Un des mantras de la sécurité de l'information est de garder vos systèmes corrigés et mis à jour. Au fur et à mesure que les fournisseurs découvrent de nouvelles vulnérabilités dans leurs produits, que ce soit par des chercheurs tiers ou par le biais de leurs propres découvertes, ils créent des correctifs, des correctifs, des service packs et des mises à jour de sécurité pour réparer les failles.
Le Saint-Graal pour les auteurs de programmes malveillants et de virus est le «exploit zéro jour». Un exploit «jour zéro» correspond au moment où l'exploit pour la vulnérabilité est créé avant ou le jour même où le fabricant apprend la vulnérabilité. En créant un virus ou un ver qui tire parti d'une vulnérabilité, le fournisseur n'en est pas encore conscient et pour lequel il n'existe actuellement aucun correctif, l'attaquant peut causer le plus de dégâts possible.
Certaines vulnérabilités sont qualifiées de vulnérabilités d’exploitation zéro jour par les médias, mais la question est «jour zéro» selon le calendrier de qui? Souvent, le fournisseur et les principaux fournisseurs de technologies sont informés d'une vulnérabilité, plusieurs semaines voire plusieurs mois avant la création d'un exploit ou avant la divulgation publique de la vulnérabilité.
La vulnérabilité SNMP (Simple Network Management Protocol) annoncée en février 2002 en est un exemple frappant. Des étudiants de l’Université d’Oulu en Finlande ont découvert les failles à l’été 2001 alors qu’ils travaillaient sur le projet PROTOS, une suite de tests conçue pour tester SNMPv1. (version 1).
SNMP est un protocole simple permettant aux périphériques de communiquer entre eux. Il est utilisé pour la communication entre périphériques et pour la surveillance et la configuration à distance des périphériques réseau par les administrateurs. SNMP est présent dans le matériel réseau (routeurs, commutateurs, concentrateurs, etc.), les imprimantes, les copieurs, les télécopieurs, les équipements médicaux informatisés haut de gamme et dans presque tous les systèmes d'exploitation.
Après avoir découvert qu'ils pouvaient bloquer ou désactiver des périphériques à l'aide de leur suite de tests PROTOS, les étudiants de l'Université d'Oulu ont discrètement averti les pouvoirs en place et le message a été adressé aux fournisseurs. Tout le monde restait assis sur cette information et la gardait secrète jusqu'à ce qu'il soit révélé au monde que la suite de tests PROTOS, qui était librement et publiquement disponible, pouvait être utilisée comme code d'exploitation pour détruire les périphériques SNMP. Ce n'est qu'alors que les fournisseurs et le monde entier se sont démenés pour créer et publier des correctifs afin de remédier à la situation.
Le monde a paniqué et cela a été traité comme un exploit du jour zéro alors qu’en fait plus de 6 mois se sont écoulés depuis le moment où la vulnérabilité a été découverte. De même, Microsoft détecte régulièrement de nouvelles failles ou est régulièrement averti de la présence de nouvelles failles dans ses produits. Certaines d'entre elles sont une question d'interprétation et Microsoft peut ou non accepter qu'il s'agit en fait d'une faille ou d'une vulnérabilité. Cependant, même pour bon nombre de ceux qui sont d’accord, il convient de reconnaître que des vulnérabilités pourraient prendre des semaines ou des mois avant que Microsoft publie une mise à jour de sécurité ou un service pack corrigeant le problème.
Une organisation de sécurité (PivX Solutions) maintenait à jour une liste de vulnérabilités de Microsoft Internet Explorer que Microsoft avait été informée mais n'avait pas encore corrigée. Il existe d’autres sites sur le Web fréquentés par des pirates informatiques qui maintiennent des listes de vulnérabilités connues et où les pirates informatiques et les développeurs de code malveillant échangent également des informations.
Cela ne veut pas dire que l'exploit du jour zéro n'existe pas. Malheureusement, il arrive aussi souvent que la première fois que les vendeurs ou le monde entier se rendent compte d’un trou, c’est lorsqu’une enquête judiciaire est réalisée pour découvrir comment un système a été violé ou lors de l’analyse d’un virus qui se répand déjà dans la nature. Découvrez comment cela fonctionne.
Que les vendeurs aient eu connaissance de la vulnérabilité il y a un an ou l'aient découvert ce matin, si le code d'exploit existe quand sa vulnérabilité est rendue publique, il s'agit d'un exploit de type "jour zéro". votre calendrier.
La meilleure chose à faire pour vous protéger contre les exploits du jour zéro est de suivre de bonnes politiques de sécurité. En installant et en maintenant votre logiciel antivirus à jour, en bloquant les pièces jointes aux courriers électroniques qui pourraient être nuisibles et en corrigeant les vulnérabilités que vous connaissez déjà, vous pouvez sécuriser votre système ou votre réseau contre 99% de ce qui est disponible .
L'une des meilleures mesures de protection contre les menaces actuellement inconnues consiste à utiliser un pare-feu matériel ou logiciel (ou les deux). Vous pouvez également activer l'analyse heuristique (une technologie utilisée pour tenter de bloquer les virus ou les vers dont on ne connaît pas encore le nom) dans votre logiciel anti-virus. En bloquant en premier lieu le trafic inutile avec un pare-feu matériel, en bloquant l'accès aux ressources et services du système avec un pare-feu logiciel ou en utilisant votre logiciel antivirus pour détecter les comportements anormaux, vous pouvez mieux vous protéger contre l'exploit redouté du jour zéro.
