Vulnérabilité zero-day.

La vulnérabilité zero-day tient son nom du fait que les défenseurs ont eu « zéro jour » pour préparer un correctif lorsqu'elle apparaît. Ces failles sont très prisées : gouvernements, courtiers en exploits et groupes criminels paient des sommes à six ou sept chiffres pour des exploits fonctionnels, et les acteurs APT s'en servent pour des intrusions furtives.

Deux cas illustrent l'étendue du phénomène. Stuxnet (2010) a enchaîné quatre zero-days Windows jusque-là inconnus — dont la faille de raccourci LNK CVE-2010-2568 — pour se propager hors ligne et saboter les centrifugeuses d'enrichissement d'uranium iraniennes. FORCEDENTRY (CVE-2021-30860), corrigé par Apple en septembre 2021, était un dépassement d'entier zero-click dans l'analyseur d'images CoreGraphics que le logiciel Pegasus de NSO Group a utilisé pour compromettre des iPhone sans aucune interaction de l'utilisateur. Le Threat Analysis Group de Google a recensé ces dernières années un nombre record de zero-days exploités dans la nature, majoritairement dans les navigateurs, les systèmes d'exploitation mobiles et les équipements de sécurité.

Se défendre contre les zero-days repose sur des contrôles en couches : atténuations d'exploitation (ASLR, CFG/CET, sandboxing), détection comportementale EDR/XDR de l'activité post-exploitation, segmentation réseau, correctifs virtuels via WAF/IPS, et divulgation coordonnée rapide une fois la faille trouvée par les chercheurs. Dès que l'éditeur publie un correctif, le problème devient une vulnérabilité n-day — toujours dangereuse tant que tout le monde n'a pas appliqué le correctif.

flowchart LR
  A[La faille existe, editeur non averti] --> B[Un attaquant la decouvre]
  B --> C[Transformation en exploit]
  C --> D[Exploitation dans la nature]
  D --> E[L'editeur apprend les attaques]
  E --> F[Correctif publie]
  F --> G[Desormais une vulnerabilite n-day]