Femme travaillant dans un bureau sur un PC de bureau avec deux écrans

Qu'est-ce qu'une attaque Zero Day ?

Les attaques Zero Day sont un type de logiciel malveillant qui exploite les failles du code logiciel pour lancer une cyberattaque difficile à détecter. La plateforme Intel vPro® intègre des fonctionnalités de sécurité matérielles qui permettent de se protéger contre les attaques Zero Day.

Comprendre les attaques Zero Day

  • Les vulnérabilités zero Day sont des faiblesses dans le code développé.

  • Les attaques Zero Day tirent parti de ces vulnérabilités avec des virus et des logiciels malveillants.

  • Lorsque les pirates exploitent ces vulnérabilités, ils peuvent lancer une attaque Zero Day susceptible de compromettre le système avant qu'un correctif puisse être créé ou appliqué.

  • Les logiciels antivirus peuvent bloquer les logiciels malveillants connus, mais les logiciels malveillants zero day sont nouveaux. Leur signature peut donc échapper à la détection.

  • Les fonctionnalités de sécurité activées par le matériel de la plateforme Intel vPro® peuvent protéger contre les attaques Zero Day.

author-image

Par

Lors d'une attaque Zero Day, les pirates profitent des failles du code logiciel pour concevoir et injecter des logiciels malveillants. Les solutions de sécurité logicielles peuvent être efficaces pour détecter les menaces connues, mais pas pour les nouvelles menaces ou variantes. Mettre en œuvre une stratégie de cybersécurité complète qui prévoit d'utiliser des terminaux avec une sécurité matérielle intégrée, comme celle offerte par les PC basés sur la plateforme Intel vPro®, peut permettre de protéger les entreprises contre les attaques Zero Day.

Définir les attaques et les vulnérabilités Zero Day

Une vulnérabilité zero-day est une faille dans un code informatique qui peut être exploitée par des pirates. Si les développeurs et les services informatiques ne sont pas avertis à l'avance du bug, on dit qu'ils disposent de « zéro jour » pour réparer les dégâts et bloquer la menace.

Une vulnérabilité zero day est souvent déjà présente lorsque le code est développé. Les pirates peuvent découvrir le code défectueux et la vulnérabilité qui en résulte, même si le problème n'est pas détecté par les développeurs, les équipes informatiques et les utilisateurs professionnels.

Les pirates tirent ensuite parti de la vulnérabilité en développant des logiciels malveillants ou des virus difficiles à détecter, puis l'exploitent en lançant une attaque Zero Day.

Les attaques Zero Day peuvent constituer une menace sérieuse pour la cybersécurité et l'intégrité des données d'une entreprise. Lors du lancement du logiciel infecté ou du démarrage d'un système, le logiciel malveillant préexistant peut infecter l'application, le système d'exploitation, le microprogramme et/ou la mémoire du système, et ainsi compromettre les données et les fonctionnalités d'un appareil individuel ou d'un réseau entier.

Comment fonctionnent les attaques Zero Day

Les pirates informatiques transforment parfois les kits d'exploitation en armes et les vendent sur le dark web. D'autres pirates paient pour ces kits d'exploitation afin de pouvoir lancer leurs propres attaques Zero Day, notamment des ransomware lucratifs, du cryptojacking ou d'autres menaces avancées, et ainsi multiplier le nombre d'attaques potentielles.

Dans une attaque Zero Day, les pirates peuvent tirer parti d'un kit d'exploitation actif ou d'un logiciel malveillant conçu autour d'une faille connue dans le code d'une application, d'un système d'exploitation ou d'une autre ressource logicielle. Si le logiciel malveillant est une nouvelle variante, ou s'il ne possède pas de signature ou de modèle de comportement unique, il peut échapper à la détection des solutions logicielles de sécurité.

Cibles d'une attaque Zero Day

Les fournisseurs de logiciels en tant que service (SaaS) et les fournisseurs de services gérés (MSP) sont des cibles populaires pour les attaques Zero Day, car ces entités partagent les mises à jour logicielles directement avec de nombreuses entreprises. Une attaque Zero Day sur un SaaS ou un MSP peut évoluer rapidement.

Une variante de l'attaque Zero Day est appelée attaque de la chaîne d'approvisionnement logicielle, car elle s'infiltre dans une application logicielle, un système d'exploitation ou une mise à jour avant sa distribution. Dans une attaque de la chaîne d'approvisionnement, le logiciel malveillant est déployé dans le code légitime pour masquer la signature et le comportement malveillants.

