← Retour au blog Sécurité

Vulnerabilites zero-day expliquees : ce que les entreprises doivent savoir

Envestis Team 14 min de lecture

Que signifie "zero-day" ?

Le nom vient du nombre de jours dont le fournisseur du logiciel a dispose pour corriger le probleme : zero. Une vulnerabilite zero-day est une faille dans un logiciel que ses createurs ne connaissent pas encore, ou connaissent mais n'ont pas encore corrigee. Les attaquants decouvrent ces failles et les exploitent avant que quiconque du cote defensif puisse reagir.

Comparez cela avec une vulnerabilite connue, pour laquelle le fournisseur a deja publie un correctif. Si votre plugin WordPress a une vulnerabilite connue depuis trois mois et que vous n'avez pas mis a jour, c'est un probleme different (que nous abordons dans notre article sur les risques des sites non mis a jour). Le zero-day est pire parce qu'il n'existe litteralement aucun correctif disponible. Meme l'administrateur le plus diligent qui applique chaque correctif immediatement reste vulnerable.

La chronologie d'un zero-day

Pour comprendre pourquoi les zero-days sont si dangereux, suivez la chronologie typique :

  1. Decouverte : quelqu'un trouve une faille dans un logiciel. Cela peut etre un chercheur en securite, une agence de renseignement gouvernementale ou un pirate criminel.
  2. Developpement de l'exploit : si celui qui decouvre la faille est malveillant (ou vend l'information a quelqu'un qui l'est), il developpe un exploit : du code qui tire parti de la faille.
  3. Les attaques commencent : l'exploit est utilise contre des cibles reelles. A ce stade, personne n'a de defense car personne ne sait que la faille existe.
  4. Detection : des societes de securite ou le fournisseur detectent une activite inhabituelle et commencent a enqueter. Cela peut prendre des jours, des semaines ou des mois.
  5. Divulgation : la vulnerabilite est rendue publique et le fournisseur commence a travailler sur un correctif.
  6. Publication du correctif : le fournisseur publie la correction. A partir de ce moment, la vulnerabilite n'est plus un zero-day, mais elle reste dangereuse tant que tout le monde n'a pas applique le correctif.

L'intervalle entre les etapes 3 et 6 est la zone de danger. Pendant cette periode, chaque systeme executant le logiciel concerne est expose et il n'existe aucune defense specifique contre l'attaque.

Pourquoi les zero-days sont si dangereux pour les entreprises

Si vous gerez un site web d'entreprise, une boutique en ligne ou une application web, les vulnerabilites zero-day vous concernent de plusieurs facons.

Aucun correctif a appliquer

Votre strategie habituelle de maintenir les logiciels a jour ne vous aide pas. Vous pouvez avoir la derniere version de tout et rester quand meme vulnerable. C'est ce qui rend les zero-days uniques par rapport aux milliers de vulnerabilites connues qui necessitent simplement des mises a jour rapides.

Exploitation automatisee a grande echelle

Lorsqu'un zero-day est decouvert dans un logiciel largement utilise (un CMS comme WordPress, un serveur web comme Apache ou Nginx, une bibliotheque comme Log4j), les attaquants ecrivent des outils automatises qui scannent l'ensemble d'internet a la recherche de systemes vulnerables. Votre petit site d'entreprise a Lugano est scanne aussi souvent que celui d'une multinationale. Le scan est indiscrimine.

Compromission silencieuse

De nombreuses attaques zero-day sont concues pour etre silencieuses. L'attaquant obtient l'acces, installe une porte derobee et attend. Vous pourriez ne pas decouvrir la compromission pendant des mois. Pendant ce temps, ils peuvent voler des donnees clients, injecter des logiciels malveillants dans les pages que vos visiteurs chargent ou utiliser votre serveur comme point de lancement pour attaquer d'autres cibles.

Exemples recents de zero-days ayant affecte des entreprises

Ce ne sont pas des scenarios theoriques. Les zero-days frappent regulierement des logiciels d'entreprise reels.

Log4Shell (decembre 2021)

Un zero-day dans Log4j, une bibliotheque de journalisation utilisee par des millions d'applications Java, permettait aux attaquants d'executer du code arbitraire sur les serveurs en envoyant simplement une chaine de texte specialement concue. Comme Log4j etait integre dans tant de produits (d'Apache Solr a Elasticsearch), l'impact etait enorme. Beaucoup d'entreprises ne savaient meme pas qu'elles utilisaient Log4j car c'etait une dependance cachee dans d'autres logiciels.

