Le monde de la cybersécurité est en constante évolution. D’un côté, les pirates informatiques sont de plus en plus intelligents et sournois. Ils sont toujours à la recherche de nouvelles façons d’exploiter les failles et vulnérabilités de vos systèmes d’exploitation et de vos solutions de sécurité existantes. De l’autre côté, d’autres personnes, tout aussi intelligentes, s’efforcent de les arrêter.
Malheureusement il existe une limite importante : les personnes aux bonnes intentions doivent toujours être informées d’une menace avant de pouvoir agir.
Lorsqu’une vulnérabilité ou une faille de sécurité est découverte, votre entreprise devrait normalement se mettre immédiatement au travail afin de mettre en place un correctif. Vous ne voulez quand même pas être tenue responsable des dommages qui pourraient survenir, ou subir les conséquences d’une violation de vos données sensibles.
Voici pourquoi votre équipe doit être assez rapide pour règles ce genre de problèmes.
Le fait est qu’il faut toujours du temps pour obtenir et appliquer les plus récents correctifs de sécurité, ce qui laisse aux cybercriminels le temps d’exploiter les failles de sécurité. C’est pourquoi les attaques de type « zero-day » sont parmi les plus difficiles à gérer.
Explorons un peu plus le sujet !
Que sont les attaques zero-day ?
On peut définir les attaques zero-day de différentes manières. Certaines les définissent comme des attaques qui visent les vulnérabilités qui n’ont pas été patchées ou rendues publiques. D’autres avancent qu’il s’agit d’attaques tirant parti d’une faille ou d’une vulnérabilité de sécurité le « jour même » où celle-ci devient publiquement connue.
Chez TitanHQ, nous définissons l’attaque zero-day comme une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.
C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.
Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.
Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».
Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».
Quelques exemples très médiatisés d’attaques zero-day
En 2011, des cybercriminels ont exploité une vulnérabilité alors non corrigée dans Adobe Flash Player pour pouvoir accéder au réseau informatique de la société de sécurité RSA. Ils ont envoyé des e-mails contenant des pièces jointes de feuilles de calcul Excel à un groupe restreint d’employés de la firme. Les feuilles de calcul contenaient un fichier intégré qui exploitait la vulnérabilité zero-day du logiciel Adobe Flash.
Lorsque l’un des employés a ouvert la pièce jointe, les attaquants ont installé l’outil d’administration à distance dénommé Poison Ivy, ce qui leur a permis de prendre le contrôle de l’ordinateur de la victime. Une fois qu’ils ont eu accès au réseau informatique de la société, les pirates ont recherché des informations sensibles puis copié et transmis les données à des serveurs externes qu’ils contrôlaient.
Selon RSA, les données volées contenaient entre autres des informations sensibles liées aux produits d’authentification à deux facteurs, utilisés dans le monde entier pour permettre l’accès aux appareils et données sensibles.
Sony Pictures a également été victime d’une attaque zero-day à la fin de 2014, ce qui a paralysé son réseau informatique et qui a permis la diffusion de données sensibles de l’entreprise sur de nombreux sites de partage de fichiers. Parmi les données compromises se trouvaient des détails sur les films à venir, les adresses e-mails personnelles de hauts dirigeants de la marque ainsi que des plans d’affaires. Quant aux détails de la vulnérabilité qui a été exploitée lors de cette attaque, Sony n’a pas fourni des informations supplémentaires.
Quand on parle d’attaque zero-day, on devrait également mentionner Stuxnet, un ver informatique malveillant qui visait les ordinateurs utilisés à des fins de fabrication dans plusieurs pays, tels que l’Iran, l’Indonésie et l’Inde.
En réalité, les pirates ont choisi comme cible principale les usines d’enrichissement d’uranium de l’Iran. Leur but étant de perturber le programme nucléaire du pays. Les vulnérabilités exploitées lors de cette attaque zero day se trouvaient au niveau d’un logiciel qui fonctionnait sur des ordinateurs industriels appelés automates programmables industriels (API), fonctionnant sous Microsoft Windows.
Le ver a infecté les API par le biais des vulnérabilités du logiciel dénommé Step7 de Siemens. Ce faisant, les API ont commencé à exécuter des commandes inattendues sur les machines de la chaîne de montage et saboté les centrifugeuses dédiés à séparer des matières nucléaires dans plusieurs usines d’enrichissement d’uranium.
Minimiser l’impact des attaques zero-day
Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.
Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.
Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.
Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.
La controverse sur la divulgation
La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.
Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.
Il existe deux approches principales en matière de divulgation :
La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.
Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.
Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.
Une fois répertoriée, la vulnérabilité devient connue du grand public
Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.
Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?
Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.
Quand le correctif est prêt
Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.
Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.
La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.
Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.
Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.
