Les pirates informatiques et les fournisseurs de logiciels espions chinois alimentent une augmentation des attaques Zero Day, qui ciblent de plus en plus les logiciels et les appareils des entreprises, en particulier les produits de sécurité et de réseau.
Google a suivi 90 vulnérabilités exploitées en tant que zéro jour l’année dernière, les groupes de cyberespionnage chinois ayant doublé leur nombre par rapport à 2024 et les fournisseurs de services de surveillance commerciaux dépassant pour la première fois les pirates informatiques parrainés par l’État. Près de la moitié des incidents Zero Day enregistrés ciblaient les technologies d’entreprise telles que les dispositifs de sécurité, les VPN, les appareils réseau et les plates-formes logicielles d’entreprise.
« L’exploitation accrue des dispositifs de sécurité et de mise en réseau met en évidence le risque critique que peut poser une infrastructure de pointe fiable, tandis que le ciblage des logiciels d’entreprise démontre la valeur de plates-formes hautement interconnectées qui fournissent un accès privilégié aux réseaux et aux actifs de données », a déclaré le Google Threat Intelligence Group (GTIG) dans son rapport annuel Zero-Days in Review.
Cela représente la continuation d’un changement dans les modèles d’accès initial des attaquants qui s’est intensifié au cours des dernières années. Les logiciels d’entreprise représentaient 44 % de tous les zéro-day en 2024 et 48 % l’année dernière.
Les groupes liés à la Chine sont responsables d’au moins 10 des 16 failles Zero Day attribuées à des acteurs de menace parrainés par l’État en 2025, soit le double du nombre qui leur a été attribué en 2024. Cela maintient la Chine comme l’utilisateur le plus prolifique d’exploits Zero Day de la dernière décennie.
Cependant, les fournisseurs de services de surveillance commerciale (CSV) constituent également une source toujours croissante d’exploits Zero Day. Les CSV vendent leurs produits aux forces de l’ordre et aux agences de renseignement du monde entier, y compris aux régimes autoritaires qui utilisent le logiciel pour réprimer les militants. Les CSV fournissent à leurs clients les fichiers Zero Day qu’ils découvrent pour faciliter le déploiement de leurs logiciels espions sur les téléphones mobiles et les ordinateurs des cibles.
Les défenseurs sont confrontés à des délais de réponse réduits
L’exploitation des vulnérabilités reste la principale méthode d’accès initial dans les enquêtes de réponse aux incidents menées par la division Mandiant de Google, devant le vol d’identifiants et le phishing. Alors que près de la moitié des incidents Zero Day de l’année dernière ont touché l’infrastructure des entreprises, les organisations qui retardent la mise à jour des correctifs, même pendant des heures, sont confrontées à des risques croissants.
La vitesse à laquelle le code d’exploitation se propage entre les groupes s’accélère également, a prévenu GTIG. Historiquement, les exploits Zero Day étaient étroitement détenus par les équipes les plus dotées en ressources, mais un nombre croissant de groupes liés à la PRC exploitent désormais les mêmes vulnérabilités, ce qui suggère un partage accru d’exploits ou un développement collaboratif.
Cette tendance s’étend aux vulnérabilités de n jours, où GTIG a observé un écart de plus en plus grand entre la divulgation publique et l’exploitation généralisée par plusieurs groupes. Les données de la société de renseignement sur les vulnérabilités VulnCheck montrent que près d’un tiers des 884 vulnérabilités connues pour avoir été exploitées l’année dernière ont été attaquées au plus tard le jour de leur divulgation publique, contre environ un quart en 2024.
« À peine 1 % des vulnérabilités révélées en 2025 ont été exploitées, mais celles qui ont été déplacées plus rapidement, ont frappé plus fort, et de plus en plus avant même que les défenseurs n’aient eu la chance de réagir », a déclaré Jacob Baines, directeur technique de VulnCheck.
Les chercheurs du GTIG s’attendent à ce que l’IA comprime davantage ces délais cette année, les adversaires l’utilisant pour accélérer la reconnaissance, la découverte de vulnérabilités et le développement d’exploits. « Les défenseurs doivent se préparer au moment où un compromis surviendra, et non à l’éventualité où cela se produit », préviennent les chercheurs.
Environnements d’entreprise assiégés
Les acteurs chinois de la menace ont continué d’afficher une préférence pour les cibles difficiles à surveiller et permettant un accès persistant aux réseaux stratégiques. Des exemples notables incluent les groupes suivis par GTIG sous le nom de UNC5221, qui a exploité une faille dans Ivanti Connect Secure (CVE-2025-0282) et UNC3886, qui a exploité une vulnérabilité dans les routeurs Juniper (CVE-2025-21590).
Un autre groupe chinois suivi sous le nom d’UNC6201, connu pour les portes dérobées BRICKSTORM et GRIMBOLT, s’est démarqué car il ciblait la propriété intellectuelle telle que le code source et les documents de développement exclusifs des entreprises technologiques. Ces actifs pourraient être utilisés pour découvrir de nouvelles vulnérabilités dans les produits des victimes, posant ainsi un risque pour leurs clients en aval.
