ZD Tech : Failles zero-day, si spéciales et précieuses

ZD Tech : Failles zero-day, si spéciales et précieuses

Bonjour à tous et bienvenue dans le ZD Tech, le podcast de la rédaction de ZDnet. Moi je m’appelle Louis Adam et aujourd’hui je vais vous expliquer pourquoi les failles zero-day sont si spéciales, et précieuses, en matière de sécurité informatique.

Ces failles d’un genre un peu spécial sont le cauchemar des éditeurs et des constructeurs comme Apple, mais aussi de leurs utilisateurs. Et elles se monnayent parfois pour des millions d’euros, au profit de services de renseignements et de cybercriminels qui souhaitent les utiliser.

Mais pour comprendre ce qu’est une faille zero-day, il faut déjà comprendre ce qu’est une faille tout court. Il s’agit d’un bug dans un programme informatique, une erreur qui va pousser l’ordinateur ou l’appareil à se comporter d’une façon inattendue. Ces failles peuvent être utilisées pour prendre le contrôle de l’appareil, voler des informations secrètes comme les mots de passe et d’autres choses du même genre.

Quand ces failles sont découvertes, l’éditeur publie une mise à jour de son logiciel.

ZD Tech : Failles zero-day, si spéciales et précieuses

Ces mises à jour visent à réparer l’erreur et rendre la faille inutilisable. L’utilisateur doit donc télécharger et appliquer les dernières mises à jour fournies par les éditeurs de ses logiciels pour se protéger. C’est plus facile à dire qu’à faire : les attaquants profitent souvent de failles connues et corrigées, mais que les utilisateurs n’ont pas eu le temps de patcher.

publicité

Mais alors, qu’est-ce qu’une faille zero-day a de plus qu’une faille normale ?

Une faille zero-day, c’est précisément une faille inconnue de l’éditeur du logiciel. Comme le créateur du programme n’est pas au courant de son existence, il n’existe aucune mise à jour pour corriger le problème. Et l’utilisateur final ne peut donc rien faire pour se protéger.

Pour pirater votre téléphone ou votre ordinateur, les failles zero-day sont donc la méthode rêvée.C’est la raison pour laquelle les informations sur ces failles sont vendues à des prix parfois délirants : jusqu’à 2 millions de dollars pour une faille zero-day sur un iPhone, par exemple.

Face à cela, les éditeurs eux-mêmes proposent de payer les chercheurs en sécurité qui leur signalent des vulnérabilités, afin de pouvoir les corriger. Malheureusement, les montants offerts par ces programmes de récompenses peinent bien souvent à s’aligner sur les prix pratiqués par les courtiers en faille zero-day. Pour un chercheur ayant découvert une vulnérabilité de ce type, la tentation est donc grande d’aller la revendre à un courtier qui l’utilisera pour contourner les protections d’un système.

Ce genre de prix réserve l’utilisation de ces failles à des organisations soutenues par des gouvernements, comme les services de renseignement ou de police. Ils s’en servent officiellement pour pirater les appareils des suspects dans le cadre de leurs enquêtes. Mais parfois, des cybercriminels peuvent également mettre la main dessus, et en profiter pour faire beaucoup de dégâts.

Retrouvez le ZD Tech sur les plateformes de podcast

Mots clés: