Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Qu'est-ce qu'un exploit de type "zero-day" ?

Mis à jour: 05 mai 2025 Temps de lecture: ~

Sujette

Threat Detection, Security

Sommaire

 

Cet article a été traduit automatiquement.

 

Un exploit "zero-day" est une méthode ou un morceau de code utilisé par les cybercriminels pour tirer parti d'une vulnérabilité précédemment inconnue ou non corrigée dans un logiciel, un matériel ou un microprogramme.

Points à retenir

  • Les exploits du jour zéro ciblent des vulnérabilités non divulguées avant que les développeurs n'aient le temps de créer et de mettre en œuvre des correctifs de sécurité.
  • Ces exploits représentent des menaces importantes, notamment des atteintes à la réputation, des pertes financières et des violations de la conformité.
  • La prévention des exploits de type "0-day" nécessite une approche de sécurité à plusieurs niveaux, notamment une architecture Zero Trust, des correctifs réguliers et une détection avancée des menaces.
  • Les attaques peuvent toucher toute une série d'entités, des particuliers aux grandes entreprises et aux agences gouvernementales, qui ont accès à des données sensibles et à des infrastructures essentielles.
  • Parmi les exemples notables, citons le ver Stuxnet (2010), les vulnérabilités du serveur Microsoft Exchange (2021) et les exploits récents affectant Chrome et Apple WebKit.

Comment fonctionnent les exploits de type "zero-day" ?

Le terme "zero-day" provient de la scène du piratage de logiciels à l'époque des babillards numériques (BBS), qui désignait les logiciels piratés mis sur le marché le même jour que la version légitime. Par conséquent, le logiciel d'origine était protégé pour les "jours zéro".

Aujourd'hui, un exploit "zero-day" fait référence à l'utilisation d'une vulnérabilité non divulguée dans du matériel, des microprogrammes ou des logiciels publiés, exploitée par des attaquants avant que les développeurs ne prennent conscience de ce défaut ou ne puissent y remédier.

Les exploits du jour zéro se produisent lorsque les programmeurs introduisent à leur insu une vulnérabilité au cours du développement, qui n'est pas détectée lors des tests, et que les vendeurs mettent les technologies de l'information à la disposition du public. Si l'équipe sécurité ne détecte pas la faille, les attaquants peuvent exploiter l'informatique avant que Developer ne puisse réagir et distribuer un correctif.

Le cycle de vie des zero-day

  1. Découverte

    Un site hacker découvre une vulnérabilité dans un logiciel, un matériel ou un microprogramme.

  1. Développement d'exploits

    Le site hacker découvre et développe une méthode pour exploiter la vulnérabilité.

  1. Exécution de l'attaque

    Les attaquants commencent à cibler les systèmes utilisant la vulnérabilité

  1. Exploitation silencieuse

    Le fournisseur ciblé reste dans l'ignorance alors que les attaques de type "zero-day exploit" se poursuivent.

  1. Gestion et identification des vulnérabilités

    Le vendeur finit par identifier la vulnérabilité

  1. correctif développement

    Le développeur crée et publie un correctif de sécurité

  1. correctif implémentation

    Le fournisseur met en œuvre le correctif de sécurité pour protéger les systèmes.

Cibles courantes des exploits de type "zero-day" :

  • Systèmes d'exploitation : Logiciel de base qui peut permettre aux attaquants d'accéder à l'ensemble du système, ce qui affecte toutes les données et les applications.
  • navigateur : Lorsqu'ils sont exploités, les navigateurs tels que Chrome, Safari, et Firefox peuvent compromettre les utilisateurs lorsqu'ils visitent des sites web malveillants.
  • Enterprise logiciel : Les applications professionnelles à l'échelle de l'entreprise peuvent permettre d'accéder aux données et de pénétrer dans les réseaux de l'entreprise.
  • Internet des objets terminal : Ces terminaux connectés ont souvent des contrôles de sécurité limités, ce qui permet aux attaquants de compromettre les réseaux domestiques, les capteurs industriels ou les terminaux médicaux.
  • terminal mobile : Les vulnérabilités des systèmes d'exploitation mobiles ou des applications sur les smartphones et les tablettes peuvent exposer des données sensibles, permettre la surveillance ou servir de points d'entrée dans le réseau.
  • service cloud : Les services informatiques hébergés à distance peuvent conduire à des attaques multitenant et compromettre potentiellement d'énormes ensembles de données.
  • Protocoles de réseau : Les vulnérabilités dans les règles qui régissent la transmission des données entre les terminaux (par exemple, DNS, TCP/IP ou SSL/TLS) peuvent permettre l'interception du trafic, la redirection et les attaques de type "man-in-the-middle".