Microsoft Exchange Server (mars 2021)

Quatre vulnerabilites zero-day dans Microsoft Exchange Server ont ete exploitees avant que Microsoft ne publie des correctifs. Les attaquants les ont utilisees pour acceder aux comptes email, installer des web shells pour un acces persistant et exfiltrer des donnees. Des dizaines de milliers d'organisations dans le monde ont ete compromises, y compris des petites entreprises utilisant des serveurs Exchange sur site.

Zero-days de Chrome

Google Chrome a connu plusieurs zero-days activement exploites. Rien qu'en 2022, Google a corrige neuf vulnerabilites zero-day activement exploitees. Celles-ci concernent quiconque dont les employes naviguent sur le web, c'est-a-dire chaque entreprise.

Zero-days dans les plugins WordPress

Les plugins WordPress sont une cible frequente. Un zero-day dans un plugin populaire peut exposer des centaines de milliers de sites simultanement. Nous avons largement ecrit sur les vulnerabilites des plugins CMS et pourquoi c'est un probleme si persistant.

Comment les zero-days sont decouverts

Comprendre qui trouve les zero-days et comment aide a saisir l'economie qui les entoure.

Chercheurs en securite

Les chercheurs en securite professionnels trouvent des vulnerabilites par la revue de code, le fuzzing (envoi de donnees aleatoires a un logiciel pour observer les plantages) et l'ingenierie inverse. Les chercheurs ethiques suivent la "divulgation responsable" : ils signalent la faille au fournisseur en prive et lui laissent le temps de la corriger avant de la rendre publique.

Agences gouvernementales

Les agences de renseignement comme la NSA, le GCHQ et leurs equivalents dans d'autres pays decouvrent et accumulent activement des zero-days pour l'espionnage et les operations cyber offensives. Certains finissent par fuiter (comme les outils NSA voles et publies par le groupe Shadow Brokers, menant a l'attaque par rancongiciel WannaCry).

Organisations criminelles

Les groupes de cybercriminalite organisee investissent dans la recherche de zero-days car le rendement peut etre enorme. Un zero-day dans un logiciel d'entreprise largement utilise peut fournir l'acces a des milliers de cibles avant la detection.

Le marche des zero-days

Il existe un veritable marche des exploits zero-day. Des entreprises comme Zerodium offrent ouvertement des primes : jusqu'a 2,5 millions de dollars pour un exploit iOS sans interaction, 1 million pour l'execution de code a distance sur WhatsApp, 500 000 dollars pour un zero-day Chrome. Ces prix refletent la valeur strategique des vulnerabilites non corrigees. Les gouvernements et les agences de renseignement sont les principaux acheteurs.

Comment reduire votre exposition aux attaques zero-day

Vous ne pouvez pas empecher les zero-days d'exister. Mais vous pouvez reduire significativement la probabilite d'une attaque reussie contre votre entreprise et limiter les degats si une attaque aboutit. La strategie s'appelle defense en profondeur : plusieurs couches de protection pour qu'aucune defaillance unique ne mene a une compromission complete.

1. Minimiser votre surface d'attaque

Chaque logiciel que vous executez est une cible potentielle pour un zero-day. Moins vous exposez de logiciels a internet, plus votre risque est faible.

C'est l'un des arguments les plus forts en faveur des architectures de sites statiques comme Jamstack. Un site statique servi depuis un CDN n'a pas de code serveur en execution, pas de base de donnees a exploiter, pas de panneau d'administration CMS a attaquer. Si votre site d'entreprise est principalement informatif (et la plupart le sont), un site statique elimine des categories entieres de risques zero-day. Nous en avons parle en detail dans notre comparaison de la securite des sites statiques vs dynamiques.

Pour les logiciels que vous devez utiliser :

  • Supprimez les plugins et extensions inutilises de votre CMS.
  • Desactivez les fonctionnalites que vous n'utilisez pas. Chaque fonctionnalite est du code, et chaque ligne de code peut contenir une faille.
  • N'exposez pas les panneaux d'administration, les outils de developpement ou les services internes a internet. Consultez notre guide sur les pages admin exposees.
  • Auditez votre serveur pour les services inutiles en execution.

2. Segmentation du reseau

Si un attaquant exploite un zero-day dans un composant de votre infrastructure, la segmentation limite jusqu'ou il peut aller. Votre serveur web ne devrait pas avoir un acces direct a l'ensemble de votre reseau interne. Votre serveur de base de donnees ne devrait accepter des connexions que depuis le serveur d'application, pas depuis internet.

