Zero-Day : faille de sécurité inconnue d’un logiciel, rendue publique ou activement exploitée avant que l'auteur du logiciel faillible en soit alerté.

cr  01.04.2012      r+  21.08.2020      r-  20.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les cybercriminels sont de très bons informaticiens, cherchant et trouvant des failles de sécurité dans les logiciels, et exploitant ces failles, dans le plus grand secret, pour pénétrer les ordinateurs de tout un chacun ou les serveurs de sites Web. On ne peut pas parler de faille Zero Day, ni d'exploit « Zero day » dans ce cas, puisque l'on est dans le domaine du secret et qu'il n'y a pas de publication des caractéristiques de la faille ni de date de découverte.

Il existe aussi de très bons informaticiens de l'autre côté du cyberespace, le côté propre/blanc. Eux aussi trouvent des failles de sécurité. Leur démarche est alors de rédiger un rapport et de le remettre aux interlocuteurs concernés, chez l'auteur/éditeur du logiciel dans lequel la faille a été trouvée. Un délai raisonnable, généralement tacite, est laissé à l'éditeur pour réagir.

Il se passe alors l'un des deux événements suivants :

• L'éditeur réagit immédiatement, corrige la faille et publie un patch (un correctif) ou, à tout le moins, engage une conversation avec celui qui a trouvé la faille et montre qu'il s'en occupe et qu'il lui faut un certain temps pour finaliser le correctif.
• L'éditeur ne réagit pas et ignore l'auteur de la découverte. À ce moment-là, la réaction de l'auteur de la découverte peut être épidermique et, après un certain délai, il peut forcer l'éditeur à réagir en rendant publique sa découverte. Bien entendu, la presse va se déchaîner contre l'éditeur et son logiciel tandis que des cybercriminels vont se jeter sur la faille pour l'exploiter immédiatement. C'est le zéro day (jour zéro) – la faille est exploitée immédiatement par les cybercriminels et l'éditeur n'a plus de délais (« Zero day » – « Zéro jour ») pour corriger la faille et publier/déployer le correctif. Cette démarche force la main à l'éditeur et l'oblige à réagir enfin.
  
  L'éditeur aura un autre travail à faire, encore plus harassant : redorer son blason.

Parfois, l'auteur de la découverte peut la rendre publique immédiatement, sans avertir l'éditeur du logiciel. Il s'agit d'une démarche hautement critiquable, critiquée, et inconsciente, mue probablement par un désir de reconnaissance dans la communauté, l'ego du découvreur, qui fait le jeu des cybercriminels. Elle peut être le fait d'un auteur qui n'a pas été crédité de ses précédentes découvertes et dont l'ego prend le pas sur le sens des responsabilités ou d'un auteur dont les précédentes découvertes chez le même éditeur, dûment signalées, ont été ignorées ou traitées avec désinvolture.

Ne cachons pas qu'il existe un marché lucratif des ventes de failles de sécurité.

Les principales attaques Zero Day

Les attaques « Zero day » sont de mêmes natures que toutes les attaques, à ceci près qu'elles sont dévoilées publiquement (enfin... dans le monde du Dark Web) au lieu d'être conservées secrètes par leur découvreur. Comme toutes les attaques, elles utilisent les technologies de propagation classiques des virus, des vers ou des chevaux de Troie, etc. et conduisent à (simples exemples) :

• La zombification de l'ordinateur qui devient un Zombie injecté dans un BotNet. Un cybercriminel utilisera l'ordinateur, à l'insu de son propriétaire, et consommera de la puissance de calcul et de la bande passante gratuitement. L'ordinateur est ralenti. En plus, l'ordinateur peut alors être utilisé pour lancer des attaques (spam, Déni de service distribué [DDoS], etc.) et vous pouvez être, juridiquement, recherché dans ces attaques pour défaut de protection de votre ordinateur.
  
• La modification des réglages (hijack) de l'ordinateur, en particulier les réglages des navigateurs Web, qui vont diriger vers des moteurs de recherche menteurs destinés à conduire les internautes vers des sites piégés ou des sites marchands aux mains des cybercriminels.
  
• Le vol de données privées dont, principalement, le vol des données bancaires. Ceci peut être fait dans les appareils des utilisateurs (millions d'attaques) comme au niveau des serveurs des opérateurs (1 attaque pour des millions de comptes - plusieurs exemples de hack massifs)
  
• Des demandes de rançons pour diverses raisons (vol d'images ou vidéo comprométantes, peur (ransomware), prise en otage de toutes les données dans un appareil (crypto-ransomwares), etc.
• Etc.

