Logo ETI Quitter la lecture facile

En ce moment

Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise

Posté le par Philippe RICHARD dans Informatique et Numérique

La plupart des attaques sont le fruit de codes malveillants « classiques » diffusés par email. Sensibilisés aux menaces numériques, les salariés peuvent en repérer certaines. D’autres peuvent être bloqués par les antivirus. Mais certaines cyberattaques reposent sur des failles dites « 0-day » qui sont par définition plus difficiles à repérer. Résultat, ces vulnérabilités font l’objet de surenchères.

Il y a un mois, l’Assistance Publique – Hôpitaux de Paris (AP-HP) annonçait avoir porté plainte après avoir constaté un vol de fichiers concernant des données sensibles de 1,4 million de personnes testées mi-mai 2020. Ces informations avaient été mises en ligne sur un site de téléchargement basé en Nouvelle-Zélande.

Un mois plus tard, les services de la BL2C (Brigade de lutte contre la cybercriminalité) ont interpellé un étudiant en informatique de 22 ans. Originaire du Var, il a justifié son action en expliquant qu’il souhaitait mettre en lumière les défaillances de sécurité du système informatique de santé, selon France Info.

Une faille pas repérée par les antivirus

Pour infiltrer le réseau d’AP-HP et récupérer cette base de données, cet étudiant a profité d’une faille dite « 0-day » dans un logiciel commercialisé par la société Hitachi Vantara. Ce type d’attaque consiste à exploiter une vulnérabilité dans un logiciel ou un automate avant qu’un correctif ne soit disponible ou largement déployé par l’éditeur de ce programme ou le fabricant de la machine.

Ces attaques peuvent être particulièrement dommageables, car les stratégies de cyberdéfense traditionnelles (comme les antivirus) sont inefficaces pour s’en protéger. Résultat, leur nombre ne cesse d’augmenter. Rappelons que la principale méthode de détection des antivirus repose sur leur base de signatures virales (l’autre solution étant l’analyse comportementale qui n’est pas toujours bien maîtrisée) qui ne peut pas être exhaustive et intégrer des virus ou des failles inconnus.

En permettant d’infiltrer un réseau informatique ou d’accéder au contenu d’un smartphone sans être repéré, les failles « 0-Day » font l’objet de surenchères. Tout le monde se les arrache et en particulier les grandes agences de renseignement du monde entier. Les « 0-day » impactent tous les systèmes d’exploitation, dont Windows, mais aussi les navigateurs et les OS mobiles. Selon différentes bases de données telles que « 0-day tracking project », près de 60 « 0-day » ont été découverts cette année, soit près du double du total par rapport à l’an passé.

2 500 000 dollars pour une faille « 0-day » !

Un vrai business avec des tarifs qui atteignent des sommets. Ceux proposés par exemple par l’entreprise Zerodium montrent une augmentation de 1 150 % des prix au cours des trois dernières années.

Se présentant comme un broker de failles critiques, Zerodium verse de grosses primes aux chercheurs en sécurité afin d’acquérir leurs « 0-day ». « Alors que la majorité des programmes de bug bounty existants acceptent presque tous les types de vulnérabilités et de PoCs, mais ne paient que très peu, chez Zerodium nous nous concentrons sur les vulnérabilités à haut risque avec des exploits entièrement fonctionnels et nous payons les récompenses les plus élevées du marché (jusqu’à 2 500 000 dollars par soumission) », affirme l’entreprise qui a reçu plus de 10 000 soumissions de la part de 1 500 experts en cybersécurité. Zerodium est né des cendres de Vupen Security, une entreprise montpelliéraine créée par de talentueux experts français partis s’exiler aux États-Unis.

Cet article se trouve dans le dossier :

Quels défis pour l'industrie française ?

L’industrie et les défis de la cybersécurité
Métavers, environnements virtuels : quelles applications pour les industries ?
L’industrie française face à la crise énergétique
L’industrie circulaire, une transition nécessaire
L’industrie parie sur la relocalisation
Pour en savoir plus : nos Webinars
Pour aller plus loin

Posté le par Philippe RICHARD


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !