bouygues logo

Le Zéro Day

Comment exploiter les failles avant les Hackers ?

Le Zero Day c’est quoi ? :

Dans l’écosystème de la sécurité informatique, les professionnels et les hackers passent leur temps à jouer au jeu du chat et de la souris : les hackers cherchent des moyens d’intrusions en exploitant des vulnérabilités du système (appelés aussi exploit), tandis que le rôle des professionnels est de patcher la faille avant une éventuelle attaque.

Afin de conserver une avance face aux américain Google, a mis en place une é exploit encore non découvertes et explo day) : le « Project Zero ».

Cette équipe de professionnels triés sur le volet recherchent et compilent leurs découvertes sur leur blog. Il est d’ailleurs conseillé pour les responsables de la sécurité de leur entreprise de consulter régulièrement les documents du blog (disponible ici).

D’autres entreprises spécialistes en sécurité informatique (Kaspersky, Norton, McAfee ,etc.) possèdent eux aussi leurs équipes de chercheurs chargées de trouver des exploits zero day.

Exemple de faille Zero- Day récente :

Faille de sécurité sur Android O.S : L’équipe du « Project Zero » a découvert en octobre dernier une faille critique touchant le système d’exploitation mobile Android. L’équipe a rendu publique une liste non exhaustive d’une vingtaine de modèles qui touchés par cette faille (Samsung S7/S8/S9, Motorola Z3, LG Oreo, Xiaomi Redmi 5A/Note 5/A1, etc.). L’équipe a, par la suite, mis à disposition des correctifs dans le noyau Android pour les entreprises dont les produits sont touchés par cette faille.

Faille de sécurité sur Google Chrome : Ce sont les chercheurs de Kaspersky qui ont exhumé cette faille dans le navigateur le plus utilisé par les Français. Baptisé WizardOpium, cette faille permettait aux hackers d’injecter un malware dans des sites internet et forcer les navigateurs des internautes visitant ce site à télécharger un autre malware afin d’infecter leur système.

alt text La découverte de cette faille a permis aux équipes de Google de sortir un correctif (disponible dans le menu de chrome : cliquez sur « Aide » puis sur « A propos de Google chrome », la dernière mise à jour sera alors téléchargée).