Chronologie d’une attaque zero-day
Deux chercheurs en sécurité, Leyla Bilge et Tudor Dumitras, se sont focalisés sur la chronologie d’une attaque zero-day et ont avancé que la menace se déroule en sept étapes distinctes, allant de l’introduction de la vulnérabilité jusqu’à l’application du correctif de sécurité.
Étape 1 : Introduction de la vulnérabilité
Lors de cette étape, un développeur crée une application qui – sans qu’il s’en rende compte – contient un code vulnérable.
Étape 2 : Publication du kit d’exploitation
Un pirate informatique découvre la vulnérabilité à l’insu du développeur ou avant que ce dernier n’ait pu la corriger. Ensuite, le pirate crée et déploie un code d’exploitation alors que la vulnérabilité reste encore ouverte.
Étape 3 : Découverte de la vulnérabilité
Le développeur ou le fournisseur de l’application prend connaissance de la vulnérabilité, mais il ne dispose pas encore de correctif.
Étape 4 : Divulgation de la vulnérabilité
Le fournisseur/développeur (ou d’autres chercheurs en sécurité) annonce publiquement la vulnérabilité. Les utilisateurs et les cybercriminels sont alors informés de son existence.
Étape 5 : Publication des signatures antivirales
Si les pirates informatiques ont déjà créé un logiciel malveillant de type zero-day qui cible la vulnérabilité, les éditeurs d’antivirus pourront identifier rapidement sa signature et fournir la solution de protection adaptée. Néanmoins, les systèmes peuvent encore rester exposés si les pirates trouvent d’autres moyens d’exploiter ladite vulnérabilité.
Étape 6 : Publication d’un correctif
A ce stade, le fournisseur de l’application va publier un correctif public afin de corriger la vulnérabilité. Cela peut prendre un temps plus ou moins long en fonction de la complexité de la vulnérabilité et de la priorité que le fournisseur lui accorde dans son processus de développement d’applications.
Étape 7 : Déploiement du correctif de sécurité
Vous l’aurez compris, le déploiement d’un correctif de sécurité n’est pas une solution instantanée, car il faut du temps aux utilisateurs finaux pour l’obtenir et l’appliquer. Les organisations et les utilisateurs individuels devraient donc activer les mises à jour automatiques de leurs logiciels et tenir compte des notifications de mise à jour.
Notez que les attaques zero-day sont rarement découvertes assez rapidement (il faut généralement des jours, des mois, voire des années) et vos systèmes restent vulnérables aux attaques tout au long du processus, c’est-à-dire à partir de l’étape 1 jusqu’à l’étape 7. Même si l’attaque zero-day ne peut avoir lieu qu’entre les étapes 2 et 4, d’autres attaques peuvent se produire si la vulnérabilité reste non corrigée.
Que pouvez-vous faire pour vous protéger des attaques zero-day ?
Les attaques zero-day représentent de sérieuses menaces pour votre sécurité informatique, car elles peuvent entraîner des dommages potentiels à votre réseau, à vos appareils ou à vos données personnelles. Si vous voulez garantir la sécurité de votre équipement et de vos données, on ne saurait trop vous recommander de prendre les quelques mesures de sécurité proactives et réactives suivantes.
- Pour construire votre première ligne de défense, vous devez choisir une solution proactive. En d’autres termes, vous devez utiliser un logiciel de sécurité complet, comme Bitdefender ou ClamAV, pour vous protéger contre les menaces connues et inconnues.
- Comme deuxième ligne de défense, optez pour une solution réactive et mettez à jour immédiatement vos logiciels dès que de nouvelles mises à jour sont disponibles auprès de votre fournisseur. Cela réduit le risque d’infection par des malwares et les attaques zero-day.
Les mises à jour logicielles vous permettent d’appliquer les révisions nécessaires à vos logiciels et vos systèmes d’exploitation. Il peut s’agir de l’ajout de nouvelles fonctionnalités, de la suppression des fonctionnalités obsolètes, de la correction des bugs, de la mise à jour des pilotes, et surtout de la correction des failles de sécurité au niveau de votre réseau informatique.
Malheureusement, l’attaque zero-day est très difficile à contrer. Comme nous l’avons mentionné au début de ce dossier, il est presque impossible de vous prémunir contre une menace totalement inconnue. Les bonnes pratiques en matière de cybersécurité ainsi que les mises à jour fréquentes sont certes utiles – et vous devriez toujours les appliquer – mais vos chances d’empêcher ce type d’attaque ne sont pas bonnes.
Dans de nombreux cas, la seule chose que vous pouvez faire est de déconnecter tout appareil connecté à Internet jusqu’à ce qu’un correctif soit publié et installé. Par ailleurs, n’oubliez pas de renforcer les paramètres de votre pare-feu, de sorte que seules les connexions les plus essentielles soient autorisées. Si c’est votre site web qui est touché par une attaque zero-day, vous pourriez peut-être vous contenter d’un temps d’arrêt, mais vous pouvez aussi utiliser un proxy ou un VPN afin de résoudre temporairement le problème.
Cela explique la raison pour laquelle vous et vos employés doivent pratiquer une bonne sauvegarde des données. Pourquoi ? Parce que la perte des informations sensibles est l’un des effets les plus courants d’une cyberattaque, alors que c’est l’un des plus faciles à éviter. Si vous disposez d’une sauvegarde récente de vos données, et si celles-ci n’ont pas été compromises, vous pouvez simplement les restaurer et votre activité pourra se poursuivre normalement.
À titre préventif, pensez à stocker vos données les plus sensibles sur un appareil non connecté à Internet et conservez également une copie de vos archives dans le cloud.
En cas d’attaque zero-day, il est toujours important de la signaler à l’entreprise qui a fabriqué le matériel ou l’application concernée. En fonction de la gravité de l’incident, vous pouvez aussi avertir les autorités compétentes. Tant que personne ne signale chaque forme d’attaque zero-day, il y a peu de chances que l’on puisse remédier à ses effets.
Utilisez SpamTitan, un logiciel de sécurité proactif et complet pour bloquer les menaces en ligne
SpamTitan de TitanHQ est un service géré qui filtre et vérifie intelligemment tout trafic entrant dans votre réseau informatique. La solution peut bloquer les menaces à la périphérie de votre réseau, notamment 99,9 % des spams, les malwares, les ransomwares, les attaques de phishing et les virus.
Grâce à SpamTitan, vous pourrez renforcer la couche de sécurité de votre logiciel Office 365 contre les malwares et les attaques zero-day et prévenir les fuites de données grâce à l’ajout de puissantes règles de prévention, ce qui évite les pertes de données internes.
En ce qui concerne la sécurité de la messagerie électronique, sachez que SpamTitan peut bloquer les pièces jointes infectées. Il peut être déployé comme une solution basée dans un cloud partagé, dans un cloud privé ou comme une solution sur site.
Enfin, SpamTitan est une application sécurisée, capable d’anticiper les nouvelles attaques grâce à l’utilisation de la technologie prédictive. Son déploiement est très facile, tout comme sa gestion et son utilisation.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
FAQ sur les attaques Zero-Day
Quel est exactement le but d’une attaque zero day ?
Les attaques du type zero day ciblent souvent les entreprises et les gouvernements connus, mais aucune organisation n’est à l’abri de ce type de menace. En fait, des recherches ont montré que ce sont les PME qui ne disposent pas d’équipes ni de solutions de cybersécurité adéquates en raison des limites de leurs investissements qui souffrent davantage d’une telle attaque que les grandes organisations.
Pouvez-vous donner quelques exemples des plus célèbres exploits d’une attaque zero day ?
Parmi les attaques les plus notoires, on compte Stuxnet qui visait l’usine d’enrichissement de l’uranium de Natanz. Il s’agit d’un virus qui aurait été développé par les États-Unis et l’Israël, exploitant de multiples vulnérabilités « zero day ». Il y a également Aurore qui a fait des ravages en 2010, lors de laquelle des cybercriminels chinois ont utilisé une vulnérabilité de type « zero day » via Internet Explorer. Enfin, on peut citer le piratage RSA en 2011. Lors de cette attaque, les cybercriminels ont exploité ce type de vulnérabilité par le biais du lecteur Flash d’Adobe pour lancer une campagne de spear phishing, ciblant les employés de la RSA.
Peut-on détecter facilement une faille « zero day » ?
En soi, un exploit du type zero day est une simple faille dans un composant matériel ou un logiciel. Toutefois, elle peut entraîner des dommages bien avant qu’elle ne soit détectée.
Pour quelles raisons cette attaque est-elle presque indétectable ?
Une attaque zero day ne se produit que lorsqu’une faille ou une vulnérabilité matérielle ou logicielle est exploitée par un malware. L’administrateur système n’aura donc pas la possibilité de créer un correctif afin de combler la brèche à temps. C’est d’ailleurs pour cela qu’on appelle attaque « zero day ».
Quel genre de système d’exploitation est le plus visé par les pirates ?
Au cours du premier semestre 2014, ce type d’attaque s’est poursuivi sans relâche, et ce, à partir de 2013. La menace visait essentiellement les applications des utilisateurs finaux comme les navigateurs et les applications Microsoft Office. Microsoft Internet Explorer a été le système d’exploitation le plus corrigé du marché, mais il a également été le plus exploité, surpassant Adobe Flash et Oracle Java. Internet Explorer continuera probablement à être la cible de choix pour les pirates à l’avenir.