Vulnérabilité zero-day
Dans le domaine de la sécurité informatique, une vulnérabilité zero-day — également orthographiée 0-day — ou vulnérabilité du jour zéro[1] est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive.
La terminologie « zero day » ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique « exploitant » cette faille afin de conduire des actions indésirables sur le produit concerné.
Cycle de sécurité informatique type
La recherche de vulnérabilités informatiques (pour s'en défendre ou les exploiter) est un domaine largement empirique. Bien que les méthodes de protection soient en perpétuel progrès, de nouvelles vulnérabilités sont découvertes en permanence.
Ces découvertes, fortuites ou fruits de recherches très complexes, sont difficiles à anticiper. C'est pourquoi une part importante de la sécurité informatique consiste en des protections a posteriori. Une attaque nouvelle est découverte par de la recherche en sécurité ou à la suite d'une attaque identifiée d'un type non répertorié. L'attaque est publiée et documentée. Les sociétés productrices de logiciels (système d'exploitation, antivirus, logiciel de communication...) étudient l'attaque publiée et conçoivent des solutions qui sont intégrées dans les logiciels lors de leur mise à jour périodique.
Ainsi, les machines concernées ne sont vulnérables à une attaque donnée, que dans l'intervalle de temps allant de sa découverte à la diffusion d'un correctif ou sa déclaration dans les bases d'antivirus et autres logiciels de sécurité informatique.
Particularité de la vulnérabilité zero day
La qualité de vulnérabilité zero day n'est que transitoire. Une vulnérabilité cesse d'être « zero day » dès qu'elle a été identifiée par la communauté de la sécurité informatique. Celle-ci n'a pas de caractéristiques techniques particulières : elle peut être bénigne ou virulente, être d'application très générale ou au contraire ne s'appliquer qu'à des configurations peu courantes. L'attaque zero day est en général capable de déjouer les protections existantes tant qu'elle n'a pas été identifiée[2].
Utilisation des vulnérabilités zero day
Une vulnérabilité perd une grande partie de son intérêt lorsqu'elle est exposée. Par définition, une vulnérabilité perd aussi son qualificatif « zero day » après son exposition. Elle est en général employée par des groupes restreints d'utilisateurs pour des objectifs à fort enjeu. Si l'attaque est discrète et si ses utilisateurs en font un usage optimal, elle peut conserver ce statut durant une longue période de temps.
La recherche de vulnérabilité zero day est en général réalisée par des experts en informatique de haut niveau (à l'opposé des script kiddies qui utilisent des attaques déjà publiées en tirant parti de lacunes dans les mises à jour).
Ces vulnérabilités sont désormais l'objet d'un marché naissant principalement à l'étranger, et des entreprises se sont spécialisées dans leur découverte et leur revente (par exemple Vupen qui a fini par fermer ses bureaux en France ou l'entreprise Zerodium aux États-Unis). Selon un article de Forbes citant un pirate informatique français, la valeur d'une vulnérabilité zero day variait en 2012 entre 5 000 $ et 250 000 $, suivant son efficacité et les logiciels concernés[3]. Mais pour les pays signataires de l'arrangement de Wassenaar, le commerce de zero-day est réglementé par cet accord, par lequel, en France notamment, l’État français doit donner son autorisation à l'exportation.
Les vulnérabilités zero day sont notamment utilisées par des attaquants possédant des moyens importants, tels que les services de renseignement des pays industrialisés. À titre d'exemple, le virus Stuxnet, employé par les États-Unis contre le programme nucléaire iranien, utilisait plusieurs vulnérabilités zero day[4].
Les limites des services de renseignement
D'après les protocoles du « Vulnerability Equities Process » (VEP) créé par le gouvernement des États-Unis, les agences de renseignement américaines sont supposées — sous l'égide de la NSA — déterminer collectivement si elles préfèrent révéler une vulnérabilité pour permettre au développeur du logiciel de la corriger, ou bien si elles préfèrent l'exploiter[réf. nécessaire].
L'attaque informatique du [5] qui a momentanément affecté le National Health Service britannique et quelques douzaines d'autres institutions russo-européennes — touchant 200 000 stations de travail à travers 150 pays, selon Europol[6] — révèle l'échec des protocoles de gouvernement des États-Unis pour avertir les développeurs de logiciels et le secteur privé des vulnérabilités des systèmes[7].
Notes et références
- « vulnérabilité du jour zéro », Le Grand Dictionnaire terminologique, Office québécois de la langue française (consulté le ).
- (en) « What is a Zero-Day Vulnerability? », pctools.com (consulté le 14 août 2013).
- (en) Andy Greenberg, « Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits », Forbes.com, 23 mars 2013.
- (en) Liam O Murchu, « Stuxnet Using Three Additional Zero-Day Vulnerabilities », Symantec.com, 14 septembre 2010.
- « Cyberattaque : 200.000 victimes dans 150 pays, de nouvelles attaques à craindre », Le Figaro.fr avec AFP, 14 mai 2017.
- (en) « Latest: Confirmed Irish case in cyber attack that has hit 200,000 in at least 150 countries », Irish Examiner.com, 14 mai 2017.
- (en) Edward Helmore, « Ransomware attack reveals breakdown in US intelligence protocols, expert says », The Guardian.com, (lire en ligne).
Dans la fiction
- Zero Days (2016), film documentaire d'Alex Gibney.
Articles connexes
- Portail de la sécurité informatique