Attaques Zero-day : qu’est-ce que c’est et comment vous en protéger ?

58. C’est le nombre d’attaques “zero-day” recencées par Google au cours de l’année 2021. L’équipe d’analystes qui établit ce constat précise que c’est de loin le nombre le plus élevé depuis qu’elle a commencé à dresser cet inventaire en 2014.

Les attaques de type zero day exploitent des vulnérabilités inconnues dans le code d’un logiciel, et peuvent causer d’importants dégâts.

Pour donner la mesure du phénomène, il faut préciser que la même équipe d’analystes n’en avait trouvé que 25 en 2020. Et elle avertit que ce type de risques devient plus prévalent que jamais. Mais au fait, qu’est-ce qu’une attaque zero-day, et comment se protège-t-on contre ce type de menace ?

Qu’est-ce qu’une attaque zero-day ?

On parle d’attaques de type “zero day” (on dit aussi “attaques zéro jour” ou “exploits zéro-jour”) lorsque des pirates informatiques parviennent à découvrir et exploiter une faille passée inaperçue jusqu’alors dans le code d’un logiciel. Ils peuvent alors utiliser ce bug à des fins malveillantes.

Qu’est-ce qu’une faille (ou vulnérabilité) logicielle ?

Une faille (ou vulnérabilité) dans un logiciel est un défaut (bug) ou une omission dans une portion de code informatique qui est susceptible de créer des opportunités de piratage. La vulnérabilité est comparable à une brèche dans un rempart : grâce à elle, des individus malveillants peuvent accéder à votre appareil ou à votre réseau.

Ils peuvent alors endosser les identifiants d’un utilisateur disposant d’habilitations pour exécuter des commandes afin d’accéder à certaines données, provoquer un déni de service, introduire un malware (logiciel malveillant tel qu’un ransomware ou un logiciel-espion, par exemple), ou tout simplement, dérober des données.

Des cyberattaques inattendues et souvent secrètes

L’expression “zero day” souligne le caractère insidieux de ces attaques : comme ces vulnérabilités dans la programmation du logiciel n’ont pas encore été mises en évidence, ces attaques sont totalement imprévisibles, et il n’existe aucune mesure pour les contrer au moment où elles se produisent.

Cet effet de surprise est aussi ce qui motive les cybercriminels à rechercher activement ces failles. Ils savent en effet qu’une fois qu’ils en auront détecté une, rien ne pourra les arrêter avant l’atteinte de leur objectif.

Les logiciels ne sont pas les seuls en cause. Les appareils, périphériques, et autres accessoires utilisés dans un système informatique (modems, imprimantes, micros, etc.) contiennent tous des logiciels appelés micrologiciels (“firmwares”) pour les commander. Ce sont autant d’opportunités de piratage.

Bien souvent, l’intrusion consécutive à une attaque zero day passe tout d’abord inaperçue, et ne devient connue que lorsque ses premières conséquences (par exemple, l’apparition d’écrans brouillés suite à l’infection liée à un ransomware se font sentir.

C’est d’autant plus vrai si la victime utilise un logiciel antivirus uniquement basé sur la reconnaissance de signatures. Les signatures, dans ce contexte, ce sont des identifiants qui permettent de reconnaître un logiciel particulier.

Les antivirus se réfèrent à des registres contenant des listes de signatures appartenant à des logiciels malveillants déjà identifiés. Mais c’est là où le bats blesse : ces virus doivent d’abord avoir sévi pour que leur signature figure dans le registre.

On comprend bien qu’avec les exploits zero-day, qui profitent de failles jusqu’alors inconnues, de surcroît parfois pour infecter la victime avec un malware lui aussi inconnu, cette technique de détection puisse être mise en échec. Dans ce cas, l’attaque peut ne pas être détectée avant un certain temps et peut être encore plus difficile à combattre.

Toutefois, même si les attaques zero-day soient réellement inquiétantes, du point de vue technique, elles ne diffèrent pas fondamentalement des autres menaces : le but est toujours de parvenir à exploiter une porte dérobée (que l’on trouve ici, alors qu’on la crée dans les autres types d’attaques) pour infecter un système informatique, ou dérober des donnés.

breche informatique

La course pour le patch correctif

Ainsi, dès qu’un nouveau logiciel ou mise à jour logiciel est lancé, une course s’engage entre les développeurs et certains individus malveillants.

Ces derniers vont étudier son code pour tenter d’y découvrir des vulnérabilités, soit en matière de sécurité, soit sur le plan de l’architecture. Ils emploient par exemple des analyseurs statiques, des programmes qui vérifient le code sans l’exécuter à la recherche d’anomalies. Ils peuvent déceler plusieurs vulnérabilités de cette manière, mais ce qu’ils cherchent, c’est une faille qui offre une opportunité d’attaque.

De leur côté, les développeurs profitent des premiers retours d’utilisation de leur logiciel pour apporter des corrections aux éventuelles faiblesses détectées dans sa programmation. Ils publient alors des “patches de sécurité”, c’est-à-dire des correctifs au code qui sont intégrés dans la programmation d’origine du logiciel en question via des mises à jour logicielles.

