Flint

Flint Production

Cybersécurité : le boom des failles zero-day décortiqué

Cybersécurité : le boom des failles zero-day décortiqué

En bref :

Aujourd’hui, petit cours de cybersécurité. Vous connaissez le phishing, qui reproduit un mail ou SMS d’une entité que vous connaissez pour vous soutirer des données personnelles. Vous avez au moins une vague idée de ce qu’est le rançongiciel, ce type de logiciel malveillant qu’on envoie dans le système d’une entreprise pour chiffrer ses données. Mais connaissez-vous les failles zero-day ? En 2021, on a déjà découvert un nombre record de ce type de vulnérabilités, inconnues des développeurs des logiciels concernés – et nous ne sommes qu’en septembre. 

Pourquoi c’est intéressant ? Parce que cette percée met en lumière le business qui s’organise autour de certaines cyberattaques, mais aussi l’évolution des mesures prises pour les contrer. 

Pas le temps de tout lire

1. Une faille zero-day est une vulnérabilité présente dans un logiciel, mais que son fabricant n’a pas encore remarquée. L’attaque zero-day consiste à exploiter cette faille et ce code à des fins malveillantes.

2. Ces vulnérabilités sont très recherchées parce qu’elles restent en moyenne inconnues des fabricants de logiciel pendant 7 ans. Résultat : un marché souterrain se développe, où la connaissance voire l’exploit des failles zero-day se revendent aux plus offrants.

3. Les failles « zéro day » connaissent une forte augmentation ces dernières années. Elles sont à l’origine des plus importantes attaques connues à ce jour.

4.  Il faut cependant se méfier de l’interprétation des chiffres : Pour de nombreux experts la brusque hausse des failles 0-day découvertes est certainement due à un accroissement des fonds généraux alloués à la cybersécurité.

5. Trouver une faille zero-day dans un logiciel démultiplie la possibilité d’attaques puisqu’elle permet de toucher tous les clients du tiers, avec un effet de surprise totale. La repérer avant ne signifie pas automatiquement protection, puisque certaines failles manquent encore de correctifs.

Les faits : 

📖 Faille zero-day, attaque zero-day, quèsaco ? 

– Une faille zero-day est une vulnérabilité présente dans un logiciel, mais que son fabricant n’a pas encore remarquée. Un exploit zero-day est le fait de profiter de cette faille, souvent en y insérant un morceau de code, plutôt que de la signaler au fabricant. Une attaque zero-day consiste à exploiter cette faille et ce code à des fins malveillantes, avant que le moindre correctif n’ait été publié par les développeurs du logiciel. 

– Les risques que posent ce type de failles sont divers, expliquent différents spécialistes (Kaspersky, FireEye, Kaseya sur le Security Bloggers Network) : elle peuvent servir à attaquer directement, ou, le plus souvent, à insérer un bout de code qui permettra, dans un deuxième temps, d’espionner, de manipuler certains éléments ou de bloquer les systèmes des utilisateurs du logiciel. Ceci pour obtenir des données, de l’information ou de l’argent.

– Pour être parfaitement sécurisées, les entreprises auraient besoin de trouver et corriger toutes les failles éventuelles de leurs systèmes et de ceux de leurs fournisseurs et clients, alors qu’en face, un hacker, quelle que soit sa motivation (vénale, (géo)politique, d’espionnage, etc) n’a théoriquement besoin de trouver qu’une seule vulnérabilité et de réussir à l’exploiter pour mener son opération à bien. Les vulnérabilités zero-day sont très recherchées parce qu’elles restent en moyenne inconnues des fabricants de logiciel pendant 7 ans, selon ce rapport 2017 de RAND corporation. Il est donc quasiment impossible pour les victimes de s’y préparer. Résultat : un marché souterrain se développe, où la connaissance voire l’exploit des failles zero-day se revendent aux plus offrants.

– Le terme de “zero-day” vient du fait que lorsque le ou la développeuse prend connaissance de la faille, il a “zéro jour” pour la corriger, cela devient sa priorité. 

– Plusieurs des attaques spectaculaires des dernières années ont été réalisées via l’exploitation de failles zero-day : Stuxnet, qui a visé le programme nucléaire iranien, a utilisé quatre failles de Windows inconnues à l’époque (Vice, Numerama) ; l’attaque contre l’éditeur de logiciel SolarWinds, qui a touché 9 administrations américaines et plus d’une centaine de sociétés privées, est passée par des failles zero-day (The Verge, Ars Technica) ; Pegasus, qui a permis d’espionner de nombreuses personnes de pouvoir dans le monde, pareil (01Net) ; les hôpitaux de Paris, début septembre, ont été attaqués via une faille dans leur logiciel Dispose (La Tribune), etc.

– En 2021, note la Technology Review, l’industrie numérique a déjà débusqué 66 failles 0-day, soit le double de l’an dernier, et plus que jamais. 

De plus en plus de failles : c’est inquiétant ? 

– Pour estimer cela, il faut comprendre qui achète la découverte de failles ou les exploits zero-day : les grandes entreprises elles-mêmes, pour se protéger ; beaucoup de cybercriminels ; et puis les gouvernements, bons clients qui s’en servent pour attaquer, espionner, ou se défendre. 

– Une autre tendance du cybercrime, selon l’association spécialisée CLUSIF, consiste à passer par un tiers (votre logiciel de comptabilité, votre suite bureautique, un fournisseur X ou Y). Trouver une faille zero-day dans le logiciel d’un service de ce type démultiplie la possibilité d’attaques puisqu’elle permet de toucher tous les clients du tiers, avec un effet de surprise totale – c’est ce qui s’est passé pour SolarWinds. 

– Le marché est par ailleurs alimenté par des entreprises spécialistes du secteur, comme Zerodium, qui avait fait grand bruit en 2015 en promettant un million d’euros à quiconque trouverait une faille informatique dans iOS 9. Le Monde expliquait à l’époque le développement d’un “marché gris”, sur lequel des entreprises vendent des failles comme on vend des logiciels : avec un argumentaire commercial et une documentation du produit. Aujourd’hui, Zerodium annonce payer jusqu’à 2,5 millions de dollars pour des exploits de vulnérabilités de haut-risque.

De plus en plus de failles, c’est rassurant ? 

– Pour commencer, il faut rappeler que les attaques zero-day ne sont qu’une modalité, un outil pour mener des attaques – le phishing, le vol d’identité, les virus en sont d’autres (agence européenne de cybersécurité). 

– Comme il est impossible pour une entreprise de trouver toutes ces vulnérabilités potentielles, nombreuses sont celles qui ont mis en place des programmes de primes pour inciter les white hat, les hackers vertueux, à leur signaler les failles qu’ils et elles trouvent. 

– Ce système de primes, de bug bounty, est un classique du marché de la cybersécurité. Il alimente un nombre d’activités bien plus larges que la seule recherche de faille zero-day – HackerOne ou le français YesWeHack proposent des programmes complets de recherches de bugs, de vulnérabilités de toutes sortes, réalisées par des hackers éthiques. 

– Pour plusieurs des experts interviewés par la Technology Review, la brusque hausse des failles 0-day découvertes est certainement due à un accroissement des fonds généraux alloués à la cybersécurité. Des équipes comme le Google’s Threat Analysis Group (TAG) ou le Microsoft’s Threat Intelligence Center ont tellement de moyens, écrit le magazine, qu’ils ont des capacités proches de celles d’une agence de renseignement. 

– Le marché global de la cybersécurité est en expansion globale : de 133,7 milliards de dollars en 2020, il doit augmenter de 12% en 2021 selon le cabinet Gartner… ce qui a pour effet pervers de provoquer une pénurie de talents, rapporte BFM

– Trouver les failles zero-day, c’est bien, bloquer l’attaque, c’est mieux… et c’est loin d’être toujours le cas. En février, l’équipe Projet Zero de Google se plaignait qu’il soit devenu “trop simple” pour les cybercriminels de jeter des bâtons dans les roues des entreprises, parce qu’ils n’ont qu’à réutiliser les mêmes failles encore et encore. Ceci parce que les failles ne sont soit pas corrigées, soit parce qu’elles le sont insuffisamment, et qu’il suffit d’un petit morceau de code supplémentaire ou différent pour attaquer de nouveau.

Pour compléter ou corriger cet article et apporter vos sources, 📝 rendez-vous sur sa version participative ou venez 💬 en discuter avec nous sur Discord