0day

Dossier passionnant sponsorisé par Norton by Symantec

Les 0Day, vous en avez surement déjà entendu parler. Heartbleed, Shellshock, POODLE vous disent peut-être quelque chose mais savez vous ce qu’est vraiment une faille zero day ? Comment elles sont découvertes ? Et à qui profitent-elles ?

Je vous propose aujourd’hui de découvrir tout ça dans ce dossier ainsi que les bons réflexes à avoir pour limiter la casse.

Les failles de type 0day, sont des failles de sécurité pour lesquelles **il n’existe pas encore de correctif**. Elles peuvent concerner des logiciels, des sites web ou n’importe quelle autre application.

Hé oui, rien n’étant parfait dans ce bas monde, il en va de même pour le code informatique. Malgré tous les efforts déployés par les développeurs pour produire du code dit sécurisé, il arrive que des bugs ou des failles d’importance relative se glissent dans les projets.

C’est d’ailleurs principalement pour cette raison que nous devons régulièrement mettre à jour nos applications, que ce soit sur mobile ou sur desktop. Il est en effet impossible de découvrir l’intégralité des failles présente dans un code, avec un simple audit de quelques jours.

La découverte de ces failles se fait sur la durée, soit par les équipes de développement de la société, soit par des chercheurs indépendants ou travaillant pour des sociétés dont les 0Day sont le coeur du business (mais j’y reviendrai plus tard).

TOR (The Onion Router) est un réseau décentralisé et chiffré qui permet de surfer tout en protégeant son anonymat. Vous trouverez plus d’infos sur TOR ici.

En début d’année, TheRealDeal Market a vu le jour. Accessible via Tor, donc de manière totalement anonyme, il est possible d’y acheter des informations bancaires, des logiciels de hacking et bien sûr des 0days, en payant tout simplement en Bitcoin. Si avez suivi l’affaire SilkRoad, c’est un peu le même genre de place de marché, sauf que ça concerne du code et pas uniquement de la drogue ou des armes.

[ ](https://korback.info/wp-content/uploads/2015/12/n-0day1.pdf">Butterfly : Découvrez les méthodes de ce groupe de cyber criminels Heureusement, ce scénario très sombre n’est pas celui de toutes les failles 0day. Certains chercheurs en sécurité font ce qui s’appelle du Responsible Disclosure. Cela veut dire que s’ils découvrent une nouvelle faille dans une application, ils préviennent l’éditeur pour que ce dernier corrige la faille. C’est seulement après la correction que le chercheur en sécurité présente alors sa découverte à la communauté.

Une initiative remarquable est celle de la Zero Day Initiative qui permet aux chasseurs de 0Days de se faire rémunérer pour leur découverte tout en divulguant la vulnérabilité de manière responsable et dans un but correctif.

Mais alors ? Comment se protéger des ZeroDay ?

Il n’y a pas, à proprement parler, de méthode miracle pour se protéger d’une faille Zero Day. Par définition, un Zero Day n’est pas encore connu, donc c’est plutôt difficile à prévoir. Toutefois des solutions existent pour prévenir le mieux possible, ce genre de choses.

Un audit continu

Plutôt que de programmer un audit de sécurité une fois par an, il est plus efficace d’initier un bug bounty. Ainsi, en offrant une récompense aux chercheurs en sécurité qui découvrent des failles dans votre application ou votre site, vous contournerez une partie du marché noir et vous profiterez d’un audit en continu.

Beaucoup de sociétés de la Silicon Valley se sont mises au bug bounty ces dernières années mais des sociétés françaises comme Deny All ou Qwant pratiquent aussi cette discipline. Pour avoir un bon aperçu des Bug Bounties actuellement proposés, je vous invite à vous rendre sur le site FireBounty.com.

Facebook propose des récompenses à partir de 500 $ à tous ceux qui y découvrent des failles de sécurité. Au total, ils ont dépensé plus d’un million de dollars en 2 ans de bug bounty. Google, quant à lui offre des récompenses allant de 100 $ à 20 000 $ en fonction de la criticité de la faille. La plupart des récompenses distribuées tournent autour des 1000 $. Microsoft pour contrer le marché des Zero Day propose des récompenses jusqu’à 150 000 $ pour les bugs les plus critiques. Enfin, Mozilla tourne autour de 3 000 $ par faille découverte.

