Vulnérabilité inconnue de l'éditeur, sans correctif disponible au moment de l'exploitation.
Une vulnérabilité zero-day est une faille de sécurité dans un logiciel qui n'est pas encore connue de l'éditeur ou pour laquelle aucun correctif n'est disponible. Le terme "0-day" signifie que l'éditeur a eu zéro jour pour la corriger avant qu'elle ne soit exploitée. Ces vulnérabilités sont particulièrement dangereuses car les systèmes affectés ne disposent d'aucune défense connue.
Le marché des zero-day est florissant : les chercheurs en sécurité peuvent vendre des exploits à des programmes bug bounty (HackerOne, Zerodium) ou à des agences gouvernementales pour des sommes allant de quelques milliers à plusieurs millions de dollars (un RCE iOS zero-click peut atteindre 2,5 M$). Les APT (Advanced Persistent Threats) étatiques accumulent des stocks de zero-day pour leurs opérations.
Exemples célèbres : Stuxnet (4 zero-days Windows utilisés contre les centrifugeuses iraniennes), Log4Shell (CVE-2021-44228), MOVEit Transfer (CVE-2023-34362, exploité par Cl0p). La protection passe par la défense en profondeur : EDR, segmentation réseau, principe de moindre privilège, virtual patching via WAF, et veille active sur la CISA KEV (Known Exploited Vulnerabilities).
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →