retour au glossaire

Qu'est-ce que

Attaques Zero Day

?

Que sont les vulnérabilités Zero-Day ?

Les vulnérabilités de type « jour zéro » sont des failles de sécurité inconnues ou des bogues dans un logiciel, un microprogramme ou un matériel dont le fournisseur n'a pas connaissance, ou qui ne dispose pas d'un correctif ou d'une mise à jour officiel pour corriger la vulnérabilité. Souvent, les fournisseurs et les utilisateurs ne sont pas au courant de l'existence d'une vulnérabilité, à moins qu'elle ne soit signalée par un chercheur ou découverte à la suite d'une attaque.

Que sont les attaques Zero-Day ?

\ Quand les acteurs malveillants sont capables de développer et de déployer avec succès malware qui exploite une vulnérabilité de type « jour zéro », ce malware devient alors une attaque « jour zéro ». En exploitant cette vulnérabilité, les acteurs malveillants obtiennent un accès non autorisé à des données sensibles et/ou à des systèmes critiques.

Qu'est-ce qu'un exploit Zero-Day ?

Un exploit zero-day est la technique utilisée par les acteurs malveillants pour attaquer les systèmes présentant cette vulnérabilité. Les chercheurs utilisent des exploits pour démontrer l'impact de « l'exploitation » de la faille pour obtenir un accès non autorisé ou compromettre le système sous-jacent.

Les exploits Zero-Day tirent leur nom du fait qu'ils sont connus du public depuis zéro jour. Il est possible que des acteurs malveillants créent des exploits et attendent de les utiliser de manière stratégique. Dans ce cas, même si l'attaquant connaît l'exploit, celui-ci n'est toujours pas connu publiquement et est toujours considéré comme un exploit zero-day.

Selon le Ponemon Institute, 80 % des violations réussies étaient des attaques Zero-Day.

La menace d'un exploit Zero-Day

Il est très difficile de se défendre contre les exploits, car les données relatives à l'exploit ne sont généralement disponibles pour analyse qu'une fois l'attaque terminée. Ces attaques peuvent prendre la forme de vers polymorphes, de virus, de chevaux de Troie et d'autres programmes malveillants.

Lorsqu'une vulnérabilité est rendue publique et que les chercheurs ont découvert une solution ou que le fournisseur a déployé un correctif, elle devient une vulnérabilité connue ou « n-day » au lieu d'un « exploit zero-day ».

Comment les exploits Zero-Day sont-ils utilisés lors d'une attaque ?

Il s'agit de plusieurs méthodes d'exploitation permettant de lancer et d'exécuter une attaque. Voici des exemples de méthodes courantes :

  • Le spear phishing à l'aide de l'ingénierie sociale. Cette technique est utilisée par les acteurs de la menace (généralement les États-nations) pour inciter une cible individuelle spécifique, généralement de haut rang, à ouvrir un e-mail malveillant spécialement conçu. Ces acteurs peuvent passer un certain temps à traquer et à surveiller la cible sur les réseaux sociaux avant de lancer l'e-mail malveillant.
  • Courriels indésirables et phishing. Dans ce scénario, les attaquants envoient des e-mails à un très grand nombre de destinataires issus de plusieurs organisations, dans l'espoir qu'un faible pourcentage ouvrira l'e-mail et cliquera sur le lien qui y est intégré. Cliquez sur le lien pour télécharger la charge malveillante ou rediriger l'utilisateur vers un site qui téléchargera automatiquement le logiciel malveillant. Cette technique est souvent utilisée par les organisations de cybercriminalité organisée.
  • Intégrer des kits d'exploitation dans les publicités malveillantes et les sites malveillants. Dans ce scénario, des acteurs malveillants ont réussi à compromettre un site Web et à injecter un code malveillant qui redirigerait un visiteur vers le serveur du kit d'exploitation.
  • Compromettre un système, un réseau ou un serveur. Par exemple, appliquer la force brute puis utiliser l'exploit pour exécuter l'attaque.

Quels sont les exemples connus d'attaques Zero-Day réussies ?

Quelles sont les meilleures pratiques en matière de protection contre les attaques Zero-Day ?

Pratiquer le développement sécurisé du cycle de vie des logiciels pour garantir la sécurité du code et sécuriser les logiciels afin de minimiser les risques potentiels ou les vulnérabilités.

  • Disposez d'un solide programme de gestion des vulnérabilités et d'un programme de correctifs. Par exemple, mettez à jour le logiciel dès que possible, en particulier les mises à jour de sécurité critiques.
  • La formation de sensibilisation à la cybersécurité était axée sur l'ingénierie sociale, la reconnaissance des campagnes de phishing et de spear-phishing et la prévention des sites Web malveillants.
  • Déploiement de contrôles de sécurité à plusieurs niveaux, notamment des pare-feux périmétriques, des systèmes IPS/IDS et d'autres contrôles de sécurité des centres de données, ainsi que des contrôles de sécurité des terminaux.
  • Postuler microsegmentation et le moindre privilège, en particulier dans les systèmes à forte valeur ajoutée, afin de rendre plus difficile et plus coûteux pour les attaquants d'atteindre leurs cibles.
  • Renseignements sur les menaces, audit et surveillance de l'activité des utilisateurs, de la connectivité et de la détection des anomalies.
  • Élaborez un plan de reprise après sinistre et de sauvegarde bien pensé.

Quel est le rôle de la visibilité en temps réel et de la microsegmentation dans la réponse à une attaque Zero-Day ?

Même si le logiciel est vulnérable, un acteur malveillant ne sera pas nécessairement en mesure de déployer son exploit avec succès si la cible présentait des problèmes de contrôle d'accès bien conçus.

  • La visibilité en temps réel permet aux équipes chargées de la sécurité, des opérations informatiques et de la mise en réseau de modéliser et de comprendre le trafic normal et le comportement des applications. Il les aide à détecter les nouvelles connexions et les tentatives échouées inhabituelles de connexion à un charge de travail, ce qui pourrait être le signe d'une attaque.
  • La microsegmentation est un contrôle préventif. L'approche de refus par défaut de la microsegmentation réduit surface d'attaque. Cela limite les voies d'attaque d'un exploit et augmente le coût pour un acteur malveillant de propager son attaque au sein du réseau de sa cible.
  • Microsegmentation en tant que commande compensatrice en cas d'attaque. Lorsqu'un jour zéro est divulgué publiquement et qu'aucun correctif n'est disponible ou si l'application de correctifs n'est pas réalisable sur le plan opérationnel, une organisation peut utiliser la segmentation au niveau des processus pour verrouiller le trafic entre les charges de travail et entre les charges de travail et les utilisateurs uniquement vers des ports, des protocoles et des services spécifiques.
retour au glossaire

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus