Dans le domaine de la sécurité informatique, une
vulnérabilité zero-day — également orthographiée 0-day — (en français : « jour
zéro ») est une vulnérabilité informatique n'ayant fait l'objet d'aucune
publication ou n'ayant aucun correctif connu.
L'existence d'une
telle faille sur un produit informatique implique qu'aucune protection
n'existe, qu'elle soit palliative ou définitive.
ANDREW CABALLERO-REYNOLDS/AFP
La terminologie « zero day » ne qualifie pas la gravité
de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des
dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire
d'une technique « exploitant » cette faille afin de conduire des actions
indésirables sur le produit concerné.
Cycle de sécurité
informatique type
A la gare de Francfort en Allemagne, un écran a subi
les inconvénients de l'attaque. La compagnie ferroviaire publique allemande
Deutsche Bahn fait partie des victimes. BORIS ROESSLER/AFP
La recherche de vulnérabilités informatiques (pour s'en
défendre ou les exploiter) est un domaine largement empirique.
Bien que les méthodes de protection soient en perpétuel
progrès, de nouvelles vulnérabilités sont découvertes en permanence.
Les criminels utilisent des bugs pour créer des
backdoors et rediriger le trafic à partir de ressources piratées.
Ces découvertes, fortuites ou fruits de recherches très
complexes, sont difficiles à anticiper.
C'est pourquoi une part importante de la sécurité
informatique consiste en des protections a posteriori.
Une attaque nouvelle est découverte par de la recherche
en sécurité ou à la suite d'une attaque identifiée d'un type non répertorié.
L'attaque est publiée et documentée.
Les sociétés productrices de logiciels (système
d'exploitation, antivirus, logiciel de communication...) étudient l'attaque
publiée et conçoivent des solutions qui sont intégrées dans les logiciels lors
de leur mise à jour périodique.
Ainsi, les machines concernées ne sont vulnérables à une
attaque donnée, que dans l'intervalle de temps allant de sa découverte à la
diffusion d'un correctif ou sa déclaration dans les bases d'antivirus et autres
logiciels de sécurité informatique.
Particularité de
la vulnérabilité zero day
La qualité de
vulnérabilité zero day n'est que transitoire.
Une vulnérabilité cesse d'être « zero day » dès qu'elle a
été identifiée par la communauté de la sécurité informatique.
Celle-ci n'a pas de caractéristiques techniques
particulières : elle peut être bénigne ou virulente, être d'application très
générale ou au contraire ne s'appliquer qu'à des configurations peu courantes.
L'attaque zero day
est en général capable de déjouer les protections existantes tant qu'elle n'a
pas été identifiée.
Utilisation des
vulnérabilités zero day
Par définition,
une vulnérabilité perd aussi son qualificatif « zero day » après son
exposition.
Elle est en général employée par des groupes restreints
d'utilisateurs pour des objectifs à fort enjeu.
Si l'attaque est discrète et si ses utilisateurs en font
un usage optimal, elle peut conserver ce statut durant une longue période de
temps.
La recherche de vulnérabilité zero day est en général
réalisée par des experts en informatique de haut niveau (à l'opposé des script
kiddies qui utilisent des attaques déjà publiées en tirant parti de lacunes
dans les mises à jour).
Ces vulnérabilités sont désormais l'objet d'un marché
naissant principalement à l'étranger, et des entreprises se sont spécialisées
dans leur découverte et leur revente (par exemple Vupen qui a fini par fermer
ses bureaux en France ou l'entreprise Zerodium aux États-Unis).
Selon un article de Forbes citant un pirate informatique
français, la valeur d'une vulnérabilité zero day variait en 2012 entre 5 000 $
et 250 000 $, suivant son efficacité et les logiciels concernés.
Mais pour les pays signataires de l'arrangement de
Wassenaar, le commerce de zero-day est réglementé par cet accord, par lequel,
en France notamment, l’État français doit donner son autorisation à
l'exportation.
Les vulnérabilités zero day sont notamment utilisées par
des attaquants possédant des moyens importants, tels que les services de
renseignement des pays industrialisés.
À titre d'exemple, le virus Stuxnet, employé par les
États-Unis contre le programme nucléaire iranien, utilisait plusieurs
vulnérabilités zero day.
Les limites des
services de renseignement
D'après les protocoles du « Vulnerability Equities
Process » (VEP) créé par le gouvernement des États-Unis, les agences de
renseignement américaines sont supposées — sous l'égide de la NSA — déterminer
collectivement si elles préfèrent révéler une vulnérabilité pour permettre au
développeur du logiciel de la corriger, ou bien si elles préfèrent l'exploiter.
L'attaque informatique du 12 mai 2017 qui a momentanément
affecté le National Health Service britannique et quelques douzaines d'autres
institutions russo-européennes — touchant 200 000 stations de travail à travers
150 pays, selon Europol — révèle l'échec des protocoles de gouvernement des
États-Unis pour avertir les développeur de logiciels et le secteur privé des
vulnérabilités des systèmes.
………………….
0Day-vulnérabilités
dans les plugins pour WordPress exploitant plusieurs groupes à la fois
Au moins deux groupes cybercriminels exploitent
activement les vulnérabilités des plugins WordPress les plus répandus.
Les pirates utilisent des bogues pour créer des comptes
d’administrateur sur des sites qui servent de portes dérobées et redirigent le
trafic à partir de ressources piratées.
En particulier, la vulnérabilité du jour zéro a été
découverte dans le plug-in Easy WP SMTP, dont l'audience dépasse les 300 000
utilisateurs.
Le programme est utilisé pour configurer SMTP sur les
serveurs.
Les premières attaques ont été remarquées vendredi
dernier par des spécialistes de NinTechNet.
Bien que le développeur du plug-in ait publié une version
révisée v1.3.9.1, les attaquants ont poursuivi leurs attaques pour tenter de
pirater autant de sites que possible, jusqu'à ce que les propriétaires
installent la mise à jour.
Selon Defiant, les attaques ont exploité la
fonctionnalité de configuration d'exportation / importation présentée dans Easy
WP SMTP 1.3.9 pour modifier les paramètres généraux du site, en particulier
pour activer l'enregistrement de nouveaux utilisateurs, ce que de nombreux
propriétaires désactivent pour des raisons de sécurité.
En modifiant l'option de gestion des autorisations, les
criminels pourraient créer un compte avec des droits d'administrateur pour les
abonnés.
Initialement, les attaquants ont modifié le paramètre
wp_user_roles, puis ont changé de tactique en passant à default_role.
En conséquence, tous les comptes créés ont reçu des
droits d’administrateur.
Selon Defiant,
cette méthode est utilisée par deux groupes de cybercriminels.
Les deux campagnes utilisent le même code PoC publié
auparavant par NinTechNet, mais la similarité se termine là.
Selon les experts, le premier groupe cesse ses activités
après la création d'un compte administrateur, tandis que le second agit de
manière plus agressive en redirigeant le trafic entrant vers des ressources
malveillantes, principalement vers de faux sites de support technique.
Une autre vulnérabilité, déjà activement exploitée par
des criminels, a été découverte dans le plugin Social Warfare installé sur plus
de 70 000 sites.
Le plugin est temporairement supprimé du référentiel
officiel WordPress, mais la version révisée (Social Warfare 3.5.3) est déjà
disponible.
Notez que selon Sucuri, en 2018, environ 90% des attaques
sur les systèmes de gestion de contenu ont eu lieu sur des sites WordPress.
Viennent ensuite Magento (4,6%), Joomla (4,3%) et Drupal
(3,7%) avec une marge considérable.
