Le terme “zero day” caractérise une vulnérabilité de sécurité logicielle découverte puis exploitée par des cybercriminels avant que ses concepteurs (ou une communauté qui les soutient) n’aient connaissance de son existence. Corollaire, il n'existe pas de correctif ou de mesure palliative identifiée pour se prémunir d’une vulnérabilité zero day, ce qui rend les Systèmes d’Information (SI) affectés vulnérables et fatalement exposés à une exploitation immédiate par ceux qui en ont connaissance (qui se situent bien souvent du côté obscur de la force…).
Ce qui s’est passé le 10 avril 2024
Le 10 avril 2024, Volexity a identifié une exploitation zero day de la vulnérabilité CVE-2024-3400 dans GlobalProtect de Palo Alto Networks PAN-OS. L'acteur UTA0218 a exploité cette faille pour compromettre à distance des pare-feux et exécuter des commandes.
En réponse et dès sa découverte, Palo Alto Networks s’est mis en ordre de marche pour publier le 14 avril un avis de sécurité contenant un correctif prévu… Mais en parallèle, l’UTA0218 (un groupe de cyberattaquants) agissait déjà dans l’ombre avec une backdoor créée en Python, nommée UPSTYLE, qui leur permettait de maintenir des accès sur les logiciels Palo Alto affectés et, ce faisant, d’exfiltrer des données sensibles.
Aujourd’hui un peu de Forensic nous permet de remonter le cours du temps et de constater que les premières organisations compromises l’ont été dès le 26 mars 2024. Les Responsables de la Sécurité du Système d’Information de leur entreprise ont dû prendre des mesures immédiates pour se protéger contre cette menace puisqu’à l’instant T, ils avaient déjà 15 jours de retard…
Pour apposer une dernière touche à ce tableau, le CERT-FR a signalé des compromissions par rançongiciel en France dont l’exploit se basait… sur une vulnérabilité similaire.
Aussi, légitimement, posons-nous la question : comment maîtriser son risque face à l’imprévisible ? Et en particulier, quelles leçons tirer de cette zero day ?
La première leçon fondamentale en matière de cybersécurité est d'être extrêmement réactif face à une vulnérabilité zero day. Ces failles, de sévérité variable, peuvent causer des dommages considérables si elles ne sont pas rapidement identifiées et corrigées.
En effet, elles sont souvent exploitées activement avant même que l’on en prenne conscience, permettant aux attaquants de pénétrer les systèmes sans rencontrer de résistance. Une fois divulguées, ces vulnérabilités attirent encore plus d'attention et d'exploitation, augmentant de façon exponentielle les risques. Ainsi, la capacité à détecter et à réagir promptement à « une zero day » peut significativement réduire l'impact potentiel d'une attaque, en limitant les opportunités d'exploitation par les cybercriminels.
Par essence, tout ce qui est exposé représente une possible back door sur votre SI, que vos détracteurs se feront une joie de tester. C’est pourquoi il est capital de bien surveiller tous vos points d’entrée, des applications métier aux équipements réseaux en passant par les équipements de sécurité… Les deux dernières catégories d’équipements citées constituant (trop) souvent des zones d’ombre dans la surveillance établie du SI.
A titre d’exemple, les équipements SSL VPN sont devenus la cible privilégiée des acteurs malveillants pour s'introduire chez leurs cibles sans éveiller trop de soupçons. On recense une quinzaine de vulnérabilités visant les principaux fabricants de solutions SSL VPN en 2023 et 2024.
La défense en profondeur est une stratégie cruciale pour protéger un SI contre les attaques. Plutôt que de s'appuyer sur une seule ligne de défense, il est impératif d'implémenter plusieurs couches de sécurité. Cette approche permet de contenir et de neutraliser les menaces qui parviennent à franchir la première barrière de protection. En diversifiant les mécanismes de sécurité, avec des pare-feux, des systèmes de détection d'intrusion, des contrôles d'accès et des outils de surveillance en temps réel, on renforce la résilience du système. Chaque ligne de défense supplémentaire augmente les chances de détecter et de bloquer les attaques à différents stades, rendant l'infrastructure globale beaucoup plus difficile à compromettre.
Pour renforcer la sécurité des sous-traitants, adoptez une approche contractuelle rigoureuse. Intégrez des clauses spécifiques imposant la désignation d'un responsable sécurité, la mise en place de mesures correctives rapides avec des SLA stricts, ainsi qu'une coopération en cas de crise. Parallèlement, programmez régulièrement des audits externes pour assurer la conformité aux normes de sécurité établies. Ces mesures renforcent la protection globale des données et des opérations de l'organisation, garantissant une collaboration sécurisée et fiable avec vos partenaires externes.
Il est crucial d'être extrêmement réactif face aux vulnérabilités car elles peuvent être exploitées activement avant même d'être découvertes et, leur exploitation ne fera que s’intensifier une fois qu'elles seront connues publiquement. Chaque composant du système d'information représente une potentielle porte d'entrée. En particulier, surveiller attentivement les équipements réseaux et de sécurité exposés sur Internet est essentiel, car ces zones, souvent non surveillées, seront tôt ou tard exploitées par des attaquants. Enfin, une approche de défense en profondeur est primordiale pour contrer une attaque plus loin dans son processus si elle réussit à franchir votre première ligne de défense.
