C'est quoi un zero-day ?
Définition, marché gris des exploits (jusqu'à 5 M$ pour un zero-click iMessage), exemples célèbres (Stuxnet, Pegasus, Log4Shell, MOVEit), CVSS et 5 réflexes pour atténuer le risque. Tout sur les vulnérabilités zero-day — l'arme préférée des APT et des groupes ransomware.
C'est quoi un zero-day ?
Un zero-day (ou 0-day) désigne une vulnérabilité informatique inconnue de l'éditeur du logiciel au moment de l'attaque, donc non corrigée par un patch. Le terme couvre à la fois la vulnérabilité elle-même et l'exploit qui l'utilise. Particulièrement difficile à anticiper puisque aucune contremesure spécifique n'existe lors de la découverte initiale.
Le marché gris des zero-days est mature et structuré : un exploit complet peut se vendre jusqu'à 5 M$ sur des plateformes comme Zerodium ou Crowdfense, principalement à des services de renseignement. Côté défensif, la stratégie n'est pas d'éliminer le risque (impossible) mais de maximiser le coût pour l'attaquant et de réduire l'impact en cas d'exploitation. Pour la dimension organisationnelle complète, voir crise cyber.
Le cycle de vie d'un zero-day
- Découverte. Par un chercheur (white hat), un attaquant (black hat) ou les deux indépendamment.
- Choix de divulgation. Responsible disclosure (à l'éditeur, qui patche puis publie) ou full disclosure (publication immédiate) ou vente sur le marché gris.
- Exploitation in-the-wild. Période où la vulnérabilité est exploitée sans correction disponible. Durée typique : quelques heures à plusieurs mois selon la complexité.
- Publication CVE et patch. Publication officielle, attribution d'un identifiant CVE, score CVSS, mise à disposition du patch.
- Bascule en N-day. La vulnérabilité devient connue. Les organisations qui ne patchent pas restent exposées pendant des semaines, mois, voire années.
Le marché des zero-days en chiffres
Zero-days marquants
Stuxnet
4 zero-days Windows simultanés. Sabotage du programme nucléaire iranien. Marque l'entrée des États dans la cyberguerre.
Pegasus (NSO Group)
Outil d'espionnage utilisant des zero-days iOS et Android. Vendu à des États. Cible journalistes, activistes, dirigeants.
Log4Shell (CVE-2021-44228)
Bibliothèque Log4j, présente dans des millions d'applications Java. Score CVSS 10/10. Exploitation massive en quelques heures.
MOVEit Transfer
Cl0p exploite un zero-day SQL injection. Plus de 2 600 organisations victimes en quelques jours.
Chrome / iOS
Plusieurs zero-days iOS exploités par des APT étatiques. Apple a publié plusieurs mises à jour d'urgence en 2024.
Ivanti / Fortinet VPN
Plusieurs zero-days sur les équipements VPN d'entreprise. Exploitation par groupes étatiques chinois selon CISA.
5 réflexes pour atténuer le risque zero-day
Réduction surface d'attaque
Limiter les services exposés à Internet. Désactiver les fonctionnalités inutilisées. Inventaire à jour des services exposés.
Défense en profondeur
Plusieurs couches de défense. Un zero-day exploité doit rencontrer microsegmentation, EDR, MFA, monitoring.
EDR comportemental
Détection sans signature, basée sur les comportements anormaux. Indispensable face à des exploits inconnus.
Veille CVE active
Abonnement CERT-FR. Monitoring CISA Known Exploited Vulnerabilities (KEV). Patch d'urgence sous 24-48h pour les CVE critiques exploitées.
Plan vulnérabilité critique
Procédure documentée pour patcher massivement et rapidement en cas de zero-day publié. Test annuel.
L'approche Twist face aux zero-days
Twist intervient sur la dimension organisationnelle de la gestion d'urgence d'un zero-day — la dimension technique étant traitée par RSSI/SOC et patch management.
- Plan de réponse aux CVE critiques formalisé : qui décide d'un patch d'urgence, qui notifie, qui communique aux utilisateurs en cas d'indisponibilité.
- Exercice scénario zero-day publié : test de la chaîne veille → décision → patch → vérification → communication, dans une fenêtre de 24-48h.
- Communication interne en cas de patch d'urgence forçant une indisponibilité programmée non planifiée. Voir communication de crise.
FAQ Zero-day
C'est quoi un zero-day ?
Un zero-day (ou 0-day) est une vulnérabilité inconnue de l'éditeur du logiciel au moment de l'attaque, donc non corrigée par un patch. Le terme couvre à la fois la vulnérabilité et l'exploit qui l'utilise.
Combien coûte un zero-day sur le marché ?
Marché gris mature et structuré. Prix indicatifs : Chrome jusqu'à 3 M$, iOS/Android jusqu'à 2,5 M$, WhatsApp/iMessage zero-click jusqu'à 5 M$, Windows local privilege escalation 200-500 k$. Acheteurs : Zerodium, Crowdfense, services de renseignement.
Quelle différence entre zero-day et N-day ?
Un zero-day n'est pas encore divulgué ni patché. Un N-day est une vulnérabilité connue et patchée — N étant le nombre de jours depuis la divulgation. Les attaques N-day exploitent les organisations qui n'ont pas appliqué les patches. Statistiquement, les N-day causent plus d'incidents que les zero-day.
Comment se protéger contre les zero-days ?
Pas de protection absolue. Cinq leviers d'atténuation : réduction de la surface d'attaque, défense en profondeur, EDR/XDR comportemental, veille CVE active avec patches d'urgence, plan de réponse aux vulnérabilités critiques sous 24-48h.
Quels sont les zero-days célèbres ?
Stuxnet (2010), Pegasus (NSO, 2016+), Log4Shell (2021, CVSS 10/10), MOVEit Transfer (2023, 2 600+ victimes), zero-days Chrome/iOS exploités par APT étatiques en 2024, Ivanti/Fortinet VPN (2024).
Préparer votre réponse aux CVE critiques ?
30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.
Discuter avec un consultant