Méthodes typiques d'attaques de type "zero-day" :

  • Exécution de code : Exécution de codes malveillants ou de commandes non autorisées sur un système cible afin de prendre le contrôle d'applications ou de systèmes d'exploitation.
  • élévation des privilèges : Obtention de privilèges d'un niveau plus élevé que nécessaire pour accéder à des données restreintes, installer malware ou effectuer des actions administratives.
  • Exfiltration de données : Extraction de données confidentielles à partir de systèmes compromis, y compris des identifiants, de la propriété intellectuelle ou des informations personnelles, sans détection.
  • livraison de logiciels malveillants : Installation de logiciels malveillants sur les systèmes cibles afin d'établir un accès permanent au terminal compromis, de créer des portes dérobées, de déployer ransomware ou d'établir une infrastructure de commande et de contrôle.

Terminologie relative aux zero-day :

  • Zero-day : "Zero-day" ou "0day" est le terme utilisé pour décrire le fait que les développeurs n'ont pas le temps de se préparer et de corriger les vulnérabilités.
  • Vulnérabilité de type "jour zéro" : Une faille inconnue ou non corrigée qui existe dans un logiciel ou un matériel publié.
  • Menace de jour zéro : Autre terme pour désigner une vulnérabilité de type "zero-day". 
  • Attaque de type "jour zéro" : Une tentative malveillante de tirer parti d'un exploit de type "zero-day" avant que les vendeurs ne puissent développer des correctifs.
  • Zero-day malware: Virus explicitement conçu pour tirer profit des exploits du jour zéro qui ne sont pas encore détectables par les logiciels antivirus ou d'autres systèmes de détection des menaces.

Exemples de zero-day

  • Ver Stuxnet : (2010) Ver informatique malveillant qui cible les systèmes de contrôle de surveillance et d'acquisition de données (SCADA) et qui serait à l'origine de plusieurs journées zéro visant les installations nucléaires iraniennes.
  • Les vulnérabilités de Microsoft Exchange Server : (2021) Ces failles critiques permettent l'exécution de codes à distance, que Hafnium a exploité, compromettant plus de 250 000 serveurs par le biais de shells et de backdoors web malveillants.
  • Journée zéro pour Chrome CVE-2023-4863 : (2023) Vulnérabilité de débordement de tampon de tas activement exploitée dans la nature.
  • Apple WebKit zero-day : (2024) Permet aux attaquants d'exécuter un code malveillant sur les iPhones et les Macs

Pourquoi les exploits de type "zero-day" représentent-ils une menace importante ?

L'enjeu est de taille lorsque des acteurs malveillants découvrent des vulnérabilités avant les analystes et les chercheurs en sécurité. Bien qu'ils ne soient pas toujours aussi spectaculaires que les exemples de films à grand spectacle où des villes entières sont plongées dans l'obscurité à cause d'exploits d'infrastructure de type "zero-day", leur impact est substantiel. 

À la surprise des vendeurs et des fabricants, ces faiblesses intégrées peuvent être dormantes pendant des jours, des semaines, des mois, voire des années. Sans stratégie de défense planifiée, l'équipe sécurité doit se dépêcher de réagir en mettant en œuvre des correctifs basés sur les informations relatives à l'attaque, dans une course contre les pirates pour limiter les dégâts.

Les coûts d'exploitation comprennent :

  • Atteinte à la réputation, y compris la perte de confiance et les préoccupations des clients concernant les données volées
  • Impact financier dû au coût élevé du tbd
  • Violations de la conformité et amendes en vertu de la réglementation sur la protection des données
  • Risque de défaillance en cascade dans les systèmes interconnectés

Selon un récent rapport d'IBM, le coût global moyen d'une brèche de données atteindra 4,88 millions de dollars en 2024. 

Identifier les exploits de type "zero-day" (jour zéro)

Signes d'une attaque de type "zero-day

  • Comportement ou performances inhabituels du système
  • Exfiltration inattendue de données
  • Modèle de trafic réseau anormal
  • Nouveaux fichiers ou composants modifiés du système
  • analyse comportementale et détection heuristique

Comment les vulnérabilités de type "zero-day" sont-elles découvertes ?

  • pirate informatique qui recherche activement des vulnérabilités à exploiter
  • Organismes de sécurité qui utilisent le balayage automatisé, la recherche et l'analyse de code
  • Chercheurs en sécurité informatique qui analysent le code de manière indépendante et effectuent des évaluations de sécurité 
  • Agences de sécurité nationale et de renseignement impliquées dans la défense et les cyber-opérations
  • Programmes de chasse aux bugs (Bug Bounty) mis en place par des entreprises technologiques pour récompenser les professionnels de la sécurité.

