Un « zero-day » est une faille non résolue dans un logiciel qui fait courir aux utilisateurs finaux le risque d'être attaqués par des cybercriminels. Ces derniers aiment utiliser ces portes d'entrée non protégées vers un réseau d'entreprise pour mener à bien leurs attaques.
« Les logiciels contiennent presque toujours des erreurs », déclare Niels Teusink, expert en sécurité informatique chez Eye Security. « Parce qu'un élément n'a pas encore été pris en compte dans le développement d'une fonctionnalité, ou parfois même à cause d'une simple faute de frappe. » Traditionnellement, un zero-day était considéré comme une faille dont l'éditeur de logiciels n'avait pas encore connaissance. Mais récemment, le terme a également été utilisé pour les vulnérabilités pour lesquelles il n'existe pas encore de solution. « Avec l'attaque généralisée de Kaseya, on a également parlé d'une attaque zero-day, mais la faille était déjà connue de l'entreprise concernée. Ses équipes étaient en fait occupées à corriger cette faille, avant d'être dépassées par l'attaque REvil, lancée juste avant la sortie du correctif. »
Comment fonctionne un zero-day ?
Vous pouvez voir une faille zero-day comme une trappe dans le mur d'une application logicielle que vous utilisez sur le réseau de votre entreprise. Vous utilisez souvent plusieurs applications, et elles peuvent toutes contenir une ou plusieurs trappes. Par exemple, il peut y avoir une vulnérabilité zero-day dans un navigateur, mais aussi sur un serveur, ou bien dans Windows. Et toutes les trappes ne sont pas ouvertes par défaut. Il faut parfois remplir certaines conditions pour ouvrir la trappe. « S'il y a une faille zero-day dans un navigateur, la condition est, par exemple, que l'utilisateur se rende sur un site Web spécifique, à partir duquel les attaquants peuvent placer un code logiciel malveillant sur votre système via cette faille », explique N. Teusink. La trappe de cette faille zero-day spécifique ne s'ouvre que lorsque la condition (la visite de ce site Web particulier) est remplie.
Protégez-vous : réduisez la surface d'attaque
Pour protéger votre entreprise contre ce phénomène, il ne sert à rien d'élever les murs autour de vos applications, car vous n'avez aucune influence sur le nombre de failles zero-day pouvant se trouver dans ce mur. Selon N. Teusink, il est important de construire la sécurité par couches. « Il ne faut jamais laisser une faille zero-day perturber l'ensemble des activités de votre entreprise ». C'est pourquoi il est important, par exemple, de garder le mur vers le monde extérieur (l'internet) aussi petit que possible. « Nous constatons que certaines entreprises ont toutes sortes de serveurs et d'interfaces de gestion connectés à internet. Si vous limitez le nombre de composants que vous connectez à internet, vous réduisez la surface d'attaque. » En d'autres termes, vous réduisez le nombre de trappes dans l'environnement de l'entreprise qui sont visibles de l'extérieur.
Protégez-vous : détecter les comportements anormaux
La couche suivante est la détection de schémas anormaux sur le réseau de votre entreprise. « Lorsqu'une faille zero-day est exploitée, il se passe toujours quelque chose sur votre réseau qui s'écarte du schéma normal », explique N. Teusink. « Supposons qu'il y ait une vulnérabilité inconnue ou non résolue dans un navigateur, que vous visitiez un site Web et que cette faille zero-day soit exploitée par un attaquant. Ce dernier peut, par exemple, installer un petit programme sur vos systèmes et peut-être même une porte dérobée par laquelle il peut facilement y accéder ultérieurement. Un bon système de détection remarquera immédiatement qu'un programme est en cours d'installation sur le disque dur et que cela est inhabituel lors de la visite d'un site Web. À ce moment-là, la sonnette d'alarme se déclenche et vous pouvez intervenir. »
Protégez-vous : installez toutes les mises à jour
Dans une étape suivante, un bon logiciel de sécurité peut également arrêter les attaques qui se produisent sur les systèmes de votre entreprise après l'abus d'une faille zero-day. « Si une vulnérabilité zero-day est utilisée pour déployer un rançongiciel, un logiciel de sécurité peut s'en protéger et atténuer l'impact en arrêtant le déploiement à un stade précoce. » Bien que vous, en tant qu'entreprise, ne puissiez jamais vous protéger à 100 %, vous pouvez réagir face aux cybercriminels. « Toutes les vulnérabilités ne sont pas découvertes en premier par les cybercriminels. Les éditeurs de logiciels eux-mêmes recherchent activement les failles et vous enverront une mise à jour pour appliquer des correctifs. C'est pourquoi il est si important de toujours installer les mises à jour. De cette façon, vous fermez à chaque fois une ou plusieurs trappes dans le mur de vos logiciels. »
Vous souhaitez plus d'informations ?
Eye peut vous aider à protéger votre entreprise contre ce type d'attaques. Vous souhaitez en savoir plus ? Consultez cette page pour nous contacter.
