Vulnérabilité Zero day

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis Zero day)
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Cet article concerne un sous-ensemble de la vulnérabilité informatique. Pour les autres significations, voir Vulnérabilité.

Dans le domaine de la sécurité informatique, une vulnérabilité Zero day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie zero day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.

Le cycle de sécurité informatique type[modifier | modifier le code]

La recherche de vulnérabilités informatiques (pour s'en défendre ou les exploiter) est un domaine largement empirique. Bien que les méthodes de protection soient en perpétuel progrès, de nouvelles vulnérabilités sont découvertes en permanence.

Ces découvertes, fortuites ou fruits de recherches très complexes, sont difficiles à anticiper. C'est pourquoi une part importante de la sécurité informatique consiste en des protections a posteriori. Une attaque nouvelle est découverte par de la recherche en sécurité ou à la suite d'une attaque identifiée d'un type non répertorié. L'attaque est publiée et documentée. Les sociétés productrices de logiciels (système d'exploitation, antivirus, logiciel de communication...) étudient l'attaque publiée et conçoivent des solutions qui sont intégrées dans les logiciels lors de leur mise à jour périodique.

Ainsi les machines concernées ne sont vulnérables à une attaque donnée que dans l'intervalle de temps allant de sa découverte à la diffusion d'un correctif ou sa déclaration dans les bases d'antivirus et autres logiciels de sécurité informatique.

Particularité de la vulnérabilité Zero day[modifier | modifier le code]

La qualité de vulnérabilité Zero day n'est que transitoire. Une vulnérabilité cesse d'être Zero day dès qu'elle a été identifiée par la communauté de la sécurité informatique. La vulnérabilité Zero day n'a pas de caractéristiques techniques particulières : elle peut être bénigne ou virulente, être d'application très générale ou au contraire ne s'appliquer qu'à des configurations peu courantes. L'attaque Zero day est en général capable de déjouer les protections existantes tant qu'elle n'a pas été identifiée[1].

Utilisation des vulnérabilités Zero day[modifier | modifier le code]

Une vulnérabilité perd une grande partie de son intérêt lorsqu'elle est exposée. Par définition, une vulnérabilité perd aussi son qualificatif Zero day après son exposition. Une vulnérabilité Zero day est en général employée par des groupes restreints d'utilisateurs pour des objectifs à fort enjeu. Si l'attaque est discrète et si ses utilisateurs en font un usage optimal, elle peut conserver ce statut durant une longue période de temps.

La recherche de vulnérabilité Zero day est en général réalisée par des experts en informatique de haut niveau (à l'opposé des script kiddies qui utilisent des attaques déjà publiées en tirant parti de lacunes dans les mises à jour). Ces vulnérabilités sont désormais l'objet d'un marché, et des entreprises se sont spécialisées dans leur découverte et leur revente (par exemple Vupen). Selon un article de Forbes citant un pirate informatique français, la valeur d'une vulnérabilité Zero day variait en 2012 entre 5 000 $ et 250 000 $ suivant son efficacité et les logiciels concernés[2].

Les vulnérabilités Zero day sont notamment utilisées par des attaquants possédant des moyens importants tels que les services de renseignement des pays industrialisés. À titre d'exemple le virus Stuxnet employé par les États-Unis contre le programme nucléaire iranien utilisait plusieurs vulnérabilités Zero day[3].

Références[modifier | modifier le code]

  1. What is a Zero-Day Vulnerability?, pctools.com, consulté le 14 août 2013
  2. Andy Greenberg, Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits, Forbes, 23 mars 2013, consulté le 14 août 2013
  3. Liam O Murchu, Stuxnet Using Three Additional Zero-Day Vulnerabilities, blog Symantec, 14 Sep 2010, consulté le 14/08/2013

Articles connexes[modifier | modifier le code]