Zero(Day) ou la faille masquée

Publié le par Zanspi


J'aborde aujourd'hui un chapitre important dans le domaine de la sécurité informatique...le 0Day
Cette expression que certains crient autour de vous en sautillant joyeusement.
Ceux là même qui passent des journées, figés devant leur écran à lire des bouts de code rédigés dans un langage barbare et imbitable, l'assembleur...

Le 0Day désigne en fait, une faille logicielle (ou matérielle, mais dans le cas qui nous intéresse, elle est logicielle) qui n'a pas été publiée ou patchée par qui que ce soit jusqu'à présent.
En gros, vous avez une faille (et l'exploit qui va avec, si vous vous débrouillez bien) que personne d'autre ne maitrise et possède avant que vous l'ayez publié.
Bon dans la réalité certains 0Day sont connus et détenus par de nombreuses personnes mais ne sont pas révélés...
Généralement les entreprises ne révèlent pas leur 0Day avant qu'un patch soit développé.
Certains Crackers, Pentesters, etc.. ne révèlent pas certains 0Day, histoire d'avoir quelques cartouches à utiliser en dernier recours.

Bref, un 0Day, c'est un bon gros truc qui fait mal, parce que personne n'y est préparé (s'ils le sont ce n'est plus un 0Day, c'est une faille connue). La différence est ténue mais les conséquences le sont moins...

Je vous entends vous dire : "Le 0Day c'est trop bien, dès qu'un logiciel sort, on le poupoune (comprenez, on essaye de le cracker) et on a une super faille à exploiter qui va bien faire mal à tout ceux qui utilisent le logiciel cracké."
Et bien, je suis désolé, mais vous vous trompez lourdement.
Pourquoi ? Et bien parce qu'un 0Day c'est quoi ?
Une faille que vous et quelques personnes seulement connaissez.
Une faille que seul vous et quelques personnes pouvez exploiter.
Seulement, les entreprises ne cherchent pas à se prémunir d'attaque venant de quatre ou cinq individus maitrisant sur le bout des ongles le buffer overflow. Non elle cherche à se prémunir des attaquants lambdas qui voudraient faire mal avec peu de moyen. Le développement en 3 mois d'un exploit sur une faille majeure n'est pas ce que j'appelle un réel gain de moyens...

Alors bien sur, vous pourrez me rétorquer que l'utilisation qui peut être faite de ce 0Day, peut faire très mal, je suis bien d'accord. C'est un coup dur pour l'entreprise qui est visée par exemple.
Mais ces coups sont calculés, et bien souvent, une assurance coutera moins cher que le risque encouru.
Payer 1000 euros par mois pour une attaque qui n'aura lieu qu'une fois en 3 ans, ça coûte moins cher que 3 ou 4 génies de la programmation payés 3000 à 4000 euros par mois pendant ces même années...

Il faut bien se dire, que dans le monde du pentest par exemple, un client ne vous paiera pas pour lui péter le crâne avec un 0Day. Non il veut savoir si un attaquant, dans un temps donné et souvent court, peu faire du mal ou non à son logiciel ou infrastructure.
Nous (et les clients parfois) ne sommes pas dupes. Si un attaquant est vraiment déterminé il pourra faire ce qu'il veut (il trouvera une faille). Un peu comme une attaque terroriste, vous ne pouvez pas empêchez quelqu'un de réellement déterminé d'effectuer un acte répréhensible (mais vous pouvez vous prémunir).

C'est donc à ça que sert le pentest, se prémunir, mais en aucun cas être une vitrine de vos talents de cracker.
Seul les grosses boîtes (notamment dans les domaines militaires et de la sécurité intérieure) planchent sur ces 0Day...
Pour les autres, il s'agit d'un risque calculé, maitrisé (et assuré).

Méfiez-vous donc de l'utilisation et de la réputation de ces petites failles, surtout à l'heure ou des experts sécurités planchant sur les problèmes de la LOPPSI parlent de 0Day pour permettre la surveillance par Internet.
Le 0Day est un outil très puissant, mais un peu comme l'arme nucléaire, c'est plutôt une arme de dissuasion invisible qui plane au dessus de nos tête, plutôt qu'un bon vieux AK-47...


Zanspi



Au fait, apparemment milw0rm le site répertoriant un grand nombre d'exploit de failles connues (et 0Day en leurs temps) ferme ses portes. Dépéchez-vous de récupérer les exploits qui s'y trouvent...

Commenter cet article

Skrol 29 16/11/2009 23:09


super bien expliqué, merci