Pourquoi les zero-day sont dangereux ?
Les zero-day sont indétectables par les scanners basés sur des signatures connues. Elles peuvent rester exploitées pendant des semaines ou des mois avant d'être découvertes. Les groupes de cyberespionnage et les ransomwares les utilisent pour des attaques ciblées à fort impact.
Comment se protéger ?
- Appliquer les correctifs dès leur publication (patch management).
- Segmenter le réseau pour limiter le mouvement latéral.
- Surveiller les comportements anormaux (EDR, SIEM).
- Réaliser des pentests réguliers pour détecter les failles avant les attaquants.
- Appliquer le principe du moindre privilège.
Exemples récents : zero-days qui ont frappé des PME françaises
- CVE-2023-34362 (MOVEit Transfer, SQLi zero-day) : exploité par Cl0p en mai-juin 2023, 2 600+ organisations touchées dont plusieurs ETI françaises (conseil, RH, compta). Temps de patch : 4 jours après publication, mais l'exploitation active avait commencé 3 semaines avant.
- CVE-2024-3400 (Palo Alto GlobalProtect) : zero-day command injection CVSS 10.0. Exploité par des groupes APT dès mars 2024. Plusieurs PME françaises clientes de PAN ont vu leur VPN compromis avant le patch d'avril.
- CVE-2024-47076 (CUPS Linux) : chaîne de 4 zero-days permettant RCE distante. Toutes les imprimantes exposées en ligne (des milliers en France) restées vulnérables plusieurs mois.
- Citrix Bleed (CVE-2023-4966) : exploité massivement par LockBit ransomware. Victime emblématique française : ICBC filiale (impact financier mondial).
Selon le rapport Mandiant M-Trends 2024, le temps médian entre découverte et exploitation massive d'un zero-day est passé de 42 jours (2021) à 5 jours (2024). Autrement dit : le patch management n'est plus suffisant, il faut aussi du defense-in-depth.
FAQ Zero-Day
Un pentest peut-il trouver des zero-day dans mes dépendances ?
Rarement des zero-days inconnus mondialement, mais très souvent des vulnérabilités non publiées dans votre code applicatif custom (qui sont techniquement des 0-day dans votre code). Pour les 0-day dans les librairies tierces, l'approche SCA (Software Composition Analysis) + monitoring CVE est plus efficace qu'un pentest.
Combien coûte un zero-day sur le marché gris ?
Les prix varient selon la cible. Un 0-day iOS/Android RCE zero-click : 500 k$ - 2,5 M$ (Zerodium, Crowdfense). Un 0-day Chrome : 500 k - 1 M$. Un 0-day Windows LPE : 80 - 400 k$. Un 0-day WordPress plugin populaire : 5 - 30 k$. Sur le dark market criminel, les prix sont souvent 30-50 % inférieurs. Les gouvernements (y compris France via ANSSI/DGSE) achètent aussi.
Ma cyber-assurance couvre-t-elle les attaques zero-day ?
Oui en principe (les conditions ne distinguent pas le type de vulnérabilité), mais certains assureurs (Axa notamment après l'affaire Axa Partners 2021) imposent des clauses « state-sponsored » qui peuvent exclure des attaques attribuées à des APT étatiques. Lisez les exclusions de votre police, en particulier les clauses war exclusion post-NotPetya 2017. Voir notre article assurance cyber.
NIS2 impose-t-elle une protection contre les zero-days ?
NIS2 Art. 21 exige des mesures de gestion des risques cyber « proportionnées » incluant la gestion des vulnérabilités et de la continuité d'activité. Pas de mention explicite « zero-day » mais l'exigence de patch management rapide (< 72 h sur actifs critiques pour les entités essentielles) rend la protection contre exploitation de zero-day post-patch mandatory de facto.