Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Comprendre la vulnérabilité Zero-Day

Une vulnérabilité zero-day est une faille logicielle ou un exploit qui n’a pas fait l’objet d’un correctif. C’est un peu comme un trou dans la semelle de votre chaussure. Vous...
Michael Buckbee
9 minute de lecture
Dernière mise à jour 3 août 2022

Contenu

    Les hackers plébiscitent la facilité quand il s’agit d’exploiter les faiblesses des systèmes, et c’est exactement ce qu’ils font en menant une attaque de vulnérabilité zero-day. Une vulnérabilité zero-day est une faille logicielle ou un exploit qui n’a pas fait l’objet d’un correctif, ce qui signifie que les hackers peuvent envahir votre réseau avant même que vous ne réalisiez qu’il y a un problème avec votre système. Même si l’idée que des hackers puissent cibler des correctifs que vous n’avez peut-être même pas encore besoin d’installer vous dérange, rassurez-vous. Dans cet article, nous expliquons tout ce qu’il y a à savoir sur les attaques de vulnérabilité zero-day et sur la façon de vous en protéger. Nous avons également inclus quelques actualités récentes, des exemples et des ressources supplémentaires pour vous prémunir contre les attaques zero-day.

    Qu’est-ce qu’une vulnérabilité zero-day ?

    attributes of zero day vulnerability attack

    Commençons par expliquer ce qu’est une vulnérabilité de type zero-day. Les vulnérabilités sont des faiblesses ou des failles dans les logiciels, le matériel ou les processus organisationnels d’un système ; elles permettent aux attaquants de passer outre vos défenses et de pénétrer dans votre réseau. L’expression « zero-day » décrit le temps dont vous disposez pour corriger ou réparer la vulnérabilité. Le fait que vous disposiez de « zéro jour » pour corriger la vulnérabilité rend ce type d’attaque particulièrement dangereux. Les vulnérabilités logicielles zero-day doivent être résolues le jour même par les développeurs. En effet, à peine identifiées, elles constituent déjà des risques majeurs pour la sécurité et peuvent entraîner des dommages considérables. La plupart du temps, les failles zero-day ne sont pas rendues publiques et sont corrigées avant que les hackers ne puissent concevoir un kit d’exploit pour en tirer parti.

    Fonctionnement des vulnérabilités zero-day

    Toutes les attaques de vulnérabilité zero-day ont pour origine une faille au sein des réseaux ou de l’infrastructure informatique qui ne fait pas l’objet d’un correctif à l’heure actuelle. Cette faille est découverte par les hackers, qui écrivent alors du code pour cibler cette faiblesse au niveau de la sécurité. Ils l’intègrent dans un malware appelé « exploit zero-day », que nous aborderons dans la section suivante. Les dommages aux systèmes et le vol de données ne sont que quelques-unes des conséquences négatives d’un exploit zero-day. Une fois l’attaque découverte, il ne reste plus de temps pour réparer les dégâts.

    Qui s’attaque généralement aux vulnérabilités zero-day ?

    Différents types d’acteurs malveillants cherchent à mener des attaques zero-day. Ils appartiennent le plus souvent à l’une des catégories suivantes :
    • Cybercriminels : ces pirates informatiques sont généralement motivés par l’appât du gain ou les récompenses.
    • Hacktivistes : ces acteurs malveillants cherchent à attirer l’attention à des fins politiques ou sociales.
    • Espions industriels : ils espionnent la concurrence ou tentent de s’emparer de secrets relevant de la propriété intellectuelle.
    • Cyberguerriers : commandités par un État, ils mènent des attaques d’espionnage ou de sabotage.

    Quelles sont habituellement les cibles d’attaques zero-day ?

    Que le hacker souhaite s’emparer d’actifs de valeur ou de données confidentielles, l’éventail de cibles potentielles est vaste. Les cibles classiques des attaques zero-day relèvent de deux catégories d’attaques : les attaques ciblées et les attaques non ciblées. Les attaques zero-day ciblées visent des cibles pertinentes telles que des personnalités, de grandes entreprises ou des agences gouvernementales. Les attaques zero-day non ciblées visent des systèmes vulnérables dotés d’une sécurité faible, comme un système d’exploitation ou un navigateur. Si la plupart des attaques zero-day sont ciblées, des attaques non ciblées peuvent se produire et causer des dommages collatéraux, car de nombreux utilisateurs sont victimes du hacker. Les attaques zero-day visent une large gamme de systèmes, dont les suivants :
    • Systèmes d’exploitation
    • Composants open source
    • Matériel et micrologiciels
    • Navigateurs Web
    • Applications de bureau
    Les victimes potentielles des attaques zero-day incluent :
    • Les personnes qui utilisent un système vulnérable
    • Les personnes qui ont accès à des données métier pertinentes
    • Les dispositifs matériels et les micrologiciels
    • Les grandes entreprises et organisations
    • Les agences gouvernementales ;
    • Les cibles politiques
    • Les personnes/organisations qui menacent la sécurité nationale
    Les victimes subissent en général nombre de conséquences négatives, qu’il s’agisse du vol de données, d’une compromission, de la corruption de fichiers ou de la prise de contrôle à distance de machines et d’appareils.

    Ressources sur la vulnérabilité zero-day

    Voici quelques ressources détaillées qui peuvent vous aider à mieux comprendre les vulnérabilités zero-day et les solutions potentielles pour vous défendre.

    Derniers exemples de vulnérabilités et d’attaques zero-day

    Chaque année, au moins une douzaine de vulnérabilités zero-day différentes sont identifiées et corrigées par les éditeurs de logiciels. Selon le magazine MIT Technology Review, l’année 2021 a battu le record d’attaques zero-day. Bases de données, chercheurs en sécurité et entreprises de cybersécurité ont identifié au moins 66 exploits et attaques zero-day cette année. On en conclut que même si les outils de piratage permettant de préparer des exploits zero-day sont devenus plus facilement accessibles, le nombre d’attaques détectées suggère que les défenseurs repèrent mieux les hackers. Voici quelques exemples récents d’attaques zero-day :

    Apple iOS (2021)

    Trois vulnérabilités zero-day exploitées par le spyware Pegasus de NSO Group ont été découvertes en septembre dernier. L’attaque visait plusieurs modèles d’iPhone et d’iPad, avec pour mission de renforcer le malware. Les vulnérabilités ont été corrigées grâce à une nouvelle mise à jour publiée pour les systèmes d’exploitation iOS et macOS.

    Google (2021)

    Le groupe d’analyse des menaces (TAG) de Google et les chercheurs en sécurité de Project Zero ont découvert quatre incidents zero-day qui ont été utilisés dans le cadre de trois campagnes ciblées de malware. Des failles précédemment non détectées ont également été découvertes dans Google Chrome, Internet Explorer et WebKit.

    Zoom (2021)

    Une faille non corrigée a été découverte chez les utilisateurs de PC exécutant Windows 7 ou une version antérieure non mise à jour. Zoom a rapidement corrigé la vulnérabilité et publié sa version 5.1.3, invitant instamment les utilisateurs à mettre à jour le programme. La vulnérabilité « Strutshock » au centre de la fuite de données d’Equifax est l’une des plus tristement célèbres. Les développeurs ont corrigé cette vulnérabilité en mars 2017, mais Equifax n’a pas appliqué la mise à jour, ce qui en fait une attaque zero-day.

    Combien rapporte un exploit zero-day ?

    Malheureusement, il existe un marché florissant pour les hackers et les cybercriminels désireux d’acheter des exploits zero-day existants sur le Dark Web ou via le Peer-to-Peer. Le prix de ces exploits dépend du type de système d’exploitation et de vulnérabilité pour lesquels ils sont conçus ; certains s’échangent pour des sommes considérables. Actuellement, la valeur d’échange la plus faible du marché des exploits zero-day tourne autour de 60 000 dollars pour une attaque sur Adobe Reader. Sur le marché haut de gamme, les exploits zero-day ciblant Apple iOS peuvent dépasser 2,5 millions de dollars. Comme pour tout autre marché, les prix des exploits zero-day dépendent en grande partie de l’offre et de la demande. Étant donné la prédominance d’Apple iOS, le prix de ces exploits a tendance à être plus élevé. À titre d’exemple, le récent boom du télétravail a entraîné la croissance exponentielle de l’utilisation du logiciel de visioconférence Zoom. Et à mesure que les hackers zero-day se focalisent sur ce logiciel particulier, les prix des exploits zero-day dédiés ont augmenté. Selon des chiffres récents, le prix des exploits Zoom serait d’environ 500 000 dollars.

