Exploitation

Une exploitation est un logiciel conçu pour exploiter une faille dans un système informatique, normalement à des fins malveillantes, par exemple pour installer un logiciel malveillant.

Qu'est-ce qu'une exploitation ?

Une exploitation est un programme informatique, un logiciel ou une suite de commandes exploitant une erreur ou une vulnérabilité pour provoquer un certain comportement dans un logiciel, un matériel ou un appareil électronique.

Ces comportements incluent habituellement la prise de contrôle d'un système, l'attribution de droits d'administrateur à un intrus ou le lancement d'attaques de type refus de service (DoS ou DDoS).

 

Types d'exploitations

Une vulnérabilité distante se propage via un réseau et exploite les failles de sécurité sans disposer au préalable d'un accès au système compromis.

Une vulnérabilité locale, à l'inverse, a besoin d'un accès préalable au système vulnérable, normalement dans le but d'accroître les privilèges de la personne qui lancera l'exploitation.

Il existe aussi des exploitations contre des applications clientes (nécessitant un contact avec un serveur) qui commencent habituellement par la configuration du serveur pour lancer l'exploitation sur un ordinateur. Les vulnérabilités des applications clientes peuvent aussi nécessiter une certaine interaction avec les utilisateurs, et sont parfois utilisées avec de l'ingénierie sociale pour tromper les victimes de l'attaque.

 

Exploitations zero-day

Les exploitations zero-day sont des failles de sécurité dans un logiciel qui n'avaient pas été découvertes avant l'attaque. Entre le moment de la première attaque et le moment où la vulnérabilité est résolue, les pirates ont la possibilité d'exploiter cette vulnérabilité pour créer un impact maximal sur des programmes, des données, d'autres ordinateurs ou un réseau tout entier.

Les exploitations qui ciblent ce type de vulnérabilité sont par conséquent appelées des exploitations zero-day. Plus le périmètre de l'attaque est étendu et le nombre de jours écoulés depuis le zero-day (le "jour zéro") réduit, plus il est probable qu'aucune solution ou aucun contournement n'aura été développé et que les dommages seront importants.

Même lorsqu'un correctif a été développé, les utilisateurs ne l'installent pas tous immédiatement. WannaCry est un cas d'école dans ce domaine : le logiciel malveillant utilisait une exploitation Windows développée par la NSA américaine, déjà divulguée par WikiLeaks.

Le problème avait été résolu par un correctif de Microsoft, mais les ordinateurs qui n'avaient pas été mis à jour dans les jours suivants étaient toujours vulnérables. Lorsque les ordinateurs qui n'avaient pas été utilisés pendant le week-end ont redémarré le lundi, une deuxième vague de propagation a eu lieu.


Menace cachée

Lorsqu'une exploitation est rendue publique, les développeurs de logiciels prennent des mesures : la vulnérabilité est corrigée -souvent au moyen d'un correctif- et l'exploitation est alors inutilisable. C'est la raison pour laquelle certains pirates -criminels ou agissant pour le compte de services militaires ou de renseignement- ne publient pas le détail de ces exploitations de manière à pouvoir continuer de les utiliser.

Un grand nombre d'exploitations sont destinées à fournir un accès au système à des administrateurs ou des super-utilisateurs. Mais il est aussi possible que les pirates puissent tirer parti d'exploitations pour obtenir d'abord un accès de bas niveau, puis obtenir des privilèges de plus en plus élevés jusqu'à ce qu'ils aient atteint le niveau le plus élevé des droits d'administrateur (également dénommé niveau root).