Ces menaces sont définies comme des logiciels malveillants « sans fichier », car ils ne nécessitent pas de téléchargement ou d'installation sur le système cible. Au lieu de cela, le code malveillant peut détourner des outils système légitimes et fonctionner en mémoire sans jamais être stocké sur le disque dur.

Détecter les attaques Zero Day

Une attaque Zero Day peut générer un trafic inattendu ou une activité suspecte. Les experts en informatique ou en sécurité peuvent donc parfois détecter les attaques Zero Day en analysant le trafic Internet, en examinant le code et en déployant des technologies de détection des logiciels malveillants. Même si les attaques Zero Day sont nouvelles et inconnues, elles peuvent partager certaines caractéristiques communes avec des logiciels malveillants connus.

Le comportement du code suspect et la nature de ses interactions avec le système cible peuvent fournir des indices. Un modèle de comportement inhabituel peut souvent être détecté et signalé pour inspection en utilisant le machine learning.

Certaines menaces zero day échappent toutefois à la détection et sont découvertes par un utilisateur qui constate que le logiciel se comporte de manière suspecte. Dans d'autres cas, un développeur observateur ou chanceux peut reconnaître une vulnérabilité Zero Day avant que le code ne soit publié, ce qui permet d'éviter une attaque réelle.

Prévenir les attaques Zero Day

Les attaques Zero Day représentent un sérieux défi pour les équipes informatiques. Réduire la probabilité d'une attaque nécessite une stratégie de cybersécurité à plusieurs niveaux pour traiter de manière proactive les menaces connues et se préparer à l'inconnu par le biais de bonnes pratiques et en sécurisant les terminaux.

Mesures proactives

Être vigilant en matière d'inspection, de correction et de maintenance du code permet de réduire la vulnérabilité d'une entreprise aux attaques Zero Day.

Un antivirus et une analyse fréquente peuvent également permettre de détecter les logiciels malveillants connus et de prévenir de nombreuses failles de sécurité. Les développeurs et les utilisateurs américains enregistrent les failles découvertes et corrigées dans une base de données CVE (Common Vulnerabilities and Exposures). Celle-ci est maintenue et diffusée par le ministère américain de la sécurité intérieure avec le soutien de nombreuses entreprises technologiques. L'Agence de l'Union européenne pour la cybersécurité (ENISA) travaille également sur une base de données régionale pour la divulgation coordonnée des vulnérabilités (CVD, coordinated vulnerability disclosure) afin d'inclure les données et les rapports des pays membres de l'UE.

Il est important que les équipes informatiques se tiennent au courant des derniers CVE et vérifient que leurs solutions de sécurité tiennent compte de toutes les menaces connues.

De plus, les attaques Zero Day peuvent prendre la forme de logiciels malveillants sans fichier qui contournent les solutions de sécurité uniquement logicielles et s'insinuent directement dans la mémoire du système. Les entreprises peuvent ajouter un autre niveau de défense aux protections logicielles en déployant des terminaux dotés de capacités de sécurité matérielles intégrées.

Au-delà des solutions techniques, prévenir les cyberattaques implique également de former les employés, car les utilisateurs individuels des systèmes sont souvent la cible des pirates. Certains pirates diffusent des codes malveillants (notamment des logiciels malveillants zero day) par le biais de l'ingénierie sociale ou du phishing. Les utilisateurs individuels doivent donc être formés pour éviter d'interagir avec des applications et des fichiers suspects qui peuvent être livrés par e-mail, texte ou navigateur.

Détection des menaces et gestion des correctifs

La plupart des stratégies et outils de cybersécurité reposent sur la connaissance préalable d'une faille, d'un exploit ou d'une cybermenace spécifique. Il est par exemple toujours bon de maintenir les logiciels à jour grâce à une gestion cohérente et proactive des correctifs. Toutefois, les correctifs des vulnérabilités zero-day ne sont pas encore disponibles puisque celles-ci ne sont pas encore découvertes.

La détection basée sur les signatures est une autre fonctionnalité des solutions antivirus traditionnelles. Les variantes connues des logiciels malveillants ont des caractéristiques uniques qui peuvent être découvertes et bloquées. Encore une fois, les logiciels malveillants zero day étant inconnus, leur signature ne sera pas reconnaissable.

C'est là que les fonctionnalités de sécurité matérielles peuvent être les plus utiles, pour compléter et renforcer les solutions purement logicielles. La sécurité matérielle permet de détecter et de se défendre contre les logiciels malveillants zero day qui s'attaquent à la mémoire du système, au microprogramme, au BIOS ou à d'autres couches de la pile technologique situées sous le système d'exploitation ou le logiciel d'application.

