« Vulnérabilité zero-day » : différence entre les versions

{{autre4|un sous-ensemble de la [[vulnérabilité informatique]]||Vulnérabilité}}

Dans le domaine de la [[sécurité informatique]], une '''vulnérabilité ''zero-day''''' {{incise|également orthographiée '''0-day'''}} (en français : « jour zéro ») est une [[vulnérabilité informatique]] n'ayant fait l'objet d'aucune publication ou n'ayant aucun [[correctif]] connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive.

La terminologie « ''zero day'' » ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un [[Exploit (informatique)|exploit]], c'est-à-dire d'une technique « exploitant » cette faille afin de conduire des actions indésirables sur le produit concerné.

== Cycle de sécurité informatique type ==

La recherche de [[Vulnérabilité (informatique)|vulnérabilités informatiques]] (pour s'en défendre ou les exploiter) est un domaine largement [[empirique]]. Bien que les méthodes de protection soient en perpétuel progrès, de nouvelles vulnérabilités sont découvertes en permanence.

Ces découvertes, fortuites ou fruits de recherches très complexes, sont difficiles à anticiper. C'est pourquoi une part importante de la sécurité informatique consiste en des protections ''a posteriori''. Une attaque nouvelle est découverte par de la [[white hat|recherche en sécurité]] ou à la suite d'une attaque identifiée d'un type non répertorié. L'attaque est publiée et documentée. Les sociétés productrices de logiciels ([[système d'exploitation]], [[antivirus]], logiciel de communication...) étudient l'attaque publiée et conçoivent des solutions qui sont intégrées dans les logiciels lors de leur mise à jour périodique.

Ainsi, les machines concernées ne sont vulnérables à une attaque donnée, que dans l'intervalle de temps allant de sa découverte à la diffusion d'un correctif ou sa déclaration dans les bases d'antivirus et autres logiciels de sécurité informatique.

== Particularité de la vulnérabilité zero day ==

La qualité de vulnérabilité zero day n'est que transitoire. Une vulnérabilité cesse d'être « zero day » dès qu'elle a été identifiée par la communauté de la [[sécurité informatique]]. Celle-ci n'a pas de caractéristiques techniques particulières : elle peut être bénigne ou virulente, être d'application très générale ou au contraire ne s'appliquer qu'à des configurations peu courantes. L'attaque zero day est en général capable de déjouer les protections existantes tant qu'elle n'a pas été identifiée<ref>{{en}} [http://www.pctools.com/security-news/zero-day-vulnerability/ « ''What is a Zero-Day Vulnerability?'' »], ''pctools.com'' (consulté le 14 août 2013).</ref>.

== Utilisation des vulnérabilités zero day ==

Une [[Vulnérabilité (informatique)|vulnérabilité]] perd une grande partie de son intérêt lorsqu'elle est exposée. Par définition, une vulnérabilité perd aussi son qualificatif « zero day » après son exposition. Elle est en général employée par des groupes restreints d'utilisateurs pour des objectifs à fort enjeu. Si l'attaque est discrète et si ses utilisateurs en font un usage optimal, elle peut conserver ce statut durant une longue période de temps.

La recherche de vulnérabilité zero day est en général réalisée par des experts en informatique de haut niveau (à l'opposé des [[script kiddies]] qui utilisent des attaques déjà publiées en tirant parti de lacunes dans les mises à jour).

Ces vulnérabilités sont désormais l'objet d'un marché naissant principalement à l'étranger, et des entreprises se sont spécialisées dans leur découverte et leur revente (par exemple [[Vupen]] qui a fini par fermer ses bureaux en France ou l'entreprise Zerodium aux États-Unis). Selon un article de ''[[Forbes (magazine)|Forbes]]'' citant un [[Hacker (sécurité informatique)|pirate informatique]] français, la valeur d'une vulnérabilité zero day variait en 2012 entre {{formatnum:5000}} $ et {{formatnum:250000}} $, suivant son efficacité et les logiciels concernés<ref>{{en}} Andy Greenberg, [https://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/ « ''Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits'' »], ''[[Forbes (magazine)|Forbes]].com'', 23 mars 2013.</ref>. Mais pour les pays signataires de l'[[arrangement de Wassenaar]], le commerce de zero-day est réglementé par cet accord, par lequel, en France notamment, l’État français doit donner son autorisation à l'exportation.

Les vulnérabilités zero day sont notamment utilisées par des attaquants possédant des moyens importants, tels que les [[services de renseignement]] des [[pays industrialisés]]. À titre d'exemple, le [[Virus informatique|virus]] [[Stuxnet]], employé par les [[États-Unis]] contre le [[programme nucléaire iranien]], utilisait plusieurs vulnérabilités zero day<ref>{{en}} Liam O Murchu, [http://www.symantec.com/connect/blogs/stuxnet-using-three-additional-zero-day-vulnerabilities « ''Stuxnet Using Three Additional Zero-Day Vulnerabilities'' »], [[Symantec]].com, 14 septembre 2010.</ref>.

== Les limites des services de renseignement ==

D'après les protocoles du « ''Vulnerability Equities Process'' » (VEP) créé par le [[gouvernement des États-Unis]], les [[Agence de renseignement|agences de renseignement]] américaines sont supposées {{Incise|sous l'égide de la [[NSA]]}} déterminer collectivement si elles préfèrent révéler une vulnérabilité pour permettre au développeur du [[logiciel]] de la corriger, ou bien si elles préfèrent l'exploiter.

L'attaque informatique du {{date-|12 mai 2017}}<ref>[http://www.lefigaro.fr/secteur/high-tech/2017/05/14/32001-20170514ARTFIG00062-cyberattaque-200000-victimes-dans-150-pays-de-nouvelles-attaques-a-craindre.php « Cyberattaque : 200.000 victimes dans 150 pays, de nouvelles attaques à craindre »], ''[[Le Figaro]].fr'' avec [[Agence France-Presse|AFP]], 14 mai 2017.</ref> qui a momentanément affecté le [[National Health Service]] britannique et quelques douzaines d'autres institutions russo-européennes {{Incise|touchant {{formatnum:200000}} stations de travail à travers 150 pays, selon [[Europol]]<ref>{{en}} [http://www.irishexaminer.com/breakingnews/ireland/latest-europol-confirms-cyber-attack-hit-200000-in-at-least-150-countries-789615.html « ''Latest: Confirmed Irish case in cyber attack that has hit 200,000 in at least 150 countries'' »], ''[[Irish Examiner]].com'', 14 mai 2017.</ref>}} révèle l'échec des protocoles de gouvernement des États-Unis pour avertir les développeur de logiciels et le secteur privé des vulnérabilités des systèmes<ref>{{Article | langue=en | auteur=Edward Helmore | titre=''Ransomware attack reveals breakdown in US intelligence protocols, expert says'' | périodique=[[The Guardian]].com | lire en ligne=https://www.theguardian.com/technology/2017/may/13/ransomware-cyber-attack-us-intelligence | date=13 mai 2017}}.</ref>.

== Notes et références ==

{{Références|taille=30}}

== Dans la fiction ==

* ''[[Zero Days]]'' (2016), [[film documentaire]] d'[[Alex Gibney]].

== Articles connexes ==

* [[Vulnérabilité (informatique)]]

* [[Exploit (informatique)]]

* [[Sécurité des systèmes d'information]]

{{Portail|sécurité informatique}}