Exploitation du jour zéro marketplace

  • Marché blanc : Le marché blanc est le lieu où les entreprises, les vendeurs et les pirates éthiques divulguent les vulnérabilités pour la chasse aux bugs (Bug Bounty).
  • Marché gris : Les agences gouvernementales et de renseignement achètent des exploits de type "zero-day" à des fins de sécurité nationale et d'application de la loi.
  • Marché noir : Lieu où les acteurs malveillants achètent des logiciels d'exploitation pour exploiter les vulnérabilités.

Comment éviter un exploit de type "zero-day" ?

La prévention des exploits de type "zero-day" commence par une solide stratégie de défense en profondeur :

  • Architecture "zéro confiance" : Limite les mouvements latéraux en vérifiant chaque tentative d'accès, quelle qu'en soit la source.
  • principes du moindre privilège : Limite l'accès de l'utilisateur et du processus au strict nécessaire, réduisant ainsi l'impact de l'exploitation.
  • la gestion de la surface d'attaque (ASM) : Permet aux experts en sécurité d'identifier et d'évaluer les vecteurs d'attaque potentiels au sein de leur infrastructure numérique. 
  • Tests de pénétration : Permet aux organisations de simuler des attaques et de découvrir les vulnérabilités du jour zéro avant les acteurs malveillants.
  • Détection et réponse des terminaux (EDR) basée sur le comportement solutions: Détecte les anomalies et les comportements suspects que les outils basés sur les signatures peuvent manquer.
  • L'application régulière de correctifs sur tous les systèmes : Réduit la surface d'attaque pour les vulnérabilités connues afin de minimiser la fenêtre d'exploitation.
  • segmentation réseau : Limite le rayon d'action des attaques en isolant les systèmes critiques et en restreignant les communications non autorisées.
  • Politique de contrôle des applications : Empêcher les applications non autorisées et non fiables d'exécuter du code.
  • Techniques de chasse aux menaces : Recherche de menaces cachées, y compris des indicateurs précoces d'activité de type "zero-day".
  • Surveillance de la sécurité alimentée par l'IA : Identifie les modèles et comportements inhabituels en temps réel à l'aide de machine learning (ML)
  • Autoprotection des applications en cours d'exécution (RASP) : Permet de détecter les menaces dans l'application et d'en atténuer les effets au cours de l'exécution.

FAQ sur les exploits du jour zéro

Qu'est-ce qui déclenche une attaque de type "zero-day" ?

Les attaques "zéro jour" commencent lorsqu'un acteur malveillant découvre une vulnérabilité matérielle ou logicielle inconnue jusqu'alors et l'exploite avant que le fabricant ou le développeur du logiciel n'ait le temps de publier un correctif.

Comment les exploits de type "zero-day" sont-ils évalués en termes de gravité ? 

Le système commun d'évaluation des vulnérabilités (CVSS) évalue les exploits de type "zero-day". Les services informatiques attribuent une note de 0 à 10 sur la base de facteurs tels que la complexité de l'attaque, les privilèges requis et l'impact potentiel.

Quelle est la différence entre zero-day et N-day ?

Alors que les vendeurs ne sont pas conscients des vulnérabilités du jour zéro jusqu'à ce qu'une attaque de ce type se produise, les vulnérabilités du jour N sont des défauts matériels ou logiciels connus du public et peuvent ne pas avoir de correctif. 

Qu'est-ce qu'une vulnérabilité d'un jour ?

Bien que l'équipe sécurité soit au courant des vulnérabilités d'un jour, elles ne sont pas corrigées avant le lendemain. En revanche, les vulnérabilités du jour N ont un temps moyen de correction (MTTP) beaucoup plus long.

Quelle est la différence entre zero-day et CVE ?

Les vulnérabilités et expositions communes (CVE) font référence à des vulnérabilités de sécurité divulguées publiquement, impliquant des failles de sécurité logicielles ou matérielles, et sont souvent assorties de stratégies d'atténuation. En revanche, les vulnérabilités de type "zero-day" ne sont pas découvertes lorsque le logiciel ou le matériel est rendu public.

Protégez-vous contre les exploits de type "zero-day" avec Okta

Réduisez les risques et protégez vos organisations grâce à une sécurité basée sur l'identité qui automatise la détection des menaces en temps réel.

En savoir plus

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter