L'équipe de renseignement sur les menaces de Google (GTIG) vient de clôturer son bilan annuel et le message est clair : les zéros jours restent une menace persistante et, sur certains fronts, croissante. En 2025, les chercheurs de Google ont identifié 90 vulnérabilités zéro jour qui ont été activement exploitées dans le monde réel, près de la moitié d'entre eux affectant des produits et des appareils orientés vers l'entreprise. Ce total représente une augmentation par rapport à 2024 - quand 78 cas ont été enregistrés - bien qu'il n'atteigne pas le maximum de 2023, lorsque GTIG a enregistré 100 défaillances exploitées dans la nature. Pour ceux qui ne travaillent pas en sécurité tous les jours, il faut se rappeler qu'une vulnérabilité de zéro jour est un échec dans le logiciel dont les attaquants profitent avant que le fabricant ait une chance de le garer, ce qui leur donne un avantage particulièrement précieux pour obtenir l'accès initial, exécuter le code à distance ou les privilèges d'échelle.
La radiographie de l'année montre une répartition équilibrée entre les plateformes utilisateur final et les solutions d'affaires : 47 de ces zéros jours ont signalé les systèmes utilisés par les consommateurs et les professionnels dans leurs bureaux et mobiles, tandis que 43 produits ont frappé conçus pour les réseaux d'entreprise, la sécurité du périmètre et la virtualisation. Parmi les erreurs d'exploitation sont apparues de l'exécution à distance et scalée des privilèges aux injections, la désérialisation et des problèmes de corruption de mémoire tels que l'utilisation-après-libre; Google souligne que les erreurs liées à la sécurité de mémoire représentaient environ 35 % du total, un rappel que les erreurs classiques de gestion de mémoire continuent de porter leurs fruits aux attaquants.
Sur le territoire commercial, les cibles favorites étaient les équipements offrant un accès privilégié au réseau : dispositifs de sécurité, infrastructure réseau, applications VPN et plateformes de virtualisation. Ces éléments concentrent souvent des permissions élevées et, dans de nombreux déploiements, fonctionnent en dehors de la portée des solutions de détection et de réponse (EDR), ce qui les rend très attrayants pour les acteurs malveillants.
Si nous regardons les catégories de logiciels, les systèmes d'exploitation ont dirigé la liste des exploitations : GTIG a enregistré 24 jours zéro contre des systèmes de bureau et 15 contre des plateformes mobiles. Les avoirs contre les navigateurs Web ont chuté considérablement - jusqu'à huit cas seulement en 2025 - et Google suggère qu'une partie de cette chute peut être due au durcissement des navigateurs au cours des dernières années; une autre explication possible est que les attaquants utilisent des techniques furtives plus sophistiquées qui rendent difficile à détecter.
Quant aux cibles, Microsoft a dirigé la liste des fournisseurs les plus attaqués avec 25 vulnérabilités exploitées, suivie par Google avec 11 et Apple avec 8; Cisco et Fortinet sont apparus avec quatre chacun, tandis que Ivanti et VMware ont ajouté trois chacun. Ces chiffres montrent que même les grands fournisseurs, dotés de ressources et de programmes de sécurité, continuent de voir comment leurs produits sont ciblés pour des exploits sans stationnement.
Un fait qui rompt la tendance historique est le rôle des vendeurs d'espionnage commercial (CSV). Pour la première fois depuis que GTIG a commencé à suivre l'exploitation de zéro jour, ces entreprises et leurs clients ont été les plus grands consommateurs de vulnérabilités non divulguées, dépassant les groupes parrainés par l'État. Cette observation coïncide avec la recherche et les plaintes d'organismes comme Laboratoire citoyen qui ont documenté l'impact et la portée du marché des logiciels espions commerciaux sur la surveillance et les opérations offensives.
Parmi les acteurs étatiques, les groupes liés à la Chine étaient les plus actifs, responsables de dix zéros jours exploités en 2025 et ciblant principalement les appareils situés en bordure du réseau et les éléments d'infrastructure pour maintenir un accès persistant. L'augmentation des acteurs à motivation économique - ransomware et extorsion de données - qui ont utilisé neuf des échecs observés, montre que l'exploitation d'aucune défaillance de patch fait déjà partie de la boîte à outils de l'espionnage et de la criminalité organisée.
À l'avenir, GTIG avertit que l'intelligence artificielle modifie les règles du jeu : les techniques automatisées peuvent accélérer l'identification des vulnérabilités et la création d'exploits, ce qui permettra probablement de maintenir le nombre de zéro jour exploité en 2026. Cette perspective n'est pas exclusive à Google; les agences et centres d'analyse européens et mondiaux ont souligné ces derniers mois que l'IA réduit les barrières techniques pour les offenseurs, tant dans la génération de tests de concept que dans l'automatisation de la recherche de grandes bases de code ( ENISA fournit de la documentation et des avertissements sur l'impact de l'utilisation accrue de l'IA sur la cybersécurité).
En tant qu'exemple opérationnel de l'évolution des attaquants, le rapport met en évidence des campagnes telles que Brickstorm, qui révèlent un virage stratégique : moins d'intérêt pour le vol du code source et plus de concentration sur la détection d'échecs qui compromettent des produits encore en développement ou pour sortir sur le marché. Cette technique permet aux ventilateurs de préparer des explosifs à l'avance et de les utiliser lorsque le logiciel vient à la production, avec un potentiel d'impact élevé.
Que peuvent faire les organisations et les utilisateurs pour réduire les risques? Les recommandations du GTIG reviennent aux piliers que les équipes de sécurité connaissent bien : réduire la surface d'attaque et les expositions privilégiées, surveiller en permanence les systèmes à la recherche de comportements anormaux et maintenir des processus agiles de patchage et d'intervention en cas d'incident. Dans la pratique, cela signifie connaître l'inventaire des biens, segmenter les réseaux pour limiter la portée d'une intrusion, appliquer des politiques de privilège minimum, utiliser des solutions de détection couvrant les couches et les serveurs critiques du réseau, et veiller à ce que des mises à jour importantes soient déployées rapidement et avec les preuves appropriées.
L'image que le GTIG dessine n'est pas de catastrophe immédiate, mais de pression soutenue et changeante : les zéros restent une monnaie de grande valeur pour les acteurs très divers et les outils émergents comme l'IA promettent d'accélérer à la fois la recherche d'échecs et la création d'exploits. La réponse ne passe pas par des solutions miracles, mais par le renforcement des pratiques de base en cyberhygiène, l'investissement dans la visibilité et le maintien de procédures de réponse éprouvées, parce que dans cette marge opérationnelle c'est là que vous gagnez du temps pour atténuer un échec avant qu'il ne devienne un incident majeur.
Pour ceux qui souhaitent consulter le rapport initial et préciser la méthodologie et les cas détaillés, le GTIG a publié son examen annuel, y compris des graphiques, des exemples de campagnes et des recommandations: 2025 Avis Zero-Day - Google Cloud. Pour voir comment les pouvoirs publics cataloguent et priorisent les vulnérabilités exploitées activement, la liste des vulnérabilités exploitées connues de la CISA est une référence pratique: CISA - Catalogue des vulnérabilités exploitées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...