Le bon matériel peut également accélérer le chiffrement à forte intensité de calcul qui protège les données et contribuer à réduire les surfaces d'attaque du système. Les accélérateurs matériels peuvent également prendre en charge l'intelligence artificielle (IA) pour améliorer la reconnaissance des formes et identifier les comportements anormaux.

Un logiciel de sécurité optimisé pour ces fonctionnalités matérielles peut être plus efficace pour détecter un comportement anormal dans une application ou un autre code. Ces anomalies peuvent être de puissants indicateurs d'attaques Zero Day et d'autres menaces avancées.

Exemples d'attaques Zero Day

En 2020, une grande entreprise informatique américaine a été la cible d'une attaque Zero Day. Des pirates ont ajouté du code malveillant au logiciel de l'entreprise, et celle-ci a distribué sans le savoir le code vicié à ses clients dans le cadre d'une mise à jour de routine. Paradoxalement, le logiciel compromis était un produit de surveillance de réseau.

Le logiciel malveillant a installé une « porte dérobée » pour accéder aux clients de l'entreprise. Selon un rapport du Wall Street Journal, la violation a été découverte des mois après, entraînant des vulnérabilités zero-day dans pas moins de 18 000 entreprises, notamment des centaines de grandes sociétés et d'agences gouvernementales.1

Toujours en 2020, des pirates ont pu accéder à des PC plus anciens dotés de logiciels obsolètes grâce à une attaque Zero Day visant une plateforme de vidéoconférence populaire. Les pirates ont pu prendre le contrôle à distance des PC des utilisateurs et voler environ 500 000 mots de passe, qui ont ensuite été proposés à la vente sur le dark web.2

Se protéger contre les attaques Zero Day avec la plateforme Intel vPro®

La plateforme Intel vPro® offre des fonctionnalités de sécurité matérielles qui permettent de protéger toutes les couches de la pile informatique contre les attaques Zero Day et autres menaces avancées. Ces capacités uniques permettent de réduire la surface d'attaque du système en verrouillant les ressources critiques afin d'empêcher le code malveillant de compromettre le système d'exploitation, les applications, la mémoire et les données.

Intel® Hardware Shield

Les capacités de sécurité de la plateforme Intel vPro® reposent sur Intel® Hardware Shield, un ensemble de fonctionnalités activées dans le silicium. Intel® Hardware Shield permet de réduire le risque d'infection par des logiciels malveillants, notamment les attaques Zero Day, en verrouillant la mémoire dans le BIOS lorsque des logiciels sont en cours d'exécution. Intel® Hardware Shield prend en charge le démarrage sécurisé afin que les logiciels malveillants soient moins susceptibles de compromettre le système d'exploitation. De nombreuses solutions logicielles de sécurité de premier plan sont optimisées pour Intel® Hardware Shield afin de tirer parti d'un chiffrement matériel accéléré et de prévenir les cyberattaques.

  • Intel® Threat Detection Technology (Intel® TDT) permet aux fournisseurs de logiciels de sécurité de renforcer leurs solutions de sécurité des terminaux en augmentant et en améliorant les détecteurs comportementaux de leurs propres solutions de sécurité avec des capteurs matériels qui profilent les logiciels malveillants lorsqu'ils s'exécutent sur le processeur. Intel® TDT interagit avec la télémétrie matérielle pour découvrir les vulnérabilités zero-day et autres menaces avancées.
  • La détection des comportements anormaux (ABD) est un composant Intel® TDT qui permet de découvrir les cyberattaques difficiles à détecter qui s'infiltrent dans des applications ou des processus système valides. Ces variantes de logiciels malveillants peuvent devenir des menaces zero day car elles sont cachées dans des processus légitimes et peuvent échapper aux méthodes de détection basées sur le comportement. ABD suit l'exécution logicielle dans le CPU et construit des modèles dynamiques d'IA du comportement des applications. Elle compare ensuite les comportements inhabituels ou anormaux aux modèles « bons et connus » pour découvrir les menaces cachées.
  • Intel® Control-Flow Enforcement Technology (Intel® CET) est une capacité des processeurs mobiles Intel® Core™ de 11ᵉ et 12ᵉ générations. Intel® CET permet de se défendre contre les attaques de la mémoire du système.

