Les cybercriminels utilisent les vulnérabilités de type « zero-day » pour s’introduire dans les ordinateurs et les réseaux. Les exploits de type « zero-day » semblent être en augmentation, mais est-ce vraiment le cas ? Et pouvez-vous vous défendre ? Nous examinons les détails.
Vulnérabilités de type « jour zéro » (Zero-Day)
Une vulnérabilité de type » zero-day » est un bogue dans un logiciel. Bien sûr, tous les logiciels compliqués comportent des bogues, alors pourquoi donner un nom particulier à une vulnérabilité de type » jour zéro » ? Un bug de type « jour zéro » est un bug qui a été découvert par les cybercriminels mais que les auteurs et les utilisateurs du logiciel ne connaissent pas encore. Et, surtout, un jour zéro est un bug qui donne lieu à une vulnérabilité exploitable.
La combinaison de ces facteurs fait d’un jour zéro une arme dangereuse entre les mains des cybercriminels. Ils connaissent une vulnérabilité que personne d’autre ne connaît. Cela signifie qu’ils peuvent exploiter cette vulnérabilité de manière incontestée et compromettre tous les ordinateurs qui utilisent ce logiciel. Et comme personne d’autre n’est au courant de ce jour zéro, il n’y aura pas de correctifs pour le logiciel vulnérable.
Ainsi, pendant la courte période qui s’écoule entre le moment où les premiers exploits ont lieu – et sont détectés – et celui où les éditeurs de logiciels répondent par des correctifs, les cybercriminels peuvent exploiter cette vulnérabilité sans être inquiétés. Une attaque ouverte comme un ransomware est incontournable, mais si le compromis est une surveillance secrète, il peut s’écouler beaucoup de temps avant que le jour zéro ne soit découvert. La tristement célèbre attaque de SolarWinds en est un excellent exemple.
Les jours zéro ont trouvé leur place
Les jours zéro ne sont pas nouveaux. Mais ce qui est particulièrement alarmant, c’est l’augmentation significative du nombre de jours zéro découverts. On en a découvert plus du double en 2021 qu’en 2020. Les chiffres définitifs sont encore en cours de compilation pour 2021 – il reste encore quelques mois – mais tout porte à croire qu’environ 60 à 70 vulnérabilités de type « zero day » auront été détectées d’ici la fin de l’année.
Les jours zéro ont une valeur pour les cybercriminels en tant que moyen d’accès non autorisé aux ordinateurs et aux réseaux. Ils peuvent les monétiser en exécutant des attaques par ransomware et en extorquant de l’argent aux victimes.
Mais les jours zéro ont eux-mêmes une valeur. Ce sont des produits commercialisables et ils peuvent rapporter des sommes considérables à ceux qui les découvrent. La valeur sur le marché noir d’un bon exploit « zero day » peut facilement atteindre plusieurs centaines de milliers de dollars, et certains exemples ont dépassé le million de dollars. Des courtiers achètent et vendent des exploits de type « zero-day ».
Les vulnérabilités de type « zero-day » sont très difficiles à découvrir. Il fut un temps où elles n’étaient découvertes et utilisées que par des équipes de pirates informatiques disposant de ressources importantes et hautement qualifiées, comme les groupes de menaces persistantes avancées (APT) parrainés par des États. La création d’un grand nombre de zero-days utilisés dans le passé a été attribuée à des APT en Russie et en Chine.
Bien sûr, avec suffisamment de connaissances et de dévouement, tout hacker ou programmeur suffisamment accompli peut trouver des zero-days. Les hackers white hat font partie des bons élèves qui essaient de les trouver avant les cybercriminels. Ils transmettent leurs découvertes à l’éditeur de logiciels concerné, qui travaille avec le chercheur en sécurité qui a découvert le problème pour le résoudre.
De nouveaux correctifs de sécurité sont créés, testés et mis à disposition. Ils sont déployés sous forme de mises à jour de sécurité. Le jour zéro n’est annoncé que lorsque toutes les mesures correctives sont en place. Au moment où il est rendu public, le correctif est déjà disponible dans la nature. Le jour zéro a été annulé.
Les jours zéro sont parfois utilisés dans les produits. Pegasus, le logiciel espion controversé du groupe NSO, est utilisé par les gouvernements pour lutter contre le terrorisme et maintenir la sécurité nationale. Il peut s’installer sur des appareils mobiles avec peu ou pas d’interaction de la part de l’utilisateur. Un scandale a éclaté en 2018 lorsque Pegasus aurait été utilisé par plusieurs États autoritaires pour mener une surveillance contre ses propres citoyens. Des dissidents, des activistes et des journalistes étaient visés.
Pas plus tard qu’en septembre 2021, un zero-day affectant Apple iOS, macOS et watchOS – qui était exploité par Pegasus – a été détecté et analysé par le Citizen Lab de l’Université de Toronto. Apple a publié une série de correctifs le 13 septembre 2021.
Pourquoi l’augmentation soudaine des jours zéro ?
Un correctif d’urgence est généralement la première indication qu’un utilisateur reçoit pour lui signaler qu’une vulnérabilité de type « zero-day » a été découverte. Les fournisseurs de logiciels ont établi un calendrier de publication des correctifs de sécurité, des corrections de bogues et des mises à niveau. Mais comme les vulnérabilités de type « jour zéro » doivent être corrigées le plus rapidement possible, il n’est pas possible d’attendre la prochaine publication de correctifs. Ce sont les correctifs d’urgence hors cycle qui traitent les vulnérabilités de type « zero-day ».
