Qu'est-ce qu'une vulnérabilité « zero-day » ? Définition, exemples et mesures de protection

Le terme « zero-day » revient sans cesse dans l'actualité de la cybersécurité, mais ce concept est souvent mal compris. Une vulnérabilité « zero-day » n'est pas nécessairement la plus dangereuse de votre environnement. Il s'agit d'une catégorie spécifique de vulnérabilité qui engendre un type particulier de risque, et il est essentiel de comprendre ce qui la distingue des autres vulnérabilités pour pouvoir la gérer de manière appropriée.

La plupart des équipes de sécurité accordent trop d’importance au risque lié aux failles « zero-day » et en accordent trop peu au risque bien plus courant que représentent les vulnérabilités connues non corrigées. Les mesures de défense qui comblent la fenêtre d’exposition aux failles « zero-day » sont en grande partie les mêmes que celles qui réduisent l’exposition à l’ensemble des vulnérabilités. C’est en comprenant cette distinction que les équipes informatiques et les MSP peuvent allouer leurs efforts de sécurité de manière ciblée plutôt que de manière réactive. Lisez le rapport Kaseya 2026 sur l'état des MSP : 69 % des MSP proposent la gestion des correctifs et des mises à jour en tant que service, car la fenêtre entre la divulgation d'une vulnérabilité et l'application d'un correctif est l'un des intervalles les plus critiques en matière de sécurité informatique.

Qu'est-ce qu'une faille de sécurité « zero-day » ?

Une vulnérabilité « zero-day » est une faille de sécurité dans un logiciel, un matériel ou un micrologiciel dont le fournisseur chargé de la corriger n'a pas connaissance ; il n'existe donc pas de correctif disponible au moment où elle est découverte ou exploitée par des pirates.

Ce terme désigne le nombre de jours dont disposait le fournisseur pour remédier au problème : zéro. Lorsqu'une faille de sécurité est découverte par un chercheur et signalée de manière responsable au fournisseur, ce dernier a le temps de développer et de publier un correctif avant que la faille ne soit largement connue et exploitée. En revanche, une faille « zero-day » est soit exploitée avant même d'avoir été signalée, soit divulguée publiquement sans que le fournisseur en ait été informé au préalable, ce qui laisse une période pendant laquelle les systèmes sont vulnérables et où aucun correctif n'existe.

Ce terme s'écrit également « 0-day » ; l'expression « zero-day » peut désigner la vulnérabilité elle-même, l'exploit qui en tire parti ou l'attaque qui utilise cet exploit. Chacune de ces acceptions a une signification distincte, ce qui explique pourquoi cette terminologie prête à confusion.

Une fois qu'un correctif est publié, la vulnérabilité n'est techniquement plus une vulnérabilité « zero-day ». Elle devient une vulnérabilité connue. Mais cette transition n'élimine pas le risque. La fenêtre d'exposition effective correspond à la période comprise entre le moment où un pirate prend connaissance d'une vulnérabilité et celui où une organisation applique le correctif correspondant ; pour la plupart des organisations, cette fenêtre peut s'étendre sur plusieurs semaines, voire plusieurs mois, même après la mise à disposition du correctif.

Vulnérabilité « zero-day », exploit et attaque : définition de ces trois termes

Ces trois termes sont souvent utilisés de manière interchangeable, mais ils désignent des choses différentes.

Une vulnérabilité « zero-day » désigne une faille sous-jacente dans un logiciel ou un micrologiciel, c'est-à-dire une faille de sécurité qui existe mais pour laquelle aucun correctif n'a encore été publié. Il s'agit d'un état, et non d'une action.

Un exploit « zero-day » désigne le code, l'outil ou la technique qui tire parti d'une telle vulnérabilité. Les chercheurs en sécurité s'en servent pour démontrer qu'une vulnérabilité est bien réelle et exploitable. Les pirates, quant à eux, s'en servent comme d'une arme. Lorsque la communauté de la sécurité parle d'un exploit « zero-day » « exploité dans la nature », cela signifie qu'un exploit ciblant cette vulnérabilité a été déployé contre des cibles réelles.

Une attaque « zero-day » désigne l'opération consistant à exploiter une faille contre une cible. Une faille peut exister sans être exploitée. Un exploit peut être créé sans être utilisé dans le cadre d'une attaque. C'est lors de l'attaque que la faille cause des dommages concrets.

Cette distinction est importante pour la gestion des incidents. Une organisation qui détecte un comportement d'exploitation sur un système peut être victime d'une attaque « zero-day », mais ce même comportement pourrait également indiquer l'exploitation d'une vulnérabilité connue qui n'a pas encore été corrigée. Pour faire la distinction entre les deux, il faut disposer de capacités de détection allant au-delà de la simple comparaison de signatures.

Comment sont découvertes les vulnérabilités « zero-day »

Les vulnérabilités « zero-day » sont découvertes par plusieurs voies différentes, et cette voie est importante car elle détermine la rapidité avec laquelle un correctif est mis à disposition.

Les chercheurs en sécurité qui découvrent des failles suivent généralement des procédures de divulgation responsable : ils informent le fournisseur en privé et lui accordent un délai défini (souvent de 90 jours, comme le prévoit la norme du Google Project Zero) pour développer un correctif avant la divulgation publique. Dans ces cas-là, un correctif peut déjà exister le jour où la faille est rendue publique, ce qui réduit considérablement la durée réelle de la fenêtre « zero-day ».

Les groupes étatiques et les organisations criminelles sophistiquées consacrent des ressources considérables à la recherche de vulnérabilités, dans le but précis de découvrir des failles exploitables avant les éditeurs de logiciels. Les failles « zero-day » ainsi identifiées sont généralement transformées en armes immédiatement et gardées secrètes pendant des mois, voire des années, afin de préserver leur valeur en tant qu'outils d'attaque. Il s'agit de la catégorie la plus dangereuse, car ces failles existent et sont activement exploitées avant même que quiconque en dehors du groupe d'attaquants ne sache qu'elles existent.

Le marché des failles « zero-day » constitue une économie bien réelle et importante. Des intermédiaires achètent et vendent des exploits « zero-day », les agences de renseignement gouvernementales et les organisations criminelles figurant toutes deux parmi les acheteurs. Une faille « zero-day » dans un logiciel largement utilisé peut atteindre des sommes considérables sur ce marché, ce qui incite financièrement à rechercher et à thésauriser les vulnérabilités plutôt qu’à les divulguer de manière responsable.

Concrètement, pour les responsables de la sécurité, cela signifie qu’il est souvent impossible de savoir si une faille « zero-day » existe dans les logiciels qu’ils utilisent et si elle fait l’objet d’un commerce ou d’une exploitation active, car la caractéristique essentielle d’une véritable faille « zero-day » est qu’elle est inconnue du fournisseur et du grand public. La défense doit donc viser à réduire l’impact d’une exploitation réussie plutôt qu’à empêcher l’existence même de la vulnérabilité.

Vulnérabilités « zero-day » ou vulnérabilités connues : lesquelles sont les plus dangereuses ?

Pour la plupart des organisations, les vulnérabilités connues non corrigées représentent un risque opérationnel plus important que les vulnérabilités « zero-day ».

Les failles « zero-day » suscitent beaucoup d'attention parce qu'elles sont nouvelles et qu'il n'existe pas encore de correctifs. Mais elles sont également relativement rares dans le paysage global des vulnérabilités. Le nombre de vulnérabilités documentées publiquement et pouvant faire l'objet d'un correctif dans les logiciels couramment utilisés à un moment donné est énorme. La grande majorité des exploits réussis dans la nature exploitent des vulnérabilités connues, souvent des vulnérabilités pour lesquelles des correctifs sont disponibles depuis des mois, voire des années.

Les données à l'appui ne laissent planer aucun doute. La plupart des violations de sécurité majeures qui font l'objet d'enquêtes et sont attribuées publiquement s'avèrent impliquer l'exploitation de failles connues plutôt que de véritables failles « zero-day ». Les pirates choisissent la voie de la moindre résistance. Un serveur Exchange non mis à jour présentant une faille CVE datant de 18 mois est plus accessible qu'une faille « zero-day » récente qu'il a fallu des mois à l'équipe de recherche d'un État-nation pour découvrir.

Concrètement, cela signifie que la meilleure défense contre l'ensemble des vulnérabilités, qu'elles soient de type « zero-day » ou déjà connues, repose en grande partie sur la même stratégie : une gestion rapide et automatisée des correctifs qui réduit au minimum le délai entre la mise à disposition d'un correctif et son application, associée à une capacité de détection comportementale capable d'identifier les tentatives d'exploitation, que la vulnérabilité en question soit connue ou non.

Les vulnérabilités « zero-day » nécessitent deux capacités supplémentaires que les vulnérabilités connues ne requièrent pas. D'une part, une détection comportementale capable d'identifier les schémas d'exploitation sans s'appuyer sur des signatures connues. D'autre part, des mesures de compensation qui limitent les dégâts lorsqu'une vulnérabilité ne peut être corrigée, faute de correctif disponible.

Exemples marquants de vulnérabilités « zero-day »

Log4Shell (2021)

La vulnérabilité critique d’Apache Log4j, une bibliothèque de journalisation Java largement utilisée, a été rendue publique en décembre 2021. Quelques heures seulement après cette divulgation, des attaques à grande échelle ont commencé. La combinaison de la présence quasi universelle de Log4j dans les applications Java d’entreprise et de la gravité de la vulnérabilité (exécution de code à distance ne nécessitant qu’une authentification minimale) a fait de cet incident l’un des événements de type « zero-day » les plus importants de la dernière décennie. Les organisations disposant d'un système automatisé de gestion des correctifs et d'un inventaire des actifs qui a mis en évidence leur exposition à Log4j ont pu établir des priorités et réagir. Celles qui ne disposaient ni de l'un ni de l'autre ont passé des jours à découvrir leur exposition réelle alors que l'exploitation était déjà en cours.

ProxyLogon (Microsoft Exchange, 2021)

Un groupe soutenu par l'État chinois a exploité ProxyLogon, un ensemble de failles de sécurité dans Microsoft Exchange Server, avant même que le correctif de Microsoft ne soit disponible. Ces failles permettaient l'exécution de code à distance sur des serveurs Exchange non corrigés. Au moment où Microsoft a publié ses correctifs, des milliers de serveurs Exchange à travers le monde avaient déjà été compromis par le biais de shells Web qui persistaient après l'exploitation initiale.

Vulnérabilités « zero-day » de Chrome (en cours)

Google Chrome reçoit régulièrement des correctifs d'urgence pour des failles « zero-day » activement exploitées, car les navigateurs sont des logiciels complexes directement exposés à des contenus non fiables. Le schéma est toujours le même : une faille « zero-day » est identifiée comme étant exploitée dans la nature, Google publie un correctif d'urgence, et les entreprises qui n'ont pas automatisé la mise à jour de leurs navigateurs restent exposées jusqu'à ce que le correctif soit déployé manuellement.

Stuxnet (2010) et EternalBlue (2017)

Stuxnet reste l'exemple par excellence d'une arme de type « zero-day » mise au point par un État-nation. Découvert en 2010, ce virus exploitait simultanément quatre failles « zero-day » distinctes de Windows pour injecter une charge utile qui a causé des dommages physiques aux centrifugeuses industrielles du programme nucléaire iranien. Il reste remarquable en ce qu'il a démontré que l'exploitation de failles « zero-day » peut entraîner des conséquences physiques concrètes, et pas seulement une perte de données.

EternalBlue, un exploit « zero-day » initialement développé par la NSA et divulgué en 2017, visait le protocole SMBv1 de Windows. Il a servi de vecteur de propagation à WannaCry et NotPetya, deux des cyberattaques les plus dévastatrices de l'histoire sur le plan économique. Un correctif Microsoft était déjà disponible pour la vulnérabilité sous-jacente au moment du lancement de WannaCry, mais des millions de systèmes non mis à jour restaient exposés, ce qui explique pourquoi un exploit exploitant une vulnérabilité déjà connue a pu avoir des conséquences catastrophiques.

On observe une tendance constante dans les incidents liés à des failles « zero-day » : les entreprises qui ont appliqué les correctifs dès leur mise à disposition, ou qui disposaient d'un système de détection comportementale capable d'identifier les tentatives d'exploitation, ont bien mieux limité les dégâts que celles qui ne l'ont pas fait.

Se protéger contre les menaces « zero-day »

La stratégie de défense contre les failles « zero-day » est la même que celle appliquée à l'ensemble des vulnérabilités, à deux exceptions près.

Réduisez la surface d'attaque.

Moins il y a de logiciels en exécution dans l'environnement, moins il y a de cibles potentielles pour les failles « zero-day ». Supprimer les logiciels qui ne sont pas utilisés activement, limiter les extensions de navigateur au strict minimum et réduire le nombre de services exposés à Internet permet de limiter les possibilités d'exploitation. Une faille « zero-day » dans un logiciel que vous n'utilisez pas ne peut pas vous nuire.

Gestion automatisée et rapide des correctifs

L'application de correctifs n'est d'aucune utilité pendant la phase de vulnérabilité « zero-day », mais elle réduit considérablement l'exposition une fois le correctif publié. Le passage d'une vulnérabilité « zero-day » à une vulnérabilité connue, puis à une vulnérabilité corrigée, doit s'effectuer le plus rapidement possible, en quelques jours seulement, et non en plusieurs semaines. Kaseya VSA 10 et Datto RMM automatisent le déploiement des correctifs sur tous les terminaux gérés dès le jour de leur publication, grâce à des workflows d'approbation configurables par niveaux pour les modifications nécessitant des tests avant leur déploiement en production.

