Récemment, la communauté de la sécurité a été captivée – à la fois terrifiée et fascinée – par un ensemble d’outils d’attaque récemment divulgués. Dans cet ensemble, un certain nombre d’outils ont été conçus pour exploiter les vulnérabilités « jour zéro » pour le système d’exploitation Windows. Pour le blog de cette semaine, je vais essayer de faire la lumière sur ce que signifie ce jargon, pourquoi les bugs « zero day » sont craints par certains, et pourquoi il ne faut pas paniquer.

Le terme « jour zéro » a ses origines dans la communauté du piratage de logiciels. Pendant des décennies, les groupes de pirates ont rivalisé pour être les premiers à distribuer des jeux vidéo et des applications dont la protection contre la copie a été supprimée (un processus souvent techniquement difficile). Lorsqu’une copie non protégée du logiciel est disponible le jour même où le logiciel légitime a été publié, cela s’appelle traditionnellement « zero day warez ».

Plus souvent que le logiciel ne voudrait l’admettre, les carrières des chercheurs sur les vulnérabilités en sécurité informatique trouvent leur origine dans le piratage de la protection contre la copie. Cela finit par servir de formation croisée très efficace. Les mêmes compétences utilisées pour la rétro-ingénierie de la protection contre la copie et la conception de solutions de contournement sont directement applicables à la recherche de vulnérabilités dans les systèmes informatiques, les logiciels et les réseaux. Ainsi, une partie de la terminologie de la sécurité informatique est héritée de la sous-culture du piratage de logiciels et des pirates malveillants des années 80 et 90.

Le « jour zéro », en sécurité informatique, est un terme utilisé pour décrire les nouvelles vulnérabilités identifiées dans les logiciels. Ces vulnérabilités peuvent être exploitées par des attaquants pour accéder à vos systèmes et réseaux. Les définitions exactes varient (et sont souvent débattues inutilement), mais le terme « jour zéro » est généralement réservé aux vulnérabilités pour lesquelles aucun correctif ou correctif n’est encore disponible.

Ceci est particulièrement dangereux lorsque ces informations de vulnérabilité sont rendues publiques, car les attaquants peuvent les utiliser pour attaquer de nombreux systèmes qui n’ont pas encore été corrigés, comme la récente attaque de ransomware WannaCry. Ce danger est aggravé lorsque les vulnérabilités sont « distantes », ce qui signifie qu’elles peuvent être exploitées sur un réseau sans avoir à se connecter au préalable.

Les vulnérabilités Windows récemment divulguées sont relativement uniques en ce qu’elles sont distantes et exploitables de manière fiable (certaines vulnérabilités sont trop difficiles à exploiter pratiquement par des attaquants). Les exploits pour ces vulnérabilités sont facilement disponibles et faciles à utiliser par les pirates. Heureusement, leur statut de « jour zéro » est relativement de courte durée. Les correctifs sont disponibles dès maintenant pour la plupart d’entre eux auprès de Microsoft dans Windows Update.

Bien que des correctifs soient disponibles, ces vulnérabilités seront largement exploitées pendant des années. Si vous interrogez un pirate informatique ou un testeur d’intrusion sur les exploits à distance fiables contre Windows, ils afficheront immédiatement « MS08-067 » (familièrement nommé d’après le bulletin Microsoft qui décrit le correctif correspondant). Même si cette vulnérabilité a été corrigée en 2008, elle est fréquemment utilisée dans les formations aux tests d’intrusion (car elle est très facile à exploiter), et encore parfois rencontrée « à l’état sauvage » sur des systèmes mal entretenus. Les vulnérabilités récemment révélées rejoindront MS08-067 pour avoir une longue durée de vie.

Devriez-vous vous inquiéter des vulnérabilités « jour zéro » ? Les attaques WannaCry ont définitivement ouvert les yeux de nombreuses personnes. Oui, tu devrais t’inquiéter. De toute évidence, vos pratiques de sécurité doivent inclure une gestion efficace des correctifs qui maintient les systèmes à jour, mais comment pouvez-vous empêcher l’exploitation de vulnérabilités dont vous n’avez même pas connaissance ?

Se protéger contre les inévitables « inconnues inconnues » des vulnérabilités nécessite plus qu’une simple gestion des correctifs. Il est important de minimiser votre surface d’attaque – les parties de votre réseau avec lesquelles un attaquant a la possibilité d’interagir et d’attaquer. De nombreuses vulnérabilités exploitées dans des violations du monde réel se retrouvent dans des systèmes qui n’avaient pas besoin de faire face à l’Internet public en premier lieu.

La défense en profondeur vous aidera à surmonter le besoin de craindre le « jour zéro ». Engagez votre personnel de sécurité informatique ou votre fournisseur. Discutez de la façon d’examiner votre surface d’attaque et de la minimiser. Et surveillez attentivement tout ce qui reste ! De nouvelles vulnérabilités sont divulguées et exploitées quotidiennement. Certaines sont plus sérieuses que d’autres, mais votre objectif doit être de vous assurer qu’aucune d’entre elles ne devienne le maillon faible de votre organisation.