Qu'est-ce qu'une attaque Zero Day?
Une attaque Zero Day (également appelée Day Zero) est une attaque qui exploite une faiblesse de sécurité logicielle potentiellement grave que le fournisseur ou le développeur peut ignorer. Le développeur de logiciels doit se précipiter pour résoudre la faiblesse dès qu'elle est découverte afin de limiter la menace pour les utilisateurs de logiciels. La solution s'appelle un correctif logiciel. Les attaques Zero Day peuvent également être utilisées pour attaquer l'Internet des objets (IoT).
Une attaque zero-day tire son nom du nombre de jours que le développeur du logiciel a connus à propos du problème.
Zero Day Attack expliqué
Une attaque Zero Day peut impliquer des logiciels malveillants, des logiciels espions ou un accès non autorisé aux informations des utilisateurs. Les utilisateurs peuvent se protéger contre les attaques Zero Day en configurant leurs logiciels - y compris les systèmes d'exploitation, les logiciels antivirus et les navigateurs Internet - pour qu'ils se mettent à jour automatiquement et en installant rapidement toutes les mises à jour recommandées en dehors des mises à jour régulières. Cela dit, la mise à jour d'un logiciel antivirus ne protégera pas nécessairement un utilisateur contre une attaque zero day, car jusqu'à ce que la vulnérabilité du logiciel soit connue du public, le logiciel antivirus peut ne pas avoir de moyen de la détecter. Les systèmes de prévention des intrusions de l'hôte contribuent également à protéger contre les attaques zero day en prévenant et en défendant contre les intrusions et en protégeant les données.
Considérez une vulnérabilité zero-day comme une porte de voiture déverrouillée que le propriétaire pense être verrouillée mais qu'un voleur découvre est déverrouillée. Le voleur peut pénétrer dans la boîte à gants ou le coffre du propriétaire de la voiture sans être détecté et ne pas être remarqué des jours plus tard, lorsque le dommage est déjà fait et que le voleur a disparu depuis longtemps.
Alors que les vulnérabilités zero-day sont connues pour être exploitées par des pirates informatiques, elles peuvent également être exploitées par des agences de sécurité gouvernementales qui souhaitent les utiliser pour la surveillance ou des attaques. En fait, il y a tellement de demande de vulnérabilités zero-day de la part des agences de sécurité gouvernementales qu'elles aident à diriger le marché pour acheter et vendre des informations sur ces vulnérabilités et comment les exploiter.
Les exploits Zero Day peuvent être divulgués publiquement, divulgués uniquement au fournisseur de logiciels ou vendus à un tiers. S'ils sont vendus, ils peuvent être vendus avec ou sans droits exclusifs. Du point de vue de la société de logiciels responsable, la meilleure solution à un problème de sécurité consiste pour un pirate éthique ou un chapeau blanc à divulguer en privé le problème à l'entreprise afin qu'il puisse être corrigé avant que les pirates informatiques ne le découvrent. Mais dans certains cas, plusieurs parties doivent remédier à la vulnérabilité pour la résoudre complètement, de sorte qu'une divulgation privée complète peut être impossible.
Sur le marché sombre des informations zero-day, les pirates informatiques échangent des détails sur la façon de percer les logiciels vulnérables pour voler des informations précieuses. Sur le marché gris, les chercheurs et les entreprises vendent des informations aux militaires, aux agences de renseignement et aux forces de l'ordre. Sur le marché blanc, les entreprises paient des pirates informatiques ou des chercheurs en sécurité pour détecter et divulguer les vulnérabilités logicielles aux développeurs afin qu'ils puissent résoudre les problèmes avant que les pirates informatiques ne les trouvent.
Selon l'acheteur, le vendeur et l'utilité, les informations du jour zéro peuvent valoir de quelques milliers à plusieurs centaines de milliers de dollars, ce qui en fait un marché potentiellement lucratif auquel participer. Avant qu'une transaction puisse être effectuée, le vendeur doit fournir une preuve -of-concept (PoC) pour confirmer l'existence de l'exploit zero-day. Pour ceux qui souhaitent échanger des informations du jour zéro sans être détectés, le réseau Tor permet que les transactions du jour zéro soient effectuées de manière anonyme à l'aide de Bitcoin.
Les attaques zero-day peuvent être moins une menace qu'elles ne le paraissent. Les gouvernements peuvent avoir des moyens plus faciles d'espionner leurs citoyens et zéro jour peut ne pas être le moyen le plus efficace d'exploiter des entreprises ou des particuliers. Une attaque doit être déployée stratégiquement et à l'insu de la cible pour avoir un effet maximum. Déclencher une attaque zero-day sur des millions d'ordinateurs à la fois pourrait révéler l'existence de la vulnérabilité et faire publier un correctif trop rapidement pour que les attaquants atteignent leur objectif ultime.
Exemples d'attaques Zero Day
En avril 2017, Microsoft a été informé d'une attaque zero-day sur son logiciel Microsoft Word. Les attaquants ont utilisé un malware appelé cheval de Troie banquier Dridex pour exploiter une version vulnérable et non corrigée du logiciel. Le cheval de Troie a permis aux attaquants d'incorporer du code malveillant dans les documents Word qui se déclenche automatiquement lorsque les documents sont ouverts. L'attaque a été découverte par le fournisseur d'antivirus McAfee, qui a informé Microsoft de son logiciel compromis. Bien que l'attaque du jour zéro ait été découverte en avril, des millions d'utilisateurs avaient déjà été ciblés depuis janvier.