Une bonne séparation des privilèges

Sur un serveur, il est important de configurer chaque service pour qu’il tourne avec le moins de privilèges système possible. Et chaque service doit tourner sur un compte utilisateur différent. Ainsi, en cas de compromission d’un des services, les droits que l’attaquant pourra exploiter seront limités.

Et concernant les utilisateurs de postes de travail, il vaut mieux limiter au maximum leurs droits sur la machine et le réseau. Et s’il doit y avoir des comptes Administrateur, il est plus sage de leur bloquer l’accès au web et aux emails pour éviter toute exécution malencontreuse de pièce-jointe vérolée.

Concernant ce renforcement du contrôle des accès, il y a sous Linux des outils comme SELinux, AppArmor ou encore Grsecurity qu’il est indispensable de mettre en place.

Et sous Windows, vous avez EMET (Enhanced Mitigation Experience Toolkit) qui vous permettra de sécuriser les environnements Windows.

Faire les mises à jour

Que ce soit chez les particuliers ou sur un parc informatique d’entreprise, il est plus simple de disposer d’un environnement logiciel et matériel homogène et de faire systématiquement les mises à jour pour l’ensemble du parc.

On l’a vu avec les derniers Zero Day dans le player Flash ou dans la machine virtuelle Java, il est aussi recommandé de réduire au maximum toutes les extensions inutiles présentes dans Chrome, Firefox…etc afin de réduire la surface d’exposition aux attaques.

Utiliser un logiciel de protection

Sentinel de Core Security est un outil en ligne de commande qui permet de protéger des binaires Windows 32 bits contre les attaques 0 Day ou de failles connues. Il sait simplement détecter les modifications dans les instructions en mémoire, comme des débordements, de la modification de pointeurs, ou de la corruption mémoire.

Et pour les particuliers, il est important d’installer une solution de sécurité qui tient compte de la menace Zero Day. Avec Norton Security, l’utilisateur est protégé des failles de sécurité grâce à une protection pro-active contre les exploits Zero Day et cela sur tous ses appareils.

[**Proactive Exploit Protection**: Avec un nombre record de 35 vulnérabilités zero-day découvertes rien que cette année, les cybercriminels exploitent ces failles détectées dans les logiciels pour propager des programmes malveillants et voler des informations. Le déploiement d'un correctif demandant en moyenne 59 jours, Norton propose une solution novatrice qui permet de protéger les utilisateurs avant qu'une vulnérabilité ne soit rendue publique. La solution Proactive Exploit Protection bloque automatiquement les vulnérabilités zero-day, qui ne sont pas toujours réparées, corrigées ou rétro-portés sur les versions plus anciennes des logiciels tiers vulnérables.

Côté serveur, un bon WAF (Web Application Firewall) sera très utile. Pour les non-professionnels qui ont des sites web, je recommande d’ailleurs la mise en place de Cloudflare ou de CloudProxy (par Sucuri) pour protéger leurs sites à moindre frais.

Jeter un œil aux logs et faire des sauvegardes

Régulièrement, regardez ce qui se passe dans les logs afin de détecter toute action suspecte. Et même si ça semble inutile de le rappeler, pensez toujours à faire des sauvegardes.

Former ses collaborateurs

Il faut leur expliquer les règles de la sécurité informatique, leur demander d’être vigilant, leur exposer les risques…etc. Il est important que les gens autour de vous prennent conscience qu’ouvrir une pièce-jointe n’a rien d’anodin. Et que s’ils sont des droits limités, ce n’est pas pour les embêter mais pour une excellente raison qui est de protéger leur entreprise.

Pour vous aider à faire cela, je vous recommande le petit guide de l’ANSSI sur les bonnes pratiques à avoir chez soi et en entreprise.

Cliquez ici pour découvrir ce document

Conclusion

Voilà, vous en savez un peu plus sur ces fameux zero-days dont tout le monde parle à longueur de journée. Les gouvernements ont leur part de responsabilité car ils encouragent ce marché des failles de sécurité et les sociétés qui ne font pas de bug bounty mais se contentent de simples audits, mettent leurs utilisateurs ou leur clients à la merci des cybercriminels.

Vous l’aurez compris, il n’est pas simple d’éviter ce genre de failles mais une bonne hygiène de sécurité, un bon antivirus et un audit en continu (grâce aux bug bounty) peut déjà faire beaucoup.

Bref, j’espère que ce dossier vous aura plu et que vous en aurez retiré quelque chose.

Bonne journée à tous !]())