Derrière le terme générique de faille « 0-day » ou « zero-day » se cachent les dernières vulnérabilités détectées et potentiellement exploitées par les hackers.
L'inconnu fait souvent peur, et ce sentiment est encore plus criant en matière de cybersécurité. Les attaques dites « 0-day » sont particulièrement redoutées des fabricants et des fournisseurs, puisqu'il s'agit de vulnérabilités de sécurité détectées et exploitées par les cybercriminels avant même que les développeurs ne puissent s'en apercevoir.
Les dangers du 0-day
Plus précisément, le terme zero-day correspond au jour auquel un développeur ou un fournisseur prend connaissance d'une vulnérabilité, souvent celui d'une cyberattaque. À ce moment-là, il a donc par définition zéro jour pour corriger la faille et déployer un correctif, s'il veut éviter que cette dernière ne cause davantage de dégâts. Mais il existe en réalité différentes phases dans le concept du zero-day, comme Kaspersky le décrit bien.
Une vulnérabilité logicielle 0-day est détectée par les hackers avant le fournisseur ou le développeur, ce qui permet de transformer aisément des attaques en succès. La faille d'exploitation 0-day, elle, est une méthode que les cybercriminels utilisent pour attaquer des systèmes qui souffrent d'une vulnérabilité qui n'a pas été identifiée auparavant. Et enfin, l'attaque 0-day en elle-même utilise une faille d'exploitation 0-day pour porter atteinte à un système affecté par une vulnérabilité, ou alors pour en voler les données.
Le danger du zero-day, c'est qu'au-delà de l'identification de la vulnérabilité, deux autres éléments prennent du temps et sont donc favorables aux pirates : le temps nécessaire au correctif (qui peut prendre des jours, voire des semaines depuis son exploitation, comme le rappelle Avast) et le déploiement par l'utilisateur directement, qui est souvent à sa discrétion, et pas forcément automatisée.
Des vulnérabilités en hausse, que les hackers mettent souvent en vente sur le Dark Web
Pour repérer une vulnérabilité zero-day, les hackers injectent de façon massive des données, à différents intervalles, avant de tester la réaction du programme qu'ils visent. Si la plupart du temps, ce procédé aboutit à un plantage logiciel, un comportement inattendu peut survenir, c'est-à-dire l'exécution de code malveillant. On parle alors d'« exploit ». Utiliser des vulnérabilités passées pour tenter de les adapter à d'autres programmes ou situations est aussi une méthode courante chez les attaquants. Il peut ensuite arriver que le hacker, qui n'oublie pas la dimension business de son activité, revende ses informations sur le Dark Web, où des vulnérabilités peuvent se vendre à prix d'or.
ESET explique de son côté que l'exploitation des failles atteint des niveaux records. Cela est notamment dû au soutien parfois étatique dont bénéficient les cybercriminels, qui en profitent pour augmenter leur activité.
En 2021, Mandiant a de son côté identifié pas moins de 80 vulnérabilités zero-day exploitées, soit plus du double du précédent record (32), qui datait de 2019. Les trois quarts de ces failles proviennent de produits Microsoft, Apple et Google. Et même si ce chiffre en hausse s'explique en partie par une amélioration des détections (ce qui est une bonne chose en soi), il est aussi justifié par une plus grande circulation d'objets connectés et un Cloud de plus en plus sollicité, qui augmente ainsi le volume et la complexité des logiciels et systèmes connectés à Internet.
