Vulnérabilité zero-day
Cet article concerne un sous-ensemble de la vulnérabilité informatique. Pour les autres significations, voir Vulnérabilité.
Une faille / vulnérabilité zero-day — également orthographiée 0-day —, ou faille / vulnérabilité du jour zéro[1] , est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive.
Terminologie
[modifier | modifier le code ]La terminologie « zero-day » ne qualifie pas la gravité de la faille. Comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique « exploitant » cette faille afin de conduire des actions indésirables sur le produit concerné. La terminologie « zero-day » signifie que la faille / la vulnérabilité est inédite[2] : à l'instant présent (l'instant « zéro »), cette faille / vulnérabilité, encore inconnue, existe (c-à-d. toujours inconnue subsiste).
Caractéristiques
[modifier | modifier le code ]Cycle de sécurité informatique type
[modifier | modifier le code ]La recherche de vulnérabilités informatiques (pour s'en défendre ou les exploiter) est un domaine largement empirique. Bien que les méthodes de protection soient en perpétuel progrès, de nouvelles vulnérabilités sont découvertes en permanence.
Ces découvertes, fortuites ou fruits de recherches très complexes, sont difficiles à anticiper. C'est pourquoi une part importante de la sécurité informatique consiste en des protections a posteriori. Une attaque nouvelle est découverte par de la recherche en sécurité ou à la suite d'une attaque identifiée d'un type non répertorié. L'attaque est publiée et documentée. Les sociétés productrices de logiciels (système d'exploitation, antivirus, logiciel de communication...) étudient l'attaque publiée et conçoivent des solutions qui sont intégrées dans les logiciels lors de leur mise à jour périodique.
Ainsi, les machines concernées ne sont vulnérables à une attaque donnée que dans l'intervalle de temps allant de sa découverte à la diffusion d'un correctif ou sa déclaration dans les bases d'antivirus et autres logiciels de sécurité informatique.
Particularité
[modifier | modifier le code ]La qualité de vulnérabilité zero-day n'est que transitoire. Une vulnérabilité cesse d'être « zero day » dès qu'elle a été identifiée par la communauté de la sécurité informatique. Celle-ci n'a pas de caractéristiques techniques particulières : elle peut être bénigne ou virulente, être d'application très générale ou au contraire ne s'appliquer qu'à des configurations peu courantes. L'attaque zero day est en général capable de déjouer les protections existantes tant qu'elle n'a pas été identifiée[3] .
Utilisation
[modifier | modifier le code ]Quand une vulnérabilité est exposée, elle perd une grande partie de son intérêt pour une entité voulant attaquer le système rendu ainsi vulnérable. Par définition, elle perd alors aussi son qualificatif « zero-day ».
Elle est en général employée par des groupes restreints d'utilisateurs pour des objectifs à fort enjeu. Si l'attaque est discrète et si ses utilisateurs en font un usage optimal, elle peut conserver ce statut durant une longue période de temps. La recherche de vulnérabilité zero-day est en général réalisée par des experts en informatique de haut niveau (à l'opposé des script kiddies qui utilisent des attaques déjà publiées en tirant parti de lacunes dans les mises à jour) et de plus en plus à l'aide de l'intelligence artificielle. Claude Mythos, un modèle non-public d'Anthropic, semble être particulièrement performant pour cela[4] ,[5] . En , ce modèle est en cours d'évaluation, dans le cadre du « Projet Glasswing » (ouvert à seulement 11 entreprises et organisations, dont Anthropic, Apple, Google, Microsoft, chargées d'y détecter et corriger les vulnérabilités en termes de cybersécurité ou de désalignement)[6] .
Ces vulnérabilités sont désormais l'objet d'un marché naissant principalement à l'étranger, et des entreprises se sont spécialisées dans leur découverte et leur revente (par exemple Vupen qui a fini par fermer ses bureaux en France ou l'entreprise Zerodium aux États-Unis). Selon un article de Forbes citant un pirate informatique français, la valeur d'une vulnérabilité zero day variait en 2012 entre 5 000 et 250 000 $, suivant son efficacité et les logiciels concernés[7] . Mais pour les pays signataires de l'arrangement de Wassenaar, le commerce de zero-day est règlementé par cet accord, par lequel, en France notamment, l'État français doit donner son autorisation à l'exportation.
Les vulnérabilités zero day sont notamment utilisées par des attaquants possédant des moyens importants, tels que les services de renseignement des pays industrialisés. À titre d'exemple, le virus Stuxnet, employé par les États-Unis contre le programme nucléaire iranien, utilisait plusieurs vulnérabilités zero day[8] .
Limites des services de renseignement
[modifier | modifier le code ]D'après les protocoles du Vulnerability Equities Process (VEP) créé par le gouvernement des États-Unis, les agences de renseignement américaines sont supposées — sous l'égide de la NSA — déterminer collectivement si elles préfèrent révéler une vulnérabilité pour permettre au développeur du logiciel de la corriger, ou bien si elles préfèrent l'exploiter[réf. nécessaire] .
L'attaque informatique du [9] qui a momentanément affecté le National Health Service britannique et quelques douzaines d'autres institutions russo-européennes — touchant 200 000 stations de travail à travers 150 pays, selon Europol [10] — révèle l'échec des protocoles de gouvernement des États-Unis pour avertir les développeurs de logiciels et le secteur privé des vulnérabilités des systèmes[11] .
Dans la culture populaire
[modifier | modifier le code ]- Zero Days (2016), film documentaire d'Alex Gibney.
- Zero Day (2025), série télévisée par Lesli Linka Glatter.
Notes et références
[modifier | modifier le code ]- ↑ « Vulnérabilité du jour zéro », Grand Dictionnaire terminologique , Office québécois de la langue française (consulté le ).
- ↑ « Zero-day : qu'est-ce que c'est ? », date non connue (consulté le ).
- ↑ (en) « What is a Zero-Day Vulnerability? », sur pctools.com, web.archive.org (consulté le ).
- ↑ Aymeric Geoffre-Rouland, « Claude Mythos : les benchmarks sont tombés, l'IA est si puissante qu'Anthropic ne la rendra pas publique », sur lesnumeriques.com, (consulté le ).
- ↑ (en) Nicholas Carlini et al., « Assessing Claude Mythos Preview’s cybersecurity capabilities », sur red.anthropic.com, (consulté le ).
- ↑ (en) « Project Glasswing: Securing critical software for the AI era », sur anthropic.com (consulté le ).
- ↑ (en) Andy Greenberg, « Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits », sur Forbes , web.archive.org (consulté le ).
- ↑ (en) Liam O Murchu, « Stuxnet Using Three Additional Zero-Day Vulnerabilities », sur Symantec , web.archive.org (consulté le ).
- ↑ « Cyberattaque : 200.000 victimes dans 150 pays, de nouvelles attaques à craindre », Le Figaro.fr avec AFP, 14 mai 2017.
- ↑ (en) « Latest: Confirmed Irish case in cyber attack that has hit 200,000 in at least 150 countries », Irish Examiner.com, 14 mai 2017.
- ↑ (en) Edward Helmore, « Ransomware attack reveals breakdown in US intelligence protocols, expert says », The Guardian.com, (lire en ligne).