De ce fait, plus le temps passe, et plus la balance penche en faveur des développeurs : les patches publiés finissent par éliminer les failles déjà détectées. Les failles qui subsistent alors sont les moins évidentes, et les pirates ont moins de chances de les trouver et les exploiter.

Que faire pour éviter les attaques zero-day ? 

Du côté des développeurs 

La meilleure stratégie pour se protéger contre les attaques zero day consiste, pour les développeurs, à découvrir et corriger les éventuelles vulnérabilités qu’ils ont laissées dans leur logiciel avant que les pirates ne puissent en tirer parti.

Malheureusement, la publication d’un patch correctif ne suffit pas toujours. En effet, le développement d’une mise à jour après la détection d’une faille prend un certain temps, et les pirates peuvent encore agir pendant ce délai.

De plus, la mise à disposition du patch ne permet pas d’éviter les dégâts commis sur les systèmes des utilisateurs déjà ciblés par les assaillants.

Du côté des utilisateurs

Les utilisateurs ont aussi un rôle à jouer. Ils doivent déployer des antivirus sur les postes de travail. Outre la reconnaissance des signatures, ces virus seront idéalement dotés de technologies d’analyse heuristique ou comportementale, pour examiner les comportements de tous les fichiers afin d’élargir le spectre de détection des malwares.

Ils doivent également se tenir informés des dernières mises à jour logicielles publiées, et les installer dès qu’elles sont disponibles. Tout délai dans ces mises à jour les expose à une attaque.

Les pirates savent en effet que beaucoup d’utilisateurs sont négligents (ou n’installent pas les mises à jour pour certaines raisons), et ils n’hésitent pas à frapper ces cibles particulièrement vulnérables.

Par exemple, la propagation du ransomware notPetya, qui a infecté des milliers d’ordinateurs à travers le monde le 27 juin 2017, aurait pu être évitée si les entreprises concernées avaient téléchargé une mise à jour qui avait été publiée par Microsoft 3 mois plus tôt.

Cette cyberattaque à grande échelle exploitait en effet une faille de sécurité présente sur les systèmes d’exploitation Microsoft Windows, Windows XP et Windows 10. Cette vulnérabilité avait déjà été exploitée par une autre cyberattaque de grande ampleur lancée au cours du week-end du 12 au 13 mai 2017, et qui avait infecté des milliers d’entreprises avec le ransomware WannaCry.

Ce phénomène de duplication d’un stratagème qui a fonctionné en tablant sur le fait que beaucoup d’entreprises n’auront pas mis à jour leur système est d’ailleurs toujours d’actualité, soulignent les chercheurs de Google. Ils constatent que les pirates qui lancent des exploits zero-day ont tendance à miser sur les similarités et à rechercher des vulnérabilités proches de celles qu’ils ont déjà pu exploiter dans le passé.

Mise à jour

Protégez-vous contre les conséquences d’un exploit zero-day

Si les entreprises ne peuvent se protéger totalement contre ces attaques, elles peuvent en revanche se protéger contre ses conséquences, et notamment une possible dégradation/destruction/inaccessibilité de leurs données ou une mise hors service du système d’information de l’entreprise.

Il est ainsi indispensable qu’elles effectuent des sauvegardes régulières afin de disposer en permanence de jeux de données récents qui pourront se substituer aux fichiers atteints en cas de corruption par un ransomware ou tout autre malware destructeur.

Elles doivent également se doter d’un plan de reprise d’activité, sorte de feuille de route qui leur permettra de retrouver une activité opérationnelle normale plus rapidement à la suite d’un incident.

D’autres mesures, telles que la mise en place d’une gestion des habilitations rigoureuse, et l’emploi de techniques telles que le chiffrement des données, peuvent empêcher les tentatives d’intrusions.

Conclusion

Les attaques zero day ont donc de beaux jours devant elles, d’autant qu’avec la multiplication des gadgets que nous utilisons au quotidien, professionnellement ou non (songez aux objets connectés toujours plus nombreux), elles sont appelées à proliférer. Dans ces conditions, les grandes entreprises qui se dotent de services de cybersécurité et prennent des mesures pour se protéger contre les cyberattaques, semblent vouées à mieux s’en tirer que les PME souvent démunies et vulnérables face à ces menaces de plus en plus présentes.

Votre société est une PME/TPE et ces cybermenaces vous inquiètent ? Faites-vous accompagner par un partenaire rompu aux techniques de cybersécurité. Youtell, entreprise de services numériques réunionnaise, est labellisée ExperCyber” par Cybermalveillance.gouv.fr. Consultez-nous dès à présent pour connaître les solutions de sauvegarde et les antivirus les plus adaptés à votre situation et votre budget, et apprenez avec nous à faire ce qu’il faut pour vous relever facilement en cas d’incident.

Vous êtes à la recherche d'accompagnement pour votre entreprise ?