Même lorsque les cybercriminels ne ciblent pas d’individus spécifiques, un grand

nombre de personnes peuvent être affectées par les attaques zero-day, ce qui
s’apparente à des dommages collatéraux. Les attaques non ciblées ont pour objectif
de capturer autant d’utilisateurs que possible. Les données des utilisateurs moyens
peuvent alors être affectées.

Comment identifier des attaques zero-day

 Les vulnérabilités zero-day pouvant prendre toutes sortes de formes, comme le
chiffrement manquant des données, les autorisations manquantes, les algorithmes
interrompus, les bugs, les problèmes de sécurité des mots de passe, etc., ils peuvent
être difficiles à détecter. En raison de la nature de ce type de vulnérabilités, les
informations précises sur les failles d’exploitation zero-day ne sont disponibles
qu’une fois les problèmes identifiés.

Les entreprises attaquées par une faille d’exploitation zero-day peuvent voir
apparaître un trafic inattendu ou une activité d’analyse suspecte provenant d’un
client ou d’un service. Exemples de techniques de détection zero-day :

1. Utilisation des bases de données existantes de programmes malveillants et

comportement de référence. Même si ces bases de données sont mises à jour très
rapidement et peuvent servir de point de référence, les failles d’exploitation zero-day
sont par définition nouvelles et inconnues. Il existe donc une limite à la quantité
d’informations qu’une base de données existante peut vous fournir.
2. D’autres techniques recherchent les caractéristiques du programme malveillant zero-
day sur la base de leur interaction avec le système cible. Au lieu d’examiner le code
des fichiers entrants, cette technique recherche leurs interactions avec le logiciel
existant et tente de déterminer si elles résultent d’actions malveillantes.
3. Le Machine Learning est de plus en plus utilisé pour détecter les données des failles
d’exploitation précédemment enregistrées en vue d’établir un référentiel de
comportements système sécurisés à partir des données des interactions passées et
actuelles avec le système. Plus les données disponibles sont nombreuses, plus la
détection est fiable.

Souvent, une combinaison de différents systèmes de détection est utilisée.

Exemples d’attaques zero-day
Exemples d’attaques zero-day récentes :

2021: Vulnérabilité zero-day de Chrome

En 2021, Google Chrome a fait l’objet d’une série de menaces zero-day ayant
entraîné la publication de mises à jour par Chrome. La vulnérabilité provenait d’un
bug dans le moteur JavaScript V8 utilisé dans le navigateur Web.

2020: Zoom
Une vulnérabilité a été identifiée sur la célèbre plateforme de vidéoconférence. Au
cours de cette attaque zero-day, les cybercriminels accédaient au PC d’un utilisateur
à distance exécutant une ancienne version de Windows. Si la cible était un
administrateur, le cybercriminel pouvait prendre le plein contrôle de sa machine et
accéder à l’ensemble de ses fichiers.

Apple iOS

Apple iOS est souvent décrit comme la plus sécurisée des grandes plateformes de
smartphone. Toutefois, en 2020, le système d’exploitation a fait l’objet d’au moins
deux séries de vulnérabilités zero-day, notamment un bug zero-day permettant aux
cybercriminels de compromettre les iPhones à distance.

2019: Microsoft Windows, Europe de l’Est

Cette attaque se concentrait sur l’augmentation locale des droits, un domaine

vulnérable de Microsoft Windows, et a ciblé des institutions gouvernementales
d’Europe de l’Est. La faille d’exploitation zero-day a profité d’une vulnérabilité de
droits locale de Microsoft Windows pour exécuter un code arbitraire, installer des
applications, puis afficher et modifier les données sur les applications compromises.
Une fois l’attaque identifiée et signalée au Centre de réponse aux problèmes de
sécurité Microsoft, un correctif a été développé et déployé.

2017: Microsoft Word

Cette faille d’exploitation zero-day a mis en péril des comptes bancaires personnels.
Les victimes étaient des personnes qui avaient ouvert accidentellement un document
Word malveillant. Le document affichait une invite « Charger le contenu distant »,
avec une fenêtre contextuelle demandant aux utilisateurs un accès externe depuis
un autre programme. Lorsque les victimes cliquaient sur Oui, le document installait
un programme malveillant sur leur appareil, capable de capturer leurs informations
de connexion bancaires.

Stuxnet
Stuxnet figure parmi les exemples les plus célèbres d’attaque zero-day. Découvert
pour la première fois en 2010, mais se répandant depuis 2005, ce ver informatique
malveillant a affecté les ordinateurs du secteur de la fabrication exécutant un
automate programmable industriel (API). Le ver ciblait principalement les usines
 d’enrichissement de l’uranium iraniennes dans le but d’interrompre le programme
nucléaire du pays. Il a infecté les API en profitant des vulnérabilités du logiciel
Siemens Step7. Les API ont alors exécuté des commandes inattendues sur les
machines de la chaîne de montage. L’histoire de Stuxnet a fait ensuite l’objet
d’un documentaire intitulé Zero Days.

Comment vous protéger contre les attaques zero-

day
Pour se protéger contre les attaques zero-day et garantir la sécurité de leurs
ordinateurs et de leurs données, les particuliers comme les entreprises doivent
suivre les meilleures pratiques de cybersécurité. Ce qui inclut :

Maintenez l’ensemble de vos logiciels et de vos systèmes d’exploitation à

jour. Les fournisseurs incluent des correctifs de sécurité dans les mises à jour pour
couvrir les dernières vulnérabilités identifiées. Des outils mis à jour renforceront votre
sécurité.
Utilisez uniquement les applications indispensables. Plus vous installez
d’applications, plus les risques de vulnérabilités sont élevés. Vous pouvez réduire
ces risques réseau en utilisant uniquement les applications dont vous avez besoin.
Utilisez un réseau privé virtuel (VPN) Un pare-feu joue un rôle essentiel pour
protéger votre système contre les menaces zero-day. Vous pouvez garantir une
protection maximale en le configurant de façon à autoriser uniquement les
transactions nécessaires.
Formez les utilisateurs au sein des entreprises. De nombreuses attaques zero-
day misent sur les erreurs humaines. Le fait de former les salariés et les utilisateurs
aux bonnes mesures de sécurité contribuera à la protéger en ligne et à protéger
l’entreprise contre les failles d’exploitation zero-day et autres menaces numériques.
Utilisez une solution logicielle antivirus complète. Kaspersky Total Security vous
aide à protéger vos appareils en bloquant les menaces connues et inconnues.
Articles connexes :
 Qu'est-ce qu'un cheval de Troie ?
 Comment vous protéger de la cybercriminalité ?
 Qu'est-ce qu'un rootkit ?
 Qu'est-ce qu'une atteinte à la sécurité ?