Les failles zero-day sont l'une des principales menaces pour la sécurité informatique moderne, en particulier sur les appareils mobiles. Omniprésentes mais difficiles à détecter, elles constituent la principale porte d'entrée pour les logiciels espions et malveillants les plus sophistiqués. Cet article vous explique tout ce que vous devez savoir sur ce type de vulnérabilités critiques.
Qu'est-ce qu'une faille zero-day ?
Le terme "zero-day" (ou vulnérabilité du "jour zero" en français) désigne une faille de sécurité présente dans un logiciel, système d'exploitation ou matériel informatique qui n'a pas encore été corrigée ou même découverte par ses développeurs. Il s'agit d'une vulnérabilité inconnue et non comblée, permettant aux pirates de l'exploiter pendant une période indéterminée.
La dangerosité des zero-day réside dans leur caractère furtif et indétectable par les logiciels de sécurité traditionnels. Une vulnérabilité inconnue restera évidemment non comblée par les mises à jour et correctifs. Les pirates profitent de cette fenêtre d'opportunité pour concevoir et utiliser des codes d'exploitation malveillants capables de compromettre les systèmes.
Développement et marché noir des failles zero-day
Les failles zero-day sont souvent le fruit d'un long travail d'analyse et de recherche de vulnérabilités par des experts en cybersécurité offensive. Il s'agit d'un processus complexe consistant à examiner méticuleusement le code source et le fonctionnement des logiciels et systèmes d'exploitation afin de déceler la moindre faille exploitable. Cette expertise est extrêmement convoitée et recherchée.
De nombreux pirates informatiques, groupes de cybercriminels, agences gouvernementales ou entreprises privées de cybersécurité investissent ainsi des ressources considérables dans le développement de codes d'exploitation ou "exploits" tirant parti de ces failles zero-day. Selon leur nature, ces vulnérabilités critiques peuvent être vendues jusqu'à plusieurs millions de dollars sur les marchés spécialisés, notamment auprès d'États soucieux d'accroître leurs capacités offensives dans le cyberespace.
Cibler les failles zero-day sur mobile
Depuis plusieurs années, les cybercriminels, groupes de piratage étatiques et développeurs de logiciels espions concentrent une partie de leurs efforts de recherche de failles zero-day sur les systèmes d'exploitation mobiles comme Android ou iOS.
L'omniprésence croissante des smartphones dans notre société, ainsi que la masse de données personnelles et professionnelles sensibles qui y transitent, en font la cible de choix principal pour l'espionnage numérique et le déploiement de logiciels malveillants.
Contrairement aux systèmes informatiques des ordinateurs, un smartphone peut plus facilement être compromis à distance, car en permanence connecté à internet et avec une ligne ouverte permettant de reçevoir SMS, MMS, message vocal ou lien malveillant.
Pegasus, Predator et autres logiciels espions utilisent justement des failles zero-day pour s'infiltrer dans les smartphones et tablettes de leurs cibles. Le caractère initialement indétectable de ces vulnérabilités critiques représente un avantage stratégique décisif pour ces programmes d'espionnage haut de gamme.
Ecosystème iOS propice aux failles zero-day ?
Bien que de nombreux experts s'accordent sur la robustesse générale du système d'exploitation iOS d'Apple en matière de sécurité, l'écosystème mobile de la marque à la pomme recèle certaines caractéristiques le rendant vulnérable aux failles zero-day. Selon les chercheurs en cybersécurité, cela s'explique principalement par trois facteurs clés.
Tout d'abord, iOS est un système très fermé, ce qui complique énormément la tâche des experts indépendants dans leur recherche pour identifier et signaler les potentielles failles zero-day. Seule une poignée d'ingénieurs travaillant pour Apple ont accès au code source complet, bridant considérablement les possibilités d'audit externe du système. Apple travaille à ouvrir son système poussé par la commission européenne et propose désormais un programme dédié aux chercheurs en cybersécurité avec des outils et appareils spéfiques.
