La cybersécurité pourrait aussi bien avoir sa propre langue. Il y a tellement d’acronymes, de termes, de paroles que les professionnels de la cybersécurité et les acteurs de menace utilisent tous les deux qu’à moins que vous ne soyez profondément bien informé, que vous ayez une expérience dans le domaine de la sécurité ou que vous ayez un vif intérêt, on ne peut pas savoir. La compréhension de ce que signifient ces acronymes et termes est la première étape pour développer une compréhension approfondie de la cybersécurité et, à son tour, mieux vous protéger, les clients et les employés.
Dans cette série de blogs, nous visons à expliquer et à simplifier certains des termes les plus couramment utilisés. Auparavant, nous avons couvert l’hébergement de balles, les CVE, les API et les attaques de force brute. Dans cette édition, nous plongeons dans des exploits zéro-jours.
Vulnérabilités zéro-jour
Les vulnérabilités zéro-jour sont des défauts logiciels qui restent inconnus du fournisseur et de la communauté informatique générale. Parce que les défauts sont inconnus du public, il n’y a pas de correctif disponible et ils deviennent très précieux pour les mauvais acteurs et les États-nations. Avec les cybercriminels, les espions et les États-nations de ces défauts ont l’occasion sans entrave de causer des dommages réels, d’infiltrer les réseaux, de voler des données ou de provoquer des perturbations. Les victimes de zéro-jours resteront complètement sans défense jusqu’à ce que la faille soit découverte et corrigée.
En novembre dernier, Microsoft a publié ses mises à jour de novembre mardi de novembre, détaillant 89 défauts de sécurité. Parmi ceux-ci figuraient quatre vulnérabilités nouvellement révélées de zéro-jours, dont les attaquants exploitaient déjà dans la nature. Par exemple, un jour zéro a permis aux acteurs malveillants de capturer des hachages de mot de passe. Le CVE-2024-43451 est décrit par Microsoft comme un jour zéro qui nécessite très peu d’interaction utilisateur pour exposer le mot de passe d’un utilisateur. Cliquez sur un seul clic ou un clic droit pour inspecter un fichier est suffisant pour extraire le hachage de mot de passe d’un utilisateur.
Le patch de ce mois-ci mardi est un exemple de la fréquence, des jours zéro et de graves jours aujourd’hui. Mais beaucoup passent inaperçus pendant des mois ou des années avant d’être corrigés et corrigés. Cela laisse de mauvais acteurs suffisamment de temps pour profiter des trous dans les réseaux, recueillir des données sensibles et effectuer la cybercriminalité. Loin d’une préoccupation théorique, les jours zéro sont devenus un élément fondamental de la guerre moderne de la cybersécurité, soulignant la nécessité de stratégies de défense robustes, des politiques de divulgation responsables et une compréhension plus approfondie de la façon de limiter notre exposition à eux.
Attaques à jour zéro
L’attaque de ransomware Wannacry en mai 2017 met en évidence le potentiel destructeur d’un exploit zéro-jour tombant entre de mauvaises mains. Il a exploité «Eternalblue», une puissante vulnérabilité initialement développée par la NSA. Après que cet exploit de zéro-jours ait coulé au public, des acteurs malveillants l’ont emmené dans Wannacry, créant un ransomware de type ver qui s’est propagé aux victimes sans défense. En une seule journée, il a infecté plus de 200 000 ordinateurs dans plus de 150 pays, perturbant les opérations critiques dans les grandes organisations comme FedEx et Honda, et paralysant des parties du National Health Service du Royaume-Uni. Heureusement, un chercheur en sécurité a découvert un «interrupteur de mise à mort» dans le code qui a empêché le virus d’infecter davantage de victimes. De nombreuses victimes, en cours d’exécution de systèmes Windows obsolètes et non corrigées, devaient décider de payer la rançon ou subir une perte majeure de données et de revenus. Le succès de Wannacry a démontré comment un exploit volé au jour zéro peut déclencher une cyber-crise mondiale.
L’affaire Wannacry a soulevé des préoccupations parmi les professionnels de la cybersécurité et Microsoft, qui a souligné que le gouvernement américain thésaurait et cataloguait secrètement des exploits dangereux de zéro-jours que la société aurait pu corriger, s’ils avaient été informés des défauts de sécurité.
Fin septembre 2023, Apple a émis des correctifs d’urgence concernant trois vulnérabilités zéro jour (CVE-2023-41992, CVE-2023-41991 et CVE-2023-41993) dans les iPhones et les iPads. Les chercheurs de Citizen Lab et du groupe d’analyse des menaces de Google disent que ces défauts pourraient permettre aux attaquants de contourner la validation de la signature, d’élever des privilèges et de réaliser l’exécution du code distant. Les recherches de Citizen Lab ont lié ces zéro-jours à une chaîne d’exploitation utilisée par les logiciels espions prédateurs de Cytrox. Le logiciel espion a été utilisé contre au moins une cible de haut niveau, un ancien membre du Parlement égyptien qui avait l’intention de se présenter à la présidence.
