Une étude de Rand Corp., un bureau d’études à but non lucratif, analyse la durée de vie d’une vulnérabilité jour zéro.

Une vulnérabilité jour zéro (zero-day ou 0day) est une faille logicielle pour laquelle aucun correctif de sécurité ou solution d’atténuation des risques n’est disponible, car la vulnérabilité n’a jamais été dévoilée : seul un, ou quelques chercheurs indépendants, ainsi que quelques clients, en ont connaissance.

Une telle vulnérabilité, qui peut affecter aussi bien un smartphone qu’un ordinateur, une voiture, un système de contrôle industriel ou une centrale atomique, permet à son détenteur de lancer une attaque contre laquelle personne n’est préparé, garantissant un impact, parfois colossal.

Une industrie s’est créée autour des vulnérabilités jour zéro, et des spécialistes les cherchent pour les vendre, en exclusivité ou en petit nombre, sur le ‘marché gris’, à des clients qui sont la plupart du temps des militaires, des agences de renseignement et des agences gouvernementales, voire des organisations criminelles.

L’étude est particulièrement intéressante, car c’est la première fois qu’un tiers obtient un accès presque complet (207 sur 230) à une base de données entière de 230 vulnérabilités jour zéro d’un vendeur anonyme.

Sur les 207 vulnérabilités, 100 sont encore des vulnérabilités jour zéro.

D’habitude, les études similaires se basent soit sur les vulnérabilités qui sont soumises aux programmes de recherches de bogues des éditeurs de logiciels, qui offrent des montants financiers parfois très élevés à ceux qui trouvent des failles de sécurité à leurs systèmes, soit à des données plus ou moins vagues et véridiques de vendeurs.

En moyenne, la durée de vie d’une vulnérabilité jour zéro serait de 6,9 ans. 25 % des vulnérabilités résisteraient moins d’un an et demi. 25 % des vulnérabilités peuvent survivre jusqu’à 15,1 ans.

Une vulnérabilité ‘meurt’ quand un correctif de sécurité est disponible, ou quand la mise à jour d’un logiciel la rend obsolète.

Un autre enseignement de l’étude est que la dichotomie mort/vivant est insuffisante. Il faut compter sur les zombies, c’est-à-dire les vulnérabilités jour zéro qui sont divulguées, mais qui grâce à une révision de leur code, affectent toujours des versions anciennes d’un produit.

D’après les chercheurs de Rand, le taux de collision, c’est-à-dire le nombre de fois où une même vulnérabilité jour zéro est redécouverte indépendamment par des tiers, est rare. Pour la base de données analysée, le taux de collision serait de 6 % par an.

Idéalement, le taux de collision vraiment intéressant serait le taux de collision qui reste secret, c’est-à-dire des vulnérabilités qui seraient découvertes par des acteurs comme des agences gouvernementales ou des cybercriminels qui ne divulguent pas leurs trouvailles, et non par les vulnérabilités publiquement dénoncées.

D’après une autre étude de Bruce Schneier et Trey Herr, publiée la semaine dernière, le taux de collision serait plus élevé sur les smartphones et les navigateurs Web : 15 à 20 % pour ces derniers. 22 % des vulnérabilités Android entre 2015 et 2016 seraient redécouvertes au moins une fois tous les deux mois après LA divulgation originale.