Pour les sites web specifiquement :

  • Executez votre application web dans un environnement isole (un conteneur ou une machine virtuelle avec un acces reseau limite).
  • Gardez votre base de donnees sur un segment reseau separe avec des regles de pare-feu n'autorisant les connexions que depuis l'application.
  • Utilisez des identifiants separes pour chaque service afin que compromettre l'un ne donne pas acces a tous.

3. Pare-feu applicatif web (WAF) et patching virtuel

Un WAF se place entre internet et votre application web, inspectant le trafic entrant et bloquant les requetes correspondant a des schemas d'attaque connus. Lorsqu'un zero-day est decouvert, les fournisseurs de WAF publient souvent des "patchs virtuels" en quelques heures, bien avant que le fournisseur du logiciel ne publie un vrai correctif.

Le patching virtuel ne corrige pas la vulnerabilite sous-jacente. Il bloque la technique d'attaque specifique au niveau du WAF. Cela vous fait gagner du temps entre la divulgation du zero-day et la disponibilite d'un vrai correctif.

Des services comme Cloudflare, Sucuri et AWS WAF offrent cette capacite. Pour les entreprises suisses soucieuses du routage des donnees, Cloudflare dispose de centres de donnees a Zurich, ce qui signifie que le trafic n'a pas besoin de quitter le pays.

4. Surveillance et detection

Si vous ne pouvez pas prevenir une attaque zero-day, le mieux apres est de la detecter rapidement. Plus vite vous detectez une compromission, moins les degats sont importants.

  • Surveillance de l'integrite des fichiers : des outils qui vous alertent lorsque des fichiers sur votre serveur web changent de facon inattendue.
  • Analyse des logs : surveillez les logs d'acces de votre serveur web pour les schemas inhabituels : pics d'erreurs 404, requetes vers des URL inhabituelles, tailles de reponse anormalement grandes.
  • Surveillance de la disponibilite et du contenu : des services qui chargent regulierement votre site et vous alertent si le contenu change, si de nouveaux scripts apparaissent ou si le site redirige de facon inattendue.
  • Systemes de detection d'intrusion (IDS) : surveillance au niveau du reseau qui signale les schemas de trafic suspects.

5. Plan de reponse aux incidents

Quand un zero-day est annonce qui affecte un logiciel que vous utilisez, vous devez agir vite. Avoir un plan a l'avance fait la difference entre une reponse maitrisee et un branle-bas de combat.

Votre plan devrait couvrir :

  • Qui est responsable d'evaluer si vous etes concerne.
  • A quelle vitesse pouvez-vous mettre un service hors ligne si necessaire.
  • Qui a acces pour appliquer des correctifs d'urgence ou des modifications de configuration.
  • Des modeles de communication pour les clients si des donnees ont pu etre exposees.
  • Les coordonnees de votre hebergeur, fournisseur de securite et tout support externe de reponse aux incidents.

6. Sauvegardes regulieres (sauvegardes testees)

Si le pire arrive et qu'une attaque zero-day compromet votre site, des sauvegardes propres et recentes sont votre voie de recuperation. Mais les sauvegardes n'aident que si elles sont effectivement restaurables. Nous avons un guide complet sur les strategies de sauvegarde de sites web.

Le NCSC Suisse et la divulgation des vulnerabilites

La Suisse dispose d'un centre national de cybersecurite : le NCSC (National Cyber Security Centre), desormais integre a l'Office federal de la cybersecurite (OFCS). Le NCSC joue un role dans la reponse aux zero-days pour les organisations suisses.

Lorsqu'un zero-day significatif affecte les entreprises suisses, le NCSC publie des avis sur son site et des communications directes aux operateurs d'infrastructures critiques. Il gere egalement une plateforme de divulgation des vulnerabilites ou les chercheurs en securite peuvent signaler des failles dans les services en ligne suisses.

Pour les entreprises au Tessin et dans toute la Suisse, le NCSC est une ressource a connaitre. Vous pouvez vous inscrire a leurs alertes sur ncsc.admin.ch.

Programmes de bug bounty : payer pour les vulnerabilites avant que les attaquants ne les trouvent

Les programmes de bug bounty offrent des recompenses financieres aux chercheurs en securite qui trouvent et signalent des vulnerabilites de maniere responsable. L'idee est simple : payer un chercheur de 500 a 50 000 CHF pour trouver une vulnerabilite avant qu'un criminel ne l'utilise pour causer des dommages dix ou cent fois superieurs.