Si vous avez l’impression d’en voir davantage ces derniers temps, c’est parce que c’est le cas. Tous les systèmes d’exploitation grand public, de nombreuses applications telles que les navigateurs, les applications pour smartphones et les systèmes d’exploitation pour smartphones ont tous reçu des correctifs d’urgence en 2021.
Plusieurs raisons expliquent cette augmentation. Du côté positif, les principaux fournisseurs de logiciels ont mis en place de meilleures politiques et procédures pour travailler avec les chercheurs en sécurité qui les approchent avec des preuves d’une vulnérabilité de type zero-day. Il est plus facile pour le chercheur en sécurité de signaler ces défauts, et les vulnérabilités sont prises au sérieux. Il est important de noter que la personne qui signale le problème est traitée de manière professionnelle.
Il y a aussi plus de transparence. Apple et Android ajoutent désormais plus de détails aux bulletins de sécurité, notamment pour indiquer si un problème est un jour zéro et s’il y a une probabilité que la vulnérabilité soit exploitée.
C’est peut-être parce que la sécurité est reconnue comme une fonction critique pour l’entreprise – et qu’elle est traitée comme telle avec un budget et des ressources – que les attaques doivent être plus intelligentes pour pénétrer dans les réseaux protégés. Nous savons que les vulnérabilités du jour zéro ne sont pas toutes exploitées. Compter toutes les failles de sécurité de type « jour zéro » n’est pas la même chose que compter les failles de type « jour zéro » qui ont été découvertes et corrigées avant que les cybercriminels ne les découvrent.
Il n’en reste pas moins que des groupes de pirates puissants, organisés et bien financés – dont beaucoup sont des APT – travaillent d’arrache-pied pour tenter de découvrir les vulnérabilités du jour zéro. Soit ils les vendent, soit ils les exploitent eux-mêmes. Souvent, un groupe vend une vulnérabilité de type « zero-day » après l’avoir exploitée lui-même, car elle approche de la fin de sa vie utile.
Comme certaines entreprises n’appliquent pas les correctifs et les mises à jour de sécurité en temps voulu, la faille zero-day peut bénéficier d’une durée de vie prolongée, même si les correctifs qui la contrent sont disponibles.
Selon les estimations, un tiers de tous les exploits de type « zero-day » sont utilisés pour des rançongiciels. Les rançons importantes permettent de payer facilement de nouveaux exploits « zero day » que les cybercriminels utiliseront lors de leur prochaine série d’attaques. Les gangs de ransomware gagnent de l’argent, les créateurs de zero-day gagnent de l’argent, et ainsi de suite.
Selon une autre école de pensée, les groupes de cybercriminels ont toujours essayé de découvrir des jours zéro, mais les chiffres sont plus élevés en raison de l’amélioration des systèmes de détection. Le Threat Intelligence Center de Microsoft et le Threat Analysis Group de Google, entre autres, disposent de compétences et de ressources qui rivalisent avec les capacités des agences de renseignement à détecter les menaces sur le terrain.
Avec la migration de l’informatique sur site vers l’informatique dématérialisée, il est plus facile pour ces types de groupes de surveillance d’identifier des comportements potentiellement malveillants chez de nombreux clients à la fois. C’est encourageant. Il se peut que nous soyons de plus en plus doués pour les détecter, et c’est pourquoi nous voyons davantage de « zero-days » et de logiciels au début de leur cycle de vie.
Les auteurs de logiciels sont-ils de plus en plus négligents ? La qualité du code diminue-t-elle ? Au contraire, elle devrait augmenter avec l’adoption des pipelines CI/CD, des tests unitaires automatisés et une plus grande prise de conscience que la sécurité doit être planifiée dès le départ et non pas ajoutée après coup.
Les bibliothèques et les boîtes à outils Open Source sont utilisées dans presque tous les projets de développement non triviaux. Cela peut entraîner l’introduction de vulnérabilités dans le projet. Plusieurs initiatives sont en cours pour tenter de résoudre le problème des failles de sécurité dans les logiciels à code source ouvert et pour vérifier l’intégrité des logiciels téléchargés.
Comment se défendre
Les logiciels de protection des points finaux peuvent aider à lutter contre les attaques de type « zero-day ». Avant même que l’attaque de type « zero-day » ait été caractérisée et que les signatures antivirus et anti-malware aient été mises à jour et envoyées, le comportement anormal ou inquiétant du logiciel d’attaque peut déclencher les routines de détection heuristique des logiciels de protection des points d’accès leaders sur le marché, piégeant et mettant en quarantaine le logiciel d’attaque.
Maintenez tous les logiciels et systèmes d’exploitation à jour et corrigés. N’oubliez pas de patcher également les périphériques réseau, y compris les routeurs et les commutateurs.
Réduisez votre surface d’attaque. N’installez que les logiciels nécessaires et contrôlez la quantité de logiciels libres que vous utilisez. Envisagez de privilégier les applications open-source qui ont adhéré à des programmes de signature et de vérification d’artefacts, tels que l’initiative Secure Open Source.
Il va sans dire qu’il faut utiliser un pare-feu et utiliser la suite de sécurité de sa passerelle si elle en possède une. Si vous êtes administrateur réseau, limitez les logiciels que les utilisateurs peuvent installer sur leurs machines d’entreprise. Sensibilisez les membres de votre personnel. De nombreuses attaques de type « zero-day » exploitent un moment d’inattention humaine. Proposez des sessions de formation de sensibilisation à la cybersécurité, et mettez-les à jour et répétez-les fréquemment.
Article traduit et adapté de HTG.
Lire également : Des chercheurs contournent le nerf optique et transmettent des images directement au cerveau d’une femme aveugle
