Vulnérabilité Zero-Day : définition et protection
Une vulnérabilité zero-day (0-day) est une faille de sécurité inconnue de l’éditeur du logiciel et pour laquelle aucun correctif n’existe encore. Le terme « zero day » fait référence au fait que l’éditeur dispose de zéro jour pour corriger la faille avant qu’elle soit exploitée.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Pourquoi les zero-day sont dangereux ?
Comment se protéger ?
- Appliquer les correctifs dès leur publication (patch management).
- Segmenter le réseau pour limiter le mouvement latéral.
- Surveiller les comportements anormaux (EDR, SIEM).
- Réaliser des pentests réguliers pour détecter les failles avant les attaquants.
- Appliquer le principe du moindre privilège.
Exemples récents : zero-days qui ont frappé des PME françaises
- CVE-2023-34362 (MOVEit Transfer, SQLi zero-day) : exploité par Cl0p en mai-juin 2023, 2 600+ organisations touchées dont plusieurs ETI françaises (conseil, RH, compta). Temps de patch : 4 jours après publication, mais l'exploitation active avait commencé 3 semaines avant.
- CVE-2024-3400 (Palo Alto GlobalProtect) : zero-day command injection CVSS 10.0. Exploité par des groupes APT dès mars 2024. Plusieurs PME françaises clientes de PAN ont vu leur VPN compromis avant le patch d'avril.
- CVE-2024-47076 (CUPS Linux) : chaîne de 4 zero-days permettant RCE distante. Toutes les imprimantes exposées en ligne (des milliers en France) restées vulnérables plusieurs mois.
- Citrix Bleed (CVE-2023-4966) : exploité massivement par LockBit ransomware. Victime emblématique française : ICBC filiale (impact financier mondial).
Selon le rapport Mandiant M-Trends 2024, le temps médian entre découverte et exploitation massive d'un zero-day est passé de 42 jours (2021) à 5 jours (2024). Autrement dit : le patch management n'est plus suffisant, il faut aussi du defense-in-depth.
FAQ Zero-Day
Un pentest peut-il trouver des zero-day dans mes dépendances ?
Rarement des zero-days inconnus mondialement, mais très souvent des vulnérabilités non publiées dans votre code applicatif custom (qui sont techniquement des 0-day dans votre code). Pour les 0-day dans les librairies tierces, l'approche SCA (Software Composition Analysis) + monitoring CVE est plus efficace qu'un pentest.
Combien coûte un zero-day sur le marché gris ?
Les prix varient selon la cible. Un 0-day iOS/Android RCE zero-click : 500k$-2.5M$ (Zerodium, Crowdfense). Un 0-day Chrome : 500k-1M$. Un 0-day Windows LPE : 80-400k$. Un 0-day WordPress plugin populaire : 5-30k$. Sur le dark market criminel, les prix sont souvent 30-50% inférieurs. Les gouvernements (y compris France via ANSSI/DGSE) achètent aussi.
Ma cyber-assurance couvre-t-elle les attaques zero-day ?
Oui en principe (les conditions ne distinguent pas le type de vulnérabilité), mais certains assureurs (Axa notamment après l'affaire Axa Partners 2021) imposent des clauses "state-sponsored" qui peuvent exclure des attaques attribuées à des APT étatiques. Lisez les exclusions de votre police, en particulier les clauses war exclusion post-NotPetya 2017.
NIS2 impose-t-elle une protection contre les zero-days ?
NIS2 Art. 21 exige des mesures de gestion des risques cyber "proportionnées" incluant la gestion des vulnérabilités et de la continuité d'activité. Pas de mention explicite "zero-day" mais l'exigence de patch management rapide (<72h sur actifs critiques pour les entités essentielles) rend la protection contre exploitation de zero-day post-patch mandatory de facto.
Besoin d'un pentest ?
Chez Laucked, nous testons vos applications web, API et intégrations sensibles avec une méthodologie OWASP/PTES. Diagnostic de surface gratuit, rapport sous 48-72h.
Demander un diagnostic gratuit