au sommaire


    La faille zero-day est une vulnérabilité informatique qui n’est pas encore connue ou non corrigée. Outre l’exploitation malveillante qu’elle peut entraîner, elle fait aussi l’objet d’une exploitation commerciale. © GotCredit, Flickr, CC by 2.0

    La faille zero-day est une vulnérabilité informatique qui n’est pas encore connue ou non corrigée. Outre l’exploitation malveillante qu’elle peut entraîner, elle fait aussi l’objet d’une exploitation commerciale. © GotCredit, Flickr, CC by 2.0

    Une vulnérabilité zero-day ou 0-day (en anglais zero-day vulnerability)) désigne une faille de sécurité informatique dont l'éditeur du logiciel ou le fournisseur de service n'a pas encore connaissance, ou qui n'a pas encore reçu de correctif. Par extension, on parle d'exploitation zero-day (zero-day exploit) lorsque ce type de faille est utilisé par des cyberdélinquants pour lancer des attaques contre des installations vulnérables.

    Divulgation des failles zero-day

    Le caractère inédit de la vulnérabilité n'induit pas qu'elle soit forcément grave ou très répandue. Par définition, la faille zero-day perd sa raison d'être dès lors qu'elle est connue. Certains experts en informatique et éditeurs de logiciels de sécurité se sont spécialisés dans la détection de ce type de vulnérabilité. Ils choisissent parfois de rendre publique l'existence d'une 0-day pour faire leur promotion, après en avoir informé l'entreprise concernée au préalable. Il arrive aussi que la divulgation soit décidée pour pousser un éditeur à réagir s'il n'a pas pris les mesures adéquates après avoir été averti.

    Exploitation commerciale des failles zero-day

    Mais les failles zero-day font aussi l'objet d'une exploitation commerciale. Certaines entreprises, parmi lesquelles des firmes françaises, monnaient leurs découvertes au plus offrant : services secrets, police, armée, etc.

    Pour tenter de contrer ce phénomène, les grands noms de l'industrie high-tech ont commencé à mettre en place des programmes de rémunération. GoogleGoogle fut l'un des précurseurs dans ce domaine, suivi plus tard par FacebookFacebook, Yahoo ou encore MicrosoftMicrosoft.

     

    Champ lexical : zero-day exploit | faille zero-day | 0-day