Vulnerabilites zero-day et exploits — Sensibilisation Essentielle

Objectifs d'apprentissage

Definir zero-day et distinguer vulnerabilite, exploit et patch
Comprendre le marche des zero-days et les programmes de bug bounty
Reduire l'exposition aux zero-days par des controles compensatoires

Zero-day : quand le correctif n'existe pas encore

Une vulnerabilite zero-day est une faille logicielle inconnue du fabricant au moment de sa decouverte ou exploitation. Le terme 'zero-day' signifie que le fabricant a eu zero jours pour la corriger. Un exploit zero-day est le code qui tire parti de cette faille. La fenetred'exposition dure de la decouverte de la faille jusqu'a la publication et l'application du correctif — une periode qui peut s'etendre sur des mois ou des annees si la faille est gardee secrete par les chercheurs ou les attaquants.

🔔 À retenir : La distinction entre 'zero-day' (faille inconnue du fabricant) et '1-day' (faille connue mais non patchee) est importante : la plupart des attaques exploitent des failles 1-day, pas des zero-days. Patcher rapidement reste la defense la plus efficace.

Le marche des zero-days

Les zero-days se vendent sur un marche a plusieurs niveaux. Les chercheurs en securite les signalent responsablement aux fabricants (responsible disclosure) ou les vendent via des bug bounty programmes (Google, Microsoft payent des dizaines de milliers de dollars). Des courtiers specialises comme Zerodium achetent des zero-days jusqu'a 2,5 millions USD pour les systemes les plus vises (iOS, Android). Les gouvernements et groupes APT achetent ces exploits pour des operations offensives.

⚠ Attention : La plupart des PME ne sont pas des cibles d'exploits zero-day sophistiques — trop couteux pour le ROI. Mais les exploits public en 1-day (apres disclosure) sont rapidement integres dans des outils automatises ciblant tout le monde.

Controles compensatoires en l'absence de patch

Quand aucun patch n'est disponible, les controles compensatoires reduisent l'exposition : desactiver la fonctionnalite vulnerable si possible, appliquer des regles WAF ou IPS pour bloquer les signatures d'exploit connues, isoler les systemes vulnerables par segmentation reseau, activer des protections supplementaires (ASLR, DEP), et surveiller activement les logs pour des indicateurs d'exploitation. Ces mesures ne sont jamais aussi efficaces qu'un patch mais reduisent significativement le risque.

Checklist pratique

Un processus de veille sur les zero-days (CVE, CISA KEV) est en place avec des alertes automatiques

Les controles compensatoires (WAF, IPS, segmentation) sont documentes pour les systemes critiques

Les systemes qui ne peuvent pas etre patches rapidement sont isoles du reste du reseau

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

Zero-day = faille inconnue du fabricant ; 1-day = faille connue non patchee : la 2e est plus exploitee en masse
Patcher dans les 72 h les critiques evite d'etre victime des 1-days qui ciblent tout le monde
Controles compensatoires : desactiver la fonction vulnerable, WAF, segmentation en attendant le patch
Surveiller la CISA Known Exploited Vulnerabilities (KEV) catalog : failles activement exploitees en ce moment