Breaking
Tech

Qu'est-ce qu'une faille zero-day, et pourquoi continuent-elles d'échapper au Patch Tuesday

Ars Technicail y a 3 h
Des lignes de code affichées sur un écran d'ordinateur dans une pièce faiblement éclairée
Des lignes de code affichées sur un écran d'ordinateur dans une pièce faiblement éclairéePhoto: Rafael Minguet Delgado / Pexels

Une vulnérabilité Windows nouvellement révélée, baptisée HiveLegacy par les chercheurs en sécurité qui l'ont découverte, a émergé le jour même où Microsoft publiait son lot mensuel de correctifs de sécurité, un lot qui se trouvait être l'un des plus importants jamais enregistrés. Le calendrier relève de la coïncidence plutôt que d'un lien de cause à effet, mais il met en lumière deux choses très différentes, toutes deux englobées sous l'appellation « correctifs de sécurité » et souvent confondues : le processus prévisible et programmé de correction de bogues connus, et l'arrivée imprévisible de failles que des attaquants trouvent et exploitent avant même que quiconque d'autre ne sache qu'elles existent.

Une vulnérabilité zero-day est, par définition, une faille activement exploitée, ou publiquement connue, avant que l'éditeur du logiciel n'ait eu la moindre chance de la corriger, d'où l'expression « zéro jour » de préavis. Cela se distingue de la catégorie bien plus vaste des bogues ordinaires que des chercheurs découvrent, signalent discrètement à l'éditeur, et qui sont corrigés lors d'une mise à jour de routine avant que le public ou des attaquants n'en apprennent les détails. Les zero-days sont plus rares et nettement plus dangereux précisément parce qu'aucun correctif n'est disponible au moment où ils sont utilisés, laissant chaque système non corrigé exposé le temps qu'il faudra à l'éditeur pour développer, tester et publier un correctif.

Le Patch Tuesday, la pratique de longue date de Microsoft consistant à publier des mises à jour de sécurité le deuxième mardi de chaque mois, existe pour apporter de la prévisibilité à ce qui serait sinon un processus de correction chaotique. Concentrer les correctifs dans une seule publication mensuelle permet aux administrateurs informatiques de planifier à l'avance des fenêtres de test et de déploiement, plutôt que de se précipiter pour appliquer des correctifs selon un calendrier imprévisible tout au long du mois. Cette prévisibilité est précieuse pour l'immense majorité des vulnérabilités, celles découvertes de manière responsable et signalées avant que l'exploitation ne commence.

Le problème, c'est que les zero-days, par nature, ne respectent pas ce calendrier. Un attaquant qui découvre ou achète la connaissance d'une faille non corrigée n'a aucune raison d'attendre le deuxième mardi du mois, et dans le cas de HiveLegacy, les chercheurs décrivent la vulnérabilité comme un « primitive puissant », un terme du jargon sécuritaire désignant une faille qui, une fois exploitée, confère à un attaquant de larges capacités pouvant être combinées à d'autres techniques pour aboutir à des résultats plus graves, plutôt qu'un bogue étroit et à usage unique.

C'est là que la coïncidence de calendrier devient instructive plutôt que simplement ironique. Un Patch Tuesday record démontre l'ampleur considérable du travail ordinaire de découverte et de correction de vulnérabilités qui se déroule en continu sur une base de code aussi vaste que Windows, un travail qui se déroule largement à l'abri des regards et fait rarement la une parce qu'il fonctionne comme prévu. Un zero-day émergeant le même jour rappelle que ce système stable et fonctionnel coexiste avec une menace distincte et moins maîtrisable : des failles découvertes en premier par des personnes qui n'ont aucun intérêt à les signaler de manière responsable.

Pour les organisations qui gèrent des parcs Windows, la réponse pratique à un zero-day diffère sensiblement de la gestion habituelle des correctifs. Comme aucun correctif officiel n'existe encore au moment de la divulgation, les équipes de sécurité s'appuient généralement sur des mesures d'atténuation provisoires, comme désactiver une fonctionnalité vulnérable spécifique, resserrer les contrôles d'accès réseau, ou déployer des règles de détection capables de signaler des tentatives d'exploitation, en attendant que Microsoft publie un correctif hors cycle ou intègre la correction au prochain cycle de mise à jour régulier. Attendre le prochain Patch Tuesday programmé est généralement jugé une réponse trop lente face à une faille activement exploitée.

L'apparition récurrente de zero-days sur les principaux systèmes d'exploitation et applications, malgré des décennies d'investissement dans des pratiques de développement logiciel sécurisé, reflète une réalité inconfortable du domaine : la complexité des logiciels a crû plus vite que les outils et processus utilisés pour les sécuriser, et toute base de code aussi vaste que Windows continuera de contenir des failles que des attaquants compétents et bien dotés en ressources pourront trouver avant les défenseurs. Le Patch Tuesday réduit substantiellement la surface de ce problème, mais il n'a jamais été conçu pour éliminer entièrement la catégorie des zero-days, et des incidents comme HiveLegacy prouvent que cet écart reste ouvert.

Rien de tout cela ne signifie que le Patch Tuesday a échoué dans sa mission. Le rythme mensuel demeure l'épine dorsale du processus par lequel la grande majorité des vulnérabilités Windows sont corrigées avant d'être un jour armées, et le lot de correctifs de taille record qui a coïncidé avec HiveLegacy est lui-même la preuve d'un vaste pipeline de découverte et de correction fonctionnant comme prévu. Ce que des incidents comme celui-ci illustrent réellement, c'est la limite de tout processus programmé : il peut réduire le problème des zero-days, mais il ne peut pas éliminer par un calendrier l'incitation qu'ont les attaquants à trouver des failles avant les défenseurs.

Cet article est un résumé éditorial assisté par IA basé sur Ars Technica. L'image est une photo d'archive de Rafael Minguet Delgado sur Pexels.

À lire ensuite

Une salle de cinéma vide avec un écran de projection éclairé
Tech

Les films IA « slop » expliqués : le film direct-to-video réinventé

Alors que l'adaptation à gros budget de L'Odyssée par Christopher Nolan attire les foules dans les salles, un petit studio se dépêche de sortir sa propre version de la même histoire générée par IA. C'est le dernier exemple en date d'une catégorie grandissante que les critiques appellent les films IA « slop » : des films fabriqués à moindre coût, assistés par algorithme, profitant du sillage de sorties plus importantes.

The Vergeil y a 3 h
Une forme d'onde audio numérique affichée sur un écran dans un studio d'enregistrement
Tech

Comment les générateurs de musique par IA trouvent leurs données d'entraînement, et pourquoi cela finit toujours en polémique

Un piratage ayant exposé le code source interne du générateur de musique par IA Suno semble révéler que l'entreprise a aspiré des décennies d'audio issues de YouTube pour entraîner ses modèles, ravivant une querelle familière sur la manière dont les entreprises d'IA générative se procurent les données sur lesquelles elles s'entraînent. Voici le schéma sous-jacent à ces litiges récurrents.

TechCrunchil y a 3 h