Attaque zero day : explication et mesures de protection envisageables

En moyenne, sept ans sont nécessaires pour découvrir une vulnérabilité zero day. Les cybercriminels peuvent ainsi espionner sans encombre les entreprises et les organisations dans leurs applications pendant sept ans. Le dommage économique pouvant être engendré est immense.

Il est donc d’autant plus essentiel que les entreprises prennent la sécurité informatique au sérieux et mettent en place des mesures pour se protéger le mieux possible contre les attaques.

Le terme attaque « zero day » renvoie au fait qu’une entreprise dispose de zéro jour (zero day) pour corriger une faille de sécurité avant qu’il n’y ait un risque. En effet, l’entreprise prend uniquement conscience de cette vulnérabilité dans le logiciel lorsqu’un dommage est survenu. Les hackers découvrent la faille de sécurité longtemps avant sa découverte par l’entreprise et l’ont exploitée pour infiltrer des logiciels espions ou malveillants à l’aide de rootkits, de chevaux de Troie, etc.

Déroulement d’une attaque zero day :

1. le développeur procède à la programmation du logiciel en écrivant du code et en laissant, par mégarde, une vulnérabilité (zero day vulnerability) qui permet aux hackers d’obtenir des informations ou de manipuler des systèmes.
2. Un hacker découvre cette vulnérabilité avant l’entreprise. Plutôt que d’informer l’entreprise de l’erreur, celui-ci écrit du code (appelé « exploit ») pour exploiter cette faille. Le hacker peut éventuellement choisir de ne pas exploiter directement cette faille et de la vendre sur le marché noir où il peut obtenir plusieurs milliers d’euros pour le code en question.
3. L’entreprise prend conscience de l’attaque zero day, que ce soit par hasard, par une notification d’un client ou par une réclamation. C’est uniquement à partir de ce moment que les développeurs pourront développer un correctif de sécurité pour corriger cette faille. Mais il est fort probable, qu’à ce moment, le mal soit déjà fait.

Les points d’entrée pour les attaques sont généralement des applications des géants du numérique tels que Google, Apple et Microsoft. Microsoft est fréquemment ciblé par des attaques zero day. En principe, toutes les entreprises utilisant des logiciels de ces prestataires sont concernées par ce type d’attaque.

Le risque d’être la cible d’une attaque zero day augmente pour les entreprises connaissant un succès grandissant puisqu’elles attirent de facto l’attention des cybercriminels. Toutefois, même les petites entreprises de secteurs hautement compétitifs peuvent être victimes de telles attaques utilisées pour effectuer de l’espionnage industriel.

Les attaques zero day sont particulièrement dangereuses, car les hackers ont une longueur d’avance sur leur victime. Ils peuvent ainsi espionner les entreprises sans se faire remarquer pendant des mois ou des années.

L’attaque n’est pas identifiée par les logiciels antivirus car les schémas d’attaque codés ne sont pas connus par ni inclus dans les bases de données. Lorsque la vulnérabilité est finalement identifiée, les entreprises potentiellement concernées ne peuvent pas réagir de façon adaptée et doivent attendre que les développeurs de l’application concernée aient publié un correctif de sécurité. La sécurité peut uniquement être rétablie après l’installation du correctif.

Si le fabricant d’un logiciel publie un correctif, mais que l’entreprise ne l’installe pas, quel qu’en soit la raison, la faille de sécurité est maintenue.

Il est difficile de se protéger contre les attaques zero day. Il est toutefois possible de prendre différentes mesures de sécurité pour réduire la probabilité qu’un dommage survienne, même si une attaque est effectuée.

Alors que les anti-virus traditionnels ne se montrent pas performants pour les attaques zero day du fait de leur signature virale inconnue, les solutions de sécurité basées sur le comportement peuvent apporter une aide considérable. À l’aide d’algorithmes et d’heuristiques, les systèmes de détection d’intrusion (IDS) et les systèmes de prévention des intrusions (IPS) surveillent les mouvements de données et les accès aux données dans l’entreprise et émettent des messages d’avertissement lorsque des anomalies sont détectées ou prennent automatiquement des contre-mesures.

Les entreprises peuvent également diminuer le risque d’utilisation abusive des données en mettant en place un chiffrement, des systèmes d’autorisation et des contrôles.

Comme chaque logiciel peut en principe servir de base pour une attaque zero day, le nombre d’applications installées doit être réduit à un minimum. Le logiciel doit toujours être utilisé et exécuté dans sa dernière version, avec toutes les mises à jour disponibles. Les applications non utilisées doivent être retirées des ordinateurs.

Ces mesures ne permettront toutefois pas d’atteindre une sécurité sans faille. Mais, le risque de subir un dommage économique du fait d’une attaque zero day peut ainsi être considérablement réduit.