Les ZDE sous la loupe de McAfee
L'Exploit « zero day », sa vie, son environnement ( son écosystème disent les VRP), ses oeuvres, voilà le thème abordé par Craig Schmugar de l'Avert au fil d'un article en trois parties . Ce chercheur s'est penché sur les soi-disant recrudescences de ZDE de lendemain de correctifs... pour découvrir en fin de compte que les jours précédant ou suivant le « patch Tuesday » n'était pas particulièrement plus propice qu'un autre. Les ZDE n'attendent pas pour naitre. Reste que cette analyse repose sur une définition très stricte du ZDE -l'exploitation par reverse engineering d'un correctif peut-il ou non entrer dans cette catégorie ?-. En outre, un « bug connu » mais non corrigé, dont l'exploit n'est donc pas qualifiable de ZDE, s'avèrera tout aussi dangereux qu'un véritable Zero Day. C'est là le problème lié aux « fenêtres de vulnérabilités » dépendant parfois de la complexité des circuits et mécanismes de déploiement de rustines, ainsi que des périodes de tests de régression. Ajoutons enfin que Craig Schmugar n'utilise qu'une approche statistique des fréquences de parution. Or, psychologiquement, le nombre d'attaques et leur fréquence sont des données négligeables en regarde de l'efficacité et de la dangerosité d'ycelle. Voir, plus simplement, l'impact d'une attaque dépendra essentiellement de sa couverture médiatique. Soulignons également une remarque de Schmugar, à propos des « mois du bug xxx ». « au début, ce genre de publication retenait l'attention, mais après le septième du genre, le phénomène devient franchement rasoir ». C'est une façon de voir les choses. On pourrait également en conclure que c'est la preuve d'une certaine popularisation des techniques d'automatisation de fuzzing. Et qui dit automatisation, pense peu ou prou « outils prêts à l'emploi », donc tôt ou tard à la portée de script kiddies ou de petits cybermalfrats. Sans être alarmant, ce signal est tout de même plus « préoccupant » que « rasoir » .