Les principales attaques Zero Day, qu'elles utilisent la technologie de propagation des virus, des vers ou des chevaux de Troie, sont :

• La zombification de l'ordinateur qui devient un Zombie injecté dans un BotNet. Un cybercriminel utilisera l'ordinateur, à l'insu de son propriétaire, et consommera de la puissance de calcul et de la bande passante gratuitement. L'ordinateur est ralenti. En plus, l'ordinateur peut alors être utilisé pour lancer des attaques (spam, Déni de service distribué (DDoS)...) et vous pouvez être, juridiquement, recherché dans ces attaques pour défaut de protection de votre ordinateur.
  
• La modification des réglages (hijack) de l'ordinateur, en particulier les réglages des navigateurs, qui vont diriger vers des moteurs de recherche menteurs destinés à conduire les internautes vers des sites marchands aux mains des cybercriminels.
  
• Le vol de données privées dont, principalement, le vol des données bancaires.
  

Les vecteurs d'attaques « Zero day » sont, essentiellement :

1/ Les navigateurs Web qui sont présents chez tous les utilisateurs et utilisés tous les jours par tout le monde. Les cybercriminels déploient immédiatement des ressources accrocheuses (buzz, spam, etc.) qui « font faire de la visite » et exploiter la faille.

Navigateurs Web – Failles de sécurité et alertes au jour le jour
	Firefox	Opera	Safari	IE	Edge	Chrome
Flexera global (*)(**)(***) Assiste alertes - global	Flexera/Secunia Assiste alertes	Flexera/Secunia Assiste alertes	Flexera/Secunia Assiste alertes	Flexera/Secunia Assiste alertes	Flexera/Secunia Assiste alertes	Flexera/Secunia Assiste alertes

(*) Alertes selon Flexera (ex Secunia Research Advisories) - vous devez avoir créé un profil, gratuitement, chez Flexera [login et mot de passe, adresse e-mail et pays] et être étudiant ou journaliste ou particulier ou chercheur amateur - aucun usage commercial n'est permis.
(**) Consultation des alertes, tous produits confondus. Depuis le rachat de Secunia par Flexera, seules les alertes de plus de 9 mois peuvent être vues sauf à acheter l'accès à leur service complet.
(***) Ce service de Flexera (ex Secunia Research Advisories) et le service de Secunia n'existent plus depuis fin février 2020. Seul subsiste le service d'alertes d'Assiste qui effectue les recherches de manière plus complètes et fines que Secunia.

2/ Les pièces jointes à des eMail, dans de violentes campagnes de spam, envoyés en milliards d'exemplaires en quelques secondes grâce aux BotNets. Les pièces jointes exploiteront les failles de sécurité découvertes dans les logiciels qui servent à les ouvrir.

Contre une exploitation d'une faille de sécurité « Zero day » il n'y a pas grand chose à faire sauf :

• Naviguer avec NoScript et ne libérer les droits, aux sites Web visités, d'exécuter des scripts, qu'avec parcimonie (les sites Web visités ne sont pas forcément des sites criminels, mais des sites totalement légitimes, piratés (hackés) par des cybercriminels et tous leurs visiteurs sont piégés).
  • Protéger la navigation Web
• Appliquer toutes les mises à jour de Windows, tout de suite, tous les jours (remarques - Microsoft, las d'être traité de fabrique de failles de sécurité en flux continu, a, à partir de Windows 10, mis en place un mécanisme forcé et automatique de mises à jour des produits Microsoft - les mises à jour sont appliquées et l'ordinateur redémare, parfois sans avertir l'utilisateur qui perd tous ses travaux en cours - ce remède peut être pire que le mal - voir comment bloquer l'automatisme des mises à jour de Windows 10) :
  • Windows Update
• Appliquer toutes les mises à jour de toutes les autres applications avec des outils comme :
  • Kaspersky Software Updater
  • uCheck
• Appliquer les mises à jour de tous les pilotes (drivers) avec :
  • DriversCloud

  Voir les points 10, 11 et 12 du protocole de mises à jour et entretien d'un appareil sous Windows.

• Attention à votre risque juridique de complicité passive des cybercriminels si vos appareils ne sont pas à jour ou protégés (antivirus, antimalware, pare-feu, filtres du Web, etc.)

1. Zero Day

Recherches dans Assiste.com		Recherches sur le Web
Zero Day avec Qwant Zero Day avec DuckDuckGo Zero Day avec StartPage Zero Day avec Google Zero Day avec Bing Zero Day avec Yandex Zero Day avec Yahoo! Zero Day avec Baidu		Zero Day avec Qwant Zero Day avec DuckDuckGo Zero Day avec StartPage Zero Day avec Google Zero Day avec Bing Zero Day avec Yandex Zero Day avec Yahoo! Zero Day avec Baidu