Les produits de sécurité et de mise en réseau représentaient 21 des 43 Zero Day ciblés par les entreprises en 2025, et au moins 14 appareils de périphérie ciblés tels que des routeurs, des commutateurs et des appareils de sécurité. Ces appareils manquent généralement de capacités de détection des points finaux, ce qui laisse les compromissions non détectées.
« Le manque de validation des entrées et les processus d’autorisation incomplets étaient des défauts courants dans ces produits, démontrant comment les défaillances systémiques de base continuent de persister, mais peuvent être corrigées avec des normes et des approches de mise en œuvre appropriées », ont écrit les chercheurs du GTIG.
Les groupes malveillants à motivation financière, notamment les gangs de ransomwares, ont également ciblé les technologies d’entreprise et ont représenté neuf jours zéro en 2025, soit le double des cinq qui leur avaient été attribués en 2024.
FIN11, le groupe à l’origine du ransomware CL0P, a ciblé l’année dernière deux failles zero-day dans Oracle E-Business Suite (CVE-2025-61882 et CVE-2025-61884). Storm-1175, un groupe associé au ransomware Medusa, a exploité une vulnérabilité dans GoAnywhere MFT (CVE-2025-10035).
Pendant ce temps, UNC2165, un groupe russe à motivation financière qui chevauche les reportages publics sur Evil Corp, a utilisé une vulnérabilité WinRAR de type zéro jour (CVE-2025-8088). La même vulnérabilité a été exploitée par un autre groupe russe identifié comme UNC4895 ou RomCom, qui mène à la fois des opérations d’espionnage et des motivations financières.
Selon les données de VulnCheck, plus de la moitié des 39 CVE liés aux attaques de ransomware en 2025 ont été exploitées en tant que Zero Day et environ un tiers n’avaient aucun code d’exploitation public ou commercial en janvier 2026, ce qui suggère que ces groupes développent leurs propres exploits et les gardent privés.
Les fournisseurs de logiciels espions surpassent pour la première fois les pirates informatiques soutenus par l’État
Pour la première fois depuis que GTIG a commencé à suivre l’exploitation du jour zéro, les fournisseurs de services de surveillance commerciale ont davantage attribué le jour zéro que les groupes d’espionnage traditionnels parrainés par l’État. Cette étape reflète un changement progressif que les chercheurs ont déclaré avoir observé au cours des dernières années.
Les CSV ont continué à se concentrer sur les appareils mobiles et les navigateurs, adaptant leurs chaînes d’exploitation pour contourner les améliorations de sécurité introduites au fil du temps par les fournisseurs de plateformes. Plusieurs chaînes d’exploitation découvertes en 2025 nécessitaient au moins trois vulnérabilités chaînées pour atteindre un seul objectif sur les appareils mobiles, signe que le renforcement de la plateforme augmente le coût de l’exploitation mais ne l’arrête pas.
Les vulnérabilités des systèmes d’exploitation représentaient 39 jours zéro, dont 15 affectaient les systèmes d’exploitation mobiles. Les navigateurs sont tombés en dessous de 10 %, un plus bas historique que GTIG a attribué aux efforts de durcissement, bien que les chercheurs aient noté la possibilité que les groupes disposent d’une meilleure sécurité opérationnelle et que certains exploits aient été manqués.
Microsoft était le fournisseur le plus ciblé, avec 25 vulnérabilités Zero Day exploitées dans ses produits, suivi de Google avec 11, Apple avec huit, et Cisco et Fortinet avec quatre chacun. Vingt fournisseurs ont été touchés chacun par un seul jour zéro, illustrant à quel point les attaquants étendent leur réseau à travers le paysage logiciel d’entreprise.
Préparez-vous à l’exploitation du jour zéro
« La priorisation est un combat constant pour la plupart des organisations en raison des ressources limitées qui nécessitent de décider quelles solutions sont mises en œuvre – et pour chaque choix d’emplacement des ressources, un besoin de sécurité différent est négligé », ont déclaré les chercheurs du GTIG. « Connaissez vos menaces et votre surface d’attaque afin de prioriser les décisions pour défendre au mieux vos systèmes et votre infrastructure. »
Les recommandations incluent la segmentation des pare-feu, des VPN et de l’infrastructure DMZ des actifs du réseau principal et des contrôleurs de domaine afin de limiter les mouvements latéraux en cas de violation d’un périphérique de périmètre.
Il est également conseillé aux entreprises d’établir des lignes de base pour les processus du système afin de signaler les activités vivant de la terre et de déployer des jetons Canary pour détecter les mouvements latéraux. Il est également recommandé de conserver une nomenclature logicielle pour identifier les systèmes affectés lorsqu’un nouveau jour zéro est divulgué, en particulier pour les bibliothèques largement utilisées où le rayon d’explosion est difficile à évaluer.
Les responsables de la sécurité doivent également définir des processus de mise à jour d’urgence capables de contourner la gestion standard des modifications lorsque des vulnérabilités critiques nécessitent une action immédiate. Lorsqu’aucun correctif n’est disponible, les équipes de sécurité doivent isoler les systèmes et composants concernés avec des mesures provisoires telles que la désactivation de services spécifiques ou le blocage des ports au niveau du périmètre.
GTIG exhorte les organisations à maintenir un inventaire des actifs en temps réel et à concevoir des architectures système avec une segmentation et un accès au moindre privilège intégrés plutôt que boulonnés.