Par ailleurs, les composants iOS tels que le moteur de navigation Safari, les services de géolocalisation ou encore le gestionnaire de messages iMessage sont des surfaces d'attaque très vastes. Leur connectivité permanente avec de multiples serveurs distants et leur besoin d'analyser du contenu externe non fiable (emails, messages, sites web, etc) les exposent fortement à l'exploitation de failles inconnues.
Enfin, l'incapacité d'Apple à corriger rapidement toute nouvelle vulnérabilité majeure découverte sur iOS contribue à ouvrir des fenêtres de tir intéressantes pour les attaquants en possession de failles zero-day. Le géant californien ne peut procéder à une mise à jour système immédiate et forcée sans validation préalable de l'utilisateur. Vous devez pour mettre à jour votre iPhone vous rendre dans les réglages de votre appareil ou attendre la notification de proposition.
Utilisation des failles zero-day pour l'infection initiale
L'une des principales utilisations des failles de sécurité zero-day réside dans leur capacité à permettre l'infection initiale d'un appareil mobile par un logiciel malveillant, notamment les logiciels espions de dernière génération. De par leur caractère indétectable tant qu'elles ne sont pas corrigées, ces vulnérabilités représentent la porte d'entrée idéale pour un code d'exploitation malveillante.
Les développeurs de logiciels espions comme Pegasus, Predator ou d'autres programmes similaires concentrent d'immenses efforts pour identifier et développer des exploits tirant parti de failles zero-day critiques affectant les différents systèmes d'exploitation mobiles.
Parmi les principales techniques utilisées, on retrouve l'exploitation de vulnérabilités zero-day :
- Dans les navigateurs web mobiles pour déclencher une compromission en forçant la visite d'un site web piégé
- Dans les applications de messagerie comme iMessage, WhatsApp ou encore Signal pour infecter l'appareil lors de la simple réception d'un message
- Dans les composants de connexion sans fil Wi-Fi ou Bluetooth pour injecter le code malveillant une fois à proximité de la victime
- Dans les systèmes de mise à jour Over-The-Air pour remplacer une mise à jour légitime par un logiciel malveillant
Compte tenu de leurs capacités de compromission totalement furtive, les vulnérabilités zero-day critiques représentent aujourd'hui l'une des principales cibles de la cybersécurité offensive, que ce soit pour les groupes étatiques, les sociétés de logiciels espions militaires, les agences de renseignement ou les cybercriminels. De nombreuses unités d'élite de "chasse aux zéro-day" ont ainsi été mises en place pour détecter et exploiter ces failles déterminantes.
Google à la manoeuvre avec son Project Zero.
L'équipe Project Zero de Google est sans doute l'une des plus connues. Créée en 2014, elle regroupe d'éminents experts en cybersécurité chargés d'étudier de manière proactive les logiciels populaires de Google, Apple, Microsoft ou encore des grandes distributions Linux pour débusquer en permanence de potentielles failles zero-day.
Lorsqu'une vulnérabilité critique est identifiée, une procédure de divulgation coordonnée est entamée avec les éditeurs concernés, qui disposent alors de 90 jours pour résoudre le problème avant qu'il ne soit rendu public. Cette approche transparente vise à améliorer la sécurité globale des écosystèmes en dopant la réactivité des correctifs.
Cette politique ferme de divulgation a cependant valu des critiques à Google, certains estimant que la publication d'informations sur ces failles les expose trop rapidement à une exploitation malveillante avant qu'elles ne soient colmatées.
Zero Day Initiative de Trend Micro
Créée dès 2005, la Zero Day Initiative de l'éditeur de sécurité Trend Micro est considérée comme le premier programme dédié commercialement à la recherche mondiale des failles zero-day affectant tous les logiciels, composants et systèmes d'exploitation majeurs.
Fonctionnant sur un modèle comparable au Project Zero de Google, cette équipe travaille sur l'identification proactive des vulnérabilités non découvertes puis procède à leur publication coordonnée de manière responsable. En parallèle, ZDI propose également un service payant de vente légitime et encadrée de ces failles zero-day à des clients agréés comme les agences gouvernementales et entreprises de cybersécurité. En 2021, selon la marque, TrendMicro a détectée 64% des failles 0-day découvertes durant l'année.
Toutes ces initiatives visent à résoudre ce problème majeur de sécurité.