Détection comportementale des EDR

Les plateformes EDR capables de détecter les comportements d'exploitation, l'injection de processus, l'escalade de privilèges, les processus enfants inattendus et les connexions réseau inhabituelles provenant de processus de confiance peuvent identifier les exploitations de type « zero-day » même en l'absence de signature connue pour la vulnérabilité en question. Datto EDR propose une détection comportementale qui identifie les schémas d'attaque plutôt que de se limiter aux logiciels malveillants connus, ce qui en fait un outil particulièrement pertinent pendant la fenêtre « zero-day » précédant la publication d'un correctif, lorsqu'aucune signature n'existe encore.

Segmentation du réseau

Limiter l'accès d'un système compromis au réseau réduit l'ampleur des dégâts lorsqu'une faille « zero-day » est exploitée avec succès. Un pirate qui exploite une faille « zero-day » sur un poste de travail ne devrait pas pouvoir accéder automatiquement à un contrôleur de domaine, à un serveur de fichiers ou à un système de sauvegarde. La segmentation n'empêche pas l'exploitation, mais elle permet de limiter les dégâts d'une compromission catastrophique.

Gestion des vulnérabilités

Une analyse continue qui identifie les logiciels non mis à jour dans l'ensemble de l'environnement et hiérarchise les mesures correctives en fonction de la disponibilité des exploits et de l'importance des ressources permet de mettre en évidence les points de vulnérabilité les plus urgents. Lorsqu'une nouvelle faille « zero-day » est signalée, les données de gestion des vulnérabilités indiquent immédiatement quelles ressources sont concernées et dans quel délai une intervention est nécessaire.

Renseignements sur les menaces

Les flux qui surveillent les campagnes d'exploitation de vulnérabilités « zero-day » en cours permettent de signaler rapidement, souvent plusieurs jours avant la publication d'un correctif, qu'une vulnérabilité spécifique est activement exploitée. Cela permet de mettre en place des mesures de compensation (modification des règles, désactivation temporaire de certaines fonctionnalités, restrictions d'accès au réseau) pendant la phase de développement du correctif.

Défense contre les vulnérabilités « zero-day » pour les MSP : le problème de la fenêtre de mise à jour

Pour les MSP, le défi que représente la protection contre les vulnérabilités « zero-day » n'est pas d'ordre théorique. Il est d'ordre opérationnel. La période qui s'écoule entre la mise à disposition d'un correctif « zero-day » et son déploiement dans des dizaines d'environnements clients constitue la véritable fenêtre d'exposition, et sans automatisation, celle-ci s'étire.

Imaginez à quoi ressemble la coordination manuelle des correctifs à grande échelle. Une faille critique de type « zero-day » dans un navigateur est révélée un mardi. L'équipe du MSP identifie la vulnérabilité, détermine quels clients sont touchés, coordonne les créneaux de maintenance avec chaque client, planifie le déploiement et vérifie la réussite du processus client par client. Dans le meilleur des cas, ce processus prend trois à quatre jours pour 30 clients. Dans des environnements où les pirates commencent à cibler les vulnérabilités à haut risque nouvellement révélées dans les 24 à 48 heures suivant leur divulgation, ce délai est crucial.

Avec Kaseya VSA 10 ou Datto RMM, le même déploiement est effectué le jour même dans le cadre d'une politique de correctifs automatisée, avec une mise en place progressive par anneaux qui passe par un groupe de validation avant le déploiement complet en production. La coordination des fenêtres de maintenance est préconfigurée. La vérification s'effectue automatiquement. La fenêtre d'exposition du MSP passe de plusieurs jours à quelques heures pour les clients soumis à cette politique.

C'est pourquoi, pour 69 % des MSP proposant la gestion des correctifs en tant que service, il ne s'agit pas simplement d'un secteur d'activité, mais bien de la capacité opérationnelle qui permet de garantir la sécurité pendant la fenêtre « zero-day ». Le service, c'est le système. Découvrez la gestion automatisée des correctifs de Kaseya VSA 10, un modèle opérationnel qui permet de déployer à grande échelle une réponse rapide aux vulnérabilités « zero-day » dans un environnement multi-clients.

Les failles « zero-day » font la une des journaux. Mais ce sont les vulnérabilités connues et non corrigées qui causent le plus de dégâts. La stratégie de défense pour lutter contre ces deux types de menaces est la même : réduire la surface d'attaque, automatiser l'application des correctifs, mettre en place une détection comportementale et segmenter le réseau. Les entreprises et les fournisseurs de services gérés (MSP) qui tirent le meilleur parti de ces pratiques sont ceux qui les appliquent de manière continue, plutôt que de les mettre en œuvre uniquement en réaction à la prochaine divulgation très médiatisée. À ce moment-là, la porte est déjà grande ouverte.