    Se protéger contre les attaques zero-day

    how to defend against zero day attacks

    L’un des meilleurs moyens de se prémunir contre les attaques zero-day consiste à créer un réseau sécurisé et résilient. En surveillant les données et en comparant l’activité en cours à un comportement de référence, vous pouvez détecter les anomalies causées par les attaques zero-day. Toute cyberattaque, qu’elle soit zero-day ou non, laisse derrière elle des traces numériques, que ce soit dans les données ou sur le réseau. Par exemple, un exploit zero-day qui donne à un hacker l’accès au compte d’un utilisateur provoquera probablement un comportement anormal de ce compte. Le hacker pourra essayer de chercher sur le réseau des numéros de carte bancaire ou des listes de mots de passe, ou tenter d’élever les privilèges de l’utilisateur au niveau d’administrateur de domaine. Avec Varonis, l’une ou l’autre de ces activités déclenchera l’un des nombreux modèles de menace basés sur le comportement et la signalera en tant qu’activité suspecte. Que pouvez-vous faire pour vous protéger contre les vulnérabilités zero-day ?

    • Surveiller toutes les données essentielles : elles comprennent les fichiers, dossiers, e-mails, Active Directory, VPN, DNS et proxies Web. Cela permettra de détecter les comportements pouvant correspondre à une cyberattaque zero-day.
    • Appliquer un modèle de moindre privilège : empêchez les mouvements latéraux et l’exfiltration de données au moyen d’une attaque zero-day en appliquant la règle du moindre privilège dans toute votre organisation.
    • Mettre à jour les logiciels et systèmes de sécurité : tous les paquets (y compris les IPS et terminaux) doivent être mis à jour dès que possible pour vous protéger contre les vulnérabilités zero-day connues.
    • Sauvegarder les systèmes critiques : en outre, établissez des plans de récupération et de réponse aux incidents spécifiques aux attaques zero-day et installez des correctifs en urgence.
    • Appliquer des règles d’usage strictes pour l’utilisation des logiciels et d’Internet : formez également les utilisateurs à l’identification des attaques de phishing et des autres risques associés aux attaques zero-day.
    La coopération à l’échelle de l’organisation et les règles d’usage rigoureuses sont d’une importance capitale. Permettez à vos équipes et vos collaborateurs de signaler des comportements anormaux sur leurs systèmes. Les employés sont souvent la dernière ligne de défense contre une attaque zero-day.

    Différence entre vulnérabilité zero-day et exploit zero-day 

    Une vulnérabilité zero-day représente un vecteur d’attaque potentiel qui, en théorie, pourrait être exploité par des cybercriminels. Mais lorsqu’une faille dans votre infrastructure informatique fait déjà l’objet d’une attaque concrète, on parle d’exploit zero-day. Par exemple, les vulnérabilités zero-day correspondent à des failles de sécurité inconnues, des bugs logiciels ou des correctifs qui ne sont pas à jour. Mais si tous ces domaines peuvent potentiellement faire l’objet d’une attaque, il n’existe pas forcément d’exploit réel. En fait, un exploit zero-day est la technique concrète que les hackers utilisent pour tirer parti de certaines vulnérabilités. Parmi les exemples d’exploits zero-day en existence, citons les chevaux de Troie, les vers polymorphes et les ransomwares. Avant le déploiement effectif de l’exploit, les attaquants zero-day entreprennent généralement des activités comme le phishing ou l’ingénierie sociale à des fins de reconnaissance ou pour obtenir les données d’identification nécessaires pour lancer l’exploit. Dans la pratique, nous vous conseillons de réaliser un audit de votre infrastructure informatique pour remédier au plus grand nombre possible de vulnérabilités zero-day susceptibles d’exister actuellement. Et vous devrez savoir quelles variétés d’exploits sont les plus couramment utilisées contre votre type d’organisation pour vous protéger de ces attaques spécifiques.

