Qu'est-ce qu'une zero-day ?
Une zero-day (jour zéro) est une vulnérabilité de sécurité inconnue de l'éditeur du logiciel concerné et pour laquelle aucun correctif n'existe au moment de sa découverte ou exploitation. Le terme "zero-day" fait référence au nombre de jours dont dispose l'éditeur pour développer et déployer un patch : zéro.
Ces vulnérabilités sont particulièrement dangereuses car elles peuvent être exploitées sans défense disponible, jusqu'à ce qu'un correctif soit développé et déployé.
Origine du terme
Le terme "zero-day" provient du fait qu'à partir du moment où la vulnérabilité est découverte ou exploitée, l'éditeur a zéro jour pour réagir avant que des attaquants puissent l'exploiter. Historiquement, il désignait aussi le temps entre la divulgation publique et la disponibilité d'un patch.
Aujourd'hui, le terme englobe les vulnérabilités non divulguées publiquement mais potentiellement exploitées par des attaquants, créant une fenêtre de vulnérabilité critique.
Cycle de vie d'une zero-day
La découverte peut provenir de chercheurs en sécurité, attaquants malveillants, ou audits internes. La divulgation à l'éditeur (si responsable) déclenche le développement d'un correctif.
La fenêtre d'exposition est la période critique où la vulnérabilité est exploitable sans défense. Le développement du patch par l'éditeur peut prendre de quelques jours à plusieurs mois selon la complexité.
La publication du correctif marque la fin de la zero-day, mais le risque persiste pour les systèmes non mis à jour. La déploiement du patch par les utilisateurs peut prendre encore des semaines ou mois.
Types de zero-day
La zero-day inconnue n'est connue que de son découvreur (chercheur ou attaquant). C'est la plus dangereuse car totalement invisible.
La zero-day exploitée est activement utilisée par des attaquants avant que l'éditeur en soit informé. La zero-day divulguée a été signalée à l'éditeur mais le patch n'est pas encore disponible.
La zero-day publique a été rendue publique (volontairement ou non) avant la disponibilité d'un correctif, exposant tous les systèmes.
Valeur et marché
Les zero-days ont une valeur considérable sur le marché : des dizaines de milliers à plusieurs millions de dollars selon la criticité et le logiciel ciblé. Les acheteurs légitimes incluent les éditeurs (bug bounty), gouvernements et entreprises de sécurité.
Le marché noir voit des zero-days vendues à des cybercriminels, groupes APT ou régimes autoritaires. Les brokers spécialisés facilitent ces transactions avec des contrats de non-divulgation.
Cette valeur économique explique pourquoi certains chercheurs gardent leurs découvertes secrètes plutôt que de les divulguer de manière responsable.
Exemples notoires
Stuxnet (2010) utilisait plusieurs zero-days pour cibler des centrifugeuses iraniennes, démontrant le potentiel destructeur. WannaCry (2017) exploitait EternalBlue, une zero-day de Windows divulguée par Shadow Brokers.
Pegasus (2016-présent) utilise régulièrement des zero-days iOS et Android pour espionner des cibles. Operation Aurora (2009) exploitait une zero-day Internet Explorer pour compromettre Google et autres entreprises.
Ces exemples illustrent comment des zero-days peuvent causer des dommages massifs avant qu'une défense ne soit disponible.
Détection et défense
La détection comportementale identifie des activités anormales même sans signature de la vulnérabilité spécifique. Les solutions EDR/XDR analysent les comportements suspects sur les endpoints.
Le sandboxing isole l'exécution de code suspect pour limiter les dommages. La microsegmentation réseau limite la propagation en cas d'exploitation réussie.
L'application whitelisting autorise uniquement les applications approuvées. Le principe du moindre privilège réduit l'impact d'une exploitation réussie.
Stratégies de mitigation
Le défense en profondeur combine plusieurs couches de sécurité : aucune ne bloque tout, mais ensemble elles réduisent le risque. L'isolation des systèmes critiques limite l'exposition aux zero-days.
La surveillance continue détecte les tentatives d'exploitation même si la vulnérabilité est inconnue. Le threat hunting recherche activement des signes d'exploitation de zero-days.
Les contrôles compensatoires réduisent le risque même sans patch : règles de pare-feu, désactivation de fonctionnalités, isolation réseau.
Divulgation responsable
La divulgation responsable informe l'éditeur avant publication publique, donnant du temps pour développer un patch. Les délais de grâce (typiquement 90 jours) permettent la correction avant divulgation.
Les programmes de bug bounty récompensent la divulgation responsable. Les coordonnateurs de vulnérabilités (CERT) facilitent le processus.
Cette approche équilibre sécurité publique et intérêts de l'éditeur, mais reste controversée quand les délais sont trop longs.
Impact organisationnel
Les zero-days créent une incertitude : impossible de savoir si on est vulnérable avant divulgation. Le coût de réponse est élevé : développement de correctifs, déploiement d'urgence, monitoring renforcé.
La réputation peut souffrir si une organisation est compromise via une zero-day. La conformité réglementaire peut être affectée si des données sont exposées.
Les organisations doivent assumer qu'elles peuvent être vulnérables à des zero-days non découvertes.
Tendances et évolutions
L'augmentation du nombre de zero-days découvertes reflète la complexité croissante des logiciels. L'exploitation rapide : les attaquants exploitent souvent les zero-days dans les heures suivant leur divulgation.
Le marché lucratif encourage la recherche et l'exploitation de zero-days. Les groupes APT investissent massivement dans leur acquisition.
L'automatisation de la détection de vulnérabilités pourrait réduire leur nombre, mais les logiciels complexes continueront d'en contenir.
Protection contre les zero-days
Aucune protection n'est parfaite contre les zero-days, mais plusieurs mesures réduisent le risque :
- Mise à jour rapide dès qu'un patch est disponible
- Défense en profondeur avec multiples couches de sécurité
- Monitoring comportemental pour détecter les anomalies
- Isolation des systèmes critiques
- Formation des équipes à reconnaître les signes d'exploitation
- Plan de réponse prêt pour réagir rapidement
Les zero-days représentent une réalité permanente de la cybersécurité moderne. Aucun logiciel n'est parfait, et des vulnérabilités inconnues existent toujours. La meilleure défense combine vigilance, défense multicouche et réactivité pour minimiser l'impact inévitable de ces menaces.