De grandes entreprises suisses comme Swisscom et SIX Group gerent des programmes de bug bounty. Au niveau international, des plateformes comme HackerOne et Bugcrowd mettent en relation entreprises et chercheurs en securite du monde entier.

Pour la plupart des PME en Suisse, gerer un programme formel de bug bounty n'est pas realiste. Mais vous pouvez quand meme beneficier du concept :

  • Affichez un contact de securite clair sur votre site (un fichier security.txt a /.well-known/security.txt).
  • Repondez de maniere professionnelle et reconnaissante quand quelqu'un signale une vulnerabilite.
  • Ne menacez pas de poursuites judiciaires les chercheurs qui signalent des failles. C'est un reflexe contre-productif que beaucoup d'entreprises ont encore.

Le role de l'architecture dans la resilience aux zero-days

Vos choix technologiques ont un impact direct sur votre exposition aux attaques zero-day. Considerez deux configurations differentes pour un site web d'entreprise :

Configuration A (traditionnelle) : WordPress sur une pile LAMP (Linux, Apache, MySQL, PHP). Le CMS, ses 15 plugins, le runtime PHP, la base de donnees MySQL et le serveur web tournent tous sur un seul serveur expose a internet. Un zero-day dans n'importe lequel de ces composants compromet l'ensemble du systeme.

Configuration B (statique/moderne) : un site statique genere lors du build, deploye sur un CDN. Le site consiste en fichiers HTML, CSS et JavaScript. Pas de code serveur, pas de base de donnees, pas de panneau d'administration accessible depuis internet.

La Configuration B a une fraction de la surface d'attaque de la Configuration A. Un zero-day dans PHP, MySQL ou WordPress ne l'affecte pas car ces technologies ne font pas partie de la pile. Nous explorons cela plus en detail dans notre article sur l'architecture web moderne.

Que faire maintenant

Voici des etapes concretes que vous pouvez prendre cette semaine :

  1. Inventoriez vos logiciels : faites une liste de chaque logiciel en execution sur votre infrastructure web.
  2. Inscrivez-vous aux avis de securite : pour chaque logiciel majeur de votre liste, inscrivez-vous aux listes de diffusion securite du fournisseur. Inscrivez-vous aussi aux avis du NCSC Suisse.
  3. Mettez en place un WAF : si vous n'en avez pas, placez votre site derriere un WAF. Le plan gratuit de Cloudflare inclut des fonctionnalites WAF de base.
  4. Activez la surveillance : configurez une surveillance de base de l'integrite des fichiers et de la disponibilite.
  5. Revoyez votre surface d'attaque : pouvez-vous reduire les logiciels en execution ? Pouvez-vous migrer votre site informatif vers une architecture statique ?
  6. Redigez un plan de reponse aux incidents : meme un document d'une page avec les coordonnees et l'autorite decisionnelle est mieux que rien.
  7. Testez vos sauvegardes : quand avez-vous restaure une sauvegarde pour la derniere fois ? Si la reponse est "jamais", planifiez un test ce mois-ci.

Les vulnerabilites zero-day sont une realite de l'utilisation de logiciels. Vous ne pouvez pas eliminer le risque, mais vous pouvez construire une infrastructure et une capacite de reponse qui limitent votre exposition. Si vous avez besoin d'aide pour evaluer votre posture actuelle, contactez notre equipe a Lugano pour un audit de securite.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Sécurité

Vulnerabilites WordPress en 2025 : Pourquoi Votre Site Est Encore en Danger

WordPress propulse plus de 40% du web, mais sa popularite en fait la cible numero un des attaquants. Nous analysons les classes de vulnerabilites les plus courantes, des CVE reels et les mesures concretes pour securiser votre installation.

· 18 min de lecture
Sécurité

SPF, DKIM et DMARC : Protegez Votre Entreprise Contre le Spoofing Email

Le spoofing email coute des milliards aux entreprises chaque annee via les fraudes BEC et le phishing. SPF, DKIM et DMARC sont trois protocoles qui, correctement configures, rendent l'usurpation de votre domaine quasi impossible.

· 15 min de lecture
Sécurité

Pages d'Administration Exposees : Un Cadeau pour les Hackers

Vos pages /wp-admin, /admin ou /login sont visibles par tout internet. Les bots les scannent en ce moment. Le CAPTCHA seul ne vous sauvera pas. Voici comment les attaquants exploitent les panneaux admin exposes.

· 13 min de lecture

Contact Rapide