Un 0-day (écrit aussi zero-day) est une vulnérabilité de sécurité informatique critique dans un logiciel, un système d’exploitation ou un matériel, inconnue du développeur et pour laquelle aucun correctif n’existe encore.
Son nom vient du « jour zéro » : le temps écoulé entre sa découverte et le premier correctif disponible est égal à zéro.
Une faille 0-day, c’est comme laisser une porte ouverte dans la muraille sans aucun garde pour la surveiller.
©Alexandre SALQUE
📌 Caractéristiques d’une vulnérabilité 0-day
- Non détectée : elle n’est pas encore connue du public ni du fournisseur du logiciel ni répertorié dans les bases de vulnérabilités (comme CVE)
- Aucun correctif disponible : puisque le développeur n’est pas au courant, aucun patch n’existe pour la corriger.
- Exploitée par des attaquants : les hackers peuvent l’utiliser pour infiltrer des systèmes, voler des données ou installer des logiciels malveillants.
🔥 Qu’est-ce qu’un exploit 0-day ?
Un exploit 0-day est un programme ou code malveillant conçu pour profiter de la faille avant qu’un correctif ne soit publié.
Exemple : l’exploit EternalBlue (NSA, 2017), basé sur une faille Windows non patchée, a été utilisé pour propager le ransomware WannaCry.
🏴☠️ Qui utilise les 0-days ?
- Cybercriminels : pour des attaques ciblées, cybercriminalité, ransomwares, vol de données… Ex : le groupe FIN7 utilisant des 0-days pour cibler les points de vente (POS).
- Gouvernements et agences de renseignement : pour de l’espionnage, du sabotage ou des cyberattaques. Ex : Stuxnet (2010), ciblant les centrifugeuses iraniennes.
- Chercheurs en cybersécurité : pour signaler les failles aux entreprises (bug bounty, divulgation responsable). Ex : découverte de la faille Log4Shell (2021) par un chercheur.
🛡️ Comment se protéger contre les 0-days ?
- Mettre à jour régulièrement ses logiciels et systèmes.
- Utiliser des solutions de sécurité avancées (EDR, IDS, pare-feu…).
- Pratiquer le Zero Trust (ne pas faire confiance par défaut aux logiciels et utilisateurs).
- Surveiller les menaces et appliquer les correctifs dès qu’ils sont disponibles.
Les attaques 0-day sont parmi les plus dangereuses car elles ciblent des failles inconnues et difficiles à prévenir !
📊 Chiffres en France et dans le monde
🌍 Monde
- Nombre de 0-days détectés :
- 2023 : 97 vulnérabilités 0-day exploitées (rapport Google Project Zero).
- Hausse de 50 % depuis 2020, liée à la cyberguerre (Ukraine, tensions Chine/États-Unis).
- Coût d’un exploit 0-day :
- Sur le dark web : 100 000 aˋ5millions selon la cible (iOS, Windows, etc.).
- Exemple : Les 0-days iOS se vendent jusqu’à 2 millions $ (sources Zerodium).
🇫🇷 France
- Attaques recensées :
- En 2022, 12 % des cyberattaques en France impliquaient des 0-days (rapport ANSSI)
- Secteurs visés : Santé, énergie, défense.
- Cas emblématique :
- Piratage du logiciel Chèque Emploi Service Universel (CESU) en 2021 via une faille 0-day non divulguée
💥 Exemples récents d’attaques 0-day
- Log4Shell (2021) :
- Vulnérabilité dans la bibliothèque Java Log4j, exploitée pour prendre le contrôle de serveurs.
- Impact : 40 % des entreprises mondiales touchées (source Check Point)
- Zoom (2020) :
- Un 0-day permettait aux attaquants de prendre le contrôle des PC via l’appli
- Pegasus (NSO Group) :
- Logiciel espion utilisant des 0-days iOS/Android pour surveiller journalistes et opposants
🚨 Pourquoi les 0-days sont-ils si dangereux ?
- Latence des correctifs : en moyenne, 54 jours sont nécessaires pour corriger une faille (source : Ponemon Institute)
- Complexité des systèmes : les logiciels modernes (ex : cloud, IoT) multiplient les surfaces d’attaque
- Rentabilité : un seul 0-day peut infecter des millions de machines (ex : ransomware Conti)
🔮 Futur des 0-days
- IA générative : des IA génératives pourraient automatiser la découverte de failles.
- Guerre cybernétique : les 0-days deviennent des armes géopolitiques (ex : conflit Russie-Ukraine).
- Régulations : l’UE planche sur des lois encadrant la vente d’exploits (ex : NIS 2).
