Qu’est ce que : Définition de Zero Day Exploit

Si je vous demande quelle est la meilleure façon d’attaquer (dans une guerre, par exemple), je suis sûr que vous répondrez tous ‘par surprise’. Quand l’ennemi ne s’y attend pas, c’est là qu’il est le plus facile de faire des dégâts.Eh bien, en informatique, cet effet de surprise peut être obtenu en exploitant un exploit ‘zero day’.

Zero day exploit signifie littéralement ‘exploit du jour zéro’, bien que dans notre contexte, cela signifie exploiter une vulnérabilité dont le public n’a pas été informé.

Et, s’il n’a pas été signalé, il est inconnu, et ce qui n’est pas connu ne peut être évité, n’est-ce pas ? C’est là que l’élément de surprise entre en jeu.
Un cybercriminel trouve une faille de sécurité dans un système d’exploitation ou une application, et est le premier à le faire. Personne d’autre n’est au courant, pas même le créateur du logiciel, donc il n’y a pas de protections, pas de contre-mesures et pas encore de correctifs. S’il joue bien ses cartes, le cybercriminel sait qu’il peut difficilement être découvert, bien qu’il y ait toujours une chance…..

Une attaque qui tire parti d’une vulnérabilité qui n’a pas encore été signalée peut être identifiée et découverte (l’attaque et, accessoirement, la faille elle-même qui la permet) par les logiciels antivirus modernes utilisant des technologies d’intelligence artificielle qui analysent le comportement des programmes en cours d’exécution pour détecter les comportements anormaux.

Ces comportements anormaux sont extrapolés comme étant couramment réalisés par diverses typologies de logiciels malveillants comme, par exemple, l’auto-réplication.
Pour le cybercriminel qui trouve la faille, dans l’idéal, même le créateur du programme n’est pas au courant, bien que ce ne soit pas toujours le cas.
En général, lorsqu’un pirate détecte une faille de sécurité dans un programme en raison d’un code source défectueux qui entraîne un comportement anormal, il le signale aux créateurs, qui examinent le code, créent un correctif qui corrige le bogue, le testent, et enfin le publient et le font connaître à leurs utilisateurs.
Aussi rapide soit-il, ce processus prend du temps, laissant l’ordinateur piégé sans défense face aux attaques.

Une fois que le problème est connu de la communauté de la sécurité informatique, ce n’est qu’une question de temps avant qu’il ne soit corrigé sous la forme d’un correctif. En attendant, si c’est dans un programme, il vaut mieux ne pas l’exécuter, et si c’est dans le système d’exploitation…

Si l’on part du principe que l’on ne sait pas que l’on est à risque, il est évident que l’on doit mettre en place des mesures préventives pour éviter de subir ce type d’attaque.
Comme je l’ai déjà dit, la plupart des logiciels de sécurité actuels intègrent des modules capables d’identifier les comportements suspects. Il est donc essentiel de disposer d’une solution de sécurité complète, et pas seulement d’un antivirus standard.
Nous devons également être attentifs aux correctifs à installer sur nos logiciels (système d’exploitation et programmes), mais comme il s’agit d’exploits de type ‘zero-day’, ceux-ci sont peu utiles, il faudra donc appliquer une autre mesure.
Et cela consiste à fermer tous les ports et services que nous n’utilisons pas. Par exemple, de nombreux serveurs activent le service FTP par défaut lors de l’installation du système. Le désactiver et fermer le port sera notre obligation.
Dans le cas d’installations informatiques multiples, nous devrions envisager une sécurité périmétrique, en plaçant un pare-feu entre notre réseau et le ‘monde extérieur’.