OPINION. « Les vulnérabilités zéro-jour, un cauchemar en pleine forme… »

Par Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles et Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain

En 2025, les experts Google, qui viennent de sortir leur rapport annuel, en ont identifié 90. On reste inférieur au record de 2023 (100), mais supérieur aux 78 de 2024. La fourchette se situe depuis 2021 entre 60 et 100 cas par an, alors qu’on oscillait autour de 30 jusqu’en 2020.

Il y a d’abord la (seule) bonne nouvelle:  les navigateurs web en sont de moins en moins victimes de zero-days avec  des niveaux historiquement bas. Ils ne représentent plus qu’une part marginale des attaques via zero-day, avec moins de 10 % des exploitations observées en 2025. 

Mais pour le reste, ce sont plutôt de mauvaises nouvelles : sur les machines aux mains des utilisateurs comme outil de travail, les zero-days  ciblent les systèmes d’exploitation. En 2025, ces derniers – qu’ils équipent les ordinateurs de bureau ou les appareils mobiles – se sont imposés comme la catégorie de produits la plus exposée aux attaques:  44 % des vulnérabilités zero-day recensées, soit 39 cas. Ce chiffre marque une hausse par rapport à 2024, qui en comptait 31 (40 %), et à 2023, avec 33 cas (33 %). Les failles visant les systèmes de bureau continuent de se multiplier graduellement, avec 24 incidents cette année. Cette évolution reflète le rôle central des systèmes d’exploitation pour des zero-days efficaces. Sur le segment mobile, la tendance repart également à la hausse : après une baisse temporaire en 2024, les exploitations de zero-day sont repassées de 9 à 15 en 2025, renouant avec les 17 cas de 2023. 

Réseaux d’entreprise

Pour pénétrer à l’intérieur des réseaux d’entreprise, les zero-days fort recherchés vont viser les appareils en périphérie comme les routeurs, commutateurs, pare-feu et autres équipements de sécurité (un comble), représentant plus de la moitié des exploitations quand elles ne visent pas les machines « utilisateurs » et leurs logiciels (21 cas des zero-days liés aux entreprises).  Contrairement à ces dernières, elles sont dépourvues de technologies de détection comportementale (EDR) : leur compromission s’effectue à l’abri des regards. Si les entreprises attirent autant, c’est que la  diversité croissante des applications et des services qui y sont utilisés les rendent propices aux zero-days. Chaque nouvel outil, appareil ou logiciel élargit la surface d’attaque, et il suffit d’un seul point de défaillance pour qu’une intrusion réussisse. Et pourtant, ce sont des problèmes connus qui sont souvent en cause (manque de validation des entrées qui permettent de lancer des instructions sous couvert de données  ou des  contrôles d’autorisation incomplets qui permettent d’avoir accès à plus de privilèges)… Il manque des normes rigoureuses. 

Une fois dans le réseau, les hackers utiliseront les zéro-days qui affectent les logiciels et outils de virtualisation largement utilisés par les entreprises. Les pirates s’enfoncent au cœur même des infrastructures critiques, en exploitant les technologies qu’on y trouvera toujours.

Espionnage commercial

Google voit aussi les sociétés de cyberespionnage commerciales de plus en plus actives: elles offrent de quoi espionner des cibles de choix (opposants politiques, journalistes, les personnes clés d’Etat rivaux). Leur objectif sont alors les smartphones et les navigateurs que ces cibles utilisent. C’est Pegasus qui les a fait connaitre et ne croyez pas qu’ils se cachent (dans les pays où ils sont légaux).   Si historiquement, les groupes de cyberespionnage soutenus par des États ont été les principaux utilisateurs/inventeurs de vulnérabilités zero-day, on observe désormais, dit Google, une augmentation des exploitations attribuées à ces fournisseurs de services de cyberespionnage commerciaux et à leurs clients.

Vendeurs ciblés

Les grandes entreprises technologiques (Microsoft, Google, Apple) demeurent les plus touchées par l’exploitation de failles zero-day, immédiatement suivies par les sociétés spécialisés dans la sécurité informatique et les VPN (Cisco, Fortinet, Ivanti). VMWare le spécialiste de la virtualisation ferme le podium.  Ce constat s’explique par la domination de ces mêmes  géants du numérique sur les marchés grand public et entreprise.

Parallèlement, une vingtaine de fournisseurs n’ont chacun subi qu’une seule exploitation zero-day, preuve que les pirates diversifient leurs cibles et leurs approches afin de trouver de nouveaux points d’accès vers leurs objectifs.

Espionnage étatique

Les groupes de cyberespionnage liés à la République populaire de Chine demeurent les plus actifs sur la scène mondiale. La multiplication des campagnes d’exploitation massive de vulnérabilités montre que les acteurs à la manœuvre sont connectés à l’appareil d’espionnage chinois. Cette évolution marque une rupture avec la pratique historique, où les failles zero-day étaient jalousement gardées et réservées aux groupes disposant des ressources les plus importantes.

Les attaques motivées par des intérêts financiers se sont aussi offert le luxe de  neuf vulnérabilités zero-day, dont deux dans le cadre d’opérations ayant conduit au déploiement de rançongiciels.

Que faire

Face aux zero-days, à côté des réponses classiques d’isoler, segmenter et rendre inatteignable les systèmes et données critiques susceptibles d’attirer des zero-days, il y a une analyse de risque à faire pour soi : qui suis-je pour intéresser des attaques de haut vol à zero-days ? Vais-je dans un pays à risque ? Dois-je vraiment tout le temps garder un accès au réseau Internet ? Si on passe une frontière à problème, où l’on sait qu’un agent va vous prendre votre mobile quelques minutes derrière une porte opaque pour le pomper, allumez-le juste avant sans le déverrouiller. Les clés de chiffrement ne sont alors pas encore en mémoire pour que cela lui serve !

______

Pour en savoir plus : Look What You Made Us Patch: 2025 Zero-Days in Review, March 5, 2026, Google Threat intelligence