Zero-Days à la frontière : comment les hackers transforment la technologie d’entreprise en champ de bataille

En 2025, cybercriminels et espions ont trouvé un nouveau terrain de jeu favori : l’épine dorsale des entreprises mondiales. Alors que les attaques zero-day atteignaient des sommets inédits, près de la moitié de ces assauts numériques ciblaient les technologies de niveau entreprise - routeurs réseau, pare-feu et dispositifs en périphérie qui maintiennent les systèmes critiques du monde en ligne. Mais qu’est-ce qui motive ce changement spectaculaire, et qui se cache vraiment derrière le clavier ?

Selon le Threat Intelligence Group (GTIG) de Google, 2025 a marqué une escalade sans précédent : 90 vulnérabilités zero-day ont été exploitées dans la nature, dont près de la moitié visaient l’infrastructure des entreprises. Les enjeux n’ont jamais été aussi élevés. Contrairement aux appareils grand public, la technologie de niveau entreprise constitue le squelette numérique des entreprises, des gouvernements et des services critiques. Une fois la brèche ouverte, les attaquants peuvent s’infiltrer profondément dans les réseaux sensibles, souvent sans être détectés.

Les groupes soutenus par des États, en particulier ceux liés à la Chine, ont historiquement dominé ce marché de l’ombre. Leurs tactiques sont sophistiquées, ciblant routeurs et outils de sécurité - des dispositifs souvent dépourvus de détection robuste sur les terminaux. John Hultquist, analyste en chef du GTIG, décrit un « écosystème » de développement de zero-days en Chine, englobant l’industrie, le monde académique et le gouvernement. Rien qu’en 2025, des groupes d’espionnage liés à la Chine ont été associés à au moins 10 exploits zero-day, soit le double de l’année précédente. Parmi les exemples figurent le groupe UNC3886 exploitant des failles sur les routeurs Juniper MX et le déploiement du malware Brickstorm par UNC5221.

Mais une nouvelle catégorie d’adversaires émerge : les vendeurs de surveillance commerciale. Pour la première fois, ces vendeurs - qui proposent des solutions d’espionnage clé en main à des gouvernements et des clients privés - ont été liés à plus d’attaques zero-day (15) que les acteurs étatiques (12). Leur cible ? Les appareils mobiles et les navigateurs web, faisant de tout le monde, des dirigeants aux militants, une cible potentielle. Comme le note James Sadowski, analyste au GTIG, ces vendeurs sont désormais « les principaux moteurs du marché des zero-days ».

L’avenir s’annonce encore plus turbulent. Le rapport du GTIG avertit que l’intelligence artificielle permettra bientôt aux attaquants de découvrir et d’exploiter des vulnérabilités à une vitesse et une échelle inédites. De la reconnaissance automatisée au développement rapide d’exploits, l’IA pourrait rendre les attaques zero-day plus rapides et plus difficiles à stopper que jamais.

Alors que les défenses des entreprises peinent à suivre et que le marché des zero-days se professionnalise, la course à l’armement en cybersécurité entre dans une nouvelle ère. La périphérie n’est plus la ligne de front - c’est tout le champ de bataille.

WIKICROOK

• Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel et sans correctif disponible, ce qui la rend extrêmement précieuse et dangereuse pour les attaquants.
• Dispositif en périphérie : Un dispositif en périphérie est un matériel, comme un routeur ou un pare-feu, qui connecte les réseaux privés à Internet et constitue une barrière de sécurité clé.
• État : Un « État » en cybersécurité désigne un gouvernement qui soutient ou mène des cyberattaques pour collecter des renseignements ou perturber des adversaires à des fins politiques ou stratégiques.
• Vendeur de surveillance commerciale : Un vendeur de surveillance commerciale vend des logiciels espions ou des outils de piratage à des clients, y compris des gouvernements, soulevant des questions de vie privée, d’éthique et de droits humains.
• Détection et réponse sur les terminaux (EDR) : Les solutions EDR sont des outils de sécurité qui surveillent les ordinateurs pour détecter des activités suspectes, mais peuvent manquer les attaques via navigateur qui ne laissent aucun fichier.