Zero-day
Faille de sécurité inconnue de l'éditeur pour laquelle aucun correctif n'existe encore, exploitable avant toute possibilité de défense.
Une vulnérabilité zero-day (ou « jour zéro ») est une faille de sécurité dans un logiciel, un firmware ou un matériel qui est inconnue de l'éditeur et pour laquelle aucun correctif n'existe encore. Le terme « zéro jour » désigne le nombre de jours dont dispose l'éditeur pour réagir : aucun.
Comment fonctionne une attaque zero-day
Le cycle de vie d'un zero-day
- Découverte — Un chercheur ou un attaquant identifie une faille inconnue dans un logiciel.
- Exploitation — Un exploit est développé pour tirer parti de la faille. Si l'attaquant est malveillant, il l'utilise avant toute divulgation.
- Divulgation — La faille est signalée à l'éditeur (responsible disclosure) ou rendue publique.
- Correction — L'éditeur développe et distribue un correctif (patch).
- Déploiement — Les organisations appliquent le patch sur leurs systèmes.
La fenêtre entre l'exploitation et le déploiement du patch est la période de vulnérabilité maximale. En 2024, cette fenêtre s'est réduite à 5 jours en moyenne entre divulgation et exploitation active — contre 32 jours les années précédentes.
Les cibles privilégiées
Les technologies d'entreprise sont de plus en plus visées : 44% des zero-days exploités en 2024 ciblaient des VPN, des appliances de sécurité et des logiciels d'entreprise. Les attaquants étatiques et les groupes cybercriminels ciblent ces systèmes car ils offrent un accès direct aux réseaux internes.
Pourquoi c'est un enjeu critique pour les entreprises
Un risque asymétrique
L'entreprise ne peut pas se défendre contre une menace qu'elle ne connaît pas. Les approches classiques basées sur les signatures (antivirus, IDS) sont inefficaces contre les zero-days par définition. Seule la détection comportementale et la défense en profondeur offrent une protection réelle.
Le marché des zero-days
Les vulnérabilités zero-day ont une valeur marchande. Les programmes de bug bounty récompensent les chercheurs qui les signalent de manière responsable. En parallèle, un marché gris existe où des courtiers revendent des zero-days à des gouvernements ou des entreprises de surveillance pour des montants pouvant atteindre plusieurs millions d'euros.
Stratégies de défense
Réduire la surface d'attaque
- Minimiser les services exposés — Désactiver les ports et services non essentiels, maintenir un inventaire à jour des actifs.
- Segmentation réseau — Isoler les systèmes critiques pour limiter la propagation latérale en cas de compromission.
- Patch management rigoureux — Appliquer les correctifs dès leur publication pour réduire la fenêtre d'exposition aux vulnérabilités connues (n-days).
Détecter sans signature
- EDR/XDR — Déployer des solutions de détection et réponse aux endpoints basées sur l'analyse comportementale, pas sur les signatures.
- Zero trust — Ne faire confiance à aucun utilisateur, appareil ou application par défaut, même à l'intérieur du réseau.
- Threat intelligence — S'abonner aux flux CERT-FR et aux alertes éditeurs pour réagir dès qu'un zero-day est divulgué.
Standards et spécifications
NIST — Zero Day Attack
Définition officielle du NIST Computer Security Resource Center
CERT-FR (ANSSI)
Centre gouvernemental français de veille et d'alerte sur les incidents de sécurité, publie les alertes zero-day actifs
Questions fréquentes
Quelle différence entre vulnérabilité zero-day, exploit zero-day et attaque zero-day ?
La vulnérabilité est la faille elle-même, inconnue de l'éditeur. L'exploit est le code ou la technique qui permet de l'exploiter. L'attaque est l'action malveillante qui utilise cet exploit contre une cible. Une vulnérabilité peut exister sans qu'un exploit soit connu ; un exploit peut exister sans qu'une attaque ait lieu.
Comment se protéger contre une attaque zero-day si aucun correctif n'existe ?
La défense repose sur la profondeur : segmentation réseau pour limiter la propagation, détection comportementale (EDR/XDR) pour repérer les activités suspectes, architecture zero trust pour ne faire confiance à aucun composant par défaut, et veille threat intelligence pour réagir dès qu'un zero-day est divulgué. Réduire la surface d'attaque en désactivant les services non essentiels est aussi un levier critique.
Comment une vulnérabilité zero-day est-elle découverte ?
Les zero-days sont découverts par des chercheurs en sécurité (via fuzzing, reverse engineering, audit de code), par des programmes de bug bounty, ou par des acteurs malveillants qui les exploitent avant tout le monde. La divulgation responsable (responsible disclosure) prévoit un délai — généralement 90 jours — pour que l'éditeur publie un correctif avant que les détails soient rendus publics.