0-day : Définition

Une faille 0-day est une vulnérabilité sur un logiciel qui n’a fait l’objet d’aucune publication et par conséquence inconnue du grand public et du constructeur, théoriquement.

Le plus souvent, ce type de vulnérabilité est utilisé par les cybercriminels qui disposent de moyens importants en recherche et développement ou des financiers pour l’acheter. Ce type de vulnérabilité permet de déjouer les systèmes de protection de l’entreprise et ses détenteurs profitent de l’effet de surprise pour attaquer leur proie (des entreprises, organisations, hôpitaux, particuliers, etc.). Il s’agit donc d’une attaque ZETA (Zero-day, Exploit and Targeted Attack).

Attaque 0-day : Comment ça marche ?

Après avoir identifié la faille, les cybercriminels développent un code malveillant qui, à son exécution, exploite ladite vulnérabilité. Ils cherchent alors, par quel moyen, faire parvenir le code malveillant aux cibles potentielles ; afin de les infecter. 

C’est le cas de la faille 0-day de Log4j qui est le sujet d’actualité. C’est une vulnérabilité de sécurité dans le Log4j qui est une bibliothèque Java pour la journalisation des messages d’erreur dans les applications. Avec une telle faille, un attaquant pourra injecter une ou des charges utiles (payloads) dans votre serveur, poste de travail ou smartphone pour avoir accès à vos données. Les cybercriminels ont diverses motivations dont la plus importante est le gain financier. 

Selon leurs motivations, ils peuvent :

• Voler vos données personnelles (bancaires, documents stratégiques de votre entreprise, etc.) et les vendre à vos concurrents ou dans le Dark Web ;
• Chiffrer vos données et vous demander de payer une rançon pour vous donner la clé de déchiffrement (ransomware) ;
• Vous espionner à des fins Politiques ;
• Supprimer ou Modifier vos données pour sabotage ;
• Usurper votre identité ;
• Prendre le contrôle total de votre machine et en faire un rebond pour pivoter vers d’autres machines du Système d’Information de votre structure, etc.

Exemple d’attaque 0-day : Pegasus

Le logiciel d’espionnage Pegasus est un malware qui, en exploitant les failles 0-day, s’installe à distance sur le smartphone et à l’insu de son propriétaire. Il peut alors accéder à l’ensemble des fichiers, messages, photos et mots de passe, puis écouter les appels, déclencher l’enregistrement audio, la caméra ou encore suivre la géolocalisation.

En mars 2021, Citizen Lab a découvert une vulnérabilité 0-day nommée CVE-2021-30860 dans le téléphone d’un militant saoudien. Cette faille a été utilisée avec l’exploit
FORCEDENTRY pour installer le logiciel Pegasus dans les appareils Apple iOS, MacOs à distance. Son exploitation a permis d’exécuter des codes arbitraires sur ces appareils.

Comment se protéger des attaques 0-day ?

Pour les entreprises

Prévention :

• Appliquer une politique de contrôle et de gestion de l’installation d’applications ;
• Sensibiliser les acteurs du système d’information contre les attaques de type ingénierie sociale ;
• Avoir des outils de protection permettant de détecter un comportement anormal sur le système d’information (Antivirus EDR, IPS/IDS …)

Détection & Réaction :

• Avoir un centre de supervision et de surveillance des logs (SIEM/SOC), afin de détecter l’attaque à temps ;
• Prévoir un plan de reprise d’activité (PRA)
• Mettre en place une cellule de réponse face aux attaques ;
• Segmenter le réseau selon les départements pour empêcher la propagation d’une attaque dans les autres parties du réseau.
• Utiliser une solution de gestion des Accès Privilégiés, pour tracer les actions effectuées dans le SI (qui a fait quoi ? où ? et quand ?).
• Pour une meilleure gestion de ces mesures de sécurité, il faut mettre en place un SMSI (Système de Management de la Sécurité de l’Information).
• Etc.

Pour les particuliers

• Installer un logiciel antivirus (Pc, Smartphone) ou activer les fonctionnalités de sécurité Windows
• Eviter au maximum de vous connecter avec un compte administrateur sur votre pc ;
• Être vigilant aux mails et sites mais aussi au comportement de vos appareils (PC, Smartphone) ;
• Mettre à jour son PC le plus rapidement possible, dès que des mises à jour sont disponibles.
• Installer MVT (Mobile Verification Toolkit) pour détecter le Pegasus.
• Etc.