Les attaques de type « zéro day », aussi connues sous le nom de « zero hour attack », ont pour particularité d’exploiter des vulnérabilités logicielles encore non connues des différents acteurs de la sécurité informatique. Elles ne sont donc pas encore corrigées par les éditeurs software. Les hackers qui exploitent ces failles « zéro day » bénéficient en ce sens d’un avantage certain sur leurs cibles. Par Arnaud Cassagne, directeur technique Nomios.

Si leurs attaques sont bien préparées et pensées, ils peuvent très facilement prendre le contrôle d’une machine, dérober des informations confidentielles ou encore effectuer un déni de service sur un serveur sans qu’aucun des mécanismes de sécurité mis en œuvre au sein de l’infrastructure cible n’ait pu détecter la moindre activité malicieuse.

Malgré ce que l’on pourrait croire ces vulnérabilités sont nombreuses, bien qu’en général elles soient corrigées rapidement une fois découverte. La dernière faille de sécurité Java découverte en est un bel exemple qui aurait pu permettre à des hackers d’infecter un nombre non négligeable d’utilisateurs dans le monde.

La découverte de failles « zéro day » est actuellement un marché en pleine expansion. Il faut savoir, en effet, que beaucoup de hackers n’exploitent pas eux-mêmes les « trous de sécurité » qu’ils découvrent, mais sont rémunérés pour les partager. Certaines entreprises, comme Vupen, sont d’ailleurs spécialisées dans la recherche de vulnérabilités « zéro day » permettant ainsi aux éditeurs logiciels de corriger bon nombre de failles avant que celles-ci ne soient exploitées.

Des attaques difficiles à détecter…

Aujourd’hui nombreuses sont les sociétés équipées d’outils logiciels et équipements de sécurité informatique les rendant moins vulnérables aux attaques connues: Firewall, IPS, Proxies, Passerelle Anti-Spam, Anti-virus et autres…

Malheureusement ces dispositifs de sécurité ne sont pas infaillibles et les hackers arrivent parfois à leurs fins car ces outils s’appuient sur des bases de signatures, et des mécanismes de protection vous défendant contre des attaques connues. Les « zéro day », étant par définition inconnues des constructeurs et éditeurs de logiciels de sécurité, sont donc difficilement détectables.

De nombreuses techniques de détection d’activités malveillantes apparaissent dans l’objectif de protéger au mieux les infrastructures réseaux et les utilisateurs contre les « zéro day ». Par exemple, les éditeurs anti-virus ont, depuis un certain temps déjà, implémenté des moteurs capables d’effectuer des analyses heuristiques leur permettant de détecter de nouveaux malwares et des variantes de menaces connues. Ce mécanisme améliore en partie la protection des systèmes cibles, mais ne permet pas systématiquement de bloquer les attaques « zéro day ». Il répond partiellement au besoin, mais est souvent désactivée par les utilisateurs ou administrateurs car il génère de nombreux faux positifs.

Pour déjouer les nouvelles approches de protection implémentées par les éditeurs de logiciels de sécurité, les hackers conçoivent des malwares polymorphes changeant continuellement de formes et capables d’exploiter de multiples vulnérabilités « zero day ». Ces programmes malveillants restent aujourd’hui difficiles à détecter, malgré les progrès que font les constructeurs.

Les techniques de défense contre les « zéro day » se complexifient de plus en plus. Nos outils de sécurité doivent maintenant pouvoir détecter des attaques ciblées, non connues et exploitant des failles applicatives inconnues. Les éditeurs anti-virus continuent donc d’améliorer leurs moteurs et mettent en œuvre des méthodes de d’analyse comportementale plus approfondies : surveillance des actions entreprises en base de registre, du comportement des processus, lancement de process cachés…

De nouvelles sociétés et certains acteurs connus de la sécurité informatique ont décidé d’implémenter des modules de protection ciblant spécifiquement les attaques « zéro day ». Ils mettent en place des dispositifs de défense ayant la capacité de lancer des analyses poussées sur ce que peuvent télécharger les utilisateurs en faisant transiter ces éléments par des serveurs voués à détecter des « zero day » et disponibles dans le cloud. Cette méthode d’analyse est assez efficace et permettra souvent la détection d’attaques « zero day ». Mais ces technologies sont encore jeunes ; elles sont pour le moment limitées à certains types de fichiers ou types de vecteur de propagations (Web, mails, FTP par exemple).

Que faut-il faire pour être le moins vulnérable possible face à ces attaques ?

Pour faire face aux « zéro day », il faut prendre conscience que les installations de Firewalls, IPS et autres outils protégeant les infrastructures informatiques ne suffisent pas à les préserver des menaces :

• La majorité des pirates exploitent des failles de sécurité sur des machines non mises à jours. Maintenir les plateformes logicielles et vos outils à jour est donc primordial.

• L’utilisation, dans la mesure du possible, des mécanismes d’analyse comportementale fournis par les éditeurs d’outils de sécurité vous permettra de détecter certains malwares « zéro day ».

• Lancer régulièrement des tests d’intrusion apporte une réelle visibilité sur les faiblesses que peut contenir votre infrastructure.

• Dans la mesure du possible, il vous faut un maximum éviter de communiquer sur les versions de logiciels que vous utilisez au sein de votre infrastructure. Les serveurs, par exemple, sont par défaut assez « bavards » ; ils peuvent fournir des indications de versions permettant ainsi aux hackers de cibler les failles de sécurité qu’ils peuvent exploiter.

• Des alertes de sécurité relatives aux logiciels que vous pouvez utiliser paraissent régulièrement ; consultez les afin d’avoir connaissance des dernières failles importantes corrigées ou détectées (releases notes et « vulnerabilities list »).

De plus, de nouveaux outils traquant les attaques « zéro day » voient le jour. Ces dispositifs se basent sur des systèmes de virtualisation leur permettant d’ouvrir les fichiers que les utilisateurs téléchargent sur des machines virtuelles et d’analyser leur comportement. En procédant ainsi, ces solutions de sécurité bloquent de nombreux malwares exploitant des failles « zéro day » non détectées par les mécanismes de défense traditionnels.

Ces outils contre les « Next-generation threats » sont complémentaires aux solutions que les administrateurs connaissent et utilisent ; les méthodes d’analyse comportementale sur lesquels ils s’appuient sont une véritable avancée dans la protection contre les attaques « zéro day » et permettent aux exploitants de comprendre dans le détail les actions que peuvent entreprendre ces menaces.

Ces acteurs de la sécurité sont des palliatifs efficaces aux vulnérabilités « zéro day ». En développant une nouvelle philosophie d’analyse comportementale et continuant à améliorer leurs algorithmes de recherche de malwares, ces technologies font parler d’elles et seront, une fois démocratisées, incontournables dans le monde de la sécurité informatique.

Arnaud Cassagne, directeur technique Nomios