Qu'est-ce qu'une faille de sécurité zero-day ?
Cybersécurité
Débutant 4 min

Qu'est-ce qu'une faille de sécurité zero-day ?

Une faille logicielle exploitée avant que le développeur ne puisse la corriger

Une zero-day est une vulnérabilité logicielle inconnue des concepteurs qui permet des attaques immédiates. Découvrez le cycle de vie de ces failles et les risques pour les infrastructures.

Une zero-day désigne une faille de sécurité découverte par des attaquants avant que les développeurs du logiciel concerné n’en aient connaissance. Le terme souligne l’absence totale de délai de réaction et laisse le système vulnérable dès la première seconde d’exploitation.

À RETENIR

Qu’est-ce qu’une vulnérabilité zero-day ?

  • Une vulnérabilité zero-day est une faille de sécurité dans un logiciel, un système ou un matériel, connue des attaquants mais pas encore du développeur (ou pas encore corrigée).
  • Le terme zero-day fait référence au nombre de jours dont dispose l’éditeur pour corriger le problème avant que l’exploitation ne commence.
  • Une faille devient publique au moment où un correctif est diffusé ou lorsqu’une démonstration d’exploitation est rendue accessible.
  • Les zero-day sont particulièrement dangereuses car elles sont inconnues des systèmes de sécurité classiques (antivirus basés sur des signatures).

La découverte de la faille précède le correctif officiel

Lorsqu’un chercheur en sécurité ou un attaquant identifie une erreur de programmation dans un logiciel, il détient une information critique. Si cette information est gardée secrète et utilisée pour infiltrer des systèmes, le logiciel est alors en état de zero-day. Le développeur ignore totalement la présence de cette porte dérobée dans son code.

L’absence de signature rend la détection difficile sans analyse comportementale

Les outils de sécurité comme les antivirus ou les systèmes de détection d’intrusion fonctionnent souvent en comparant les menaces à une base de données de signatures connues. Puisque la zero-day est inédite, aucune signature n’existe. L’attaque passe donc à travers les mailles du filet et le système considère l’action comme une requête légitime ou un comportement imprévu mais non répertorié.

La course contre la montre après la divulgation

Dès que la faille est rendue publique, le compte à rebours commence pour les administrateurs système. Ils doivent déployer le correctif dès sa publication pour fermer la brèche. Durant cet intervalle, les attaquants redoublent d’efforts pour exploiter la vulnérabilité avant que les parcs informatiques ne soient mis à jour.

Les attaquants ciblent des composants critiques pour maximiser l’impact

Les zero-days ne sont pas utilisées pour des attaques de masse indiscriminées. Leur coût élevé sur le marché noir ou le temps nécessaire pour les découvrir incite les attaquants à viser des cibles à haute valeur ajoutée. Les navigateurs web, les systèmes d’exploitation et les logiciels de gestion de serveurs sont les cibles privilégiées.

Une fois le système compromis, l’attaquant peut élever ses privilèges pour prendre le contrôle total de la machine. Cette discrétion permet de maintenir une présence prolongée dans un réseau sans déclencher d’alertes et facilite ainsi l’exfiltration de données ou le déploiement d’applications malveillantes.

La réduction de la surface d’exposition comme solution

Il est techniquement impossible de se protéger préventivement contre une faille dont l’existence est inconnue. La stratégie de défense consiste donc à limiter les conséquences d’une éventuelle intrusion. Une segmentation rigoureuse du réseau empêche un attaquant de se déplacer latéralement après avoir exploité une zero-day sur un poste isolé.

L’application du principe du moindre privilège limite également les dégâts. Si un utilisateur ou un processus ne dispose que des droits strictement nécessaires à sa fonction, l’exploitation d’une faille ne permet pas à l’attaquant d’obtenir un accès administrateur global.

Quelle est la différence entre une faille zero-day et une vulnérabilité connue ?

Une vulnérabilité connue dispose d’un correctif ou d’une procédure de contournement documentée par l’éditeur. La zero-day est inconnue de l’éditeur et aucun correctif n’est disponible pour protéger les systèmes.

Pourquoi parle-t-on de jours dans le terme zero-day ?

Le terme indique que le développeur dispose de zéro jour pour corriger le problème avant que celui-ci ne soit utilisé contre ses utilisateurs. C’est une métaphore soulignant l’absence de délai de réaction.

Les logiciels open source sont-ils plus exposés aux zero-days ?

La transparence du code source permet à la communauté de trouver et corriger les failles plus rapidement. Cependant, elle permet aussi aux attaquants d’analyser le code pour découvrir des vulnérabilités. Le risque dépend davantage de la rigueur du processus de développement que de la nature du modèle de licence.

Continuer au niveau Débutant

P Phishing Technique de fraude par usurpation d'identité numérique visant à soutirer des identifiants ou des données bancaires via des messages trompeurs. R Ransomware Logiciel malveillant qui chiffre les données d'une victime et exige une rançon, généralement en cryptomonnaie, pour les débloquer. I Ingénierie sociale Technique de manipulation psychologique visant à obtenir des informations confidentielles ou des accès en exploitant la confiance humaine.