Quelle est la probabilité que je sois affecté par un zero-day ?

Pour les utilisateurs ordinaires, la plupart des attaques Zero Day ciblent des organisations de grande valeur ou des individus spécifiques. Les événements d'exploitation massive (Log4Shell, ProxyShell) affectent tout le monde via le logiciel dans leur vie, mais la défense met à jour le correctif lorsque le correctif arrive. Pour les attaques ciblées contre vous spécifiquement, vous devez être une cible de grande valeur auprès des adversaires au niveau de l’État.

Dois-je m'inquiéter de Pegasus ou d'un logiciel espion similaire ?

Si vous êtes un journaliste, un activiste, un dissident ou un homme politique intéressant un gouvernement hostile, oui, prenez des précautions comme le mode verrouillage et la discipline opérationnelle. Pour les utilisateurs ordinaires des démocraties, le risque est suffisamment faible pour que les défenses pratiques (maintenir les appareils à jour, éviter les liens suspects, utiliser du matériel de grand fournisseur avec des mises à jour de sécurité) soient suffisantes.

Un antivirus peut-il détecter les attaques Zero Day ?

Les antivirus basés sur les signatures ne le peuvent généralement pas : il n'existe pas de signature pour une attaque inconnue. L'EDR comportemental (CrowdStrike, Defender for Endpoint, SentinelOne) est plus efficace car il examine ce que font les processus plutôt que ce à quoi ils ressemblent. Le taux de détection n'est pas parfait ; même l’EDR sophistiqué passe à côté de certains exploits sophistiqués du jour zéro.

Pourquoi les fournisseurs ne corrigent-ils pas tous les bugs avant l'expédition ?

La complexité des logiciels dépasse le budget d'audit. Les systèmes d'exploitation modernes contiennent des centaines de millions de lignes de code. Une analyse complète est impossible ; les fournisseurs trouvent les bogues qu’ils recherchent en priorité. De plus, certaines catégories de bogues (conditions de concurrence, canaux secondaires) sont inhérentes aux interactions matérielles et logicielles qu'aucun audit ne détecte.

Existe-t-il des moyens de lutter contre le Zero Day au niveau des plateformes ?

Oui, structurellement. Les langages sécurisés en mémoire (Rust, Go) éliminent les classes de bogues. Les atténuations matérielles (CET, MTE, ARM Pointer Authentication) rendent l’exploitation plus difficile. Le sandboxing limite les dégâts. La tendance au cours des 15 dernières années a été un durcissement progressif ; la tendance compte plus que n’importe quel jour zéro spécifique.

Explication des vulnérabilités Zero Day : que se passe-t-il avant qu'un correctif n'existe

Un Zero Day est une vulnérabilité dont le fournisseur n’est pas encore au courant. Jusqu'à ce que le fournisseur soit informé et puisse publier un correctif, chaque système exécutant le code vulnérable est exposé. Les Zero Days alimentent à la fois les attaques à fort impact et un marché de courtiers d’exploits de plusieurs millions de dollars. Comprendre le cycle de vie permet de comprendre pourquoi certaines attaques sont si dévastatrices.

Le corps complet de l’article est fourni en anglais ci-dessous.

A Vulnérabilité zéro jour est une faille de sécurité dont le fournisseur concerné n'a pas connaissance – « zéro jour » étant le nombre de jours depuis que le fournisseur en a pris connaissance. Le terme signifie parfois spécifiquement que la vulnérabilité est également activement exploitée (« jour zéro dans la nature »), d'autres fois juste la période précédant l'apparition d'un correctif.

Le cycle de vie

Discovery. Quelqu'un – un chercheur, un attaquant, une agence de renseignement – trouve le bug.
Decision. Le chercheur choisit quoi faire : signaler au fournisseur (divulgation responsable), vendre à un courtier d'exploits, utiliser l'exploit lui-même, s'y asseoir.
Période de pré-divulgation. S'il est signalé, le fournisseur a le temps (généralement 90 jours, parfois négocié) pour développer un correctif. Si elle reste privée, cette période est illimitée.
Exploitation active, le cas échéant. Attaquants utilisant l'exploit contre des cibles réelles. Peut se produire pendant la pré-divulgation ou après.
Patches du fournisseur.Le correctif est publié, souvent avec un CVE attribué.
Disclosure. Les chercheurs et le fournisseur publient des détails, permettant à d'autres défenseurs de détecter et d'atténuer.
Masse exploitation. Les détails désormais publics le rendent accessible aux attaquants moins sophistiqués ; les systèmes non corrigés deviennent des cibles en masse.

La période de pré-divulgation est la plus dangereuse. Le vendeur le sait ou non ; les chercheurs n'ont pas de signatures de détection ; Les défenseurs ne peuvent pas prendre de mesures d'atténuation spécifiques. Les plus hauts niveaux (Apple Security Research, Vulnerability Reward Program de Google) paient jusqu'à 1 à 2 millions de dollars pour les exploits de la chaîne complète. s'échappe.

Le prix du marché gris pour les Zero Days sérieux dépasse largement les primes légitimes. La différence de prix crée un dilemme éthique pour les chercheurs qui les trouvent. Vendre aux courtiers signifie que le bug reste exploité ; signaler au fournisseur signifie que le problème est réparé. Différents chercheurs font des choix différents pour différentes raisons.

Qui utilise les zero-days

Agences de renseignement des États nationaux. NSA, GCHQ, FSB, MSS et leurs équivalents maintiennent des cyber-équipes offensives qui achètent ou développent des zero-days. La fuite de Vault 7 a révélé la boîte à outils TAO de la CIA ; les révélations de Snowden ont révélé des choses similaires à l'échelle de la NSA.
Cybermercenaires commerciaux. NSO Group (Pegasus), Cellebrite, Cyt rox, Candiru — vendent des exploits à des clients gouvernementaux. Plusieurs ont été sanctionnés par le gouvernement américain.
Groupes Ransomware. Utilisent de plus en plus le jour zéro pour l'accès initial. L'exploitation Cl0p MOVEit de 2023 a touché des centaines d'organisations.
Groupes de menaces persistantes avancées (APT). Équipes de longue date affiliées à des États-nations qui se prépositionnent en exploitant le jour zéro pour une utilisation future.

Maîne zéro jour incidents

Stuxnet (2010) — Quatre failles Windows Zero Day et des exploits Siemens PLC. Utilisé contre l'enrichissement nucléaire iranien.
XPLZ27Exploits iOS sans clic Pegasus (plusieurs, 2016-2024) — Chaînes d'exploitation iOS du groupe NSO, utilisées contre des journalistes et des militants du monde entier.
SolarWinds (2020) — Attaque de chaîne d'approvisionnement impliquant des jours zéro dans le pipeline de construction.
ProxyLogon / ProxyShell (2021) — Vulnérabilités de Microsoft Exchange Server exploitées en masse avant le déploiement généralisé des correctifs.
Log4Shell (2021) — Vulnérabilité critique de la bibliothèque de journalisation Java ; exploitation généralisée en quelques jours.
MOVEit Transfer (2023) — L'exploitation du groupe Cl0p a touché des milliers d'organisations.
iOS Lockdown Mode déclenchant des événements (2022-2025) — plusieurs chaînes sophistiquées trouvées, ce qui a conduit Apple à introduire son durci mode.

Le course aux fenêtres de correctifs

Après qu'un jour zéro soit divulgué et corrigé, une exploitation massive s'ensuit souvent en quelques heures ou quelques jours. Les attaquants effectuent une rétro-ingénierie du correctif, identifient le chemin du code vulnérable et développent des exploits fonctionnels. Les défenseurs qui se précipitent pour mettre à jour les correctifs sont confrontés à l'asymétrie : les attaquants n'ont besoin que de trouver les systèmes non corrigés, les défenseurs doivent patcher tous les systèmes. ProxyShell est passé de la divulgation à l’exploitation massive en quelques jours. Log4Shell était exploité avant que de nombreux administrateurs système n'en aient entendu parler.

Ce que les défenseurs peuvent faire

Défenses génériques qui réduisent l'impact du jour zéro :

Sandboxing. Même un exploit réussi contre un composant en bac à sable (navigateur, visionneuse de documents) a limité reach.
Défense en profondeur. Aucune vulnérabilité unique ne donne un accès complet si l'architecture en couches est solide.
Segmentation du réseau. Un hôte compromis atteint une moindre partie du réseau. Consultez notre article de segmentation .
Détection comportementale. L'EDR moderne détecte les comportements malveillants même sans signatures spécifiques.
Tflux de renseignements sur les menaces. Lorsque des indicateurs de compromission sont publiés, les organisations peuvent rechercher des informations préalables. intrusion.
Mode de verrouillage Apple et équivalents. Pour les personnes à haut risque (journalistes, militants, dirigeants), le renforcement au niveau de la plate-forme désactive les fonctionnalités à haut risque.
Corrigez rapidement lorsque les correctifs arrivent. La réduction de la fenêtre d'exposition non corrigée est la plus grande mesure variable.

Le débat sur la divulgation

Les normes de divulgation responsable sont bien établies mais contestées à la marge :

Google Project Zero utilise un délai de 90 jours avec un délai de grâce de 14 jours. La divulgation a lieu, que le fournisseur ait appliqué le correctif ou non.
Certains chercheurs privilégient des délais plus courts (60 jours) ou plus longs (180 jours) selon la gravité.
La divulgation coordonnée (fournisseur + chercheur + parties concernées en aval) prend plus de temps mais réduit les dommages collatéraux.
La « divulgation stricte » sans avertissement est parfois utilisée contre les fournisseurs qui omettent à plusieurs reprises de répondre aux problèmes. rapports.

L'éthique diffère selon le contexte. La norme partagée : les fournisseurs doivent corriger les vulnérabilités rapidement ; les chercheurs devraient leur donner une chance ; la communauté au sens large devrait le savoir une fois le correctif disponible.

Questions fréquemment posées

Quelle est la probabilité que je sois affecté par un zero-day ?: Pour les utilisateurs ordinaires, la plupart des attaques Zero Day ciblent des organisations de grande valeur ou des individus spécifiques. Les événements d'exploitation massive (Log4Shell, ProxyShell) affectent tout le monde via le logiciel dans leur vie, mais la défense met à jour le correctif lorsque le correctif arrive. Pour les attaques ciblées contre vous spécifiquement, vous devez être une cible de grande valeur auprès des adversaires au niveau de l’État.
Dois-je m'inquiéter de Pegasus ou d'un logiciel espion similaire ?: Si vous êtes un journaliste, un activiste, un dissident ou un homme politique intéressant un gouvernement hostile, oui, prenez des précautions comme le mode verrouillage et la discipline opérationnelle. Pour les utilisateurs ordinaires des démocraties, le risque est suffisamment faible pour que les défenses pratiques (maintenir les appareils à jour, éviter les liens suspects, utiliser du matériel de grand fournisseur avec des mises à jour de sécurité) soient suffisantes.
Un antivirus peut-il détecter les attaques Zero Day ?: Les antivirus basés sur les signatures ne le peuvent généralement pas : il n'existe pas de signature pour une attaque inconnue. L'EDR comportemental (CrowdStrike, Defender for Endpoint, SentinelOne) est plus efficace car il examine ce que font les processus plutôt que ce à quoi ils ressemblent. Le taux de détection n'est pas parfait ; même l’EDR sophistiqué passe à côté de certains exploits sophistiqués du jour zéro.
Pourquoi les fournisseurs ne corrigent-ils pas tous les bugs avant l'expédition ?: La complexité des logiciels dépasse le budget d'audit. Les systèmes d'exploitation modernes contiennent des centaines de millions de lignes de code. Une analyse complète est impossible ; les fournisseurs trouvent les bogues qu’ils recherchent en priorité. De plus, certaines catégories de bogues (conditions de concurrence, canaux secondaires) sont inhérentes aux interactions matérielles et logicielles qu'aucun audit ne détecte.
Existe-t-il des moyens de lutter contre le Zero Day au niveau des plateformes ?: Oui, structurellement. Les langages sécurisés en mémoire (Rust, Go) éliminent les classes de bogues. Les atténuations matérielles (CET, MTE, ARM Pointer Authentication) rendent l’exploitation plus difficile. Le sandboxing limite les dégâts. La tendance au cours des 15 dernières années a été un durcissement progressif ; la tendance compte plus que n’importe quel jour zéro spécifique.