Approches multicouches de la protection Zero Day

Les attaques Zero Day sont insaisissables, mais une approche multicouche peut permettre de protéger les appareils, les utilisateurs et les réseaux vulnérables.

Dans un premier temps, les équipes informatiques doivent maintenir des solutions de sécurité robustes et proactives, notamment des logiciels antivirus et une gestion des correctifs. Il est également important d'apprendre aux utilisateurs à respecter les politiques de sécurité, à choisir des mots de passe forts, à éviter d'interagir avec des codes suspects et à protéger les informations personnelles qui pourraient être exploitées par des pirates.

Toutefois, la protection offerte par les solutions logicielles contre les attaques Zero Day n'est pas toujours suffisante. Une approche globale doit donc inclure une couche de sécurité matérielle. Les terminaux basés sur la plateforme Intel vPro® renforcent les logiciels de sécurité avec des capacités matérielles qui permettent de réduire la surface d'attaque du système et de défendre l'ensemble de la pile technologique contre les menaces Zero Day.

Les produits Intel® prennent en charge la protection Zero Day

Les produits, plateformes et technologies Intel® offrent des fonctionnalités de sécurité matérielles qui permettent de protéger toutes les couches de la pile informatique, notamment les microprogrammes, la mémoire et d'autres fonctionnalités qui ne peuvent être protégées par des solutions de sécurité purement logicielles.

Plateforme Intel vPro®

La plateforme Intel vPro® est une plateforme informatique d'entreprise éprouvée, avec une sécurité matérielle intégrée capable de détecter les ransomware, les attaques de la chaîne d'approvisionnement des logiciels, les attaques Zero Day et d'autres menaces avancées.

Explorez la plateforme Intel vPro®

Intel® Hardware Shield

Intel® Hardware Shield contribue à réduire le risque d'infection par des logiciels malveillants, notamment les attaques Zero Day, en verrouillant la mémoire dans le BIOS et en prenant en charge le démarrage sécurisé.

Découvrez Intel® Hardware Shield

Technologie Intel® Threat Detection (Intel® TDT)

Intel® TDT permet de surveiller les cyberattaques et d'augmenter les performances de sécurité au niveau matériel. Les solutions de sécurité des points de terminaison peuvent s'appuyer sur Intel® TDT pour découvrir des attaques avancées qui échappent à la plupart des autres méthodes de détection.

En savoir plus sur Intel® TDT

Détection de comportements anormaux par Intel® TDT

Intel® TDT comprend un système de détection des comportements anormaux (ABD) activé par l'IA qui surveille les logiciels pour détecter les premières indications de compromission.

Lire le livre blanc

Renforcement du système

En renforçant le système, les administrateurs informatiques identifient et traitent les failles de sécurité dans l'ensemble de leur environnement informatique.

Comprendre le renforcement du système

Voir plus Voir moins

FAQ

Foire aux questions

Les attaques et vulnérabilités Zero Day sont des problèmes qui sont déjà présents dans le code avant son déploiement. La faille doit être corrigée dès que les bugs sont découverts pour éviter d'autres violations de la sécurité. Les équipes informatiques ont donc « zéro jour » pour réagir à partir du moment où le problème est identifié.

Les experts en informatique ou en sécurité peuvent parfois découvrir des attaques Zero Day en analysant le trafic Internet, en examinant le code et en déployant des technologies de détection des logiciels malveillants. Certaines menaces zero day contournent ces précautions, et sont découvertes par un utilisateur qui constate que le logiciel se comporte de manière suspecte. Dans d'autres cas, un développeur peut reconnaître une vulnérabilité Zero Day avant que le code ne soit publié, ce qui permet d'éviter une attaque réelle.

Une fois une attaque Zero Day identifiée, les fournisseurs de solutions de sécurité peuvent être alertés pour ajouter des signatures antivirus et d'autres protections susceptibles de bloquer la nouvelle menace.

Infos sur le produit et ses performances

1Kevin Poulsen, Robert McMillan et Dustin Volz, “SolarWinds Hack Victims: From Tech Companies to a Hospital and University,” The Wall Street Journal, 21 décembre 2020, wsj.com/articles/solarwinds-hack-victims-from-tech-companies-to-a-hospital-and-university-11608548402.
2Davey Winder, “Zoom Gets Stuffed: Here’s How Hackers Got Hold of 500,000 Passwords,” Forbes, 28 avril 2020, forbes.com/sites/daveywinder/2020/04/28/zoom-gets-stuffed-heres-how-hackers-got-hold-of-500000-passwords/?sh=4f5489725cdc.