Stuxnet représente l’une des utilisations les plus sophistiquées des vulnérabilités de jour zéro dans un monde réel (pas seulement théorique). Découverte en 2010, ce ver a ciblé les installations d’enrichissement nucléaire de l’Iran en infiltrant secrètement leurs systèmes. Une fois à l’intérieur, Stuxnet a exploité plusieurs défauts de fenêtres zéro-jours pour prendre le contrôle des systèmes de contrôle industriel. En manipulant la vitesse des centrifuges enrichissant l’uranium, le code malveillant a pu dégrader physiquement les centrifuges, ce qui a fait subir une défaillance constante du programme nucléaire iranien. Sa complexité et sa dépendance à l’égard des vulnérabilités non corrigées en ont fait une cyber-arme révolutionnaire. L’impact de Stuxnet s’est étendu bien au-delà de l’Iran, ce moment du bassin versant de la cybersécurité a mis en lumière les capacités que les cyber-armes pourraient avoir dans les guerres froides et chaudes.
Programmes de primes de bug et courtiers zéro-jours
Dans l’économie cyber-axée d’aujourd’hui, un marché de niche est apparu autour des vulnérabilités zéro-jours. Reconnaissant la valeur de la découverte de ces défauts inconnus, de nombreuses organisations offrent désormais des incitations financières aux chercheurs qui les signalent de manière responsable. Ceux-ci sont appelés «divulgation responsable» ou «programmes de primes de bug». La quantité de récompense évolue souvent avec la gravité de la vulnérabilité. En invitant un réseau mondial de chercheurs qualifiés à examiner leurs sites Web et leur infrastructure, les entreprises peuvent plus rapidement identifier et réparer les lacunes de sécurité. Cette approche ne se limite pas non plus aux entreprises privées; Le gouvernement américain, y compris le ministère de la Défense et divers autres agences fédérales, a également adopté des programmes de primes de bug pour renforcer leurs défenses de cybersécurité.
Les courtiers zéro-jours offrent également des paiements substantiels pour les faiblesses de sécurité non découvertes, dépassant généralement de loin une prime de bogue. Ces courtiers pourraient être des entreprises légitimes ou un réseau souterrain de cybercriminels. Quoi qu’il en soit, ils n’ont aucun intérêt à signaler le défaut du logiciel au fournisseur. Au lieu de cela, les courtiers en profitent en vendant ces vulnérabilités non corrigées à des entités bien financées, souvent des agences gouvernementales, cherchant à compromettre les cibles non détectées. Pour maintenir le secret, les chercheurs qui trouvent ces bogues doivent signer des accords de non-divulgation stricts, acceptant de ne faire alerter personne pendant que le courtier cherche le plus offrant. Dans certains cas, les courtiers peuvent fusionner plusieurs jours zéro en une seule cyber arme puissante. Cette approche a conduit Pegasus israélien à dominer le marché des logiciels espions mobiles, alors que la société a emballé une suite d’exploits zéro-jours dans les logiciels espions suffisamment avancés pour attirer des entités gouvernementales à travers le monde.
Réponse et défense de l’industrie
Atténuer les attaques zéro-jours est difficile car ces lacunes de sécurité sont inconnues jusqu’à ce qu’elles soient découvertes. Pourtant, les entreprises, les organisations et les consommateurs individuels peuvent prendre des mesures pour réduire leur sensibilité. En tant que consommateur, l’une des étapes les plus efficaces que vous puissiez prendre est d’installer des mises à jour logicielles dès qu’ils sont publiés. Bien que les vulnérabilités zéro-jour soient initialement inconnues, une fois identifiées et corrigées, ils ne représentent plus la même menace. Garder votre logiciel à jour aide à combler ces lacunes de sécurité. Par exemple, les victimes du ransomware Wannacry ont eu un mois pour appliquer le correctif disponible de Microsoft pour l’EternalBlue Zero-Day, qui aurait protégé leurs systèmes de l’attaque.
Les organisations doivent également être proactives si elles souhaitent diminuer la probabilité d’exploits zéro-jours affectant leurs réseaux et leurs infrastructures. Puisqu’il est impossible d’écrire du code entièrement à l’abri des vulnérabilités cachées, il est essentiel d’embrasser des mesures de sécurité robustes. La participation régulière aux programmes de primes de bogues, les tests de pénétration complète, les examens de code approfondis et les pratiques de divulgation responsables peuvent tous réduire le risque d’être compromis par des cyberattaques plus simples et des défauts de code.