    Quelques conseils pour éviter les vulnérabilités zero-day

    La protection de votre réseau contre les attaques zero-day exige la surveillance des données basées sur les comportements, surveillance qui contribue à vous protéger contre les menaces connues et inconnues. La technologie Varonis établit des références comportementales afin de détecter le comportement anormal d’une activité inhabituelle sur votre réseau, et donne l’alerte en cas d’activité suspecte. Vous pouvez ainsi réagir et mettre fin à la menace avant qu’elle ne provoque une fuite de données. Les systèmes à base de signature ne détecteront pas un exploit zero-day, mais une solution centrée sur les données peut détecter les traces numériques d’un exploit zero-day en cours. Outre la mise en œuvre des bonnes solutions technologiques, voici d’autres conseils qui peuvent empêcher votre organisation d’être la cible d’une attaque zero-day réussie.

    1. Tenez à jour les pare-feux et l’antivirus

    L’un des meilleurs moyens d’éviter une vulnérabilité zero-day est de disposer d’un pare-feu solide et actualisé, et de tenir à jour votre antivirus de manière optimale. Les pare-feux surveillent le trafic entrant et sortant de votre réseau, ce qui réduit les connexions non autorisées au fil du temps. Même si vous ne savez pas si une attaque est de type zero-day, les pare-feux peuvent stopper net toute activité suspecte. Il en va de même pour les mesures antivirus. C’est pourquoi il est essentiel de les mettre à jour régulièrement pour éviter les vulnérabilités zero-day.

    2. Installez un système de détection et de prévention d’intrusion (IPS) réseau

    La nature exacte d’un exploit zero-day ne peut pas être connue à l’avance. Toutefois, un système de détection et de prévention d’intrusion (IPS) réseau surveille en permanence vos réseaux pour détecter toute activité suspecte. L’avantage de l’IPS réseau par rapport à un antivirus traditionnel, c’est qu’un IPS vérifie les logiciels et programmes suspects à l’aide d’une base de données de menaces connue. Par conséquent, un IPS ne nécessite généralement pas de mises à jour ni de correctifs pour en savoir plus sur les dernières menaces, et constitue de ce fait une défense particulièrement robuste contre les attaques zero-day.

    3. Veillez à la formation continue de l’équipe et des utilisateurs

    L’erreur humaine est l’une des principales vulnérabilités qu’exploitent les attaquants zero-day pour réussir leurs attaques. Le personnel qui ne pratique pas une bonne « cyber-hygiène » laisse souvent la porte grande ouverte aux vulnérabilités zero-day, que la personne se fasse piéger par un e-mail de phishing ou qu’elle se montre négligente dans l’utilisation de ses identifiants et mots de passe. C’est pourquoi vous devez former et sensibiliser vos collaborateurs en continu concernant les bonnes pratiques générales de cyber-hygiène ainsi que les tactiques spécifiques aux attaques zero-day. Les employés devraient connaître les indices révélateurs d’une tentative de phishing et les secrets de l’ingénierie sociale, ainsi que les canaux de communication et les procédures appropriés s’ils soupçonnent de telles attaques.

    Conclusion

    Les vulnérabilités zero-day sont conçues pour être furtives et indécelables, et trop souvent, elles y parviennent. Les violations récentes dont certaines des plus grandes entreprises, comme Apple et Google, ont été victimes, montrent l’efficacité redoutable des attaques zero-day. D’une part, vous aurez besoin d’un solide plan de réponse aux incidents dans l’éventualité où vous repéreriez une vulnérabilité de ce type, car le facteur temps est primordial. D’autre part, vous aurez besoin d’une pile technologique de cybersécurité pilotée par les données pour surveiller vos réseaux, détecter les activités malveillantes et repousser les attaquants zero-day avant qu’ils ne causent des dégâts.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).