L’impact des attaques 0day est mésestimé par le grand public. On les imagine réservées au gotha du monde numérique : espionnage et intelligence industrielle seraient les seuls utilisateurs de ces techniques. La réalité se rapproche plus d’un produit grand public classique, évoluant entre innovation, croissance, maturité et obsolescence.
Matière première de l’industrie du cyber-crime
Des chercheurs, souvent individuels, découvrent des failles non référencées et créent un POC (« proof of concept ») prouvant leur capacité à l’exploiter. Cette exploitation consiste en l’exécution d’un code arbitraire sur la machine victime. Le POC est essentiel car il démontrera que n’importe quel virus ou code malicieux pourra être exécuté grâce à l’exploitation de la faille. La valeur financière d’un tel POC dépend : * Du nombre de victimes potentielles. Ce nombre est très lié à la popularité du logiciel présentant la faille : les programmes de traitement de texte, les lecteurs de documents et les systèmes d’exploitation arrivent donc en tête des recherches * De la facilité d’utilisation de la faille. Les exploitations présentant un caractère aléatoire, les acheteurs du POC voudront maximiser la probabilité de réussite de l’attaque
Le métier de chercheur étant très différent de celui de voleur, vandale, ou racketeur, on comprendra aisément que les premiers fournissent le produit de leur labeur tel quel, et qu’ils ne s’impliquent pas dans leur utilisation finale. Ainsi, ils ne développent généralement pas de virus, vers, ou autres trojans : leur activité se concentre sur les failles, qui permettront in fine à d’autres acteurs de lancer les codes malicieux qu’ils auront eux-mêmes produits.
De la matière première au produit fini : l’ajout du payload
Le payload, ou charge viral, est le code malicieux que chacun ajoutera au POC en fonction de ses besoins. L’exploitation de la vulnérabilité n’a pas d’autre objectif que l’exécution de cette charge virale chez la victime.