29 mars 2021 CVE Vlad
Ce contenu vous plait
Partagez-le sur les réseaux
Dans le journal officiel du 21 mars 2021, de nouvelles traductions franco-françaises ont fait leur apparition avec quelques perles comme :
Sans réécrire l’article Wikipédia https://en.wikipedia.org/wiki/Zero-day_(computing) plutôt complet, voici quelques compléments.
Zero day ou 0-day vient à l’origine de la Warez (1) des années 90 et 2000, activité qui consistait (2) à obtenir des logiciels (jeux, roms, films, musique…) fermés et/ou payants pour les déverrouiller (les “cracker”) puis les diffuser sur différents canaux (BBS, DCC sur irc, news group, dump FTP ou FXP…) en monnayant ou en échange d’autres logiciels ou contre des accès privés à d’autres dumps ou gratuitement. Ancien membre d’Undernuke, MJ13, Les Foqs, Post Scriptum, Alliance-Team, #Hamac, #Princess, #warez-france, #warez-humour, CdC BO2K team et Paradox, si tu me lis : bisous 😘.
Lorsqu’un logiciel (jeu, film, vous avez compris) était diffusé illégalement, avant même sa sortie publique et/ou commerciale, il était qualifié de “Zero Day” : il était publié zéro jour après sa sortie (cette phrase est étrange 😉). En France, il nous arrivait aussi de parler de “fraîche”.
Le “0” de 0-day fait opposition au “n” de n-days, décrivant un contenu publié n jours après sa sortie publique.
Le terme a migré de la Warez à la sécurité informatique (la cybersécurité aujourd’hui) décrivant la fraîcheur d’une vulnérabilité. Je parle de vulnérabilité mais souvent, le terme 0-day inclut aussi le fait de disposer du code d’exploitation de la vulnérabilité, permettant de compromettre le logiciel en question.
Une vulnérabilité dite 0-day est donc un bug ayant une portée sécurité (une faille), découvert dans un logiciel (3) et connu uniquement du découvreur ainsi que d’un cercle limité de personnes ou entités avec qui il l’a partagé (non je ne vais pas parler des collisions de bug, c’est un autre sujet). En général, l’éditeur du logiciel est exclu de ces sachants.
Pour faire très très simple : s’il y’a pas de correctifs de sécurité, c’est une 0-day.
Quand un expert en sécurité dit "j’ai une 0-day WordPress", comprenez "je connais (ou quelqu’un m’a donné) une vulnérabilité et le code d’exploitation associé, touchant le logiciel WordPress et non connue de l’éditeur ou connue de l’éditeur mais sans correctif disponible pour l’instant"
Les détails de la définition sont discutables mais en générale, une fois un correctif de sécurité publié par l’éditeur, la vulnérabilité n’est plus considérée comme une 0-day mais comme une n-day.
Il existe un marché des 0-day, avec plusieurs programmes d’achat/revente publiant leurs tarifs publiquement comme Zerodium (ex-Vupen), Exodus Intelligence… et également un marché des n-days avec Exodus intelligence et d’autres. Il y’a bien entendu plusieurs entreprises françaises qui sont spécialisées dans ce domaine, mais ne trouvant pas cette information sur leur site web, je préfère ne pas les citer 😉.
J’arrête tout de suite ceux qui me vont me parler des « érodées », incompréhension d’un rédacteur du site de propagande russe Sputnik, lors d’une interview téléphonique ayant compris « les érodés » (les-zérodées) au lieu des « zéro-days » 🤦♂️ :
"Rien n’empêche à penser que les “érodés”, ces fameuses failles informatiques, utilisées par les pirates initiés, existent"
https://fr.sputniknews.com/france/201703081030371219-france-vote-electronique-opinion/
Quand Légifrance traduit 0-day par “faille non corrigée, vulnérabilité non corrigée” cela change le sens ou peut laisser libre court à l’interprétation selon laquelle elle n’est pas corrigée car le correctif est bien disponible mais n’a pas été déployé.
Le diable étant toujours caché dans les détails, je me dois de modérer mon propos car le texte complet parle de « Faille identifiée par des utilisateurs d’un système informatique, à laquelle il n’existe pas encore de parade. » qui ce me semble plus juste.
Fun fact et définition étendue
Pour rentrer un peu plus dans les subtilités des 0-day, il y’a en fait plusieurs catégories :
Ce à quoi j’avais répondu : non, mais sans pouvoir détailler, car je pensais principalement à la première catégorie, alors que des vulnérabilités 0-day, je/nous en trouvons toutes les semaines sur des produits non surveillés ou développés spécifiquement.
Tout simplement car il est important de bien définir les choses, d’avoir un vocabulaire commun pour pouvoir traiter ces problématiques très techniques et critiques comme les 0-days.
Une vraie 0-day ne sera pas traitée comme une vulnérabilité connue disposant d’un correctif non-encore déployé.
(1) oui, j’ai toujours dit « la warez », certains disent « le warez ». J’attends que l’académie française tranche, comme pour la covid 😉
(2) et qui consiste toujours d’ailleurs !
(3) Je parle de logiciels au sens large car finalement, tout est logiciel : Windows c’est un logiciel, un iPhone c’est un (des) logiciels, un lave-linge c’est un logiciel qui tourne sur du matériel spécifique, des ASIC ce sont des logiciels sous forme de circuits intégrés/imprimés (oui, je tire un peu le modèle mais ce n’est pas loin d’être vrai)…
