Qu'est-ce qu'un exploit de type "zero-day" ?

Qu'est-ce qu'un exploit de type "zero-day" ?

Un exploit de jour zéro (également appelé menace de jour zéro) est une attaque qui tire parti d'une vulnérabilité de sécurité pour laquelle aucun correctif n'a été mis en place. On parle d'une menace de type "zero-day" parce qu'une fois la faille découverte, le développeur ou l'organisation a "zero days" pour trouver une solution.

Qu'est-ce qu'une vulnérabilité ?

Une vulnérabilité est une faille logicielle ou matérielle involontaire résultant d'une erreur de programmation ou d'une configuration incorrecte. Comme les vulnérabilités sont involontaires, elles sont difficiles à détecter et peuvent passer inaperçues pendant des jours, des mois, voire des années.

Comment fonctionnent les exploits de type "zero-day" ?

Lorsque les attaquants identifient une vulnérabilité inconnue jusqu'alors, ils écrivent du code pour cibler cette vulnérabilité spécifique et l'intègrent dans un logiciel malveillant . Le code, une fois exécuté, peut compromettre un système.

Il existe plusieurs façons pour un attaquant d'exploiter les vulnérabilités de type "zero-day". L'une des tactiques les plus courantes consiste à distribuer des logiciels malveillants par le biais d'e-mails de phishing contenant des pièces jointes ou des liens dans lesquels sont intégrés les exploits. Ces charges utiles malveillantes sont exécutées lorsqu'un utilisateur interagit avec la pièce jointe ou le lien.

Une célèbre attaque zero-day a impliqué Sony Pictures Entertainment en 2014, lorsque des informations sensibles telles que des copies de films inédits, des communications par courriel entre des employés de haut niveau et des plans d'affaires ont été rendues publiques. Les attaquants ont utilisé un exploit zero-day pour obtenir ces informations.

Les exploits de type "zero day" peuvent nuire à une entreprise de plusieurs façons. Outre la perte de données précieuses ou confidentielles, les clients peuvent perdre la confiance de l'entreprise et celle-ci peut être amenée à consacrer des ressources techniques précieuses à la correction de la faille.

Comment détecter les menaces de type "zero-day" ?

Par définition, les menaces de type "zero-day" sont difficiles à détecter. Plusieurs stratégies ont été développées pour faciliter la détection :

• Détection basée sur les statistiques : grâce à l'apprentissage automatique, des données historiques sont collectées à partir d'exploitations antérieures, elles servent à définit niveau standard de comportement sûr permettant de détecter en temps réel les menaces de type zero-day.Cependant, cette technique ne s'adapte pas aux changements de logiques, et de nouveaux profils d'attaque doivent être dressés pour tenir compte des changements.
• Détection basée sur les signatures : Cette méthode est utilisée depuis les premiers jours de la surveillance de la sécurité. Les bases de données existantes de signatures de logiciels malveillants - des valeurs uniques qui indiquent la présence d'un code malveillant - sont comparées aux fichiers locaux et aux téléchargements lors de l'analyse des nouvelles menaces potentielles. L'inconvénient de cette méthode est que les signatures ne peuvent identifier que les menaces déjà connues. Elle ne peut donc pas détecter la plupart des menaces de type "zero-day".
• Détection basée sur le comportement : Les interactions des utilisateurs avec les logiciels existants sont analysées pour voir si elles sont le résultat d'une activité malveillante. La détection basée sur le comportement vise à apprendre le comportement futur et tente de bloquer tout comportement qui n'est pas attendu. Elle repose sur la prédiction du flux du trafic réseau.

Comment prévenir les attaques de type "zero-day" ?

Bien qu'aucune approche unique ne puisse empêcher complètement les vulnérabilités d'apparaître dans le code, plusieurs tactiques et outils peuvent minimiser leur risque. Deux des technologies les plus importantes pour arrêter les exploits de vulnérabilité sont l'isolation du navigateur et les pare-feu.

Isolation de navigateur

Une activité de navigation telle que l'ouverture d'une pièce jointe à un courriel ou le remplissage d'un formulaire nécessite une interaction avec du code provenant de sources non fiables, ce qui permet aux attaquants d'exploiter des vulnérabilités. L'isolation du navigateur permet de séparer l'activité de navigation des appareils de l'utilisateur final et des réseaux d'entreprise, de sorte que le code potentiellement malveillant ne s'exécute pas sur l'appareil de l'utilisateur. L'isolation du navigateur peut se faire de trois façons :

• Isolation du navigateur à distance : Les pages web sont chargées et le code est exécuté sur un serveur en nuage, loin des appareils des utilisateurs et des réseaux internes des organisations.
• Isolement de navigateur sur site : ce service fonctionne de façon similaire au service d'isolement de navigateur à distance, mais il s'exécute sur un serveur géré en interne.
• Isolement de navigateur côté client : les pages web sont toujours chargées sur l'appareil d'un utilisateur, mais le sandboxing (un mécanisme de sécurité permettant d'assurer l'exécution séparée des programmes) assure que le contenu et le code sont séparés du reste de l'appareil.

Pare-feu

Un pare-feu est un système de sécurité qui surveille le trafic entrant et sortant en fonction de politiques de sécurité prédéfinies. Les pare-feu se situent entre les réseaux de confiance et les réseaux non de confiance (le plus souvent Internet) pour se protéger contre les menaces, empêcher le contenu malveillant d'atteindre un réseau de confiance et empêcher les informations sensibles de quitter le réseau. Ils peuvent être intégrés dans du matériel, des logiciels ou une combinaison des deux. En surveillant le trafic, un pare-feu peut bloquer le trafic susceptible de cibler une vulnérabilité de sécurité, conduisant à un exploit de type "zero-day".

Comment Cloudflare se protège-t-il contre les vulnérabilités de type "zero-day" ?

Isolation du navigateur à distance: La solution d'isolation du navigateur à distance de Cloudflare conduit l'activité de navigation d'un utilisateur sur un environnement cloud supervisé via le sandboxing. Comme l'activité de navigation est isolée des appareils finaux des utilisateurs, ces appareils sont protégés contre les vulnérabilités telles que les menaces de type zero-day.

Pare-feu d'applications web (WAF, Web Application Firewall) : le pare-feu WAF de Cloudflare tire parti de notre corpus d'informations sur les menaces et de l'apprentissage automatique pour arrêter automatiquement les menaces émergentes, en temps réel. Le corpus d'informations sur les menaces est issu du réseau mondial de Cloudflare, qui traite 106 millions de requêtes HTTP par seconde en période de pointe. Le résultat est une protection inégalée contre les exploitations de vulnérabilités de type zero-day et d'autres attaques.