Les attaques «zéro jour» se produisent lorsque les méchants prennent de l'avance sur les bons et nous attaquent avec des vulnérabilités dont nous n'avions même jamais entendu parler. C’est ce qui se passe quand nous n’avons pas eu le temps de préparer nos défenses.
Le logiciel est vulnérable
Le logiciel n’est pas parfait. Le navigateur dans lequel vous lisez ceci - qu’il s’agisse de Chrome, de Firefox, d’Internet Explorer ou de toute autre chose - est assuré de contenir des bogues. Un logiciel aussi complexe est écrit par des êtres humains et pose des problèmes que nous ne connaissons pas encore. Beaucoup de ces bogues ne sont pas très dangereux - peut-être qu’ils causent un dysfonctionnement d’un site Web ou le blocage de votre navigateur. Cependant, certains bugs sont des failles de sécurité. Un attaquant au courant du bogue peut créer un exploit qui utilise le bogue du logiciel pour accéder à votre système.
Bien sûr, certains logiciels sont plus vulnérables que d’autres. Par exemple, Java contient un flot de vulnérabilités sans fin qui permet aux sites Web utilisant le plug-in Java d'échapper au sandbox Java et d'avoir un accès complet à votre ordinateur. Les exploits qui parviennent à compromettre la technologie de sandbox de Google Chrome sont beaucoup plus rares, même si Chrome n’a eu aucun jour.
Divulgation responsable
Parfois, une vulnérabilité est découverte par les bons gars. Soit le développeur découvre lui-même la vulnérabilité, soit les pirates «au chapeau blanc» la découvrent et la divulguent de manière responsable, par exemple via Pwn2Own ou le programme Google Bounty de Google Chrome, qui récompense les pirates pour leur découverte de vulnérabilités et leur divulgation. Le développeur corrige le bogue et publie un correctif pour celui-ci.
Des personnes malveillantes peuvent par la suite essayer d’exploiter la vulnérabilité après sa divulgation et son correctif, mais les utilisateurs ont eu le temps de se préparer.
Certaines personnes ne corrigent pas leur logiciel à temps, de sorte que ces attaques peuvent toujours être dangereuses. Toutefois, si une attaque cible un logiciel utilisant une vulnérabilité connue pour laquelle un correctif est déjà disponible, il ne s’agit pas d’une attaque «jour zéro».
Attaques du jour zéro
Parfois, une vulnérabilité est découverte par les méchants. Les personnes qui découvrent la vulnérabilité peuvent la vendre à d’autres personnes et organisations cherchant des exploits (c’est une grosse affaire - ce n’est pas seulement des adolescents dans les sous-sols qui essaient de se moquer de vous, c’est du crime organisé en action) ou l’utiliser eux-mêmes. Cette vulnérabilité était peut-être déjà connue du développeur, mais il n’a peut-être pas pu la réparer à temps.
Dans ce cas, ni le développeur ni les utilisateurs du logiciel ne sont avertis à l'avance que leur logiciel est vulnérable. Les gens apprennent seulement que le logiciel est vulnérable quand il est déjà attaqué, souvent en examinant l’attaque et en apprenant quel bogue il exploite.
Il s’agit d’une attaque de type «zéro jour». Cela signifie que les développeurs n’ont aucun jour pour régler le problème avant qu’il ne soit déjà exploité à l’état sauvage. Cependant, les méchants le savent depuis assez longtemps pour pouvoir réaliser un exploit et commencer à attaquer. Le logiciel reste vulnérable aux attaques jusqu'à ce qu'un correctif soit publié et appliqué par les utilisateurs, ce qui peut prendre plusieurs jours.
Comment se protéger
Zéro jour fait peur car nous n’avons pas été prévenus à l’avance. Nous ne pouvons pas empêcher les attaques du jour zéro en gardant notre logiciel corrigé. Par définition, aucun correctif n'est disponible pour une attaque zéro jour.
Alors, que pouvons-nous faire pour nous protéger des exploits du jour zéro?
- Évitez les logiciels vulnérables: Nous ne savons pas avec certitude qu’il y aura une autre vulnérabilité de type «jour zéro» dans Java à l’avenir, mais la longue histoire d’attaques de type «jour zéro» de Java signifie qu’il en existera probablement. (En fait, Java est actuellement vulnérable à plusieurs attaques zéro jour qui n'ont pas encore été corrigées.) Désinstallez Java (ou désactivez le plug-in si vous avez besoin de Java installé) et vous courez moins de risques d'attaques zéro jour.. Le lecteur PDF d’Adobe et Flash Player ont également connu un nombre assez important d’attaques zéro jour, bien qu’ils se soient améliorés récemment.
- Réduisez votre surface d'attaque: Moins vous aurez de logiciels vulnérables aux attaques du jour zéro, mieux ce sera. C’est pourquoi il est bon de désinstaller les plug-ins de navigateur que vous n’utilisez pas et d’éviter que des logiciels de serveur inutiles ne soient exposés directement à Internet. Même si le logiciel serveur est entièrement corrigé, une attaque zéro jour peut éventuellement se produire.
- Exécuter un antivirus: Les antivirus peuvent aider contre les attaques du jour zéro. Une attaque qui tente d’installer des logiciels malveillants sur votre ordinateur peut permettre de détecter l’installation de ces logiciels malveillants par l’antivirus. L'heuristique d'un antivirus (qui détecte une activité suspecte) peut également bloquer une attaque au jour zéro. Les antivirus peuvent alors être mis à jour plus tôt pour la protection contre l'attaque du jour zéro plus tôt qu'un correctif n'est disponible pour le logiciel vulnérable lui-même. C’est pourquoi il est judicieux d’utiliser un antivirus sous Windows, quelle que soit votre prudence.
- Gardez votre logiciel à jour: La mise à jour régulière de votre logiciel ne vous protégera pas contre les jours zéro, mais vous aurez la solution le plus rapidement possible après sa publication. C’est aussi pourquoi il est important de réduire votre surface d’attaque et de vous débarrasser des logiciels potentiellement vulnérables que vous n’utilisez pas: c’est moins de logiciels que vous devez vous assurer pour être mis à jour.
Nous avons expliqué ce qu’est un exploit zéro jour, mais qu’est-ce qu’une vulnérabilité de sécurité permanente et non corrigée? Voyez si vous pouvez trouver la réponse dans notre section Jeu-questionnaire sur le geek!
